Windows Built-in Security by Sisupoika

Vorrei proporvi la guida scritta dal bravo Vito Botta (Sisupoika su Hardware Upgrade) che merita davvero un’attenta lettura per vedere come si può  barricare il proprio Windows senza l’ausilio di software esterni.


Windows built-in security 

 

I motivi per cui ho deciso di scrivere questa sorta di guida sono, principalmente:

  •  La maggioranza degli utenti NON conosce il sistema operativo Windows;
  •  Di conseguenza, when it comes to security…si lascia abbindolare, o quantomeno convincere, da falsi miti che durano a morire, tipo che Windows in termini di sicurezza faccia letteralmente “schifo”, con frequenti inviti da parte di sedicenti esperti del tipo “passa a Linux, e’ piu’ sicuro”, senza migliore giustificazione;
  •  L’utente tipico, non conoscendo purtroppo Windows come sarebbe auspicabile, e’ convinto che Windows (senza particolari distinzioni) sia un colabrodo e che sia strettamente necessario dotarlo di un ottimo firewall, di un ottimo antivirus, di un ottimo anti-spyware e cosi’ via, affinche’ ci si possa sentire “sicuri” in un era in cui attacchi e malware di qualunque tipo sono all’ordine del giorno.
  • Conseguenza di cio’, l’utente alimenta un mercato, quello degli antivirus, dei firewall, ecc ecc, PERFETTAMENTE INUTILE, come cerchero’ di spiegare piu’ avanti. Mi rendo perfettamente conto che quest’affermazione possa risuonare come forte, ma questa purtroppo e’ un’altra conseguenza della cattiva informazione/preparazione circa la sicurezza in Windows. Si tratta, ripeto, a mio avviso (e non solo, basta googlare), di un mercato inutile poiche’ firewalls, antiviruses, antispywares and so on, intesi come elementi software che vanno ad “aggiungersi” al sistema operativo, non avrebbero alcuna ragione di esistere se l’utente conoscesse il sistema operativo, e se egli fosse naturalmente piu’ cauto nell’utilizzare il proprio pc.

Un pc non e’ un televisore, non basta premere un pulsante per ottenere l’effetto desiderato che sia uno soltanto possibile, in reazione ad un solo, determinato comando.
Un computer richiede tutt’altro tipo di approccio, e in particolare una costante attenzione a cio’ che si fa, perche’ una stessa azione, a seconda del “come”, del “quando”, ecc, puo’ avere un effetto diverso con un pc.
Chiusa questa parentesi, mi permetto di affermare in questa sede una cosa che non e’ molto popolare tra gli utenti di pc: Windows, credetemi, e’ molto piu’ sicuro di quanto non si creda.
Se c’e’ una colpa in particolare che attribuisco a Microsoft come azienda, fra le tante, e’ che all’epoca ha adottato delle politiche di prodotto di contro-tendenza rispetto a sistemi operativi, per esempio, unix-like, preferendo l’estrema facilita’ di utilizzo a tutto il resto. Questo approccio ha portato dalla sua parte la stragrande maggioranza dei consumatori – che nel tempo si “ribellano” contro questo monopolio che tuttora persiste, pero’ al tempo spesso si arrendono spesso ad usare Windows, perche’ “costretti” dal software, dai formati file, ecc ecc.
Tra le altre caratteristiche rispetto alle quali Microsoft ha considerato prioritaria la facilita’ d’uso, c’e’ appunto la materia sicurezza. Questo non significa, come quasi tutti pensano, che la sicurezza in Windows sia inesistente o al piu’ “faccia pena”, e che Windows sia in generale un colabrodo; significa che Windows e’ stato consegnato da sempre, nelle mani dell’utente, in una condizione tale da essere molto, molto, molto meno sicuro rispetto a sistemi operativi concorrenti molto piu’ sicuri, ma anche molto, molto meno facili da utilizzare. Accanto a questa grande colpa, ve n’e’ un’altra: la scarsa importanza attribuita – almeno – al diffondere materiale che educhi l’utente di Windows su come renderlo piu’ sicuro, conoscendo meglio il sistema operativo stesso.

