60107 Letture

Disattivare definitivamente la funzionalità "autorun"

Lo US-CERT ha recentemente riportato in auge un problema che interessa i sistemi Windows XP e Windows Server 2003. Su tali sistemi operativi, le funzionalità che permettono di disabilitare l'"autorun", ossia il particolare meccanismo che è in grado di eseguire automaticamente programmi o comandi all'inserimento di un CD ROM, di un'unità di memorizzazione rimovibile (chiavette USB, dischi fissi esterni, unità firewire,...), alla connessione di una risorsa di rete, non opererebbero in modo corretto.
Windows avvia automaticamente la procedura di "autorun" non appena viene inserito un CD od un DVD oppure nel momento in cui viene collegata un'unità che contenga, nella cartella radice, il file denominato autorun.inf.

L'avvio automatico dei comandi e delle applicazioni specificate all'interno del file autorun.inf avviene anche quando l'utente fa semplicemente doppio clic su un'unità elencata nella finestra "Risorse del computer" di Windows.


Molti utenti preferiscono disabilitare la funzionalità "autorun" sia per motivi di praticità (spesso si trova più conveniente operare in maniera del tutto autonoma senza consentire a priori, ad esempio, l'esecuzione automatica del contenuto predefinito di un CD ROM) sia per difendersi dai virus. Un sempre maggior numero di malware, infatti, una volta infettato un sistema, utilizza unità di memorizzazione esterne quali, per esempio, le comuni chiavette USB per diffondersi ulteriormente. Il malware crea sulla chiave USB un file autorun.inf che a sua volta provvede a richiamare ed eseguire i file nocivi collegati all'azione del componente dannoso. L'utente poco attento che dovesse passare la propria chiavetta USB "infetta" ad un collega o ad un amico, rischia così di trasmettere il malware su altri sistemi.

E' il caso, ad esempio, del worm Conficker che per diffondersi il più possibile, oltre a sfruttare l'eventuale mancanza della patch "critica" MS08-067, infetta anche supporti di memorizzazione esterni come le chiavette USB.


US-CERT ricorda che i suggerimenti offerti in passato da Microsoft per la disabilitazione della funzionalità "autorun" non sembrano funzionare oggi in modo corretto. Vengono citati esplicitamente questo documento e questa pagina. In effetti, se si tenta di applicare le indicazioni illustrate, la funzionalità di "autorun" non appare completamente disattivata.

La soluzione definitiva, come spiega anche Microsoft stessa in questo articolo, consiste - nel caso di Windows XP e di Windows Server 2003 - nell'installare la patch KB950582. La pagina per il download, nel caso di Windows XP SP2/SP3 è questa.
Per controllarne l'installazione, è sufficiente - sul sistema Windows XP - accedere al Pannello di controllo, fare doppio clic sull'icona Installazione applicazioni, spuntare la casella Mostra aggiornamenti e verificare la presenza della voce Aggiornamento della protezione per Windows XP (KB950582), all'interno della sezione Windows XP - Aggiornamenti software.


In alternativa, basta avviare l'Editor del registro di sistema (Start, Esegui..., regedit) e portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Updates\Windows XP\SP4. Tra le sottochiavi deve essere indicata anche KB950582.
Nel caso in cui l'aggiornamento KB950582 non dovesse comparire, è bene provvedere ad installarlo facendo riferimento alla pagina sopra riportata.


A questo punto, una volta installata la patch, è necessario cliccare su Start, Esegui... quindi digitare gpedit.msc. Alla comparsa della finestra Criterio gruppo, si dovrà fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.

Servendosi della successiva finestra, si dovrà selezionare l'opzione Attivata quindi, per disabilitare l'"autorun" da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unità dal menù a tendina.


Gli utenti che utilizzano Windows Vista è invece necessario che verifichino la corretta installazione della patch MS08-038, rilasciata a Luglio 2008, che include anche le necessarie correzioni per garantire il perfetto funzionamento dell'"autorun" oltre alla possibilità di operare una disabilitazione completa.
Per verificare la presenza della patch MS08-038, è necessario accedere al Pannello di controllo di Windows Vista, fare doppio clic sull'icona Programmi e funzionalità quindi cliccare su Visualizza aggiornamenti installati. Tra le patch in elenco deve essere presente la voce Aggiornamento per la protezione di Microsoft Windows (KB950582).


