Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

Giuliastro — Mon, 26 Mar 2007 10:31:41 GMT

Io continuo a pensare che questo automatismo non sia propriamente una novita', Feliciano. Linux gia' da anni utilizza questo sistema, le distribuzioni basate su Debian implementano questa caratteristica con i cosiddetti "sudoers", mantenuti all'interno di un file di configurazione che definisce con esattezza chi puo' fare e cosa puo' fare, obbligando, nella sua configurazione minimale, l'utente ad inserire la propria password prima di poter eseguire azioni protette.

La differenza forse consiste nel fatto che, nel caso di Linux, il sistema e' parecchio piu' versatile e configurabile. Ti faccio delle domande: e' sufficiente come procedura di sicurezza chiedere una conferma prima di lasciar eseguire ad un utente operazioni da amministratore? E' possibile con Vista distinguere le operazioni da poter eseguire attraverso UAC e quelle invece affidabili o fare distinzioni per tipo di utente o stabilire addirittura delle password?

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

Feliciano Intini — Wed, 28 Mar 2007 19:01:41 GMT

Per quel che so io (purtroppo -ancora- poco), i "sudoers" abilitano appunto la possibilità di delegare l'uso dei privilegi di root ad altri utenti, ok in modo granulare, ma 1) non mi sentirei di parlare di automatismo quando si tratta di modificare a manina un file di configurazione, e in più rispetto ad un set statico di utenti e programmi, che deve comunque decidere a priori l'amministratore 2) l'UAC, come detto, fa anche una restrizione in senso opposto, confinando all'uso di un security token non privilegiato anche quando sei loggato come amministratore. E non ho ancora postato sugli aspetti di virtualizzazione ...

Sulla prima domanda: credo che la sicurezza sia legata al livello di "trust" nei confronti del codice/comando che si va a lanciare (ma questo è un tema diverso e fa leva su controlli diversi), noi invece stiamo confrontando strumenti che aiutano ad evitare l'abuso di privilegi amministrativi. Nella seconda domanda mostri di gradire la granularità/flessibilità nel controllare e delegare l'esecuzione dei programmi, ma questa gestione è comunque subordinata all'attività dell'amministratore, non integrata nel sistema e ad esso delegata. Sono modi diversi, e a mio personale parere, adatti a scenari diversi: ribadisco che lo UAC nasce per condurre le brutte abitudini che si sono sviluppate nel tempo sulla piattaforma Windows da parte di utilizzatori, amministratori e sviluppatori, verso un nuovo modo di utilizzare, amministrare e programmare che usi con parsimonia i privilegi per ridurre il rischio.

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

Giuliastro — Wed, 04 Apr 2007 11:17:31 GMT

Capisco il punto. Ma se mi parli di cattive abitudini secondo me l'UAC di Vista non contribuisce a limitarle. L'utente tipico si ritrova a premere "si'" all'UAC piu' volte a sessione, quanto ci mette secondo te a farla diventare un'abitudine facendo perdere del tutto il senso all'operazione?

Se ci riferiamo ad un utente esperto, conscio ed attento dei danni che puo' fare allora e' sicuramene piu' utile un sistema piu' versatile e configurabile come quello di Linux. Se invece il target e' l'utente medio che ha la sola necessita' di usare il suo PC allora secondo il mio parere l'UAC di Vista si riduce ad una mascherina sulla quale bisogna premere "si'" ogni volta per poter continuare a lavorare.

Sicuramente sto parlando di un sistema ancora poco noto e testato, arrivato in ritardo e per ultimo. Spero solo che l'UAC prenda perche' funzioni e non solo perche' e' Microsoft a spingerlo.

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

Alberto — Sat, 07 Apr 2007 05:10:43 GMT

A scoppio ritardatissimo (impegni vari) mi aggiungo anch'io)

Continuo a dire: il problema non è 'sto benedetto UAC, bensi la cosiddetta modalita protetta.

Sulla mia linux box ho la mia utenza normale che non ha possibilità di scrittura da nessuna altra parte che non sia la propria home; non ha permessi di esecuzione per la gran parte dei comandi di sistema (compreso shutdown).

Questa modalità protetta in Vista è abbastanza protetta da impedire di seminare l'intero filesystem di ospiti sgraditi, di attivare servizi all'insaputa dell'utente, di caricare all'avvio ospiti indesiderati ecc. ecc, di cancellare intere directory da c:\programmi per disinstallare un applicativo? Se si, tanto meglio, l'UAC ha una sua funzione; ma se alla fine la modalità protetta non impedisce queste cose,l'UAC è semplicemente uno specchietto per le allodole, buono solo a nascondere le magagne di un sistema bacato (nel senso comune termine) in partenza.

Vederemo

Ciao

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

Feliciano Intini — Mon, 23 Apr 2007 19:19:43 GMT

Della serie "meglio tardi che mai":

per Giuliastro: la mia personale esperienza di frequenza con la richiesta di innalzamento di privilegi è diversa dalla tua; a me adesso, nel caso peggiore, mi capita un paio di volte nelle 10 ore di lavoro medie al giorno. La conferma con il "Sì" e non con la richiesta di credenziali avviene poi se sei ancora amministratore, e abbiamo detto che non si dovrebbe più avere la necessità di lavorare in tale modalità (superato il periodo iniziale di setup del PC). Non credi di mostrare nelle tue parole un leggero preconcetto nei confronti di Vista ?... :-)

Per Alberto: la modalità protetta funziona fornendo all'utente un token privato dei privilegi amministrativi, quindi di fatto è come se tu fossi loggato come un utente normale anche se sei entrato come amministratore.

Per entrambi: sono d'accordo che il tempo ci aiuterà a capire la bontà dell'UAC, ma nel tempo si può avere anche tempo di migliorarlo, no ?

Ho scoperto un modo per entrare in casa mia senza chiavi ...

Security Blog di Feliciano Intini — Thu, 19 Jul 2007 15:13:26 GMT

... il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni

Nuovo esempio di Trojan mascherato da finto aggiornamento di Microsoft

Security Blog di Feliciano Intini — Tue, 22 Jan 2008 18:38:05 GMT

Inoltro al volo la segnalazione dell'amico Renato (che ricordo essere, assieme a Giorgio, parte del mitico

re: Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

ABCcletta — Thu, 17 Apr 2008 16:58:43 GMT

Concordo assolutamente con quanto scrivi. Vorrei aggiungere che i paragoni con sudo e più in generale con i sistemi Linux vanno ponderati a seconda della situazione. In particolare va considerato che la gestione privilegi di Linux è rimasta praticamente immutata, cosa che ha portato gli sviluppatori a creare software seguendo determinate regole.

Su Windows la situazione è molto differente. Gli sviluppatori si sono erroneamente avvantaggiati di una situazione di per se infelice (la gestione privilegi non era un granchè) e questo trend ha portato ai problemi attualemente riscontrabili. Da qui la creazione di UAC.

Personalmente, per il tipo di utilizzo che faccio del pc ho preferito disattivarlo e avvantaggiarmi degli integrity level di Vista diversamente con PsExec di Russinovich e ICACLS. In particolare le applicazioni a rischio vengono eseguite con uno user differente e con integrità bassa, avendo cura di settare le directory in cui è necessario il permesso di scrittura (profilo firefox, file ricevuti msn, etc.) ad integrità bassa.

Windows 7 Security: come migliorerà lo User Account Control

Security Blog di Feliciano Intini — Fri, 28 Nov 2008 15:48:39 GMT

Non so quanti di voi l'abbiano già letto, ma questo post che vi segnalo del blog " Engineering Windows

Windows 7: lo User Account Control modificato dopo il feedback degli utenti

Security Blog di Feliciano Intini — Wed, 18 Feb 2009 03:13:08 GMT

Nei giorni scorsi non si parlava d'altro rispetto al tema Windows 7 Security : le frasi sulla bocca di