Protezione del Computer: consigli e valutazioni

[Kohai]

Ragazzi una domandina veloce: sul mio win 7 64 bit home premium, utilizzo l'utente standard invece di quello amministratore.
L'unico problema e' che a volte gli aggiornamenti (come anche i download), utilizzando quello standard mi vanno a finire nell'account amministratore (sempre del sottoscritto) e mi trovo costretto a saltare da un accont all'altro oppure modificare il percorso dell'aggiornamento.

Domandina: utilizzando comunque l'UAC al massimo, e' piu' sicuro utilizzare l'utente standard o andrebbe bene anche quello amministratore?

Un grazie ed un saluto a tutti

[jedy48]

Quote:

Originariamente inviato da Kohai

Ragazzi una domandina veloce: sul mio win 7 64 bit home premium, utilizzo l'utente standard invece di quello amministratore.
L'unico problema e' che a volte gli aggiornamenti (come anche i download), utilizzando quello standard mi vanno a finire nell'account amministratore (sempre del sottoscritto) e mi trovo costretto a saltare da un accont all'altro oppure modificare il percorso dell'aggiornamento.

Domandina: utilizzando comunque l'UAC al massimo, e' piu' sicuro utilizzare l'utente standard o andrebbe bene anche quello amministratore?

Un grazie ed un saluto a tutti

mah è una corrente di idee, io per comodità uso l'account amministratore, UAC come è appena istallato cioè non al massimo e mi sono sempre trovato bene poi se uno è molto paranoico......

[arnyreny]

Quote:

Originariamente inviato da Kohai

Ragazzi una domandina veloce: sul mio win 7 64 bit home premium, utilizzo l'utente standard invece di quello amministratore.
L'unico problema e' che a volte gli aggiornamenti (come anche i download), utilizzando quello standard mi vanno a finire nell'account amministratore (sempre del sottoscritto) e mi trovo costretto a saltare da un accont all'altro oppure modificare il percorso dell'aggiornamento.

Domandina: utilizzando comunque l'UAC al massimo, e' piu' sicuro utilizzare l'utente standard o andrebbe bene anche quello amministratore?

Un grazie ed un saluto a tutti

la differenza sostanziale...e' che l'utente standard, blocca le esecuzioni che vogliono privileggi elevati,mentre con uac al massimo, ti viene chiesto il consenso,quindi nel tuo caso sarebbe meglio usare uac al massimo....
sempre che il pc lo usi solo tu,infatti un altro utente potrebbe acconsentire ad una richiesta anomala...
salutoni

[Kohai]

Quote:

Originariamente inviato da jedy48

mah è una corrente di idee, io per comodità uso l'account amministratore, UAC come è appena istallato cioè non al massimo e mi sono sempre trovato bene poi se uno è molto paranoico......

Quote:

Originariamente inviato da arnyreny

la differenza sostanziale...e' che l'utente standard, blocca le esecuzioni che vogliono privileggi elevati,mentre con uac al massimo, ti viene chiesto il consenso,quindi nel tuo caso sarebbe meglio usare uac al massimo....
sempre che il pc lo usi solo tu,infatti un altro utente potrebbe acconsentire ad una richiesta anomala...
salutoni

Utilizzo una password nell'amministratore e mi sono accorto che a volte mi chiede questa come admin, mentre altre volte me la chiede l'UAC.
Il computer a volte lo utilizza anche mio figlio, ma ho returnil attivo.

In verita', con win 7 mi trovo bene, specie in riguardo all'UAC, ma a volte con sto' fatto della differenza fra guest, admin e utente standard, oltre al fatto che ha un sacco di automazioni nascoste che mi rallentano la macchina e che ancora sto scovando, mi sembra un po troppo dispersivo.

