[Thread ufficiale] Windows 10 "Stable" (no preview builds)

[LL1]

Quote:

Originariamente inviato da Varg87

Com'è possibile che accedendo da utente standard alla cartella admin i permessi vengano cambiati definitivamente?...

vero

Quote:

Per tutte le altre operazioni di modifica file di sistema o operazioni che richiedono permessi elevati la password viene chiesta normalmente e giustamente.

vero anche questo visto che a regola è proprio così che dovrebbe funzionare...

Appena pubblicata la risposta, parte subito un tweet alla volta di aall86 tanto dovevo confrontarmi anche per un'altra cosa.

---
Fatto

Non rilevo personalmente una vulnerabilità di chissà quale gravità (in definitiva, infatti, se la macchina è gestita da un unico utente, è evidente che conosca anche le credenziali dell'amministratore per quanto abbia scelto di splittare gli account per ovvie ragioni) ma rimane certamente una stranezza perché a pelle diverge da quello che dovrebbe accadere...
Vediamo la risposta tra qualche giorno..

[Varg87]

Ok ma la password dovrebbe chiederla ogni volta ed al limite concedere permessi temporanei, non definitivi.
Che possa essere per eventuali programmi in avvio automatico che richiedono permessi root, per non dover inserire ad ogni avvio la password? Non so, forse verrebbe chiesta comunque. È l'unica motivazione che mi viene in mente a parte un bug.

[LL1]

Quote:

Originariamente inviato da Varg87

Ok ma la password dovrebbe chiederla ogni volta ed al limite concedere permessi temporanei, non definitivi.

la stranezza (che hai il merito di aver colto posto sempre che non sia voluto per qualche ragione che non ci hanno evidentemente spiegato) è proprio quella:
l'attribuzione definitiva di quel privilegio all'utente ridotto (e non una tantum come ad esempio avviene se fai operazioni di altro tipo come giustamente osservavi per le quali però si richiedono ugualmente privilegi diversi o, detto in altri termini, l'appartenenza ad un gruppo diverso da quello che origina la richiesta).

Il nocciolo è proprio lì, ereditare (definitivamente) una cosa che non ti compete (se non 'on demand')..

[DOC-BROWN]

¹ le patch scaricate periodicamente fino ad oggi avrebbero già incorporato porzioni di 21H1 se pur mantenute in stato dormiente[/quote]


20H1 prevista quindi per quando, marzo o maggio ?

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da DOC-BROWN

20H1 prevista quindi per quando, marzo o maggio ?

Se dico Aprile non sta bene? E se dico giugno? O luglio, cambia qualcosa?

[wolverine]

Quote:

Originariamente inviato da DOC-BROWN

¹ le patch scaricate periodicamente fino ad oggi avrebbero già incorporato porzioni di 21H1 se pur mantenute in stato dormiente

Quote:

20H1 prevista quindi per quando, marzo o maggio ?

Da fine Aprile a fine Maggio, presumo.

[Blue_screen_of_death]

Quote:

Originariamente inviato da Varg87

Com'è possibile che accedendo da utente standard alla cartella admin i permessi vengano cambiati definitivamente?
[...]

Quote:

Originariamente inviato da LL1

vero

vero anche questo visto che a regola è proprio così che dovrebbe funzionare...
[...]

Se ho capito bene cosa intendi, è un comportamento normale di Windows Explorer, e per come è pensato Windows Explorer non è modificabile.


Assumiamo di avere due utenti: un utente standard (StandardUser) e un utente amministratore (AdminUser).
Abbiamo una cartella AdminFolder che può accedere solo l'utente AdminUser; StandardUser non ha i permessi di accesso.


Ci logghiamo con StandardUser e eseguiamo un processo XXX che vuole accedere alla cartella AdminFolder. Per accedere alla cartella ha bisogno dei permessi dell'utente AdminUser. Il processo ha due possibilità:
- mostra l'UAC prompt all'avvio per essere eseguito come utente AdminUser
- viene eseguito come utente StandardUser, ma nel momento in cui vuole accedere alla cartella AdminUser chiede di essere riavviato; e al riavvio mostra l'UAC prompt e viene eseguito come AdminUser

Questo è quello che succede con il 99% delle applicazioni.


Con Windows Explorer questo non può funzionare.
Il problema è che il processo che sta dietro di Windows Explorer (explorer.exe) non supporta l'esecuzione di più istanze (più processi) con contesti di sicurezza diversi.


