(XP) – Eseguire un’applicazione come utente limitato da account admin

Una delle pessime abitudini dell’utente Windows medio, è quella di accedere sempre e comunque al sistema come Amministratore. Tutto questo causa non pochi problemi a certi utenti, che hanno la mania di cliccare maldestramente a destra e a manca.

L’ideale sarebbe avere un account limitato per navigare/scaricare e quello di admin per il resto, ma purtroppo molti software non si installano in modalità limited user (anche andando su ‘esegui come..’), ecco perchè molti scelgono (erroneamente) di loggarsi unicamente come admin.

Ho pensato quindi questa guida per quelli che non vogliono staccarsi dalle “cattive” abitudini ma che vogliono navigare un pò più sicuri.

Ricordo però che un account limitato permette una sicurezza nettamente maggiore, visto che non ha i permessi per accedere alle cartelle di sistema, tenendo fuori molto malware (anche certi tipi di rootikit).

 

Windows XP Professional – 2003 Server

Per permettere a determinate applicazioni (browser, IM, e-mail client, etc) di essere eseguiti da admin come se fossero in limited account fate così:

Aprite il registro di sistema (Start – Esegui.. e digitate regedit) andate alla sezione

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\

Aggiungete un valore DWORD chiamato ‘Levels’ (senza apici) con un valore esadecimale (HEX) di 20000 (Tasto dx, Nuovo – Valore DWORD).

Ora tornate nuovamente su Start – Esegui.. e scrivete secpol.msc e si aprirà ‘Impostazioni protezione locale‘ .

Andate ora su ‘Criteri restrizione software‘ e cliccate col tasto destro su ‘Regole aggiuntive‘ e ‘Nuova regola percorso‘ e scegliete l’eseguibile del programma che volete limitare, e impostate infine ‘Livello di protezione‘ su utente principiante.

Alla fine dovrà essere all’incirca così:

 

Windows XP Home – 2000

Per gli utenti XP Home c’è DropMyRights creato da Michael Howard, dipendente Microsoft.

Installatelo in ‘c:\windows‘. Per eseguire un programma (nell’esempio Opera) come se avessimo un account limitato digitare:

%windir%\DropMyRights.exe “c:\programmi\opera\opera.exe” n

Il parametro ‘N‘ permette di eseguire il programma come utente normale (quindi limitato). Gli altri parametri permettono esecuzioni ancora più restrittive, ma le sconsiglio per l’uso normale.

N = run as normal user (default)

C = run as constrained user.

U = run as an untrusted user.

Potete creare un collegamento per avviare velocemente l’applicazione desiderata. Basta cliccare col tasto destro sul desktop, scegliere Nuovo – Collegamento e immettere il percorso come descritto poco sopra.

Gli utenti di Internet Explorer 6 e 7 possono aggiungere una toolbar, PrivBar, per mostrare con quale previlegi utente viene eseguito IE.

Estraete dall’archivio i file DLL e REG. Registrate la DLL tramite Start – Esegui e digitate

regsrv32 percorso\PrivBar.dll

Quindi ad esempio, se lo piazzate in c:\ sarà regsrv32 c:\PrivBar.dll

Applicate infine il file di registro (.reg).

Come vedete applicare questi settaggi è semplice, e porta notevoli vantaggi per la sicurezza. Meglio pensarci prima.