Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)

[Sisupoika]

x Moviemaniac e gli altri:

sto pensando di creare uno screen cam video che mostri come configurare il tutto in POCHI MINUTI, e anche una tipica sessione di lavoro con un sistema di questo tipo, cosi' vi rendete conto che FUNZIONA, e' sicuro e facile da usare, se fatto come vi suggerisco io. Pero' abbiate un po' pazienza, cerchero' di trovare il tempo nei prossimi giorni per realizzare questa video guida.

[nV 25]

fermo restando che il mio approccio alla sicurezza è più integralista della posizione di Osama Bin Laden in ambito politico (?), l'idea dello screen cam la trovo veramente squisita visto che è una strada che davvero può servire a semplificare ai minimi termini concetti e/o processi di configurazione...

Resto sintonizzato...

[Sisupoika]

Quote:

Originariamente inviato da nV 25

fermo restando che il mio approccio alla sicurezza è più integralista della posizione di Osama Bin Laden in ambito politico (?), l'idea dello screen cam la trovo veramente squisita visto che è una strada che davvero può servire a semplificare ai minimi termini concetti e/o processi di configurazione...

Resto sintonizzato...

Lo immaginavo, e' che sono pigro quindi non l'avevo gia' fatto
Appena posso lo faccio. Visto che ci siamo, conoscete utilities per catturare lo schermo magari *direttamente* in divx?

[Gianky....! :D :)]

Quote:

Originariamente inviato da Sisupoika

Lo immaginavo, e' che sono pigro quindi non l'avevo gia' fatto
Appena posso lo faccio. Visto che ci siamo, conoscete utilities per catturare lo schermo magari *direttamente* in divx?

Potresti provare camstudio ma non so se ha quella funzione xkè non lo uso molto.
Cmq è free

[nuovoUtente86]

Quote:

Originariamente inviato da Swisström

Grazie mille per le risposte




Sono pigro e fare ogni volta una scansione on-demand mi costerebbe di più che tenere la protezione real time di antivir. Oltretutto preferisco non avere file "pericolosi" sul pc, anche se a me non fan nulla... si sa mai che finiscano su un pc altrui (cd, dvd, chiavette,...) per sbaglio.
Tuttavia è solo una mia idea... probabilmente son solo paranoico




Understood, quindi farò il lock down anche via "software" (MMC di win) oltre a tenere il firewall HW settato.




Appunto ma tu, nella guida, non dicevi che bisogna abilitare solo il traffico in uscita sulla porta 80?


p.s. ... ora mi sovviene... ma te sei il finnico, giusto? Con sta mania di cambiare nick

La devi aprire solo in uscita,almeno che tu nn abbia un web server sulla tua macchina.Quando ti connetti ad un sito sulla porta 80 del server crei una connessione simile ad un canale(simile alla pipe se conosci linux)bidirezionale tra una tua porta locale e la 80 del server o meglio tra la tua porta locale e un thread che ha ricevuto la connessione ascoltata dal server sulla porta 80.

[juninho85]

Quote:

Originariamente inviato da Sisupoika

Ma tu avevi abilitato o no le restrizioni software? Prova a rileggere passo passo la guida. Dai, non e' difficile

si che l'ho abilitato,ma pensavo fosse qualcosa che esulava dalle procedure del primo post

[bCyclon]

saro' schietto....


questa procedura influenza il funzionamento di programmi p2p vedi per es. emule e azureus vuze ?

se non dovesse influenzarli in alcuna maniera sarebbe l'ideale per le mie esigenze.

un ultima cosa....supponiamo che win xp all'avvio senza nessun antivirus o robe simili occupi 200mb, poi faccio questa procedura indicata da te...all'avvio occupa ancora 200mb ?


grazie e ciao00

edit: altra domanda..l'operazione e' totalmente reversibile ?

[juninho85]

io per ora non riesco a far funzionare ares,pure avendo messo il allowed traffic la porta tcp

[sampei.nihira]

Io credo che in futuro la navigazione internet parlerà sempre più LINUX.
Anche in base alla notizia datata che linko sotto:

http://www.rainews24.rai.it/ran24/ra...larete_029.asp

Ma anche,per dovere di cronaca,chi la pensa diversamente:

http://www.pianetapc.it/view.php?id=940

Certo è indubbia l'antipatia degli utenti nei confronti di Vista.
E prima o poi l'abbandono del supporto di XP.

E quindi capirai che non ci sarebbe più problema (almeno attualmente) di account limitati,ed antivirus.

[Sisupoika]

Quote:

Originariamente inviato da Gianky....! :D :)

Potresti provare camstudio ma non so se ha quella funzione xkè non lo uso molto.
Cmq è free

Ok, provero' con quello. Come dicevo ho bisogno di qualche giorno, ho cambiato portatile e devo fare un reinstall.
Poi creero' una virtual machine per fare queste cose come una sorta di guida video. Anzi, forse ricordo male ma mi pare che pure VMWare mi permette di registrare in video cio' che faccio nella macchina virtuale

Quote:

Originariamente inviato da juninho85

si che l'ho abilitato,ma pensavo fosse qualcosa che esulava dalle procedure del primo post

Sei riuscito a risolvere?
Cmq una piccola nota: ho migliorato un paio di cosine piccole piccole negli admin scripts, che allego a questo post (li sostituiro' a quelli vecchi anche nel primo post):

- AdminCMD: aggiunto /Savecred anche alla seconda fase della "trasformazione" temporanea dell'utente, che avevo dimenticato nel file che avevo allegato in precedenza.
In questo modo basta seguire una sessione di cmd come admin, e dalle successive non verra' richiesta ne' la password di SysAdmin ne' quella dell'utente limitato.

- AdminShell: adesso Windows Explorer in modalita' amministrativa viene avviata nella cartella documenti dell'utente limitato, mentre prima veniva avviata in quella di SysAdmin. Giusto per comodita'....

Quote:

Originariamente inviato da bCyclon

saro' schietto....


questa procedura influenza il funzionamento di programmi p2p vedi per es. emule e azureus vuze ?

se non dovesse influenzarli in alcuna maniera sarebbe l'ideale per le mie esigenze.

un ultima cosa....supponiamo che win xp all'avvio senza nessun antivirus o robe simili occupi 200mb, poi faccio questa procedura indicata da te...all'avvio occupa ancora 200mb ?


grazie e ciao00

edit: altra domanda..l'operazione e' totalmente reversibile ?

Qualunque applicazione dovrebbe funzionare, a prescindere dal tipo. Salvo che in diversi casi e' necessario un piccolo intervento una volta, per consentire al programma di partire oppure, se parte, di connettersi ad Internet.
Se nel tuo caso e' proprio questo il problema (quei programmi non si connettono ad Internet), e questo accade dopo che hai attivato il firewall con IPSec, allora semplicemente il problema riguarda le porte.
Questi programmi usano porte specifiche per la connessione, e se hai aperto soltanto le porte standard illustrate nella guida (e configurate nel setup "pappa pronta"), allora e' normale che quei programmi funzionino.
Per risolvere, devi semplicemente aggiungere un altro filtro alla regola "Allowd Traffic" nel firewall, per la porte usate da quei programmi.

Piccola nota sulla protezione di questo setup anche per le applicazioni P2P: con la configurazione oggetto del thread, anche qualora usando un client P2P venisse scaricato un malware o comunque una applicazione non attesa, naturalmente esso verrebbe scaricato in una delle cartelle utente (poiche' nessun processo puo' scrivere nelle cartelle di sistema se avviato sotto l'utente limitato), e di li' eseguito automaticamente, se questo e' il tentativo del malware per poi fare qualcosa al sistema. Questo tentativo fallirebbe, perche' l'esecuzione non sarebbe permessa in quanto soltanto cio' che e' presente nelle cartelle Windows\* e Program Files\* puo' essere eseguito.