Passando in esame dunque queste due “affermazioni” (in particolare con riguardo ad Antivirus, Antispyware ecc, per questa prima premessa):
1) Windows NON e’ un colabrodo: la principale causa della scarsa sicurezza di “default” di questo sistema operativo e’ dovuta, semplicemente, al fatto che una volta installato Windows l’utente e’ gia’ Administrator,
ovvero ha pieni privilegi per compiere qualunque operazione sul sistema operativo, anche distruttiva. Poc’anzi mi riferivo al fatto che Unix, Linux, ecc ecc prevedono che l’utente utilizzi, per le sue attivita’ quitidiane, un account “limitato”, che non possa cioe’ compiere direttamente operazioni di basso livello sul sistema operativo. In queste condizioni, se un utente necessita di eseguire un’operazione con diritti di amministratore, puo’ eseguire un processo qualificandosi come Administrator. Ma si tratta di un processo “isolato”.
Tutti gli altri processi vengono eseguiti con gli stessi diritti dell’utente che li esegue, cioe’ limitati, motivo per cui non possono compiere operazioni di basso livello sul sistema operativo.
Cio’ significa che anche un malware, ad esempio un virus, che cerchi di insediarsi in risorse di sistema per creare un qualche tipo di danno, non avrebbe molto da fare in questo tipo di contesto, perche’ i suoi poteri sul sistema sarebbero gli stessi dell’utente, quindi molto limitati.
Questa e’ una ragione per cui virus, ad esempio, non si diffondono granche’ su altri sistemi operativi, anche se bisogna ammettere che c’e’ anche un’altra ragione in questo caso, e cioe’ il targeting. Windows e’ certamente preso di mira. Ma gli autori di malware non hanno vita facile nello scrivere malware che funzioni per un sistema come Linux (per esempio), proprio per le ragioni ora esposte.
In Windows, poiche’ un probabile 90-95% degli utenti lavora sotto un profilo di “Administrator” by default, un autore di malware ha vita piu’ o meno spassosa perche’ puo’ scrivere una marea di tipi di malware che facciano danni di diverso tipo,proprio perche’ il malware potrebbe far di tutto nel sistema avendo anch’esso, come l’utente, diritti di amministratore.
Per questa ragione, assieme ad altre di minore probabilita’, Windows e’ target di questi soggetti. Ed e’ grazie a questa colpa di Microsoft, intendo: di questo suo setup by default, che oggi giorno ci sono letteralmente – si stima – piu’ di 600.000 tra virus vari e loro varianti.
2) Naturale conseguenza dell’ignoranza dell’utente medio, assieme con il contesto appena descritto e, purtroppo, tipico in ambiente Windows, e’ che l’utente HA BISOGNO del migliore antivirus, del migliore firewall (per i firewall c’e’ un discorso a parte, che vedremo presto), ecc, ecc al fine di essere sicuro.
Bene, questo non e’ altro che un FALSO SENSO DI SICUREZZA. Pensate alle email con signature attaccata dai soliti antivirus, del tipo “100% Virus-Free”, o “Virus-Checked” ecc ecc. L’utente si sente sicuro perche’ ha questi software attivi sul proprio Windows.
Niente di piu’ sbagliato!!!
Per quanto riguarda gli Antivirus, per darvi una idea del modo in cui questi software lavorano e della loro reale efficacia, numeri (di virus-signatures) a parte, vi propongo un paragone indovinato che io stesso ho letto da qualche parte in rete, in qualche articolo.
Immaginate che il vostro pc sia un aeroporto, e che il vostro antivirus siano gli agenti della sicurezza. Un tale Osama Bin Laden, con un ruck-sack con sopra scritto, a caratteri cubitali, “BOMB”, tenta di passare i controlli di sicurezza, gridando ad alta voce “I gotta kill you all!”. Al controllo, gli agenti (l’antivirus) ascoltano il tale (il virus) gridare a quel modo, con la bomba addosso, ma lo fanno passare perche’….non c’e’ ancora il suo nome (virus signature) nella lista dei sospetti (antivirus’database).
Il risultato? BOOM!
Se ci pensate, e’ proprio il modo in cui gli antivirus operano, a proposito di database delle “definizioni dei virus”. La sansione realtime euristica contro malware non noti e’ qualcosa che suona di fantascientifico, la cui efficiaca e’ molto distante da quella che la gente crede.
L’efficacia in generale di un Antivirus e’ semplicemente qualcosa che NON si puo’ prendere per scontato. Quante volte avete letto, in questo stesso forum, che l’utente coll’antivirus X ha dovuto poi ripulire con l’antivirus Y un virus che X non aveva trovato, e che erano entrati con scansione realtime (anche euristica) attiva?
Se c’e’ un unico, vero effetto, di un software antivirus su un sistema operativo Windows, e’ semplicemente quello di degradarne le prestazioni, la responsivita’.
Alcuni antivirus sono molto leggeri (leggasi: Avira, Nod32, per esempio), altri meno (chi ha detto Norton?), ma tutti, chi piu’ o meno, rallentano il sistema senza garantire un bel nulla.
A che serve avere una Ferrari se la si costringe a viaggiare quanto una Cinquecento?
Come ho letto nella signature di qualche utente, in qualche forum (non ricordo quale): “Se il tuo computer e’ lento, o e’ un virus, o e’ un Antivirus”.
Coloro tra voi che ritengono che un Antivirus (e lo spendere denaro per esso, per coloro i quali lo comprano) sia strettamente necessario ai fini della sicurezza, sono in errore, e sono liberi di esserlo, se vogliono.
Io dico (e naturalmente non e’ invenzione mia) che un Windows configurato opportunamente, e usato opportunamente, NON HA BISOGNO DI ALCUN ANTIVIRUS, O SPYWARE, O – come vedremo tra poco – DI UN FIREWALL, qualora con questi termini si intendano software di terze parti che vadano “aggiunti” a Windows.
Prima che me ne dimentichi, una considerazione comune su queste categorie di “software per la sicurezza”: tutti questi tools girano su Windows in modi differenti (es. processi, servizi di sistema, ecc ecc), ma sono sempre qualcosa di aggiunto e c’e’ SEMPRE, e ripeto SEMPRE, modo e maniera di bypassarli. E come gia’ detto, essendo sempre qualcosa di aggiuntivo, che filtra tutto il tempo qualcosa, non puo’ non degradare le prestazioni rispetto a Windows sulla stessa macchina, ma senza tali software. Pausa.
Chiudo la premessa sugli Anti-malware con una affermazione di Aaron Margosis (i cui articoli sono grandemente consigliati), Microsoft, il quale dice: “E’ meglio utilizzare Windows come UTENTE LIMITATO *SENZA* ANTIVIRUS, che come ADMINISTRATOR CON ANTIVIRUS”.
Anche se, un account limitato da solo, in Windows, non basta. Vedremo infatti che una situazione ideale per la sicurezza, in Windows, vede un account limitato + delle policies di restrizioni sul software, che vedremo anche come gestire al meglio senza dolore visto che usare un utente limitato, con restrizioni sul software, puo’ essere molto poco comfortevole senza i suggerimenti che vi daro’ di seguito.

