|
|
|
|
Strumenti |
11-09-2009, 13:00 | #1 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Guida SuRun - Gestione diritti limitati
Guida SuRun NOTA: Il contenuto di quest'opera è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 Finalmente oggi, dopo aver finito di studiare per il test d'ingresso all'università (che tra l'altro ho passato!! ), ho trovato il tempo di rendere pubblica questa guida che avevo preparato da un pò... Buona lettura • Premesse: SuRun significa Super User Run. Si ispira alla filosofia Unix in cui ogni utente è limitato e, nel caso in cui volesse compiere azioni “importanti”, deve inserire le proprie credenziali. In questo modo è molto difficile che qualche malware possa avviarsi, e combinare danni, all’insaputa dell’utente. Vi sono parecchi motivi di sicurezza per cui è meglio usare un utente limitato rispetto ad uno amministratore …in tal caso consiglio la lettura di alcuni 3d/articoli, necessari per capire l’importanza di quello che sto per trattare: http://www.hwupgrade.it/forum/showthread.php?t=1517343 http://www.hwupgrade.it/forum/showthread.php?t=1523302 http://www.hwupgrade.it/forum/showthread.php?t=1561908 http://www.pcalsicuro.com/main/2007/...dellantivirus/ Tuttavia la pratica dell’utente limitato può risultare “complessa” ad un primo sguardo, per questo SuRun ci viene incontro. E’un modo semplice per gestire le richieste ed avviare applicazioni in ambiente limitato, con credenziali amministrative. In questo modo potremo avviare installazioni e, ancor meglio, permettere a programmi che necessitano di credenziali amministrative, di girare in ambiente limitato (senza doversi disconnettere e loggare con altri utenti). Il concetto è davvero semplice, e non richiede per niente l’uso di codici e script: come vedremo tutto sarà fattibile per via grafica. Ad ogni modo consiglio sempre di tenere attivo un account amministratore in cui loggarsi, in caso ci fossero problemi. • Installazione: N.B.: SuRun è compatibile solo con Windows 2000, XP, Server 2003 e Vista. Non ho idea se lavori anche sui 64bit. Prima di procedere con l’installazione consiglio di creare un account limitato, protetto da password. Start > Pannello di Controllo> Account Utente> Crea nuovo Account. Scaricate il pacchetto da qui e avviate il file InstallSuRun.exe da amministratore. Raccomando di disabilitare, o mettere in Installation Mode, qualunque software HIPS abbiate attivo. A questo punto il desktop diventerà scuro e inaccessibile, è normale, e saremo davanti a una scelta. Impostate tutto così: Continuate a fare avanti finchè non terminate il setup.
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 28-06-2010 alle 11:02. |
11-09-2009, 13:07 | #2 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
• Configurazione:
Terminata l’installazione si aprirà automaticamente la finestra per impostare le opzioni di configurazione del programma: lasciate tutto così com'è! Provvederemo a modificare le opzioni al prossimo riavvio, perchè durante la configurazione avremo il desktop "bloccato" e non potremo vedere la guida. Quindi cliccate su Save e poi riavviate il pc. Una volta riavviato aprite SuRun dalla TrayIcon e impostate tutto come segue: Impostate tutto così, ricordatevi di cliccare su Show SuRun settings for experienced users, in modo da avere a disposizione più opzioni. Spostiamoci nella scheda in alto SuRunners Group, si aprirà questa finestra: In pratica dobbiamo selezionare, dal menu a tendina alla voce SuRunner, l’utente limitato che dobbiamo gestire con SuRun (nel mio caso CHRISTIA-D7BB76\LockDown). Con le impostazioni che vedete sopra (che consiglio di settare come vedete) possiamo: 1. Decidere a quali utenti applicare SuRun 2. Decidere se l’utente potrà cambiare le impostazioni di SuRun, ossia queste che stiamo settando 3. Decidere se l’utente, per cambiare le impostazioni, dovrà inserire la propria password 4. Decidere quali programmi l’utente potrà avviare da amministratore (consiglio di inserire programmi di sicurezza) * 5. Rendere invisibile SuRun all’utente 6. Mostrare lo stato dell’utente nella taskbar (smile verde: utente limitato; rosso: amministratore; segnale pericolo giallo e nero: ambiente amministratore) 7. Mostrare stato e eventuali modifiche attraverso dei piccoli popup Per esempio, in questo caso, l’utente Lock Down, potrà: - Cambiare le impostazioni, solo dopo aver inserito la propria password - Potrà avviare ogni programma come utente limitato, ma solo Malware Defender verrà avviato automaticamente con credenziali amministrative. - Potrà vedere SuRun (non è nascosto) - Avrà un’icona nella TrayIcon, che indicherà lo stato dell’utente *per impostare i programmi di sicurezza che si avviano in automatico, cliccate su Add.. e inserite il percorso dell’applicazione. Una volta fatto ciò usate queste impostazioni: (Se riscontrate problemi impostate “start the program automagically with elevated rights” invece di “Guess…”) Cambiando scheda, in alto, spostiamoci su Execution hooks e impostiamo come segue: In questo modo evitiamo che SuRun possa, in qualche modo, compiere azioni automaticamente. Infatti, con le impostazioni di default, cerca di capire da solo quali programmi possono avviarsi da amministratori e quali no. Spostiamoci nell’ultima scheda, Advanced, e impostiamola come segue. Adesso cliccate Apply, poi Save. Vi apparirà questa immagine: Riavviate il pc e loggatevi nell’utente limitato che abbiamo creato prima dell’installazione (e per cui abbiamo creato queste impostazioni ad hoc). Adesso inizierà il bello