Al boot, Windows esegue il processo explorer.exe come utente StandardUser, che va a disegnare la barra delle applicazioni e il desktop.L'apertura di una cartella non comporta l'esecuzione di un nuovo processo. Lanciare manualmente un altro processo explorer.exe come AdminUser fa partire un nuovo processo explorer.exe, che chiede al processo explorer.exe esistente di craere una nuova finestra Esplora Risorse e termina.

Quindi ci si ritrova sempre con un solo processo explorer.exe eseguito come StandardUser, che non ha accesso alla folder AdminFolder.
Non potendo elevare i privilegi, l'unico modo che explorer.exe ha per accedere alla folder AdminFolder è di cambiare i permessi della cartella.
Essendo eseguito come utente StanrardUser non gli è concesso cambiare i permessi di quella cartella. Quindi fa partire un altro processo (dllhost.exe), che all'avvio mostra l'UAC prompt per essere eseguito come utente AdminUser; questo processo cambia i permessi della cartella AdminFolder e termina.

Questo permette a explorer.exe di accedere alla cartella AdminFolder.


Concedere i permessi solo temporaneamente creerebbe altri problemi. Ad esempio, bisognerebbe aggiungere un timer nel processo dllhost.exe che alla scadenza ripristina i permessi originali. Ma che succede se questo processo termina in maniera inaspettata (ad es. va in crash) o se va via la corrente prima del ripristino dei permessi?
La cartella rimarrebbe con i permessi sbagliati. Da qui la scelta di MS (secondo la mia opinione) di rendere permanente la modifica dei permessi.

N.B. Il messaggio che compare quando provi ad accedere a una cartella che richiede privilegi elevati, avverte che la modifica dei permessi è definitiva (notare il permanently):

Quote:

Originariamente inviato da LL1

Appena pubblicata la risposta, parte subito un tweet alla volta di aall86 tanto dovevo confrontarmi anche per un'altra cosa.

Ottimo. Se ricevi risposta da Andrea, aggiornaci. Essendo lui interno a MS ha sicuramente una visione più chiara e completa della mia.

[LL1]

spiegazione eccellente


Peraltro, preso dalla foga di toccare con mano, non mi ero neppure accorto del dettaglio (determinante) che emerge invece chiaramente dall'immagine che hai postato

Quote:

Originariamente inviato da Blue_screen_of_death

N.B. Il messaggio che ti compare quando provi ad accedere a una cartella che richiede privilegi elevati, ti avverte che la modifica dei permessi è definitiva (notare il permanently):

[deuterio1]

Quote:

Originariamente inviato da Blue_screen_of_death

Essendo eseguito come utente StanrardUser non gli è concesso cambiare i permessi di quella cartella. Quindi fa partire un altro processo (dllhost.exe), che all'avvio mostra l'UAC prompt per essere eseguito come utente AdminUser; questo processo cambia i permessi della cartella AdminFolder e termina.

Questo permette a explorer.exe di accedere alla cartella AdminFolder.

Per questo motivo, quando devo fare una modifica al filesystem con privilegi elevati in folder nelle quali non ho accesso con l'utente corrente, uso sempre il Prompt dei Comandi/Powershell con elevazione di privilegi. Al più, quando non ho voglia di scrivere, apro un qualsiasi programma con elevazione di privilegi e che disponga di un "Open"/"Save As" standard (es. Notepad) e sfrutto la relativa dialog box, che normalmente permette di fare le operazioni essenziali (rename, delete, new folder, etc.).

Ciao,
D

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da deuterio1

Per questo motivo, quando devo fare una modifica al filesystem con privilegi elevati in folder nelle quali non ho accesso con l'utente corrente, uso sempre il Prompt dei Comandi/Powershell con elevazione di privilegi. Al più, quando non ho voglia di scrivere, apro un qualsiasi programma con elevazione di privilegi e che disponga di un "Open"/"Save As" standard (es. Notepad) e sfrutto la relativa dialog box, che normalmente permette di fare le operazioni essenziali (rename, delete, new folder, etc.).

Meno rustico e più adatto il filemanager di 7zip che è un buon succedaneo di un file manager, ma normalmente adopero un vero file manager. Da qualche tempo Multicomander.

Click destro, esegui come amministratore... eventualmente serve mi aiuto con Nsudo.

[Varg87]

Quote:

Originariamente inviato da Blue_screen_of_death

Se ho capito bene cosa intendi...

Grazie per la spiegazione. Non so perchè ma in passato mi sembrava funzionasse diversamente e che chiedesse ogni volta la password.
Non ho neanche fatto caso al "permanentemente".

