utilità di due account

[Vincencolin]

Salve a tutti..
io ho 2 account in xp pro..Mi è stato consigliato di fare cosi per una maggiore sicurezza..navigare solo con l'account limitato e non con administrator..
Ma che senso ha se cmq gli aggiornamenti per windows xp li puo scaricare solo l'administrator?devo per forza andare on line per scaricare gli aggiornamenti,non posso scaricarli coon l'account limitato...

Grazie...spero non sia una domanda talmente idiota che nessuno risponda...

[c.m.g]

Quote:

Originariamente inviato da Vincencolin

Salve a tutti..
io ho 2 account in xp pro..Mi è stato consigliato di fare cosi per una maggiore sicurezza..navigare solo con l'account limitato e non con administrator..
Ma che senso ha se cmq gli aggiornamenti per windows xp li puo scaricare solo l'administrator?devo per forza andare on line per scaricare gli aggiornamenti,non posso scaricarli coon l'account limitato...

Grazie...spero non sia una domanda talmente idiota che nessuno risponda...

beh mi sembra più che normale che da account limitato (proprio perchè limitato) non ti permetta di fare tali operazioni.
è ovvio che se devi aggiornare windows lo devi fare da amministratore e comunque se sei collegato solo a quel sito non corri nessun rischio (a patto di avere un buon antivirus e buon firewall sempre aggiornati).

[Vincencolin]

Quote:

Originariamente inviato da c.m.g

beh mi sembra più che normale che da account limitato (proprio perchè limitato) non ti permetta di fare tali operazioni.
è ovvio che se devi aggiornare windows lo devi fare da amministratore e comunque se sei collegato solo a quel sito non corri nessun rischio (a patto di avere un buon antivirus e buon firewall sempre aggiornati).

A posto allora.. fino ad ora sono andato sul web con l'account administrator solo per aggiornare windows e una volta per fare una scansione on line con kaspersky..Approfitto della tua gentilezza e ti chiedo..
ho Msn e un programma p2p..è meglio utilizzarli solo con l'account limitato(come faccio adesso) ? e outlook express(per il quale ho creato le identità solo nell'account limitato,ma non in administrator)?
Grazie mille per la tua disponibilità..

[c.m.g]

Quote:

Originariamente inviato da Vincencolin

A posto allora.. fino ad ora sono andato sul web con l'account administrator solo per aggiornare windows e una volta per fare una scansione on line con kaspersky..Approfitto della tua gentilezza e ti chiedo..
ho Msn e un programma p2p..è meglio utilizzarli solo con l'account limitato(come faccio adesso) ? e outlook express(per il quale ho creato le identità solo nell'account limitato,ma non in administrator)?
Grazie mille per la tua disponibilità..

si tutti senza ombra di dubbio!

[Vincencolin]

Quote:

Originariamente inviato da c.m.g

si tutti senza ombra di dubbio!

Allora non installero ne msn ne emule su administrator..è un po noioso fare la spola tra i due account(scarica con l'utente limitato,ma per installare passa all'altro utente) ma se questo vuol dire maggior e tranquillità è un sacrificio che si puo sopportare in fondo...
Grazie!!

Secondo me con Windows XP in cui la multi-utenza non è proprio agilmente gestibile, fare questa cosa è un gioco che non vale la candela imho... basta tenere Windows sempre aggiornato, un buon firewall, un buon antivirus (magari Firefox o Opera per navigare) e un po' di buon senso... io su Windows ho sempre usato l'account di Administrator e non ho MAI preso nulla.

[c.m.g]

Quote:

Originariamente inviato da ekerazha

Secondo me con Windows XP in cui la multi-utenza non è proprio agilmente gestibile, fare questa cosa è un gioco che non vale la candela imho... basta tenere Windows sempre aggiornato, un buon firewall, un buon antivirus (magari Firefox o Opera per navigare) e un po' di buon senso... io su Windows ho sempre usato l'account di Administrator e non ho MAI preso nulla.

se proprio lo vuoi sapere... nemmeno io uso account limitati perchè siamo utenti esperti, ma questa è un'altra storia!
comunque in linea di massima ti dò pienamente ragione.

[giannola]

Quote:

Originariamente inviato da ekerazha

Secondo me con Windows XP in cui la multi-utenza non è proprio agilmente gestibile, fare questa cosa è un gioco che non vale la candela imho... basta tenere Windows sempre aggiornato, un buon firewall, un buon antivirus (magari Firefox o Opera per navigare) e un po' di buon senso... io su Windows ho sempre usato l'account di Administrator e non ho MAI preso nulla.

purtroppo non basta l'esperienza, a volte bisognerebbe essere altrettanto rapidi nell'impedire le infezioni che entrano sfruttando le vulnerabilità (sconosciute) dei browser.

Spesso nonostante le proprie indubitabili capacità e conoscenze, un virus può essere abbastanza rapido da accedere al sistema, sfruttando anche le caratteristiche zero day (ovvero la capacità di essere talmente innovativo che le firme av disponibili nn sono ancora aggiornate e quindi in grado di permetterne la rilevazione).

e' ad esempio il caso di coolwebsearch per IE, ma nemmeno ff è esente da vulnerabilità.
E questo proprio per la natura dei browser, la disponibilità a comunicare con l'esterno, che ne fa bersagli preferiti (e facili) per qualunque attacco.
Infatti un browser invulnerabile per antonomasia è proprio quello che blocca ogni ricezione, ma fintanto che è abilitato a ricevere ci saranno sempre i pericoli dovuti ai bug.

Con un account limitato il pericolo di infettare i file di sistema viene meno perchè la maggior parte dei virus lavora usando i privilegi dell'account su cui si installa e nn è progettata per tentare attacchi brute force nel tentativo di scardinare le password di amministratore, che oltre tutto richiederebbero tempo.

Il 99,9% del malware se trova un utente amministratore si installa nelle cartelle di sistema e nel registro, viceversa resta confinata nelle cartelle locali e dunque facilmente eliminabile attraverso lo svuotamento della cache.

Vantarsi di non aver preso (io direi rilevato) nulla fin ora non mette al riparo da problemi per il futuro.
Ci può essere la pratica ma in generale hai avuto anche molta fortuna, non è detto che domani tu nn rimpianga questa scelta.
Io mi ritengo un utente sufficientemente esperto, ma preferisco non fidarmi solo dell'av e di me stesso, ma di aggiungere un ulteriore livello di precauzione.

Detto questo è possibile fare funzionare le applicazioni da utente limitato anche con privilegi di amministratore semplicemente utilizzando l'opzione esegui come... e mettendo userid e password dell'account coi privilegi admin.

[wizard1993]

Quote:

Originariamente inviato da giannola

purtroppo non basta l'esperienza, a volte bisognerebbe essere altrettanto rapidi nell'impedire le infezioni che entrano sfruttando le vulnerabilità (sconosciute) dei browser.

Spesso nonostante le proprie indubitabili capacità e conoscenze, un virus può essere abbastanza rapido da accedere al sistema, sfruttando anche le caratteristiche zero day (ovvero la capacità di essere talmente innovativo che le firme av disponibili nn sono ancora aggiornate e quindi in grado di permetterne la rilevazione).

e' ad esempio il caso di coolwebsearch per IE, ma nemmeno ff è esente da vulnerabilità.
E questo proprio per la natura dei browser, la disponibilità a comunicare con l'esterno, che ne fa bersagli preferiti (e facili) per qualunque attacco.
Infatti un browser invulnerabile per antonomasia è proprio quello che blocca ogni ricezione, ma fintanto che è abilitato a ricevere ci saranno sempre i pericoli dovuti ai bug.

Con un account limitato il pericolo di infettare i file di sistema viene meno perchè la maggior parte dei virus lavora usando i privilegi dell'account su cui si installa e nn è progettata per tentare attacchi brute force nel tentativo di scardinare le password di amministratore, che oltre tutto richiederebbero tempo.

Il 99,9% del malware se trova un utente amministratore si installa nelle cartelle di sistema e nel registro, viceversa resta confinata nelle cartelle locali e dunque facilmente eliminabile attraverso lo svuotamento della cache.

Vantarsi di non aver preso (io direi rilevato) nulla fin ora non mette al riparo da problemi per il futuro.
Ci può essere la pratica ma in generale hai avuto anche molta fortuna, non è detto che domani tu nn rimpianga questa scelta.
Io mi ritengo un utente sufficientemente esperto, ma preferisco non fidarmi solo dell'av e di me stesso, ma di aggiungere un ulteriore livello di precauzione.

Detto questo è possibile fare funzionare le applicazioni da utente limitato anche con privilegi di amministratore semplicemente utilizzando l'opzione esegui come... e mettendo userid e password dell'account coi privilegi admin.

giannola, il tuo ragionamento fila perfettamente, ed è dettato dalla pura logica razionale su come funziona un computer, me se ci sono virus che forzano questi meccanismi di protezione (se lo fanno su un mac e su vista mi immagino che fine fa xp) il tuo ragionamento perde di sisgnificato, e questi virus vanno molto di modo al momento;

ti assicuro, non è un rimprovero, tutt'altro. ma sono una pura osservazione

[giannola]

Quote:

Originariamente inviato da wizard1993

giannola, il tuo ragionamento fila perfettamente, ed è dettato dalla pura logica razionale su come funziona un computer, me se ci sono virus che forzano questi meccanismi di protezione (se lo fanno su un mac e su vista mi immagino che fine fa xp) il tuo ragionamento perde di sisgnificato, e questi virus vanno molto di modo al momento;

ti assicuro, non è un rimprovero, tutt'altro. ma sono una pura osservazione

fila perchè ad avere un minimo di conoscenze di sistemi operativi è possibile comprendere certi meccanismi.

Ora generalmente un malware cosa fa ?
O lo scarichiamo tramite email, come immagine o (soprattutto) come allegato.
Oppure viene scaricato insieme agli oggetti della pagina nella cache del browser.

Da questo momento il malware cercherà di lanciare un processo coi privilegi dell'utente.
Nel momento in cui il processo è in esecuzione usando quei privilegi (per la maggior parte sono di amministratore) potrà andare a scrivere/sovrascrivere altro codice maligno nei files di sistema e/o scrivere nel registro di sistema per essere attivo ad ogni avvio.
Tutto questo per compiere le azioni per cui è stato programmato.
Che un virus voglia forzare le password vuol dire che il programmatore voglia prevedere il caso (attualmente raro) in cui un utente sia loggato con privilegi limitati il chè significa anche appesantire ulteriormente il programma malware che è esattamente l'opposto di ciò che gli hacker tentano di fare (ovvero semplicemente sfruttare le falle del SO).
Ora poichè le password sono crittate è necessario un algoritmo efficiente.
Efficiente vuol dire che non solo deve essere capace di trovare la codifica ma deve poterlo fare in un tempo limitato.
Limitato perchè finchè il malware nn si installa nelle cartelle di sistema è nel registro è facilmente eliminabile e soprattutto non può essere eseguito.
Chiaramente i tentativi sarebbero presto o tardi rilevati da un av/antispy e considerando il fatto che le password se nn erro siano criptate almeno a 128bit tutto questo rende il programma praticamente inutile.
Ricordo che non stiamo parlando di un maleintenzionato che è connesso col nostro pc, ma di un comune malware che circola in rete attraverso udp e che finisce sul nostro computer per caso.

[lucas84]

Anche con un account limitato è possibile modificare chiave,files,terminare processi ecc ecc,le tecniche ci sono sempre,specialmente se si parla di malware,alcuni malware(molti)al propio interno contengono un database con gli users e pass + frequenti,ciao

Quote:

Originariamente inviato da giannola

purtroppo non basta l'esperienza, a volte bisognerebbe essere altrettanto rapidi nell'impedire le infezioni che entrano sfruttando le vulnerabilità (sconosciute) dei browser.

Spesso nonostante le proprie indubitabili capacità e conoscenze, un virus può essere abbastanza rapido da accedere al sistema, sfruttando anche le caratteristiche zero day (ovvero la capacità di essere talmente innovativo che le firme av disponibili nn sono ancora aggiornate e quindi in grado di permetterne la rilevazione).

e' ad esempio il caso di coolwebsearch per IE, ma nemmeno ff è esente da vulnerabilità.
E questo proprio per la natura dei browser, la disponibilità a comunicare con l'esterno, che ne fa bersagli preferiti (e facili) per qualunque attacco.
Infatti un browser invulnerabile per antonomasia è proprio quello che blocca ogni ricezione, ma fintanto che è abilitato a ricevere ci saranno sempre i pericoli dovuti ai bug.

Con un account limitato il pericolo di infettare i file di sistema viene meno perchè la maggior parte dei virus lavora usando i privilegi dell'account su cui si installa e nn è progettata per tentare attacchi brute force nel tentativo di scardinare le password di amministratore, che oltre tutto richiederebbero tempo.

Il 99,9% del malware se trova un utente amministratore si installa nelle cartelle di sistema e nel registro, viceversa resta confinata nelle cartelle locali e dunque facilmente eliminabile attraverso lo svuotamento della cache.

Vantarsi di non aver preso (io direi rilevato) nulla fin ora non mette al riparo da problemi per il futuro.
Ci può essere la pratica ma in generale hai avuto anche molta fortuna, non è detto che domani tu nn rimpianga questa scelta.
Io mi ritengo un utente sufficientemente esperto, ma preferisco non fidarmi solo dell'av e di me stesso, ma di aggiungere un ulteriore livello di precauzione.

Detto questo è possibile fare funzionare le applicazioni da utente limitato anche con privilegi di amministratore semplicemente utilizzando l'opzione esegui come... e mettendo userid e password dell'account coi privilegi admin.

La stragrande maggioranza delle infezioni che sfruttano determinate vulnerabilità di un software, sfruttano falle che sono note e patchate da mesi ma che qualche utente sprovveduto non ha patchato tempestivamente (vedi il caso di Blaster).

Utilizzando un firewall la superficie di attacco del sistema diventa molto bassa e si limita alle applicazioni esplicitamente autorizzate a ricevere dati da Internet. Il browser è sicuramente uno dei maggiori portatori di problemi sotto questo punto di vista. Per essere "infettato" attraverso un exploit "zero-day" occorre...

1) Utilizzare il particolare browser vulnerabile
2) Navigare sui particolari siti che tentano di utilizzare questo exploit
3) Disporre di un antivirus o simili senza tecnologie di difesa proattiva
4) Farlo prima che il proprio antivirus/ids venga aggiornato per riconoscere le pagine contenenti tale exploit (solitamente questione di poche ore).

Da questo si deduce che la possibilità che, "prestando attenzione", si vada incontro ad una infezione, è decisamente e probabilisticamente molto bassa... imho, come già detto, questa bassa probabilità non giustifica la scomodità dell'utilizzo di un account limitato su Windows XP (mentre con Vista la cosa diventa decisamente più agile e raccomandabile).

[giannola]

Quote:

Originariamente inviato da ekerazha

La stragrande maggioranza delle infezioni che sfruttano determinate vulnerabilità di un software, sfruttano falle che sono note e patchate da mesi ma che qualche utente sprovveduto non ha patchato tempestivamente (vedi il caso di Blaster).

Utilizzando un firewall la superficie di attacco del sistema diventa molto bassa e si limita alle applicazioni esplicitamente autorizzate a ricevere dati da Internet. Il browser è sicuramente uno dei maggiori portatori di problemi sotto questo punto di vista. Per essere "infettato" attraverso un exploit "zero-day" occorre...

1) Utilizzare il particolare browser vulnerabile
2) Navigare sui particolari siti che tentano di utilizzare questo exploit
3) Disporre di un antivirus o simili senza tecnologie di difesa proattiva
4) Farlo prima che il proprio antivirus/ids venga aggiornato per riconoscere le pagine contenenti tale exploit (solitamente questione di poche ore).

Da questo si deduce che la possibilità che, "prestando attenzione", si vada incontro ad una infezione, è decisamente e probabilisticamente molto bassa... imho, come già detto, questa bassa probabilità non giustifica la scomodità dell'utilizzo di un account limitato su Windows XP (mentre con Vista la cosa diventa decisamente più agile e raccomandabile).

è pacifico che un computer nn aggiornato è davvero vulnerabile qualunque sia il tipo di account usato.
E' altrettanto vero che un pc in forma (aggiornato e protetto) a cui si aggiunge l'ulteriore protezione fornita dall'account limitato non rende l'infezione probabilisticamente molto bassa, ma approsimativamente insignificante.
Nemmeno tu (ovviamente) ti sei sentito di andare oltre il "molto bassa" perchè giustamente e coscienziosamente sai che l'account limitato insieme agli altri accorgimenti rende il pc molto protetto a meno che nn ci sia la volontà precisa da parte di un hacker molto esperto di espugnare quel computer con attacchi multipli avendo a disposizione un tempo illimitato.

Venendo al prezzo che si paga e dunque alla convenienza protezione/disagio è possibile su xp stabilire inizialmente e una volta per tutte i privilegi a livello di programma abilitandolo attraverso i criteri di protezione, inoltre per molti programmi è sufficiente cliccare col tasto dx->esegui come... sull'icona per abilitare la singola sessione coi privilegi dell'account amministratore.
In questo modo passo la maggior parte del tempo come account limitato con alcuni programmi con diritti amministrativi

[lucas84]

I criteri di protezione sono solo sulla versione professional di xp sulla home non c'è,comunque si può risolvere aggiungendo alcuni files della versione professional,ciao

[giannola]

Quote:

Originariamente inviato da lucas84

I criteri di protezione sono solo sulla versione professional di xp sulla home non c'è,comunque si può risolvere aggiungendo alcuni files della versione professional,ciao

vero, infatti ho precisato che si può usare la funzionalità "esegui come...", a casa uso xp home e confermo che con quella difficilmente si riscontrano problemi.

Quote:

Originariamente inviato da giannola

[...]

Venendo al prezzo che si paga e dunque alla convenienza protezione/disagio è possibile su xp stabilire inizialmente e una volta per tutte i privilegi a livello di programma abilitandolo attraverso i criteri di protezione, inoltre per molti programmi è sufficiente cliccare col tasto dx->esegui come... sull'icona per abilitare la singola sessione coi privilegi dell'account amministratore.
In questo modo passo la maggior parte del tempo come account limitato con alcuni programmi con diritti amministrativi

La questione è ben più complessa... ad esempio alcuni software non sviluppati con la multiutenza in mente possono dare problemi anche utilizzando "Esegui come...", oppure possono esserci noie per quelle cose che esulano dal mero avvio di un programma standalone (es. modifica di impostazioni di sistema).

Fino a prova contraria la sicurezza assoluta non esiste, nemmeno con un account limitato (che so... potrebbe sempre esserci una falla che consente la privilege escalation). Sicuramente l'utilizzo di un account limitato rende la situazione più sicura rispetto ad un suo non-utilizzo. Quello che però cerco di valutare io è se queste misure sono convenienti in rapporto anche all'usabilità, e la mia personalissima risposta per quanto riguarda Windows XP è "no". Ma come già detto è solo una mia personale opinione.

[giannola]

Quote:

Originariamente inviato da ekerazha

La questione è ben più complessa... ad esempio alcuni software non sviluppati con la multiutenza in mente possono dare problemi anche utilizzando "Esegui come...", oppure possono esserci noie per quelle cose che esulano dal mero avvio di un programma standalone (es. modifica di impostazioni di sistema).

claro anche questo.

Quote:

Originariamente inviato da ekerazha

Fino a prova contraria la sicurezza assoluta non esiste, nemmeno con un account limitato (che so... potrebbe sempre esserci una falla che consente la privilege escalation).

perfettamente d'accordo, nemmeno io dico "è sicuro", al max "è più sicuro che senza".

Quote:

Originariamente inviato da ekerazha

Sicuramente l'utilizzo di un account limitato rende la situazione più sicura rispetto ad un suo non-utilizzo. Quello che però cerco di valutare io è se queste misure sono convenienti in rapporto anche all'usabilità, e la mia personalissima risposta per quanto riguarda Windows XP è "no". Ma come già detto è solo una mia personale opinione.

Ecco infatti il rapporto sacrifici/benefici sta proprio in mezzo alle nostre due risposte, per la tua configurazione nn è conveniente per la mia si.
E' da valutare appunto il tipo di utilizzo sw e soprattutto relativamente alle proprie attività.
Un pò quello che accade con gli av dove ci sono pc che usano tranquillamente l'av X, mentre altri danno schermate blu.

[lancetta]

domanda...
1)se si usa un account user e non si ha password con l'admin si è meno sicuri?
domanda...
2)un attacco brute sarebbe disorientato dal fatto di non trovare password?Mi spiego meglio:un eventuale attacco brute force,riesce a "capire" che non c'è password?

[wizard1993]

Quote:

Originariamente inviato da lancetta

domanda...
1)se si usa un account user e non si ha password con l'admin si è meno sicuri?
domanda...
2)un attacco brute sarebbe disorientato dal fatto di non trovare password?Mi spiego meglio:un eventuale attacco brute force,riesce a "capire" che non c'è password?

1) la password dell'admin si forza
2) è la primva cosa che prova

[lucas84]

la pass non si forza ma si leva propio,il discorso è differente

Ciao