ciao sisupoika...è sempre 1 piacere leggerti.
anzitutto però voglio subito chiarire 1 cosa:
forse il mio post è potuto sembrar polemico o chissà cos'altro ma (
ci tengo molto a precisarlo) la mia 'richiesta di help' non era assolutamente per mettere in dubbio le tue conoscenze, tutto ciò che hai proposto in queste pagine e le reali potenzialità di una corretta config windows-utenza.
se è passato questo...
scusami, non era assolutamente mia intenzione!
i tuoi posts sono tra i pochi (su HWU) che trovo utili, ed è proprio grazie al tuo howto "windows-hardening" che mi sono iscritta qui.
quindi sarebbe oltretutto come 'sputare' nel piatto in cui mangio dal 2007...
ero solo preoccupata di un comando che sembra essere sfuggito un pò ovunque:
ma sai quanto ho dovuto leggere x trovare dettagli sul parametro 'trustlevel' del runas?
tra l'altro sai benissimo (leggi pvt) da quanto tempo utilizzo, senza ripensamenti e con successo, la config proposta da te e utilizzata (senza troppe pubblicità) anche da molte aziende/professionisti.
ti dirò di più...da ca. 1 anno utilizzo, al posto dell'ottimo IPSec, 'solo' il Windows firewall di XP che ho sempre ritenuto un buon prodotto a patto di essere ben configurato (come da guida che ti ho linkato tempo fa) e, quando posso, utilizzo il Pc per svago girovagando anche su siti non proprio 'ortodossi'....emh...se il mio "lui" legge:mi riferisco alle volte che l'abbiamo fatto insieme...logico...
tutto ciò x ribadire che ho seguito (a parte il firewall ultimamente) alla lettera la config senza mai beccare nulla nonostante a volte mi sia messa in situazioni pericolose. premesso ciò...
pensavo invece che potesse essere sfruttato (e.g. da remoto) e comunque penso sia un'opzione che dovrebbe essere limitata, magari con un'update dell'exe rilasciato da Microsoft (runas è uno dei pochi componenti del mio XP SP3 ad essere ancora di versione 5.1.2600 XPclient)
l'opzioni così accessibile mi è sembrata un bug tra i tanti (o presunti tali) di windows anche perchè, sarà utile per gli amministratori che vogliono eseguire un'applicazione bloccata senza restizioni, ma perchè lasciare il parametro pienamente accessibile all'utenza limitata?
ripeto...ho seguito alla lettera il tuo tutorial e quindi anche l'enforcement sulle DLL ma il comando trustlevel funziona tranquillamente...cioè permette di eseguire qualsiasi setup senza richieste di password o restrizioni!
è per questo ci sono rimasta secca provando la cosa + volte...probabilemnte non conoscendo i dettagli del trustlevel mi son anche sorpresa: essendo un'opzione di runas per nulla indicata nella guida '/?' da prompt e poco chiara nella guida in linea di xp, come invece imho dovrebbe essere.
naturalmente, come da te ricordato, se si gestiscono i permessi correttamente su determinate folders nn si possono comunque portare a termine installazioni o accedere a determinati file, però in sistemi non perfettamente protetti è pericoloso..no?
a) di utenti "No-change" (come consigliato dal tuo 'Sandbox fai-da-te') ne ho ben 2, uno per eseguire i browser e scaricare file, uno per mail-chat (come consigliato anche in "Running vista every day" di Joanna Rutkowska.
b) non vorrei proprio disabilitare runas tramite le policies...
stanote invece ho pensato ad una soluzione, forse banale, ma efficace:
ho negato l'accesso per runas a tutti gli altri account del PC, tranne all'account (sempre limitato) che utilizzo per accedere fisicamente e con cui, tramite 'MakeMeAdmin', eseguo i programmi pericolosi tramite le altre utenze.
clic destro sull'eseguibile in system32 e messo i flag su "Nega" in Controllo completo.
in questo modo con laccount con cui ti sto fisicamente scrivendo (da desktop) posso eseguire il runas per avviare l'utenza con cui invio "tutto l'ambaradan" tramite IE, ma che a sua volta nn può eseguire il runas perchè
"...risulta bloccato. Rivolgersi all'amministratore."
poter bloccare i programmi, è un'opzione presente anche nel programma Windows StaedyState che (come sai) utilizzo, ma ho preferito fare a manina perchè ho notato che non viene bloccato l'accesso anche a: "Esegui come..." da menu destro.
tu cosa ne pensi? fatto bene?!? ;-)