[Giux-900]

Quote:

Originariamente inviato da LL1

una cosa che ho trovato interessante visto che nell'ultimo periodo, complice il cambio radicale del PC, mi sono concentrato fondamentalmente su altro, sono le notizie che emergono a proposito della prossima versione di 10 che verrà rilasciata nel corso della prima metà dell'anno (21H1):
sembra infatti che anche per questa ci troveremo di fronte ad un semplice 'enablement package'¹ replicando il modello già visto con 20H2.

New Windows 10 update leaks info on upcoming 21H1 feature update

Sto interpretando male io qualcosa o il discorso è proprio in questi termini?





¹ le patch scaricate periodicamente fino ad oggi avrebbero già incorporato porzioni di 21H1 se pur mantenute in stato dormiente

potrebbe essere, può anche essere che nel cumulative update preview sia sufficiente ''l'enablement package'' per abilitare le novità introdotte al momento e forse in seguito sarà necessario l'aggiornamento ''full-featured''.
In ogni caso, dovesse risultare in seguito una conferma solo per un enablement ben venga.

[deuterio1]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Meno rustico e più adatto il filemanager di 7zip che è un buon succedaneo di un file manager, ma normalmente adopero un vero file manager. Da qualche tempo Multicomander.

Click destro, esegui come amministratore... eventualmente serve mi aiuto con Nsudo.

Concordo, ma cerco sempre di evitare di ricorrere a programmi di terze parti, anche perché mi trovo spesso ad operare su PC diversi (anche non miei), dove non è scontata la loro presenza. In generale con gli strumenti base di Windows (e i tool ufficiali MS) riesco a fare quasi tutto. Poi, se parliamo del contesto aziendale (che è il 90% dei miei use case), l'uso di quei programmi è in ogni caso (e giustamente) vietata, quindi...

Ciao,
D

[tomahawk]

Scusate, ma come funziona la ricerca nella barra di ricerca di explorer in win 10 20H2? In pratica i risultati più combacianti mi appaiono come tendina sotto la barra di ricerca e basta? Perché nella finestra non mi appaiono più tutti i risultati più combacianti. Non credo sia normale.

Ho fatto una reinstallazione in place usando l'ultimo MCT.

[AaLl86]

Concordo pienamente con l'ottima spiegazione di Blue_screen_of_death.

Andrea

[tallines]

Quote:

Originariamente inviato da tomahawk

Scusate, ma come funziona la ricerca nella barra di ricerca di explorer in win 10 20H2? In pratica i risultati più combacianti mi appaiono come tendina sotto la barra di ricerca e basta? Perché nella finestra non mi appaiono più tutti i risultati più combacianti. Non credo sia normale.

Ho fatto una reinstallazione in place usando l'ultimo MCT.

Puoi postare un' immagine ?

[Styb]

Quote:

Originariamente inviato da tomahawk

Scusate, ma come funziona la ricerca nella barra di ricerca di explorer in win 10 20H2? In pratica i risultati più combacianti mi appaiono come tendina sotto la barra di ricerca e basta? Perché nella finestra non mi appaiono più tutti i risultati più combacianti. Non credo sia normale.

Ho fatto una reinstallazione in place usando l'ultimo MCT.

Sì, è normale. I risultati nella finestra compaiono solo dopo aver dato l'avvio alla ricerca. E' stato infatti cambiato il comportamento rispetto alle vecchie versioni di windows 10, mi sembra dalla 1909 in poi.

[tallines]

Quote:

Originariamente inviato da Styb

Sì, è normale. I risultati nella finestra compaiono solo dopo aver dato l'avvio alla ricerca. E' stato infatti cambiato il comportamento rispetto alle vecchie versioni di windows 10, mi sembra dalla 1909 in poi.

A me certe volte non funziona.........

[UtenteSospeso]

Quote:

Originariamente inviato da AaLl86

Concordo pienamente con l'ottima spiegazione di Blue_screen_of_death.

Andrea

A memoria, credo sia così da Vista se non prima.

.

[LL1]

al di là dell'errore grossolano andato in onda ieri (e che mi ha visto protagonista preso com'ero dalla foga), il confronto con chi ha davvero talenti in più è ineguagliabile per cui un grazie sincero per esservi prestati.

1-0 per la discussione che è impreziosita dalle vostre parole! (peccato non abbiate tempo e, probabilmente, stimoli per intervenire più spesso )









A proposito:
la versione 19042.782 attualmente in test nei rami beta/RP, tra le tante cose risolve il fastidioso 'abbaglio' che genera l'evento ID 642 con origine ESENT (ha richiesto 8 mesi, ad indicare quanto fosse appunto grave ovverosia niente visto che è semplicemente un'errata registrazione)