Febbraio 2006 Molti dei malware in circolazione possono compiere le loro nefandezze sul sistema “infettato” solo perché l’utente sta utilizzando un account con i privilegi amministrativi. Si pensi a un malware che crei file nocivi all’interno della car …
Febbraio 2006 Molti dei malware in circolazione possono compiere
le loro nefandezze sul sistema “infettato” solo perché l’utente
sta utilizzando un account con i privilegi amministrativi.
Si pensi a un malware che crei file nocivi all’interno della cartella
di sistema (SYSTEM32) di Windows, “uccida” vari processi, disabiliti
il Windows Firewall (nel caso, ad esempio, di Windows XP SP2), copi diversi
file nelle cartelle di Windows, cancelli chiavi e valori nel registro di sistema.
Tutte queste operazioni non sarebbero possibili se client di posta elettronica
e browser (Internet Explorer) operassero in modalità “non amministrativa”.
Sarebbe, quindi, intelligente se si potessero eseguire applicazioni “delicate”
(perché potenzialmente più a stretto contatto con worm e malware
in generale) come Internet Explorer e il client di posta senza i diritti amministrativi,
pur conservandoli per le altre operazioni sul personal computer.
Sia Windows XP che Windows Server 2003 supportano una funzionalità denominata
Software Restriction Policy, conosciuta anche come SAFER. Si tratta di uno speciale
meccanismo che permette a un utente o a uno sviluppatore software di eseguire
un’applicazione con un numero di diritti ristretto: un amministratore,
ad esempio, è così in grado di avviare un programma come se fosse
un utente normale.
DropMyRights è un’applicazione distribuita da Microsoft stessa,
che consente di ridurre i diritti amministrativi per applicazioni specifiche.
Il software è prelevabile gratuitamente a questo indirizzo.
Per avviare l’installazione è sufficiente fare doppio clic sul
file .msi, accettare il contratto di licenza d’uso (dopo averlo esaminato)
e indicare come cartella di destinazione quella di Windows (esempio: c:\windows):
non create una cartella “ad hoc” per DropMyRights.
A installazione conclusa, ogni qualvolta si desideri eseguire un programma
(o aprire un sito web!…) sul quale non si riveste grande fiducia, è
sufficiente utilizzare il comando seguente: %windir%\DropMyRights.exe“C:\nome_cartella\nome_programma.exe”
n, avendo ovviamente cura di sostituire a nome_cartella e a nome_programma,
rispettivamente, la cartella e il nome dell’eseguibile dell’applicazione
“non fidata”.
L’ultimo carattere indica i diritti coi quali si vuole eseguire il programma:
– n utente normale. Usando n, virus e spyware possono sempre
leggere o cancellare i vostri file personali, ma non possono installarsi sul
sistema o infettare alcunché. In molti consigliano di usare questa modalità,
ad esempio, per navigare sul web mediante Internet Explorer anziché utilizzare
i diritti amministrativi!
– c “paranoid mode”. L’applicazione viene eseguita, ma non
è consentita la lettura e la scrittura di file (questo include, ad esempio,
nel caso di Internet Explorer, lista dei siti web Preferiti).
– u “super paranoid mode”. Possono presentarsi diversi problemi
nel corso dell’esecuzione di un programma perché gran parte delle operazioni
vengono impedite. Può essere usata, per esempio, qualora si volesse veramente
visitare un sito ritenuto estremamente pericoloso.
Per avviare Internet Explorer con privilegi ridotti (utente normale), si può
creare un nuovo collegamento che punti al percorso seguente: %windir%\DropMyRights.exe
“C:\Programmi\Internet Explorer\IEXPLORE.EXE” n.
E’ bene precisare che, qualora si esegua Internet Explorer con diritti utente
ristretti, tutte le applicazioni lanciate dal browser di casa Microsoft (Media
Player, Acrobat Reader,…) opereranno nella stessa modalità.
Per visualizzare i diritti utente con cui è in esecuzione Internet Explorer,
è possibile installare Privbar, un add-on messo a disposizione sul sito MSDN di Microsoft.