Solo stasera cercando info su altri lidi, ho scoperto l'utente standard altro non e' che una specia di finestra, di specchio dell'admin al quale son castrate molte operazioni. Sta di fatto che se ad esempio scarico qualcosa nel percorso dell'utente standard, non me la trovo nell'admin e di riflesso se faccio qualcosa nell'admin, non ce l'ho nello standard.
Ad esempio: per comodita', tutti i download me li faccio scaricare sul desktop; ebbene, con firefox non me li trovavo mai ed ho scoperto invece che anche non avendocelo installato nell'admin ma solo come utente standard, i download me li portava nel desk di quest'ultimo
E cosi' tutto il resto
Eran 2 giorni che sbattevo perche' thunderbird mi diceva di installare l'aggiornamento, e poi ho scoperto che questo me lo metteva nell'admin anche se non ce lo avevo installato: in sede di scaricamento manuale del pacchetto di installazione/aggiornamento, ho dovuto modificare il relativo percorso. . . ecco il perche' della mia domanda.

Cioe': se l'UAC posto al massimo e' sicuro quanto l'utilizzo dell'utente standard, faccio a meno di quest'ultimo e rimango col solo admin.
Se invece vi sono operazioni non visibili ad occhio nudo poiche' in background funziona il blocco/sicurezza dell'utenza limitata (ovvero standard, anche qui ho impiegato un pochino a comprenderlo ) che offre una protezione aggiuntiva all'UAC, allora mi accontento cosi

[the_noiser]

Quote:

Originariamente inviato da Kohai

Son tutti validi, poi uno come si trova.
Con adblock plus le liste non mi si aggiornavano automaticamente; simple adblock e' leggero ma a volte sfugge qualcosa al suo controllo; quello da te postato non lo conosco

L'ho cercato nello store di google chrome(il primo risultato di ricerca) e devo dire che filtra abbastanza! era giusto per chiedere sull'affidabilità del realizzatore!!!!

[nV 25]

Quote:

Originariamente inviato da Kohai

sul mio win7...utilizzo l'utente standard invece di quello amministratore.
...
utilizzando comunque l'UAC al massimo, e' piu' sicuro utilizzare l'utente standard o andrebbe bene anche quello amministratore?

è più sicuro l'utente standard e non è affatto una "corrente di idee" come asserito da jedy,

Quote:

Originariamente inviato da jedy48

mah è una corrente di idee, io per comodità uso l'account amministratore, UAC come è appena istallato cioè non al massimo e mi sono sempre trovato bene poi se uno è molto paranoico......

(che poi tu per scelta personale usi l'admin ridotto con soddisfazione è non solo legittimo ma piuttosto un altro paio di maniche )...

Fa proprio al caso nostro (e non per un discorso di paranoia) un (vecchio) thread su Wilders dove chi lo apre si domanda proprio quello che ti sei chiesto te,
Windows 7 Standard user VS Admin

Senza scorrerlo tutto (utile, cmq), il nocciolo è contenuto in questo post (Link!) dove, in sostanza, si vede che tutto ruota intorno al discorso delle zone dell'OS "condivise"...
Elevated AAM processes are especially susceptible to compromise because they run in the same user account as the AAM user’s standard-rights processes and share the user’s profile. Many applications read settings and load extensions registered in a user’s profile, offering opportunities for malware to elevate.

1) (giusto per un discorso di cronaca), l'elevazione sotto standard user è tecnicamente chiamata "elevazione oltre il dovuto" (Over The Shoulder elevation) mentre l'elevazione in account amministrativo è il classico AAM o modalità che richiede esplicitamente l'approvazione dell'amministratore (Admin Approval Mode) ma al di là di questo:
la parte "chiave" della frase in inglese di cui sopra è rappresentata dal passo "same user account"/"share the user’s profile"

In sostanza, per il fatto che è identico l'account nel quale si trova ad essere l'utente sia nel caso in cui compia un operazione che richiede privilegi amministrativi (elevated AAM) sia nell'ipotesi opposta in cui l'utente è un semplice "amministratore ridotto" e poichè queste 2 figure condividono lo stesso profilo utente, questa serie di elementi offre il fianco ad attacchi.

Un malware che gira in un account amministrativo non elevato, pur continuando a non avere privilegi di amministratore pieno, può scrivere ad es nel profilo utente (le famose zone condivise...) parti di codice che gli sono necessarie in un 2° momento e aspettare tranquillamente l'elevazione per acquisire i privilegi mancanti.

