Privilegi utente per il suo pc: power users?
John Doe
proprio pc (aziendale), ora vorrei "recuperare".
Per non avere problemi con i software installati e/o da installare
basterebbe inserire l'utente nel gruppo Power Users? O dovrei creare
un nuovo gruppo simile ad Administrators ma con meno permessi?
Perchè tutto ciò? Perchè l'utente non dovrebbe poter rimuovere gli
eventi dall'Event Viewer associati agli Amministratori di Sistema.
Pc con Windows XP Professional, domain controller con Windows 2003.
Grazie
Alberto Dallagiacoma
news:0daf9456-967d-43de...@u26g2000yqu.googlegroups.com...
> Abituato (male?) ad inserire l'utente nel gruppo Administrators del
> proprio pc (aziendale), ora vorrei "recuperare".
Grande! Non è mai troppo tardi. :-)
> Per non avere problemi con i software installati e/o da installare
> basterebbe inserire l'utente nel gruppo Power Users? O dovrei creare
> un nuovo gruppo simile ad Administrators ma con meno permessi?
Il Power User è praticamente un administrator; ha qualche permesso in meno
ma può comunque fare danni.
L'utente deve essere messo nel gruppo Users (se hai un dominio, l'utente
dovrebbe essere già un Domain User, quindi sei già a posto così): in questo
modo, l'utente non può fare nulla di potenzialmente dannoso.
Qualsiasi intervento di manutenzione, installazione riconfigurazione, ecc...
comporta il logoff dell'utente e il login di un account con sufficienti
privilegi per le operazioni da eseguire. Finite le operazioni, l'utente
riesegue l'accesso e continua a lavorare come se niente fosse successo.
> Perchè tutto ciò? Perchè l'utente non dovrebbe poter rimuovere gli
> eventi dall'Event Viewer associati agli Amministratori di Sistema.
Tranquillo: uno standard user queste cose se le sogna. :-)
Anch'io sono stato nella tua stessa situazione tempo fa. All'inizio per gli
utenti è stato un trauma, ma "dalla parte dei bottoni" il numero di
interventi di manuenzione si è dimezzato... Forse anche qualcosa di meno.
> Grazie
HTH,
--
Alberto Dallagiacoma - [MCP, MCTS SQL Server 2005]
My Blog: http://blogs.ugidotnet.org/alby
DotDotNet - User Group .NET Emilia Romagna: http://www.dotdotnet.org
Argia Sbolenfi
> Tranquillo: uno standard user queste cose se le sogna. :-) Anch'io sono
> stato nella tua stessa situazione tempo fa. All'inizio per gli utenti è
> stato un trauma, ma "dalla parte dei bottoni" il numero di interventi di
> manuenzione si è dimezzato... Forse anche qualcosa di meno.
Dimezzato? Si è riduce di qualche ordine di grandezza..
Tra l'altro la maggior parte degli exploit si basa sulla disponibilità di
privilegi elevati. Ora non è detto che un malware non possa effettuare
operazioni sgradevoli quando eseguito con privilegi limitati, ma almeno
non può compromettere l'intero pc, installare rootkit ecc.
Skywalker Senior
"John Doe" <049...@libero.it> ha scritto nel messaggio
news:0daf9456-967d-43de...@u26g2000yqu.googlegroups.com...
>Abituato (male?) ad inserire l'utente nel gruppo Administrators del
>proprio pc (aziendale), ora vorrei "recuperare".
>Per non avere problemi con i software installati e/o da installare
>basterebbe inserire l'utente nel gruppo Power Users? O dovrei creare
>un nuovo gruppo simile ad Administrators ma con meno permessi?
>Perch� tutto ci�? Perch� l'utente non dovrebbe poter rimuovere gli
>eventi dall'Event Viewer associati agli Amministratori di Sistema.
L'utente deve essere inserito nel gruppo "Users". In questo modo non pu�
installare/disinstallare nulla e non pu� fare troppi danni in caso di
infezioni.
Il problema � che ci sono molti programmi (fatti col culo) che richiedono di
essere lanciati da utenti con diritti amministrativi.
In questi casi o riesci a giostrarti col comando "RUNAS" oppure, come mi �
gi� capitato un paio di volte (col runas non ne voleva sapere), devi
lasciare l'utente con i privilegi alti.
--
Skywalker Senior
http://www.christianbisti.net/
http://www.flickr.com/photos/skywalkersenior/
Alby
message news:PNYWn.74929$Ua.1...@twister2.libero.it...
> Il problema è che ci sono molti programmi (fatti col culo) che richiedono
> di essere lanciati da utenti con diritti amministrativi.
> In questi casi o riesci a giostrarti col comando "RUNAS" oppure, come mi è
> già capitato un paio di volte (col runas non ne voleva sapere), devi
> lasciare l'utente con i privilegi alti.
Un'altra tecnica applicabile è quella di monitorare l'esecuzione del
programma con ProcessMonitor di SysInternals
(http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx), in modo da
capire in quali cartelle o chiavi di registry il programma ha bisogno di
accedere con privilegi elevati.
Una volta saputo questo, è possibile assegnare permessi specifici solo a
quelle cartelle/chiavi di registry.
E' un processo un po' laborioso, ma alla fine dà i suoi frutti.
rashcneto
John Doe wrote:
> Abituato (male?) ad inserire l'utente nel gruppo Administrators del
> proprio pc (aziendale), ora vorrei "recuperare".
>
> Per non avere problemi con i software installati e/o da installare
> basterebbe inserire l'utente nel gruppo Power Users? O dovrei creare
> un nuovo gruppo simile ad Administrators ma con meno permessi?
users.
sempre e solo users.
fai il test con le applicazioni.
se hai applicaizioni molto vecchie dovrai cambiare le permissions in modo
molto granulare, forse.
ma te lo assicuro : è possibile.
rashcneto
Alby wrote:
[...]
> Un'altra tecnica applicabile è quella di monitorare l'esecuzione del
> programma con ProcessMonitor di SysInternals
> (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx), in
> modo da capire in quali cartelle o chiavi di registry il programma ha
> bisogno di accedere con privilegi elevati.
> Una volta saputo questo, è possibile assegnare permessi specifici
> solo a quelle cartelle/chiavi di registry.
> E' un processo un po' laborioso, ma alla fine dà i suoi frutti.
se hai sentito un'ondata di ottimismo, amore o sentimenti positivi nei tuoi
confronti, qualcosa come una ondata anomala di endorfine, sai che te l'ho
mandata io.
*grazie*
è una di quelle cose a cui passi davanti senza vederla...