R: Sicurezza in XP ?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2003 ml@sikurezza.org
Soggetto: R: Sicurezza in XP ?
Mittente: Luca Conte
Data: 6 Nov 2003 12:57:59 -0000

Utilizzare Power Users in un dominio AD non e' proprio quella che si puo'
definire una Best Practice; il gruppo Power Users (risiede nella SAM e non
in AD) puo' essere usato SOLO in Workgroup ed i suoi membri devono essere
trusted con l'Admin locale.
[Fonte: Microsoft]
"...
What are best practices for the Power Users group?
Membership in the Power Users group provides significant administrator-like
privileges, and should only be granted to trusted users. If a malicious user
is given membership in this group, they can cause significant damage, even
without a security vulnerability. Microsoft recommends that customers review
the membership of the Power Users group and ensure that it has the minimum
possible membership and that all members are trusted.

Power Users group
A group whose members can manage accounts, resources, and applications that
are installed on a workstation, stand-alone server, or member server. This
group does not exist on domain controllers. Administrative tasks that can be
performed by members of this group include creating local users and groups;
modifying and deleting accounts that they have created; removing users from
the Power Users, Users, and Guests groups; installing most applications; and
creating and deleting file shares.
..."
[----------------]

Dal mio punto di vista, piuttosto che concedere agli utenti la possibilita'
di condividere risorse (in maniera non controllata dall'amministratore) ti
consiglio di predisporre una cartella centralizzata su un member server e la
condividi con tutti i tuoi Authenticated Users (NTFS) del dominio e la
pubblichi in AD....se poi vuoi approfondire ulteriormente ti consiglio di
leggerti il funzionamento del DFS - Distributed File System (Stand-alone e
Domain-based).
In sintesi gestisci la tua rete come Dominio e non come Workgroup.

Comunque passami l'ovvieta', cioe':
L'utente deve fare l'utente => usa office, stampa, va su internet (il P2P se
lo fa a casa) ecc.
...Se l'utente vuole fare l'amministratore => l'amministratore gli stacca il
cavo di rete! ;-)

Ciao e Buon lavoro
LC




#-----Messaggio originale-----
#Da: Guest3 [mailto:guest3@xxxxxx]
#Inviato: venerdì 31 ottobre 2003 10.42
#A: ml@xxxxxxxxxxxxx
#Oggetto: Sicurezza in XP ?
#
#
#Salve a tutti
#
#mi sto ponendo un problema relativo alla sicurezza della piattaforma
#Windows XP in un Dominio AD e dato
#che non mi ho trovato soluzioni semplici e dato che mi sembra
#strano che
#nessuno si sia gia' posto tale domanda, la giro alla lista.
#
#In XP per poter condividere una directory l'utente deve afferire al
#gruppo "Power Users"; tale privilegio se ne porta dietro pero' molti
#altri, per cui l'utente e' in grado di eseguire operazioni
#privilegiate
#come modifiche alla sicurezza locale, puo' modificare i gruppi locali,
#puo' avviare e fermare processi , ecc.
#
#Utilizzando le ACL il problema non si risolve, perche' se l'utente si
#copia su un supporto rimuovibile il file mmc.exe o altri tool di
#gestione, riesce a bypassare le protezioni tramite ACL.
#
#Dato che penso che la sicurezza informatica non si esaurisca
#nel negare
#servizi ma nel fornirli in maniera il piu' possibile sicura e dato che
#per me uno dei principali  valori aggiunti di usare una
#piattaforma come
#quella Microsoft sta nella facilita' di uso dei servizi di
#rete e quindi
#anche della possibilita' di condividere in maniera immediata
#risorse con
#altri utenti, non mi sembra che disattivare il servizio di
#condivisione
#di risorse in rete sul client XP sia una risposta corretta a questo
#problema.
#Infatti in tale caso mi sfuggirebbe  il senso di adottare un
#client XP a
#livello aziendale, con tutti i costi in termini di upgrade e
#manutenzione che cio' comporta, se poi si e'  costretti ad inibire i
#servizi base che hanno contribuito a quella scelta iniziale; potrei
#chiedermi perche' non usare altri tipi di client (Linux?) di minore
#costo e che forniscono, per le altre funzionalita', servizi
#comparabili.
#
#E' chiaro che a note vulnerabilita', come quelle relative alle
#share di
#rete, ci si deve proteggere con delle misure di hardening opportune
#sulla piattaforma XP, come gia' consigliato da Microsoft stessa.
#
#Qualcuno sa come limitare le  azioni privilegiate consentite ai Power
#User, che sono difficili da impedire ricorrendo ai metodi
#tradizionali,
#come ACL, User Rights ecc., magari tramite ACL opportune su file
#particolari della sicurezza localelocale, in modo che l'utente locale
#Power User non possa modificare l'attribuzione ai gruppi locali, ecc.?
#
#P.S.:Possibile che per usare una delle maggiori "facilities"
#dell'ambiente Microsoft si sia costretti a tanto, in barba a
#sicurezza,
#Group Policy e affini?  ;-)
#
#Saluti alla lista.
#
#


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Sicurezza in XP ?, Guest3

Data:
- precedente: Re: Qmail, pop3/smtp, stunnel on openbsd system, Luca Berra
- successivo: Re: Documentazione allegati ad applicativi, Stefano Zanero
- indice

Argomento:
- precedente: Sicurezza in XP ?, Guest3
- successivo: Documentazione allegati ad applicativi, Fabio
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005