Guida a un semplice software che consente di gestire gli account, passando facilmente ai diritti d’amministrazione.
L’utilizzo di un account dotato di privilegi utente limitati consente di ridurre,
in modo drastico, il pericolo di vedere il proprio sistema infetto da malware.
Molti dei componenti dannosi in circolazione possono mettere in crisi il sistema
"infettato", solo perché l’account utente configurato ha i
privilegi amministrativi. Si pensi ad un malware che crei file nocivi all’interno
della cartella di sistema (SYSTEM32) di Windows, "uccida" vari processi,
disabiliti il Windows Firewall (nel caso, ad esempio, di Windows XP SP2), copi
diversi file nelle cartelle di Windows, cancelli chiavi e valori nel registro
di sistema.
Tutte queste operazioni non sarebbero possibili se client di posta elettronica
e browser operassero in modalità "non amministrativa" e quindi
fossero eseguiti da un account utente con privilegi ridotti. Utilizzando un
account limitato, i malware non trovano "appigli" per installarsi
sul sistema ed avviare azioni pericolose.
Se più utenti utilizzano uno stesso personal computer, è bene
obbligarli all’utilizzo di un account limitato. Che, attenzione, non permette
di effettuare semplici interventi di routine come, ad esempio, la modifica dell’orario
di sistema, il collegamento di chiavi USB, l’avvio di una procedura di deframmentazione,
l’aggiornamento dei software installati. Alcune applicazioni, inoltre, quali
gran parte dei prodotti di sicurezza non funzioneranno correttamente.
Alcune di queste problematiche sono risolvibili, per esempio, passando all’utilizzo
– nel momento in cui se ne dovesse verificare la necessità – ad un account
di tipo amministrativo.
Va comunque sottolineato che Windows integra un comando denominato RunAs
che può essere impiegato per eseguire un’applicazione con i diritti ammistrativi,
semplicemente inserendo la password di un account amministratore.
Esiste comunque un software freeware, chiamato SuDown
che ricalcando il funzionamento del comando RunAs, si però rivela
più semplice da utilizzare offrendo un più ampio spettro di possibilità.
SuDown, ad esempio, permette di acquisire diritti amministrativi senza dover
abbandonare l’account limitato in uso. In questo modo, l’utente resta sempre
il proprietario dei file installati, delle chiavi di registro e così
via che lo riguardano. A differenza di RunAs, inoltre, tutte le icone presenti
sul desktop restano visibili nella loro posizione.
Il nome "Sudo" deriva dall’omonimo comando Linux (acronimo di "super
user do"), utilizzato sul sistema "del pinguino" per avviare
applicazioni così come se si fosse "loggati" con l’account
"root".
Una volta installato SuDown (l’operazione deve essere effettuata da un account
amministratore), per iniziare ad utilizzare il software è sufficiente
compiere alcune azioni fondamentali:
- Cliccare su Start, Esegui quindi digitare il comando compmgmt.msc:
in questo modo verrà mostrata a video la finestra Gestione computer. - Fare doppio clic sulla voce Utenti e gruppi locali quindi aggiungere
un nuovo gruppo denominandolo Sudoers - Cliccando sul pulsante Aggiungi si dovrà provvedere a specificare
l’elenco degli account utente, configurati sul sistema in uso, ai quali potrà
essere consentito l’impiego di SuDown
Ogni utente aggiunto al gruppo dei "Sudoers", dovrà necessariamente
provvedere al logout e ad un successivo login prima di poter utilizare SuDown:
questa operazione è indispensabile perché Windows provvede a caricare
le informazioni riguardanti il gruppo di appartenenza ed il profilo utente soltanto
allorquando viene effettuato il login. A questo punto, ogni account inserito
nel gruppo dei "sudoers" potrà temporaneamente acquisire, al
bisogno, funzionalità amministrative.
Per farlo, basta cliccare con il tasto destro del mouse su una qualsiasi applicazione,
quindi scegliendo la voce * sudo… potremo eseguirla con i diritti
di amministratore previo inserimento della password collegata all’account.
Non solo, se proviamo ad effettuare una modifica da Pannello di controllo
di Windows – solitamente impossibile da un account sprovvisto dei diritti amministrativi
– qual è la modifica della data/ora di sistema, otterremo il messaggio
Non si ha il livello di privilegio richiesto per modificare l’ora di sistema.
Cliccando su un’area libera del desktop quindi selezionando la voce * sudo
Control Panel, avremo la possibilità di accedere al Pannello di
controllo con i privilegi di amministratore, anche qui previo inserimento della
password associata all’account.
SuDown è un programma decisamente più semplice da usare rispetto
a SudoWin , software opensource cui si ispira, sebbene consenta di fruire di
una gamma più limitata di possibilità. Un interessante
documento, a beneficio di tutti gli amministratori di sistema, che mostra
le differenze tra il comando RunAs di Windows e SudoWin, è stato
redatto dal SANS (SysAdmin, Audit, Networking and Security), istituto universalmente
apprezzato che dal 1989 forma esperti in materia di sicurezza, effettua certificazioni
professionali e pubblica materiale di approfondimento.
Come chiariscono anche gli autori di SudoWin, il comando RunAs di
Windows non permette di acquisire privilegi più elevati ma consente ad
un utente di assumere, in modo più o meno temporaneo, un’altra identità
ossia quella di un utente amministratore. Ciò è possibile soltanto
conoscendo la password di un account amministrativo.
