come forse saprete per quanti sforzi facciano quelli della Microsoft, windows è ancora in sicuro se paragonato ad altri sistemi operativi come MAC o Gnu/linux.
I perché sono molteplici ma principalmente perché per l' usabilità hanno deciso di dare in mano all utente i permessi di poter far tutto (di amministrazione insomma), ma questo significa che qualsiasi cosa in autoplay prende i permessi dell' utente attivo e quindi diventa amministratore del sistema.
Il plug and play, l' esecuzione automatica, i file .inf sono tutte cose che facilitano l' utente ma in questo modo facilitano anche l' ingresso e la propagazione di malware (virus, trojan, key logger, password stealer, etc..)
Questa guida che andrò ad illustrare permetterà di difendere molto meglio windows 7 rendendolo praticamente immune ai virus e simili.
Un pò come Linux.
Account amministratore
In fase di installazione di windows 7, windows vi chiede di creare un account di default che sarà amministratore del sistema. Non tutti sanno però che windows già dispone di un account amministratore nascosto al suo interno.
Di default quest' ultimo non è raggiungibile ma appare in modalità provvisoria o dando appositi comandi.
Non solo di default questo account amministratore qui è privo di password, quindi diventa anche una falla di sicurezza, in quanto un utente malintenzionato se ha accesso fisico al vostro pc potrebbe accedere in provvisoria e modificare tutto, cambiare la password al vostro altro account, rimuoverla,etc.. il tutto senza permessi.
Quindi per proteggersi da questo attiviamo questo account nascosto rendendolo sempre visibile ma poi mettiamoci una password robusta (ma non troppo lunga, dopo spiegherò perchè).
Per attivarlo aprite il command.com (o command.exe) con i permessi di amministrazione.
Ctrl+shift+click sull eseguibile oppure tasto destro esegui come amministratore e scrivete: net user administrator /active:yes oppure
Cliccare sul menù start e digitare secpol.msc nella barra di ricerca. Premere invio. Questo aprirà il Local Security Policy;
Navigare in Local Policies-> Security Options. Cercare la voce Accounts: Administrator account;
Fare doppio click sulla voce per attivare o disattivare l’account.
Ora non vi resta che riavviare.
Account standard
Sono definiti così in windows quelli account privi dei permessi di amministrazione. Se è necessario fare una qualche opzione da amministratore e non vi sono account amministratori nel pc sarà impossibile farla, ma se c' è anche solo un account amministratore e noi proviamo ad eseguire quell' istruzione da utente limitato allora lo UAC ci chiederà di inserire la password (se presente) di uno degli account amministratori della lista, facendoci scegliere anche di quale.
Ora con quanto detto qui e sopra avrete capito cosa dovete fare, ma lo spiego meglio. Dopo aver attivato l' account amministratore, modificato il vostro account mettendolo come utente standard, rimuovetegli pure la password (basta che sia presente nell' altro) e impostate UAC per avvertirvi sempre (livello paranoico).
A questo punto riavviate, noterete che vi chiederà con quale dei account entrare o con administrator (protetto da password) o con il vostro. Entrare sempre con il vostro lasciando perdere quello administrator. Ogni volta ora fate un azione che non sia copiare,spostare o muovere il file nella propria home, interverrà UAC chiedendo la password dell account administrator (o amministratore) per farla.
Ecco perché vi consigliavo una password robusta ma non troppo lunga
Abbiamo quindi replicato il sudo di Linux. Ottimo sistema di sicurezza che protegge i sistemi Gnu/linux.
sudo fa si che l' utente sia sempre standard e privo di privilegi per poi richiedere una password di amministrazione quando bisogno e vi eleva i permessi. Il doppio account administrator-limitato con uac al massimo fa la stessa cosa
sudo tuttavia fa anche altro, può far girare qualsiasi programam con i massimi permessi, per farlo su windows possiamo fare ctrl+shift+click sull exe del programma (non so se funziona anche premendo i file .lnk) o tasto destro-> esegui come amministratore
Attenzione
Rimuovere l' account amministratore lasciando il vostro di default a limitato causerà un blocco del pc, in quanto non potrete fare niente. Per risolvere dovreste entrare in provvisoria così riappare l' account administrator, rimettere il vostro amministratore e rifare tutta questa operazione decentemente
E' altresi possibile impostare il logon automatico sull utente standard, in modo che non dobbiate ogni volta scegliere
Permessi
Oltre a sudo sui sistemi Unix (quindi GNU/Linux e Mac) un sistema di sicurezza è il sistema dei permessi. Ogni file e cartella ha una serie di permessi vari per singolo utente, gruppi di utenti o proprietario del file. Non tutti sanno che anche windows ha un sistema simile benché la gestione dei gruppi di windows sia più complessa (ma per l' uso di casa non necessaria), la gestione dei permessi dei singoli utenti di file e cartelle permette dei giochi interessanti.
Una volta che avete creato il doppio account dall account amministratore modificate tutti i permessi di tutti i file e cartelle di windows lasciando i permessi di scrittura/lettura/modifica dell utente standard solo nella sua home, in cui provvederete a fare i collegamenti degli eseguibili che vi necessitano.
Di sicuro rimuovete i permessi di scrittura in c:\windows\system e system32 a questo utente
Attenzione
Questa parte la ho sperimentata ancora poco, non sono sicuro che possa aprire un collegamento che punta ad una parte dove l' account in questione non ha permessi. Penso che non avendo permessi intervenga UAC ma non ne sono ancora sicuro, quindi per ora usatela come prof of concept
File auto-eseguibili
Un altro pecca di windows è che per facilitare l' utente qualsiasi file è automaticamente eseguibile di default, quindi anche file come immagini sono in realtà eseguibili. Questo crea una falla nel sistema, perché permette conoscendo le eventuali falle di programmi di iniettare in loro codice malevolo e usarli come strumenti di attacco. Su Gnu/linux infatti tra i permessi che si possono dare ad un file c' è quello dell eseguibilità. Purtroppo su windows questa cosa manca e non c' è modo di replicarla. Ecco un altro sistema di sicurezza che usa GNU/LINUX per cui lo rende più sicuro
File di autorun
Spesso in supporti esterni come chiavette usb, hard disk esterni,cd per windows esistono file che specificano cosa fare appena il sistema legge tale file. Questi file, normalmente chiamati autorun (non mi ricordo l' estensione, forse inf) sono un eventuale falla di sicurezza. Eventuali virus possono modificare l' autorun di una chiavetta ed installarcisi dentro, voi attaccate la chiavetta e.. il gioco è fatto, siete già infetti. Vi consiglio pertanto di creare i cd privi di questa funzione, nelle vostre chiavette appena ottenute di riformattarle in fat32 (o NTFS se usate file maggiori di 4 GB), i vostri hard disk esterni riformattati in fat32 (anche qui NTFS se usate anche un solo file maggiore di 4 GB), in modo da epurarli della robaccia che gli installatori ci mettono dentro, privarli di ogni funzione automatica di auto start e renderli pienamente compatibili con tutti i sistemi operativi.
Un altro modo potrebbe essere disattivare l' autorun di tutti i componenti tramite chiave di registro. Per farlo aprite il registro di sistema (windows logo+r, scrivete regedit e date invio) sfogliate il registro fino a raggiungere la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping ed aggiungete una nuova chiave chiamata Autorun.inf. Modificate il valore (predefinito) facendo doppio click e dandogli valore “@SYS
oesNotExist” (senza virgolette). Chiudete, riavviate… ed avete disabilitato per sempre l’autorun.infSe decideste di voler abilitare nuovamente l’autorun.inf, basta cancellare la chiave precedentemente creata.
Fonte : windows7 , Ci ho messo 30 minuti a metterla a posto rispetto