FIREWALL SOFTWARE

Le stesse premesse sul falso senso di sicurezza circa Anti-malware, valgono, anche se in maniera differente, per i cosiddetti “software firewall”, software, cioe’, che vanno installati su Windows e che permettono all’utente di tenere un certo controllo sull’utilizzo di Internet da parte di processi e applicazioni, e allo stesso tempo prevenire intrusioni nel proprio sistema.
Un hardware firewall (o anche, in misura minore, routers con alcune funzioni di firewalling e NAT), e’ CosaBuonaEGiusta™. E’ esterno al pc, puo’ proteggere piu’ computer, impatto quasi nullo sulle prestazioni della connessione Internet e protezione elevata se adeguatamente configurato.
Un software firewall inteso, ripeto (per evitare incomprensioni), come qualcosa che va “aggiunto” al sistema operativo, sono roba praticamente inutile, come vedremo.
Questo perche’ anche Windows, ha gia’ degli strumenti che ci consentono di restringere in maniera sicura il modo in cui la connessione internet (e in generale di rete) viene usata, senza alcun impatto sulle prestazioni di sistema e della nostra connessione Internet, semplicemente utilizzando componenti che il sistema operativo ha gia’.
Un qualunque software firewall di terze parti da installare, anche uno leggero come Look’n Stop, Ghostwall, e altri, comunque e’ sempre un filtro aggiuntivo al sistema e in quanto tale impatta piu’ o meno sul sistema.

Vediamo dunque ora come implementare una configurazione del nostro Windows tale da rendere superfluo l’uso di Antivirus, AntiSpyware, Firewall, anche se ci saranno delle considerazioni da fare di volta in volta.
Nel procedere postero’ degli screen shots, ma purtroppo non possiedo una versione italiana di Windows quindi spero non incontriate difficolta’ ad usare il vostro Windows mentre vi accingete a replicare queste implementazioni. Ma non penso avrete difficolta’ a trovare le voci in Italiano
Se poi volete vi posso postare gli screen della versione finlandese…LOL

NOTA: se seguite le mie istruzioni, non avrete alcun problema e vi ritroverete con un Windows molto piu’ sicuro, ma naturalmente come sempre NON mi assumo nessuna responsabilita’ nel caso facciate errori ecc ecc.
Questo genere di setup e’ per chi vuole smanettare, provare, imparare, ecc, e al tempo stesso trarne dei benefici concreti da questi “esperimenti” (per i non iniziati).

Inizierei da:

1) FIREWALL

Premetto che al termine postero’ i file pronti per chi voglia “la pappa pronta”, ma vi invito a provare da voi, anche per imparare qualcosa di nuovo sul vostro Windows.

  • Assicuratevi che il servizio IPSEC sia attivo in Windows. Purtroppo molti geniacci in rete consigliano di disattivarlo per “liberare risorse”. Ma che porcate, finitela!
  • Disinstallate il firewall, se ne avete uno, e disattivate l’altrettanto inutile servizio Windows Firewall (chiedete se non sapete come) e se volete chiudete la vostra connessione internet per evitare che (fortuna, eh…) ci siano tentativi di intrusione proprio mentre apportate le seguenti modifiche al sistema.
  • Premete il tasto Windows contemporaneamente alla lettera R o, se preferite, cliccate Start->Run. Digitate MMC e premete invio.

Cio’ avviera’ la Management Console del vostro Windows. Cliccate su File->Save, e salvatelo per es. come “Firewall.msc” ad es. sul Desktop.