Dimensione dell'installazione: Questo setup va semplicemente a modificare delle impostazioni del sistema. Niente viene aggiunto in termini di files ecc, quindi l'installazione di Windows rimane esattamente cosi' com'e'.

Reversibilita': Certo, tutte le operazioni descritte sono completamente reversibili. Basta loggarsi come SysAdmin (o comunque un utente Administrator), e:

- Start->Run->secpol.msc
- Dalla console di security ecc, puoi disattivare sia le restrizioni software, sia il firewall (unassign)
- Da Pannello di controllo->User Accounts oppure Computer Management puoi ri-trasformare l'utente da "Limited Account" ad "Administrator".

Sia le operazioni di setup, che quelle di reversibilita' non richiedono che qualche minuto. Come gia' detto in altri post, e' molto piu' lungo scrivere come fare, che farlo in se'.

Quote:

Originariamente inviato da juninho85

io per ora non riesco a far funzionare ares,pure avendo messo il allowed traffic la porta tcp

Che porta e' configurata nel programma?
Controlla che nel firewall, in Allowed Traffic, tu abbia selezionato la porta giusta ma anche il protocollo giusto (TCP e/o UDP). Non ricordo cosa usa Azureus ma appena faccio il reinstall e la macchina virtuale lo installo e provo.

Quote:

Originariamente inviato da sampei.nihira

Io credo che in futuro la navigazione internet parlerà sempre più LINUX.
Anche in base alla notizia datata che linko sotto:

http://www.rainews24.rai.it/ran24/ra...larete_029.asp

Ma anche,per dovere di cronaca,chi la pensa diversamente:

http://www.pianetapc.it/view.php?id=940

Certo è indubbia l'antipatia degli utenti nei confronti di Vista.
E prima o poi l'abbandono del supporto di XP.

E quindi capirai che non ci sarebbe più problema (almeno attualmente) di account limitati,ed antivirus.

La domanda spontanea e': qual'e' l'attinenza con l'oggetto specifico del thread?
Per carita', tutto vero, ma qui si parla di configurare Windows al fine di renderlo piu' sicuro.
Che ci sia una svolta in quel senso e' auspicabile ma, ahime', la vedo ancora molto lontana.
Se molti di voi gia' si spaventano o scandalizzano (o addirittura in alcuni casi mettono in dubbio) questo genere di configurazione in Windows, che richiede pochi minuti ed e' visuale, come pensi che ci si possa attendere un passaggio di massa a sistemi operativi meno semplici nel prossimo futuro?

[Sisupoika]

Altro update in risposta a coloro i quali erano preoccupati (senza alcuna vera ragione, in realta') circa applicazioni che non potrebbero funzionare con un account limitato.

Nei pochi, rari casi in cui una applicazione non ne vuole proprio sapere di funzionare con un account limitato, e non funziona neanche con Click Destro->RunAs->login come SysAdmin, la soluzione e' comunque a portata di mano ed e richiede UN SECONDO

Pappa pronta:

Codice:

@echo off
setlocal
set _Admin_=%COMPUTERNAME%\SysAdmin
set _Group_=Administrators
set _Prog_="Percorso dell'eseguibile del programma"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
	runas /savecred /u:%_Admin_% "%~s0 %_User_%"
	if ERRORLEVEL 1 echo. && pause
) else (
	echo Adding user %* to group %_Group_%...
	net localgroup %_Group_% "%*" /ADD
	if ERRORLEVEL 1 echo. && pause
	echo.
	echo Starting program in new logon session...
	runas /savecred /u:"%*" %_Prog_%
	if ERRORLEVEL 1 echo. && pause
	echo.
	echo Removing user %* from group %_Group_%...
	net localgroup %_Group_% "%*" /DELETE
	if ERRORLEVEL 1 echo. && pause
)
endlocal

Basta

- creare un altro batch, specifico per quel (ripeto: raro) programma che proprio non ne vuole sapere di funzionare senza diritti amministrativi, e copiarvi all'interno il codice di sopra sostituiendo la scritta in grassetto con il percorso del programma.

- copiare questo file batch nella cartella di Windows oppure Program Files (Programmi nella versione Italiana), in modo che sia autorizzato per l'esecuzione.

- Start->Run->[Nome file batch] per avviare il programma che cosi' facendo verra' avviato con diritti amministrativi

In alternativa a Start->Run, potreste crearvi un collegamento sul desktop o dove vi pare (questo vale anche per gli Admin Scripts - CMD e Windows Explorer - che ho allegato al thread).

[sampei.nihira]

L'attinenza di quello che ho scritto è solo dovuta al fatto che l'utente medio NON farà mai le modifiche di cui parli che saranno "al meglio" limitate ad una ristretta cerchia di utenti e probabilmente a loro amici e conoscenti.

Secondo me è più semplice usare prodotti diffusi e di testata efficacia e/o al massimo utilizzare s.o. intrinsicamente più sicuri.

Ed in effetti chi non vuole stare ad "ammattire" con i vari malwares utilizza MAC oppure linux.

Ma come ripeto ciò non toglie che quello che scrivi mi interessa molto e sarei veramente interessato a vedere il video di cui parli,quindi ti esorto veramente a continuare con lo stesso impeto iniziale.

[bCyclon]

va bene, mi sono deciso.....


.....provo questo metodo!


a presto con i pareri, ciauu

[ATi7500]

Quote:

Originariamente inviato da sampei.nihira

L'attinenza di quello che ho scritto è solo dovuta al fatto che l'utente medio NON farà mai le modifiche di cui parli che saranno "al meglio" limitate ad una ristretta cerchia di utenti e probabilmente a loro amici e conoscenti.

Secondo me è più semplice usare prodotti diffusi e di testata efficacia e/o al massimo utilizzare s.o. intrinsicamente più sicuri.

Ed in effetti chi non vuole stare ad "ammattire" con i vari malwares utilizza MAC oppure linux.

Ma come ripeto ciò non toglie che quello che scrivi mi interessa molto e sarei veramente interessato a vedere il video di cui parli,quindi ti esorto veramente a continuare con lo stesso impeto iniziale.

quoto tutto

bYeZ!

[bCyclon]

ok, ho fatto solo la parte relativa all'antivirus e ho incontrato un problema:


sono loggato con l'utente limitato

devo aprire procesxp..un task manager avanzato e non me lo fà aprire e mi dà questo errore:



allora cmd e mi loggo in admin e il cmd diventa con sfondo rosso...trascino l'icona di procesxp dentro e premo invio, funziona.


allora dico: il procedimento dovrebbe essere lo stesso se faccio cosi':
click con il destro su procesxp-->esegui come-->

e compare questo:



adesso seelziono administrator e metto la stessa password che avevo usato prima per far diventare il cmd rosso...supponiamo "pincopallino"...indovina un po': stesso errore di prima:



e' risolvibile oppure ogni volta che eseguo un file del genere devo loggarmi in administrator nel cmd ???


grazie

[lucas84]

Mha questo thread sembra interessante ma non l'ho è + di tanto, applicare restrizioni così drastiche non serve ad un utente home dato che in molti casi rende l'utilizzo di alcuni software + macchinosi del dovuto , nel caso di procexp deve creare un driver per funzionare ecc ecc, mi pare difficile per un utente cosi risicato che riesci se non con qualche modifica

[Sisupoika]

Quote:

Originariamente inviato da bCyclon

ok, ho fatto solo la parte relativa all'antivirus e ho incontrato un problema:


sono loggato con l'utente limitato

devo aprire procesxp..un task manager avanzato e non me lo fà aprire e mi dà questo errore:



allora cmd e mi loggo in admin e il cmd diventa con sfondo rosso...trascino l'icona di procesxp dentro e premo invio, funziona.


allora dico: il procedimento dovrebbe essere lo stesso se faccio cosi':
click con il destro su procesxp-->esegui come-->

e compare questo:



adesso seelziono administrator e metto la stessa password che avevo usato prima per far diventare il cmd rosso...supponiamo "pincopallino"...indovina un po': stesso errore di prima:



e' risolvibile oppure ogni volta che eseguo un file del genere devo loggarmi in administrator nel cmd ???


grazie

Tanto per cominciare, bravo
Vuol dire che hai fatto tutto perfettamente (hai implementato anche firewall?).
Le restrizioni software funzionano come dovrebbero.

Hai creato l'utente SysAdmin come suggerito, disabilitando Administrator (quello built-in di Windows)?
Se si', quando provi ad eseguire un programma con RunAs (vedo che e' "Esegui come" nella versione Italiana), non devi selezionare Administrator (che ti comparira' nella lista anche se l'hai disabilitato perche' e' l'Administrator built-in - e' un piccolo bug di Windows, innocuo), ma appunto SysAdmin e immettere la password.
Quando avvii l'adminCMD infatti, e' SysAdmin che viene usato come amministratore, non l'Administrator built-in.
Se invece hai gia' provato con SysAdmin e non funziona, anche in questo caso la spiegazione e' semplice: non tutti i programmi possono funzionare bene col Secondary Logon (quello fatto col RunAs); il motivo risiede nel fatto che, quando avvii con RunAs, l'applicazione viene avviata con diritti di amministratore dell'utente SysAdmin, ma gli viene attaccata una sorta di identificativo dell'utente loggato nel sistema, cioe' l'account limitato. Alcune applicazioni notano questa cosa e non funzionano correttamente. E sinceramente non mi ricordo perche' RunAs funziona in questo modo. Per ovviare, in questi casi sei costretto ad utilizzare l'AdminCMD che fa apparire all'applicazione l'utente limitato come se fosse pienamente amministratore.

Ti do un suggerimento, che vale per tutti gli interessati.
In casi come questo, nel quale probabilmente sei costretto ad avviare un programma con diritti amministrativi "pieni", quando cioe' RunAs non funziona come atteso, hai due alternative:

Avviare il programma con

1) AdminCMD:

====> invece di avviare l'AdminCMD ogni volta e fare "a mano", procedi cosi':

Crea una copia del file batch AdminCMD, rinominala come vuoi e sostituisci, nel codice batch, "CMD.EXE" con l'eseguibile del tuo programma (elimina i parametri di CMD e mettici eventuali parametri del tuo eseguibile).

Avviando questo batch, ti avviera' direttamente il tuo eseguibile con diritti pieni di amministratore, senza ogni volta avviare AdminCMD e digitare a mano ecc ecc.

2) AdminShell:

puoi avviare il tuo eseguibile anche con l'AdminShell, spostandoti nel percorso dove l'eseguibile si trova, e avviandolo da li'.
Poiche' l'AdminShell e' avviata come amministratore, qualunque eseguibile TU avvii da li', viene anch'esso avviato come amministratore.

__

A te la scelta. Io faccio cosi':

- quando si tratta di un programma (stand alone, per esempio, cioe' non il setup di un programma che si installera' da se' in Windows) che sara' permanente nel pc, lo metto in Program Files, tutto qui. Faccio un collegamento dove mi pare e so che funzionera' perche' residente in una cartella abilitata per l'esecuzione. Non e' necessario dunque avviare AdminCMD ecc.

- quando si tratta di un eseguibile che voglio avviare una volta sola, ad esempio un setup, lo faccio da AdminShell (il Windows Explorer amministrativo). Molto piu' semplice. Anzi, accorgimento: io tengo sempre aperta una copia di AdminShell. Faccio praticamente tutto da li' cio' che ha bisogno dell'administrator. AdminCMD lo uso pochissimo e RunAs praticamente mai.

