45190 Letture

Eseguire le applicazioni più delicate con diritti amministrativi ridotti

Spesso si sottovaluta come il lavorare con Windows con diritti amministrativi sia una prassi pericolosa per l'integrità del sistema operativo e dei dati memorizzati sul personal computer, soprattutto se l'utente non è sufficientemente esperto.
Il trucco che segue illustra una procedura poco conosciuta che permette di eseguire applicazioni-critiche in modalità "non amministrativa" con lo scopo di evitare problemi.

Molti dei malware in circolazioni possono compiere le loro nefandezze sul sistema "infettato", solo perché l'account utente configurato ha i privilegi amministrativi. Si pensi ad un malware che crei file nocivi all'interno della cartella di sistema (SYSTEM32) di Windows, "uccida" vari processi, disabiliti il Windows Firewall (nel caso, ad esempio, di Windows XP SP2), copi diversi file nelle cartelle di Windows, cancelli chiavi e valori nel registro di sistema. Tutte queste operazioni non sarebbero possibili se client di posta elettronica e browser (Internet Explorer), operassero in modalità "non amministrativa".

Sarebbe quindi intelligente se si potessero eseguire applicazioni "delicate" (perché potenzialmente più a stretto contatto con worm e malware in generale) come Internet Explorer e il client di posta senza i diritti amministrativi pur conservandoli per le altre operazioni sul personal computer.


Sia Windows XP che Windows Server 2003 supportano una funzionalità denominata Software Restriction Policy, conosciuta anche come "SAFER". Si tratta di uno speciale meccanismo che permette ad un utente o ad uno sviluppatore software di eseguire un'applicazione con un numero di diritti ristretto: un amministratore, ad esempio, è così in grado di avviare un programma come se fosse un utente normale.

DropMyRights è un'applicazione distribuita da Microsoft stessa che consente di ridurre i diritti amministrativi per applicazioni specifiche. Il software è prelevabile gratuitamente cliccando qui. Per avviare l'installazione, è sufficiente fare doppio clic sul file .msi, accettare il contratto di licenza d'uso (dopo averlo esaminato) ed indicare come cartella di destinazione quella di Windows (es.: c:\windows): non create una cartella "ad hoc" per DropMyRights.

Ad installazione conclusa, ogniqualvolta si desideri eseguire un programma (od aprire un sito web!...) sul quale non si riveste grande fiducia, è sufficiente utilizzare il comando seguente:
%windir%\DropMyRights.exe "c:\nome_cartella\nome_programma.exe" n
Avendo ovviamente cura di sostituire a "nome_cartella" ed a "nome_programma", rispettivamente, la cartella ed il nome dell'eseguibile dell'applicazione "non fidata".

L'ultimo carattere indica i diritti coi quali si vuole eseguire il programma:
n utente normale. Usando "n", virus e spyware possono sempre leggere o cancellare i vostri file personali ma non possono installarsi sul sistema od infettare alcunché. In molti consigliano di usare questa modalità, ad esempio, per navigare sul web mediante Internet Explorer anziché utilizzare i diritti amministrativi!
c "paranoid mode". L'applicazione viene eseguita ma non è consentita la lettura e la scrittura di file (questo include, ad esempio, nel caso di Internet Explorer, lista dei siti web "Preferiti").
u "super paranoid mode". Possono presentarsi diversi problemi nel corso dell'esecuzione di un programma perché gran parte delle operazioni vengono impedite. Può essere usata, per esempio, qualora si volesse veramente visitare un sito ritenuto estramente pericoloso.


Per avviare Internet Explorer con privilegi ridotti (utente normale) si può creare un nuovo collegamento che punti al percorso seguente:
%windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" n
Analoga operazione può essere effettuata per altri programmi "critici" come il client di posta o il client di messaggistica istantanea.
E' bene precisare che qualora si esegua Internet Explorer con diritti utente ristretti, tutte le applicazioni lanciate dal browser di casa Microsoft (Media Player, Acrobat Reader,...) opereranno nella stessa modalità.
L'installazione di un'applicazione da web non sarà possibile ma bisognerà avviare il setup dal sistema locale servendosi di "Risorse del computer".

Chi fosse interessato ad aggiugere, in Internet Explorer, una nuova barra degli strumenti che visualizzi i diritti utente in uso, può installare PrivBar, "add-on" veicolato sul sito MSDN di Microsoft e prelevabile da qui.
Per installare "PrivBar" è necessario estrarre il contenuto del file .zip compresso in una cartella su disco fisso di propria scelta quindi digitare in Start, Esegui... il comando seguente (si suppone di aver salvato i file nella cartella c:\privbar):
regsvr32 c:\privbar\PrivBar.dll
A questo punto, per concludere l'installazione, bisognerà fare doppio clic - da "Risorse del computer" - sul file PrivBarReg.reg acconsentendo all'inserimento delle informazioni nel registro di Windows.

Dopo aver avviato Internet Explorer, sarà infine necessario attivare la visualizzazione della nuova toolbar dal menù Visualizza, Barre degli strumenti, PrivBar.


Comparirà immediatamente la nuova barra degli strumenti (verranno indicati nome della macchina in uso, nome dell'account utente e diritti amministrativi con i quali è stata richiesta l'esecuzione di Internet Explorer).


Com'è possibile notare, Internet Explorer è stato eseguito in modalità amministratore, da un account con diritti amministrativi:


Questa pratica è assolutamente sconsigliata. Pur utilizzando un account amministratore, è possibile eseguire Internet Explorer od altri software con diritti utente più limitati, semplicemente creando un collegamento %windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" n, %windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" c oppure %windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" u:


Eseguire le applicazioni più delicate con diritti amministrativi ridotti - IlSoftware.it