Se si usa un utente standard, invece, anche là dove ci fosse da dare privilegi maggiori ad un applicazione facendo scattare il popup dell'UAC (che abbiamo visto si chiama OTS Elevation), avrò che questo meccanismo si scontra con il discorso della SEPARAZIONE degli account e degli spazi utente in cui funzionano i processi...

Processes elevated from a standard user account run in a different account from those with standard user rights, so the Windows security model defines a wall around the elevated process that prevents the non-elevated processes from writing code into those that are elevated.
(fonte: http://blogs.technet.com/b/markrussi...12/638372.aspx)



La materia, cmq, non è banale ma a grandi linee (credo) basti dire che
usare un account limitato è sempre preferibile.


PS: detto questo, non ho capito tutto il gioco che descrivevi...

[nV 25]

Quote:

Originariamente inviato da nV 25

Un malware che gira in un account amministrativo non elevato, pur continuando a non avere privilegi di amministratore pieno, può scrivere ad es nel profilo utente (le famose zone condivise...) parti di codice che gli sono necessarie in un 2° momento e aspettare tranquillamente l'elevazione per acquisire i privilegi mancanti.

questa parte non è proprio spiegata benissimo (spero anzi nell'aiuto di eraser se dovesse leggere questo thread...), ma insomma secondo me siamo sempre li col conto.

Se si usa un HIPS (meglio, un Sandbox), questi problemi sono contenuti (nel senso di neutralizzati).

IMHO

[cloutz]

bene bene, documentate copiosamente!!

devo darmi l'esame di sicurezza informatica e ci hanno chiesto di mostrare-documentare vulnerabilità, attacchi (più è roba difficile da trovare meglio è, ovviamente), quindi bazzicherò più spesso LOL

Buona domenica

[nV 25]

ciao, cloutz:
fidati cmq solo delle fonti e non certo delle mie interpretazioni

Ma non ti conviene cmq contattare eraser via pvt per farti indirizzare?

[cloutz]

Quote:

Originariamente inviato da nV 25

ciao, cloutz:
fidati cmq solo delle fonti e non certo delle mie interpretazioni

Ma non ti conviene cmq contattare eraser via pvt per farti indirizzare?

Sicuramente si, ma prima devo studiare per bene il programma del corso per capire cosa potrebbe essere interessante e non banale (il libro di riferimento è un vecchiotto 2007/2008 e non mi pare che si sia parlato di ASLR nel corso ), e poi magari se è il caso lo disturberò..

ma prima di tutto devo formarmi parecchio

[nV 25]

gli vuoi presentare qualcosa che, con buona probabilità, hanno sicuramente sentito dire ma, tesi come sono dietro i loro faldoni di libri, hanno toccato sicuramente poco con mano?

La "storia" del rootkit TDL,
http://www.kernelmode.info/forum/vie....php?f=16&t=19

con tanto di sample, analisi e compagnia...

Vivono infatti dietro n-vulnerabilità, hanno meccanismi di impianto diversi a seconda dell'architettura dell'OS, ecc..

[Kohai]

Quote:

Originariamente inviato da nV 25

è più sicuro l'utente standard e non è affatto una "corrente di idee" come asserito da jedy,


(che poi tu per scelta personale usi l'admin ridotto con soddisfazione è non solo legittimo ma piuttosto un altro paio di maniche )...

Fa proprio al caso nostro (e non per un discorso di paranoia) un (vecchio) thread su Wilders dove chi lo apre si domanda proprio quello che ti sei chiesto te,
Windows 7 Standard user VS Admin

Senza scorrerlo tutto (utile, cmq), il nocciolo è contenuto in questo post (Link!) dove, in sostanza, si vede che tutto ruota intorno al discorso delle zone dell'OS "condivise"...
Elevated AAM processes are especially susceptible to compromise because they run in the same user account as the AAM user’s standard-rights processes and share the user’s profile. Many applications read settings and load extensions registered in a user’s profile, offering opportunities for malware to elevate.