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 14-09-2009 alle 08:41. |
11-09-2009, 13:13 | #3 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
• Nell’uso quotidiano:
Adesso avremo la possibilità di gestire un account limitato senza problemi. Qualora vi fosse la necessità di avviare un’installazione, basterà fare click col tasto dx sul file e scegliere Start as Adminstrator: Ci apparirà questa finestra, che ci informa del fatto che il file md_setup_ita.exe ha richiesto di essere avviato con privilegi da amministratore (la prima volta ci chiederà di inserire la password, d’ora in poi la ricorderà e avremo sempre questo tipo di avvisi per l’esecuzione): Se mettiamo la spunta a: - Don’t ask this question again for this program, imparerà questa “regola”. - Automagically run this program with elevated rights, avvierà sempre in automatico l’applicazione Le risposte che possiamo dare sono 2: - Ok, permette l’azione - Cancel, ci fa uscire dall’avviso Nel caso in cui avessimo attiva un’applicazione che gira come standard user, possiamo riavviarla come amministratore, tramite tasto dx nella barra delle applicazioni e scegliendo Restart as Administrator: Per entrare nel pannello di controllo come amministratore basta un click col tasto dx in uno spazio vuoto del desktop, e cliccare su Control panel as administrator: Per aprire una cartella come amministratore basta fare il solito tasto dx e scegliere, nel menu contestuale, “SuRun Explorer here": Invece per cambiare le impostazioni settate precedente, basterà fare doppio click sullo smile nella TrayIcon, ci apparirà questo avviso a tempo: per entrare nella configurazione dobbiamo inserire la password del nostro utente.
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
11-09-2009, 13:22 | #4 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
• Per gli smanettoni:
Fin qui abbiamo semplicemente creato un account con privilegi limitati, e vi ho spiegato brevemente come gestirlo. Per gli smanettoni aggiungo una chicca presa da questo post (...ne approfitto per ringraziare Sisupoika ): le SRP, ossia Software Restriction Policies. Queste sono delle restrizioni al software, che bloccano letteralmente l’esecuzione di qualunque cosa (in realtà bloccano l’esecuzione della maggior parte delle estensioni). In questo modo tutto quello che è installato potrà girare normalmente, ma non si potrà eseguire nient’altro di nuovo, quindi nessun malware, perché verrà bloccato in esecuzione [...non sarà possibile scrivere in cartelle di sistema, ma solo in quelle dell'utente limitato]. Potremo eseguire solo i file che decidiamo noi, attraverso SuRun (tasto destro sull’.exe). ATTENZIONE: ricordate che i file che avvierete con SuRun avranno diritti amministrativi. Le SRP servono per evitare una “somministrazione inconsapevole” di malware. Ma se il virus l’avviate voi, è una somministrazione consapevole (= azzi vostri ) Da account amministratore facciamo Start > Esegui> digitiamo “secpol.msc” e diamo Invio Posizioniamoci su “Criteri restrizione software”, clicchiamo su “Imposizione” e mettiamo la spunta a “Tutti i file nel software” e ”Tutti gli utenti, esclusi gli amministratori locali” In livelli di protezione fate tasto dx e “imposta come predefinito” su Vietate. Quest’ultimo “angolo smanettoni” è a vostro rischio e pericolo Comunque qualora riscontraste problemi fate "secpol.msc" e impostate “Senza Restrizioni” come predefinito
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 11-09-2009 alle 13:38. |
11-09-2009, 13:31 | #5 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Post servizio - 1
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
11-09-2009, 13:31 | #6 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Post Servizio -2
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
11-09-2009, 13:34 | #7 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
per ora ho terminato
as usual se trovate errori/imprecisioni segnalate pure speriamo che tale guida aiuti a rendere più comune questa "tecnica oscura" tra gli utenti Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 11-09-2009 alle 18:12. |
11-09-2009, 22:25 | #8 | |
Senior Member
Iscritto dal: Nov 2005
Città: Cervia (RA)
Messaggi: 17045
|
E bravo cloutz soprattutto per questo
Quote:
Comunque hai fatto benissimo la riduzione privilegi in Xp è una illustre sconosciuta e pure io non la utilizzo (haiiii haiiii) ma ora che c'è una superguida fatta l'immaginina semestrale votiva di San Acronis magari ....
__________________
Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services |
|
12-09-2009, 09:26 | #9 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Grazie
mi sono iscritto ad Informatica e non vedo l'ora di iniziare..finalmente posso studiare qualcosa che mi interessa (anche se per lo più sarà matematica) Quote:
io non mi sento sicuro senza riduzione di privilegi, è diventato per me un pò come l'hips prima usavo la config di Sisupoika (che preferisco, sia chiaro..poi SuRun ti lascia attivi sempre 2 processi.. anche se son leggeri a me non piace molto come cosa)..poi per necessità ho dovuto usare SuRun per far girare MD sotto account limitato, altrimenti dimenticava regole per strada.. Spero possa essere utile come lavoro, anche perchè non si trova documentazione in italiano nel web... Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 12-09-2009 alle 09:31. |
|
12-09-2009, 09:55 | #10 | |
Senior Member
Iscritto dal: Mar 2005
Messaggi: 1495
|
Quote:
Anch'io sono affezionato ai privilegi "amministrativi" .... chissà, avendo a disposiziona la tua guida, può darsi mi venga voglia di provare 'sto SuRun P.S.: posso assicurarti che, alcune volte, MD dimentica le regole anche con un account administrator: visti i "precedenti", mi è passata anche la voglia di segnalarlo |
|
12-09-2009, 10:14 | #11 | |||
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Grazie per i complimenti!
Quote:
prima risposta: Quote:
Quote:
Che dobbiamo fare...io con SuRun mi trovo bene e riesco ad avviare MD come amministratore.. quindi per ora ho aggirato il problema.. comunque ti consiglio di provare l'account limitato, già un buon 70% di malware, pericoloso in modalità admin, risulta sterile sotto LUA (a meno che tu non lo avvi con SuRun ) Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|||
12-09-2009, 14:10 | #12 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Complimenti per la guida, Cloutz ma soprattutto per il test !!
L'uso dell'account limitato e/o simili consente inoltre di aumentare in modo gratuito l'efficienza di un sw di protezione. Ciò è messo bene in evidenza nel vecchio 3D del CLT. Anche se presuppongo che sia una guida da adottare per gli utenti che usano XP,e sono ancora moltissimi, (Windows 2000 ormai ha i giorni contati visto che nel 2010 sarà pensionato) ed il prossimo pupillo Microsoft W. 7 vedrà la luce il prossimo mese. |
12-09-2009, 14:21 | #13 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
Si, in realtà è principalmente dedicato a chi usa Xp..in teoria è compatibile anche con Vista, ma lì c'è la funzione integrata nel OS, quindi risulta quasi superfluo imo... Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
12-09-2009, 14:39 | #14 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Perdonate l'OT. |
|
12-09-2009, 14:45 | #15 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
edit: Purtroppo viene sottovalutata la questione, ma i diritti limitati sono una gran cosa... Ricordo un test in VirusTestingMachine: ho provato il malware sia in account limitato che in account amministratore...risultato: netta differenza! account limitato: qui account amministratore: qui e qui 5 popup in LUA, 15 sotto Admin...in pratica 2/3 deli avvisi erano prevenuti automaticamente dai diritti limitati! ed in ogni caso l'infezione non andava a buon fine!
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 12-09-2009 alle 14:55. Motivo: aggiunto edit |
|
29-09-2009, 09:04 | #16 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ottimo lavoro, a fine settimana linkiamo e spostiamo.
__________________
Try again and you will be luckier.
|
29-09-2009, 13:03 | #17 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Grazie mod
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
29-09-2009, 16:30 | #18 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6097
|
secpol.msc non esiste su xp home edition
|
29-09-2009, 17:05 | #19 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
no problema
Consiglio di leggere la documentazione che ho linkato, cmq tieni conto che sono utility/script che non ho provato, non essendomi mai trovato con XP Home non ne ho mai avuto la necessità... quindi a vostro/tuo rischio e pericolo Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
13-10-2009, 09:54 | #20 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
__________________
Try again and you will be luckier.
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 03:04.