Cliccate su File->Add-Remove Snap In->Add->IP Security Policy Management

Cliccate su Local Computer->Finish->Close->OK. Avrete uno schermo del tipo:

Cliccate su “IP Security Policy Management”, e cancellate dalla destra i profili predefiniti di Windows. Ne creeremo uno migliore secondo le nostre esigenze.
Cliccate nuovamente su “IP Security Policy Management”, questa volta col tasto destro; Scegliete “Create IP Security Policy” dal menu contestuale, cliccate su Next e date come nome, per es. “Firewall”.
Nella schermata successiva del Wizard deselezionate “Activate the default response rule”, quindi di nuovo Next lasciando il checkbox “Edit properties” ticked.
Avrete uno schermo come questo:

Lasciate disattivato il primo filtro della lista, e cliccate su Add->Next->This rule does not specify a tunnel (IPSEC viene usato per altre cosette interessanti, ma non ci interessa al momento)->Next->All network connections->Active Directory default (Kerberos).
A questo punto se il computer non fa parte di un dominio, vi verra’ chiesta conferma perche’ si tratta di una impostazione per un computer che faccia parte di un dominio. Scegliete comunque “Yes”. Vi comparira’ una nuova lista da cui selezionare, del tipo

 

– Selezionate “All ICMP Traffic” dalla lista preesistente (che dovrebbe contenere due voci soltanto). Cliccate su Next, e qui viene il bello.
Microsoft ha dimenticato di aggiungere come opzione preesistente la principale, cioe’ quella per bloccare qualcosa… Ma possiamo crearla noi.
Infatti elenchera’ soltanto “Permit”, “Request Security (Optional)”, e “Require Security”.
Cliccate su Add->Next; date come nome “Block”, cliccate Next; scegliete “Block”, cliccate su Next->Finish. Troverete l’opzione “Block” aggiunta alla lista di prima.
Selezionatela, cliccate su Next->Finish lasciato il flag Edit Properties deselezionato. Avrete cosi’ creato una regola che blocca tutto il traffico ICMP.
Adesso, una modifica IMPORTANTE. Il Wizard assegna come default il mirroring delle regole, che significa: se create una regola che permetta una comunicazione in uscita, verra’ automaticamente creata una regola che consenta la stessa comunicazione, ma nel senso opposto!
Questo significa che se aprite la porta 80 per navigare il web, il vostro pc sara’ anch’esso disponibile sulla porta 80 come se si trattasse di un server web.
E, naturalmente, noi vogliamo bloccare tutto in ingresso, tranne eccezioni a seconda dei casi.
Doppio click dunque sulla regola appena creata “All ICMP Traffic”, doppio click anche nella successiva schermata su “All ICMP Traffic” (questa volta il filtro).
Nella lista dei filtri ve ne sara’ soltanto uno, quello creato in precedenza, che blocca tutto il traffico ICMP. Assicuriamoci che la colonna “Mirrored” della lista, dica “No”. Nel caso vi fosse un “Yes”, doppio click sul filtro, e deselezionate la casella di spunta “Mirrored. Also matches packets with the exact opposite source and destination addresses”, per poi confermare e salvare la modifica premendo OK due volte e poi Close.

– Ripetiamo esattamente gli stessi steps, questa volta creando una regola per “All IP Traffic”.

A questo punto, una volta attivato questo Firewall “parziale”, la vostra macchina sara’ tanto sicura…quanto un computer disconnesso. Questo, senza alcun firewall aggiuntivo al sistema :-).
Fate un test per verificare che fin qui tutto sia ok. Riavviate la connessione Internet se l’avevate chiusa, e provate a navigare. Naturalmente funzionera’ come atteso perche’ nulla e’ ancora attivo.
Per attivare il Firewall, cliccate su Close nella finestra Firewall Properties, e ritornerete alla schermata principale della Management Console che avevamo creato all’inizio. Right-Click su Firewall, e poi cliccate su Assign. Avete immediatamente attivato il vostro Firewall nuovo di zecca.
Provate di nuovo a navigare col vostro browser. Non funziona? Bene! Significa che fin qui tutto e’ ok. Nessuna comunicazione di rete e’ permessa, in nessuna direzione (inbound/outbound).
Ovviamente un firewall cosi’ sara’ sicuro si’…ma inutile poiche’ non possiamo fare una mazza. Ci serve dunque aprire le porte necessarie ai servizi di cui abbiamo bisogno.
Primo fra tutti, la normale navigazione web. Ci serve dunque aprire la porta 80 in SOLA uscita. Per far cio’, ritorniamo alle proprieta’ del Firewall, con doppio click. Cliccate su Add->Next->This Rule does not specify a Tunnel->Next->All Network Connections->Active Directory Default->Yes.
Creiamo un nuovo filtro per la porta 80/outbound: cliccate su Add, scegliete come nome per es. “Allowed Traffic” (traffico permesso), cliccate su                Add->Next->My IP Address (come sorgente)->Any IP Address (come destinazione)->TCP (come protocollo)->Next->From any port (il pc assegna random ports nel connettersi verso l’esterno ad una specifica porta)->To this port, inserite 80. Cliccate su Next->Finish.
Fate doppio click sul filtro HTTP appena creato, e ASSICURATEVI che Mirrored sia DESELEZIONATO prima di confermare, per le ragioni esposte in precedenza.
Abbiamo ancora bisogno di permettere le query al DNS server, percio’ ripetiamo questa ultima procedura creando nuovi filtri in “Allowed Traffic” per la porta 53 sia TCP sia UDP.
A questo punto, se avete seguito correttamente le mie istruzioni, l’unica cosa che potete fare con la vostra connessione e’ visitare normali pagine web.
Riprovate col browser, vedrete che la normale navigazione avra’ ripreso a funzionare anche col firewall attivato perche’ abbiamo, cosi’ facendo, bloccato tutto tranne la normale navigazione web.
Aprite anche la porta 443 per i siti sicuri (HTTPS).
A questo punto, se utilizzate un client di posta come Outlook/Thunderbird sul vostro pc invece di una webmail, dovrete aprire con lo stesso procedimento (aggiungendo altri filtri in “Allowed Traffic”) le porte 25 (SMTP, per la posta in uscita), e 110 (POP3, per la posta in entrata).
Se utilizzate FTP, le porte sono 20 e 21, e se volete connettervi da remoto al vostro pc la porta e’ 3389 ma in entrata, cioe’ invertendo sorgente = Any IP Address e destinazione = My IP Address.
Se il vostro PC deve fungere da web server, dovrete aprire la porta 80 in entrata, o selezionare “Mirrored” nella regola HTTP creata all’inizio.
Se avete richieste particolari, o utilizzate anche una LAN, specificate cosa usate cosi’ vi dico cosa e’ necessario aprire.
Seguite le istruzioni, avrete un setup simile a questo per “Allowed Traffic”:

Salvate Adesso la vostra MMC come “Firewall” su file, in modo da averla sempre a disposizione, e esportate le impostazioni create (cosi’ da non doverle ricreare se necessario), in file cliccando tasto DX su IP Security Policy Management->All Tasks->Export Policies.

Passando alla pappa pronta, in allegato troverete i file pronti, anche se vi suggerisco di far tutto da voi cosi’ imparate qualcosa di nuovo e utile.
Scaricateli, doppio click su Firewall.msc, e importate le impostazioni con tasto dx su IP ecc ecc->Import Policies. Importato il Firewall, attivatelo (tasto dx->Assign).
Fatta tutta sta roba, che c’e’ voluto piu’ a scriverlo che per voi a farlo ( ), avrete un firewall perfettamente funzionante senza alcun software o servizio di sistema.
Rimane un punto: questi filtri proteggono il traffico in entrata, e per il traffico in uscita servono solo a restringere i servizi che le applicazioni possono utilizzare collegandosi alla rete.
Ma questo sistema non prevede, cosi’ com’e’, nessun controllo su QUALI applicazioni o processi possono inviare dati in uscita dal vostro pc.
Questo punto e’ oggetto spesso di discussione sulla qualita’ dei firewall, perche’ si e’ bene inteso che un malware (virus o spyware) potrebbe inviare dati (anche riservati, per esempio) in uscita su internet senza che ce ne accorgiamo.
Questo e’ il tipo di protezione, uni-direzionale, notoriamente offerto da Windows Firewall, ovvero il firewall integrato in Windows XP (la versione in Vista e’ bi-direzionale).
Applicando il firewall da noi creato ha praticamente lo stesso effetto di Windows Firewall con nessuna eccezione permessa (tranne specifici casi – web server, rdp ecc).
Il vantaggio del nostro firewall e’ la leggerezza imbattibile (si tratta di componenti di sistema facenti parte dello stesso stack TCP/IP di Windows), = nessuna risorsa richiesta in piu’ (cpu/memory), e il nostro firewall non compromette minimamente le prestazioni della nostra connessione come invece qualunque firewall, anche quando questi impattano poco.
Fate un test con e senza il nostro firewall, vedrete che la velocita’ e’ esattamente la stessa. Inoltre Windows Firewall e’ un servizio di sistema che – per ragioni ovvie non sto a spiegarvi in questa sede come – e’ non difficile disattivare con uno script ben scritto, grazie al fatto che l’utente, quasi sempre (come si diceva prima) ahime’ e’ Administrator sulla macchina.
Non solo quella “ciofeca” – come spesso lo chiamano – di Windows Firewall manca di protezione sul traffico in uscita, ma anche un ottimo firewall di terze parti come GhostWall e altri ancora meno noti.
I firewalls ritenuti “migliori”, sono piu’ buoni – a quanto pare di capire da questa nuova “moda” tra i paranoici di software e suite di sicurezza – in misura dei possibili attacchi o azioni maligne che possono controllare anche in uscita.
Di solito essi mostrano un alert che consente all’utente di scegliere se permettere o no ad una data applicazione o processo di connettersi ad Internet nel momento in cui essa tenta la connessione stessa.
Ma questo discorso, che sembra fornire un altro enorme FALSO senso di sicurezza, denota un tentativo di protezione semplicemente RIDICOLO.
Per il solito problema che gli utenti sono di solito amministratori del loro Windows in tutte le attivita’, e per la natura del sistema operativo Windows, anche io che sono un comune mortale in termini di sicurezza/programmazione, posso scrivere in poco tempo uno script che aggiunga un mio processo nascosto all’SVCHOST cui 100% dei casi viene concessa la connessione ad Internet, perche’ usato da diverse trusted applicazioni, processi, e drivers (anche stampanti di rete, per esempio).
Quindi ora in avanti considerate che questa “protezione” e’ tutt’altro che una protezione certa 100%. E’ semplicemente, ripeto, RIDICOLA.
I programmatori dietro a GhostWall, non ci vuole molto a capirlo visto che hanno creato il firewall piu’ leggero – credo – della storia con impatto minimo sul sistema ecc, sono programmatori con le palle, eppure non hanno perso tempo con la storia del controllo delle applicazioni. Ci sara’ un motivo?
Nel nostro caso, by the way, risolveremo egregiamente anche questo problema, quello di ottenere controllo totale sulle connessioni in uscita, con il passo successivo della nostra “sicurezza fai da te”, in un modo 100% sicuro che non trova eguali in nessuna implementazione Firewall “esterna” a Windows.