1) (giusto per un discorso di cronaca), l'elevazione sotto standard user è tecnicamente chiamata "elevazione oltre il dovuto" (Over The Shoulder elevation) mentre l'elevazione in account amministrativo è il classico AAM o modalità che richiede esplicitamente l'approvazione dell'amministratore (Admin Approval Mode) ma al di là di questo:
la parte "chiave" della frase in inglese di cui sopra è rappresentata dal passo "same user account"/"share the user’s profile"

In sostanza, per il fatto che è identico l'account nel quale si trova ad essere l'utente sia nel caso in cui compia un operazione che richiede privilegi amministrativi (elevated AAM) sia nell'ipotesi opposta in cui l'utente è un semplice "amministratore ridotto" e poichè queste 2 figure condividono lo stesso profilo utente, questa serie di elementi offre il fianco ad attacchi.

Un malware che gira in un account amministrativo non elevato, pur continuando a non avere privilegi di amministratore pieno, può scrivere ad es nel profilo utente (le famose zone condivise...) parti di codice che gli sono necessarie in un 2° momento e aspettare tranquillamente l'elevazione per acquisire i privilegi mancanti.

Se si usa un utente standard, invece, anche là dove ci fosse da dare privilegi maggiori ad un applicazione facendo scattare il popup dell'UAC (che abbiamo visto si chiama OTS Elevation), avrò che questo meccanismo si scontra con il discorso della SEPARAZIONE degli account e degli spazi utente in cui funzionano i processi...

Processes elevated from a standard user account run in a different account from those with standard user rights, so the Windows security model defines a wall around the elevated process that prevents the non-elevated processes from writing code into those that are elevated.
(fonte: http://blogs.technet.com/b/markrussi...12/638372.aspx)



La materia, cmq, non è banale ma a grandi linee (credo) basti dire che
usare un account limitato è sempre preferibile.


PS: detto questo, non ho capito tutto il gioco che descrivevi...

Grazie per la risposta Enne
Vuol dire che rimango con l'utente standard e staro' piu' attento a quando scarico programmi ed aggiornamenti per dargli il percorso corretto, cosi' non dovro' saltellare da un account ad un altro
Per la sandbox, son riuscito a far girare chrome anche sotto di essa (escludendo la sua nativa) come spiegato nel topic di sandboxie

Grazie ancora e buon proseguimento di domenica

[cloutz]

Quote:

Originariamente inviato da nV 25

gli vuoi presentare qualcosa che, con buona probabilità, hanno sicuramente sentito dire ma, tesi come sono dietro i loro faldoni di libri, hanno toccato sicuramente poco con mano?

La "storia" del rootkit TDL,
http://www.kernelmode.info/forum/vie....php?f=16&t=19

con tanto di sample, analisi e compagnia...

Vivono infatti dietro n-vulnerabilità, hanno meccanismi di impianto diversi a seconda dell'architettura dell'OS, ecc..

Si, io di questo potrei avere il tempo/la voglia/l'interesse (dato che si tratta di un esamino da 4 crediti e che ho iniziato a lavorare) di trattare solo un aspetto specifico piuttosto che l'analisi di tutto il TDL.

Anche perchè, oltre all'aspetto puramente teorico e affascinante, c'è bisogno di tempo per imparare a usare in pratica disassembler e debugger, saper interpretare le informazioni che ti danno, rinfrescare l'assembly, capire come funziona il OS, ecc.. altrimenti si riduce tutto a un copia e incolla di testo preso da blog qua e là.

Preferisco trattare un singolo aspetto (come si nasconde, come infetta i driver di sistema ecc), ma farlo bene in maniera approfondita e ben documentata da me.

Però mi sa che stiamo andando ultra-OT

[nV 25]

Quote:

Originariamente inviato da Kohai

cosi' non dovro' saltellare da un account ad un altro

è proprio questa la parte che mi interessa:
mi fai un caso pratico?

Te lo chiedo perchè sono anch'io nella stessa situazione...solo che non mi trovo mai a dover saltellare da un account all'altro...