La procedura per la disattivazione completa della funzionalità "autorun" in Windows Vista è identica a quella applicabile nel caso di Windows XP (utilizzo di gpedit.msc).
La versione "Home" di Windows Vista, però, non dispone dello strumento per la gestione dei criteri di gruppo gpedit.msc. In tal caso si dovrà provvedere manualmente accedendo al registro di sistema e portandosi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\Explorer. Il valore DWORD NoDriveTypeAutoRun dovrà essere impostato in esadecimale ad ff per disabilitare l'"autorun" su qualunque unità.

A beneficio dei più esperti, segnaliamo un interessante foglio elettronico, prelevabile da qui, che - sui sistemi Vista "non-Ultimate" - fornisce indicazioni per l'applicazione manuale di criteri di gruppo attraverso una modifica della configurazione del registro di Windows.


  1. Avatar
    lalalala
    02/05/2010 23:37:58
    ciao, stavo cercando l' aggiornamento microsoft da ore e sono capitato su questo blog con un bel direct link :D ti faccio un regalo per ringraziarti, così ti risparmi il lavoro :wink: ****************************************************************** Windows Registry Editor Version 5.00 "NoDriveTypeAutorun"=dword:000000ff ******************************************************************
  2. Avatar
    g_b
    02/03/2009 11:47:47
    chiedo scusa, mi correggo rispetto al msg di ieri sera. Se non compare la chiave "NoDriveTypeAutoRun", può essere inserita selezionando dal menù di Regedit modifica/nuovo/Valore DWORD, e non Valore Stringa come erroneamente scritto in precedenza. Confermo che in tal modo non parte autorun per i cd-rom né la procedura di ricerca-esecuzione per le penne usb, provato ok con due computer, desktop e notebook.
  3. Avatar
    g_b
    02/03/2009 02:47:17
    dopo l'installazione della patch e relativo riavvio non mi compariva nella chiave di registro la voce "NoDriveTypeAutoRun". L'ho inserita selezionando nel menù di regedit modifica/nuovo/valore stringa, e mi pare vada ok: non fanno autorun i cdrom, e non parte la procedura di ricerca/esecuzione per le penne usb. Speriamo bene, chiedo conferma a Nasi, grazie.
  4. Avatar
    eozne
    25/01/2009 18:17:42
    :) Siete dei maghi, complimenti e grazie. :D
  5. Avatar
    2ykv85cb
    24/01/2009 17:38:20
    Ecco grazie mille Michele ho problemi anch'io con Home, sarebbe molto gradito questo file
  6. Avatar
    Michele Nasi
    23/01/2009 18:56:41
    Nella chiave del registro HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer troverai un elemento (pannello di destra) chiamato "NoDriveTypeAutoRun". Verifica il valore corrispondente. Quello giusto (per disattivare l'"autorun" da tutte le unità) è 0x000000ff (255). Controllalo nella colonna "Dati". Per impostarlo, fai doppio clic su "NoDriveTypeAutoRun", scegli "Esadecimale", digita ff nella casella "Dati valore" e premi OK. Usa la massima cautela quando agisci sul registro di Windows. Poi caricherò online anche un file .REG in modo che la modifica venga operata automaticamente.
  7. Avatar
    Johannes
    23/01/2009 18:23:10
    Troppo difficile. Cosa vuol dire che "il valore DWORD NoDriveTypeAutoRun dovrà essere impostato in esadecimale ad ff per disabilitare l'"autorun" su qualunque unità"? Scusa, ma è fuori dalla mia portata.
  8. Avatar
    Michele Nasi
    23/01/2009 15:06:05
    Comportati come nel caso di Windows Vista Home... Le versioni Home non permettono l'accesso a gpedit.msc.
  9. Avatar
    Johannes
    23/01/2009 14:00:54
    Uso Windows XP Home ed ho installato la patch KB950582. Quando tento di eseguire "gpedit.msc" il sistema mi risponde "Impossibile trovare il file "gpedit.msc". Verificare che il percorso ed il nome del file siano corretti e ritentare." Mi potete aiutare? L'autorun è veramente snervante!!! Grazie
Disattivare definitivamente la funzionalità