Passiamo dunque alla nostra protezione…

 

ANTIVIRUS/ANTISPYWARE ECC.

  1. Come per il firewall, disinstallate l’Antivirus, se purtroppo ne avevate installato uno. Assicuratevi che il servizio di Secondary Logon sia attivo in Windows (come sopra..)
  2. Loggatevi come Administrator (quello standard, built-in, di Windows). Se usate il Welcome Screen in XP e non vedete l’utente Administrator, fate questa piccola modifica al registro con Regedit.
  3. Entrate in HKEY_LOCAL_MACHINE->Software->Microsoft->Windows NT->Current Version->Winlogon->SpecialAccounts->UserList, e aggiungete un DWORD con nome Administrator e valore 1.
  4. Fate LogOff quindi ed entrate come Administrator. Cliccate Start->Control Panel->User Accounts. Rinominate l’utente che usate di solito in SysAdmin. Questo sara’ il nuovo administrator che utilizzerete soltanto in casi particolari in seguito.
  5. Questo utente comparira’ nello Welcome Screen ovviamente, altrimenti fate come sopra, nel registry.
  6. Create dunque un nuovo UTENTE DI TIPO LIMITED col nome che volete: questo sara’ l’account che d’ora in avanti utilizzerete per il vostro Windows, normalmente.
  7. Con il trucco che vi suggeriro’ presto, sarete in grado di utilizzare un account limitato, quindi col massimo della sicurezza per virus ecc, ma sarete in grado di eseguire processi come Administrator (il nuovo SysAdmin, che in realta’ e’ l’amministrator che voi usavate sinora), ogni volta che vi pare, ma senza la necessita’ di loggarvi in Windows come amministratori. Questo trucco vi rendera’ la vita molto piu’ facile, e sicura, mentre senza di esso non e’ molto confortevole usare Windows come account limitato.
  8. Una volta rinominato l’account che usavate (e che gia’, quasi sicuramente, apparteneva al gruppo Administrators) in SysAdmin, loggatevi a Windows come quest’ultimo, e disabilitate l’utente Administrator built-in in Windows. Questo perche’ spesso malware ben scritti possono tentare di ovviare alle limitazioni di un account limitato, cercando di craccare l’utente Administrator, sempre presente. Nel nostro caso invece, esso sara’ disabilitato, e l’amministratore effettivo sara’ l’altro utente, SysAdmin.
  9. Una volta loggato come SysAdmin e disabilitato Administrator, copiate i due scripts in allegato (AdminCmd e AdminShell) nella cartella di Windows.

Sono partito da un unico script scritto da Aaron Margosis di Microsoft, solo che l’ho migliorato un po’.
Spiego brevemente a cosa serve questo batch. Basically, quando si e’ account limitato, se occorre avviare un programma come Administrator, e’ spesso sufficiente cliccare col tasto dx, selezionare RunAs (per cui e’ necessario che il servizio di Secondary Logon sia attivo), selezionare Administrator, inserire la password, e voila’.
Peccato che in XP (in Vista la cosa funziona molto meglio, anche se non l’ho testata ancora personalmente) questo non sempre funziona come atteso.
Non funziona con Windows Explorer, per esempio, e con alcune applicazioni. Questo perche’ avviando un processo con un altro user, esso usa il token di quell’utente, non dell’utente loggato nella sessione di Windows.
Questo comporta malfunzionamenti di alcuni programmi ecc. Inoltre, in questo caso se si avvia un processo che scrive dati con l’utente Administrator X, quei dati non sono accessibili all’utente (limitato) che originariamente aveva avviato quel processo come Administrator.
Per ovviare a questo inconveniente, la strada migliore e’:

1) aggiungere temporaneamente l’utente, quello limitato, al gruppo Administrators;