Nota: se comunque vuoi usare anche RunAs, nei casi in cui esso funziona bene, per evitare di immettere ogni volta la password ti suggerisco di creare un batch anche in questo caso, e metterci dentro il comando

Quote:

@RunAs /savecred /u:%COMPUTERNAME%\SysAdmin nomeprogramma.exe

In questo modo ti chiedera' la password soltanto la prima volta, poiche' la salvera'.

Sto facendo fatica in queste pagine a ripetere molte cose perche' naturalmente ancora in pochi stanno provando e non hanno ancora finito i loro esperimenti (comprensibile, essendo queste cose nuove per molti).
Pero' vi garantisco che una volta realizzato il sistema, vi renderete conto che oltre ad essere piu' sicuro e veloce, il sistema non e' affatto piu' difficile da utilizzare (se seguite tutti i miei accorgimenti). E' praticamente la stessa cosa dell'uso normale, solito, di Windows, con qualche comando in piu' di tanto in tanto.

[lucas84]

Guarda che casino bisogna fare per avviare un software che usufruisce di un driver, questa non è sicurezza ma un perdi tempo

[Sisupoika]

Quote:

Originariamente inviato da lucas84

Mha questo thread sembra interessante ma non l'ho è + di tanto, applicare restrizioni così drastiche non serve ad un utente home dato che in molti casi rende l'utilizzo di alcuni software + macchinosi del dovuto , nel caso di procexp deve creare un driver per funzionare ecc ecc, mi pare difficile per un utente cosi risicato che riesci se non con qualche modifica

Ho gia' spiegato (e spero che sia l'ultima volta) che il thead e' indirizzato ad una utenza specifica che sa smanettare o vuole imparare. E ho gia' ribadito piu' volte che una volta fatte le modifiche come da me suggerito, non c'e' praticamente nesuna differenza nell'uso del sistema!

Discussioni su utenti home, principianti, ecc ecc non sono oggetto di questo thread; oggetto del thread e' fornire una alternativa in sede di sicurezza agli utenti che ne comprendono i benefici e sanno come fare o vogliono imparare (l'ho ripetuto ancora).
Il thread e' anche per fornire una sorta di "assistenza" a chi ci prova e trova difficolta', e arricchirlo con nuove informazioni quando disponibili.

Quindi l'invito a te e a tutti e': non pensate a discorsi generici su utenti x e utenti y, provate a fidarvi un attimo di quello che scrivo e pensate soltanto al se la cosa interessa a voi. In caso positivo, provateci. Tutto qua, eccheccappero

Scherzo naturalmente

[Sisupoika]

Quote:

Originariamente inviato da lucas84

Guarda che casino bisogna fare per avviare un software che usufruisce di un driver, questa non è sicurezza ma un perdi tempo

Senti, ma te HAI PROVATO? Se io ti dico che non c'e' NESSUN CASINO, che l'utilizzo di Windows una volta fatte le modifiche e' PRATICAMENTE LO STESSO, che letteralmente ci vuole piu' a dirle le cose che a farle, credi che ti stia prendendo in giro?

Se ogni tanto hai bisogno di qualche secondo in piu' per avviare qualcosa, e' un "CASINO"??
Se vedessi lo stesso sistema cosi' configurato, anche in termini di prestazioni, rispetto ad uno con firewall, antivirus, antispyware, hips ecc ecc ecc, vorrei proprio vedere se te usciresti ancora con questi commenti senza aver neanche provato.

Se uno mi trova un problema che sia degno di questa parola e me lo espone, allora e' una cosa; discutiamone.
Ma questi commenti messi li' senza aver provato e senza nessuna motivazione tecnica ecc, cominciano sinceramente ad essere fuori luogo. E comincio a chiedermi perche' ho perso tutto quel tempo a scrivere e continuo a perdere. Mah