Certo, ci sono momenti in cui è inevitabile usare l'UAC per perfezionare determinate operazioni ma, detto questo, niente saltellamenti...

[nV 25]

aspetta, ho capito:
ma sei su XP?


Se si, è possibile (anzi, probabilissimo...) che le cose funzionino in modo diverso rispetto a Vista/7.

[Kohai]

Quote:

Originariamente inviato da nV 25

è proprio questa la parte che mi interessa:
mi fai un caso pratico?

Te lo chiedo perchè sono anch'io nella stessa situazione...solo che non mi trovo mai a dover saltellare da un account all'altro...

Certo, ci sono momenti in cui è inevitabile usare l'UAC per perfezionare determinate operazioni ma, detto questo, niente saltellamenti...

Quote:

Originariamente inviato da nV 25

aspetta, ho capito:
ma sei su XP?


Se si, è possibile (anzi, probabilissimo...) che le cose funzionino in modo diverso rispetto a Vista/7.

No, win 7 64 bit home premium.
Ho spiegato tutto qui -> http://www.hwupgrade.it/forum/showpo...postcount=4895

Spero sia abbastanza chiaro.

Su xp gia' sapevo che c'era questo "casinotto"

[arnyreny]

Quote:

Originariamente inviato da Kohai

No, win 7 64 bit home premium.
Ho spiegato tutto qui -> http://www.hwupgrade.it/forum/showpo...postcount=4895

Spero sxia abbastanza chiaro.

Su xp gia' sapevo che c'era questo "casinotto"

ripeto,su seven uac al massimo e' uguale ad account standard con l'unica differenza che account standard blocca in automatico le richieste con privilegi i,mentre con uac al massimo livello,entra una schermata protetta che ti chiede se bloccare o meno la richiesta....

[nV 25]

Quote:

Originariamente inviato da arnyreny

ripeto,su seven uac al massimo e' uguale ad account standard con l'unica differenza che account standard blocca in automatico le richieste con privilegi i,mentre con uac al massimo livello,entra una schermata protetta che ti chiede se bloccare o meno la richiesta....

ma ho spiegato poc'anzi che non è assolutamente cosi'...

admin ridotto = standard user **SOLO** a livello di privilegi & l'UAC non c'incastra una mazza

Cmq è sufficiente rileggere le cose che ho scritto (a patto sempre che si capiscano)...

[arnyreny]

Quote:

Originariamente inviato da nV 25

ma ho spiegato poc'anzi che non è assolutamente cosi'...

admin ridotto = standard user **SOLO** a livello di privilegi & l'UAC non c'incastra una mazza

Cmq è sufficiente rileggere le cose che ho scritto (a patto sempre che si capiscano)...

ho provato con una serie di malware e ti ripeto che quello che non passa in automatico con account standard,non passa con uac al massimo negandogli la richiesta di privilegi.

[nV 25]

Quote:

Originariamente inviato da Kohai

Spero sia abbastanza chiaro.

...se ad esempio scarico qualcosa nel percorso dell'utente standard, non me la trovo nell'admin e di riflesso se faccio qualcosa nell'admin, non ce l'ho nello standard.
Ad esempio: per comodita', tutti i download me li faccio scaricare sul desktop; ebbene, con firefox non me li trovavo mai ed ho scoperto invece che anche non avendocelo installato nell'admin ma solo come utente standard, i download me li portava nel desk di quest'ultimo...(tratto da qui).

?

Ma guarda che è normale!!

Sono come 2 spazi separati e indipendenti l'uno dall'altro...

Se l'utente attivo è quello standard, tutto quello che fai nel corso della sessione coinvolge esclusivamente quest'account, non l'altro! (a patto ovviamente che tu non faccia operazioni "straordinarie" che ti fanno scattare il popup dell'UAC [= OTS elevation], nel qual caso la sessione attiva è si quella standard che hai in uso in quel momento ma l'operazione elevata si svolge nell'account elevato producendo un impatto anche su quest'ultimo spazio)