2) lanciare il processo richiesto, che quindi riconoscera’ l’utente limitato come Administrator;

3) rimuovere nuovamente l’utente dal gruppo Administrators.
Lo script di Margosis funziona, ma cosi’ com’e’ richiede che l’utente, ogni volta che avvia il prompt dei comandi (l’unica cosa disponibile nel suo script) in modalita’ amministratore, immetta prima la password dell’Administrator, e poi la propria…
Ho dunque creato dallo script originale due script, uno per avviare il prompt dei comandi come Administrator, e l’altro per avviare Windows Explorer come Administrator, aggiungendo al comando RunAs l’opzione /savecred (Save Credentials), che sava le password inserite la prima volta e non le chiede piu’.
Fatto cio’, se si copiano questi due script nella directory di Windows (in modo che siano accessibili da ovunque grazie alla variabile di ambiente %PATH%), basta cliccare Start->Run (o premere tasto Windows + R), e digitare:

  • AdminCMD, per eseguire il prompt dei comandi come Administrator (sfondo rosso, per distinguere da una sessione con account limitato)
  • AdminShell, per eseguire Windows Explorer come Administrator che sara’ utile anche per scrivere in cartelle inacessibili all’account limitato, o installare software da percorsi proibiti all’account limitato, nel caso si utilizzino (come raccomandato subito dopo) le Software Restriction Policies di Windows.

A questo proposito, non ricordo se sono disponibili in tutte le versioni di 2K e XP, boh, verificate..

Passiamo alle restrizioni sul software. Se l’account limitato e’ gia’ un pugno nell’occhio per gli autori di Virus ecc, le restrizioni sul software sono la conferma definitiva che un antivirus/antispyware ecc non servono, a patto che l’utente sia ovviamente cauto nell’utilizzo del sistema come e’ ovvio.
Sperando che nella vostra versione di Windows cio’ sia possibile, cliccate Start->Run e digitate GpEdit.msc
Cliccate su (Computer Configuration) Windows Settings->Security Settings->Software Restriction Policies. Tast dx, “Create new restriction policies”. Verrano create due sottocartelle, Software Levels & Additional Rules. Cliccate su “Enforcement” nel pannello di destra,

e selezionate “All software files” e “All users except local Administrators”.

  • Cliccate su “Designated File Types”, e rimuovete dalla lista i file .lnk, cosi’ che possiate eseguire programmi da un collegamento.
  • Cliccate su “Additional Rules”, lasciate cosi’ come e’, ma notate che ci sono dei percorsi di sistema predefiniti.
  • Cliccate su “Security Levels”, tasto dx su “Disallowed”->Set as default.

In questo momento, avete attivato il cosiddetto “Lock down” di Windows. Un Administrator puo’ fare cio’ che gli pare, ma un utente limitato:

1 – non puo’ scrivere niente nelle cartelle di sistema (Windows e subfolders, Program Files and subfolders, ecc ecc), ma puo’ scrivere soltanto nelle cartelle del profilo dell’utente limitato.

2 – non puo’ eseguire nessuna applicazione o processo che non si trovi nelle cartelle di sistema

Esempio: l’utente (limitato) scarica un programma sul suo desktop (una delle cartelle a cui ha accesso). Fa doppio click su di esso, ma NON puo’ installarlo poiche’ non e’ in una cartella di sistema.
Se quel programma contiene malware, non accadra’ nulla al sistema, perche’ non puo’ essere eseguito come account limitato.
Ma se quel programma e’ genuino e sicuro (da fonte sicura ecc), allora l’utente puo’ avviare per esempio AdminShell in un secondo, e avviare l’applicazione dalla shell aperta, come SysAdmin (Administrator).

Adesso, una NOTA: se l’utente scarica qualcosa di infetto, e lo esegue come Administrator, naturalmente cio’ causerebbe problemi. E’ chiaro dunque che la cautela dell’utente e’ qualcosa di non sostituibile, a prescindere dal contesto.
Basta installare soltanto roba sicura, e fare prove ecc (per esempio) in una virtual machine.
Volendo, si puo’ ancora, comunque tenere un Antivirus nel sistema, ma invece di tenerlo attivo in tempo reale, lo si usa on demand (per esempio BitDefender free), facendo una scansione su richiesta solo quando si scarica qualcosa da fonti non sicure.
Ma e’ inute se assieme alla cautela, si usa RunAs ogni volta che esso funziona bene, e si usano gli script di cui sopra soltanto quando qualcosa non funziona con RunAs (pochi casi comunque!), l’Antivirus e’, come il Firewall, INUTILE.
Se seguite alla lettera queste semplici istruzioni, avrete un Windows il cui uso non e’ cambiato piu’ di tanto, ma molto piu’ sicuro e veloce, senza Antivirus e Firewall aggiuntivi.

PARENTAL CONTROL

In questo caso, vi sconsiglio di avventurarvi in qualcosa di “manuale” per interrogare un Parental Control Server; e’ molto piu’ semplice e veloce, infatti, installare il filtro gratuito di BlueCoat. Si chiama K9 Web Filter, e’ gratuitamente scaricabile, e in questo caso suggerisco di installare questo tool aggiuntivo su Windows, semplicemente perche’ il filtro e’ leggerissimo e fa semplicemente una verifica tipo DNS dell’indirizzo che si sta visitando, per verificare se sia classificato come porno, phishing, o qualunque categoria proibita dalle nostre impostazioni.
Praticamente non impatta la velocita’ della connessione, e lo consiglio molto se si hanno bambini, ma anche semplicemente perche’ e’ il miglior database per prevenire gli attacchi di tipo phishing.

ANTI SPAM

Questo e’ l’unico caso in cui vi suggerisco di usufruire di un servizio a pagamento. Si chiama Spamcop, e costa pochi dollari all’anno, permettendovi di liberarvi dallo spam SENZA installare una mazza sul vostro pc!!
Naturalmente se avete una webmail con Antispam/Antivirus gia’ integrata, cio’ non vi serve.
Ma se come me avete un dominio con mailbox su POP3, allora procedete con questa cosa. Eliminerete stupidi scanners attivi sul vostro pc che prima scaricheranno TUTTE le email sul vostro pc, per poi filtrarle. Un altro processo (e software) inutile.
Registrato un account com Spamcop.net, e pagata la sottoscrizione annuale, procedete in questo modo:

  • Avrete bisogno di due caselle di posta, in realta’: una pubblica, l’indirizzo che di solito usate e che date a chiunque, e l’altra privata, che non usate MAI pubblicamente e che solo voi conoscete.
  • Configurate la mailbox dell’indirizzo pubblico, in modo che esso faccia forwarding di tutte le email in ingresso, verso l’indirizzo email registrato con Spamcop. Spamcop filtrera’ tutte le email infette da virus, o classificate come spam, da questo account.
  • Configurate il vostro account su Spamcop, in modo che esso faccia forwarding di tutte le email “genuine”, pulite, verso il vostro indirizzo email PRIVATO.
  • Configurate Outlook o cmq il client che usate, con entrambi i vostri account POP3, selezionando come default quello PUBBLICO.

In questo modo:

1. Il client di posta ricevera’ le emails da entrambi gli account POP3 (in realta’ soltanto da quello privato, visto che quello pubblico sara’ vuoto per via del primo forwarding)
2. Inviera’ emails dall’account default, cioe’ quello pubblico
3. La posta in arrivo sara’ gia’ pulita!! No virus, no spam! E senza software Antispam sul vostro pc! Scaricherete sul vostro pc soltanto i messaggi buoni.
Spamcop vi inviera’ un report giornaliero o settimanale, a seconda delle vostre preferenze, per dirvi quali email sono classificate come spam e rimaste in una cartella di “held” nel vostro account su Spamcop. Potete dunque ripristinare eventuali falsi positivi, e cancellare la robaccia che fortunatamente non avete dovuto scaricare sul vostro pc.

Posta in arrivo, dunque gia’ pulita da Spam e Virus! A proposito di quest’ultimo punto: un ulteriore motivo per cui un Antivirus su Windows e’ inutile in questo genere di configurazione, spiegato in queste righe.

 

Considerazioni finali

E’ chiaro che i primi due punti di questa “guida” richiedono delle conoscenze che di solito non sono bagaglio dell’utente medio, ma vi sarete resi conto che a dispetto della lunghezza di questa sorta di articolo, ci vogliono solo pochi minuti per configurare il tutto su un sistema vergine, e i vantaggi sono molti. In primis:

  • Massima sicurezza nel vostro sistema Windows
  • Massime prestazioni, senza Antivirus/AntiSpyware/Firewall/AntiSpam o quelle graziose bloatware di security suites che uccidono le prestazioni del vostro computer (avete provato la nuova suite di ZoneAlarm, la 7.x? LOL, peggio di Norton )

Spero che abbiate trovato la lettura utile (ci ho impiegato la notte, vado a dormire fra un po’), e che da essa ne nasca una discussione altrettanto utile, con la speranza che la si possa arricchire con nuovi trucchi, accorgimenti, ecc. ecc.
E anche che la folla di persone paranoiche che eseguono addirittura due antivirus, o antispyware, o firewall allo stesso tempo (assurdo!), sparisca.
Questa paranoia e’ semplicemente inutile, e vi porta ad ossessioni che fanno il gioco, e il portafoglio, di molte software house.


Quì si conclude l’ottimo tutorial di Sisupoika 🙂 Nonostante scritto qualche anno fa, è ancora perfettamente attuabile nei sistemi NT 5.x (2000, XP, 2003), dove magari ci sono poche risorse hardware e si vuole risparmiare CPU e RAM del muletto.

Allego gli script:

http://www.yourfilelink.com/get.php?fid=833243

Annunci

Pubblicato il 27 febbraio 2013, in Sicurezza, Sistemi operativi, Software, Tweaking con tag , , , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: