Rv: Sicurezza in XP ?

Il problema da te posto è irrisolvibile. Cioè per attivare una condivisione
smb devi essere almeno un poweruser.
C'è però un modo alternativo di far girare le cose, ovviamente più laborioso
e complicato, che consiste nella creazione di una directory shared da parte
dell'amministratore, che cede poi tutti i diritti all'utente in questione.
In quella cartella in locale l'utente può fare di tutto, quindi può creare
delle nuove directory che saranno poi visibile come share smb all'esterno.
Certo, non è il massimo della elasticità...ma penso sia l'unica alternativa
possibile.
Ciao
--
|| //
||// _|_   kerush@xxxxxxxxxxxxxx
||\\  |    @@@@@@@@@@@@@@@@@@@@@
|| \\


--------- Messaggio Originale --------
Da: ml@xxxxxxxxxxxxx
Per: ml@xxxxxxxxxxxxx <ml@xxxxxxxxxxxxx>
Oggetto: Sicurezza in XP ?
Data: 01/11/03 09:39

>
> Salve a tutti
>
> mi sto ponendo un problema relativo alla sicurezza della piattaforma
> Windows XP in un Dominio AD e dato
> che non mi ho trovato soluzioni semplici e dato che mi sembra strano che
> nessuno si sia gia' posto tale domanda, la giro alla lista.
>
> In XP per poter condividere una directory l'utente deve afferire al
> gruppo &quot;Power Users&quot;; tale privilegio se ne porta dietro pero'
molti
> altri, per cui l'utente e' in grado di eseguire operazioni privilegiate
> come modifiche alla sicurezza locale, puo' modificare i gruppi locali,
> puo' avviare e fermare processi , ecc.
>
> Utilizzando le ACL il problema non si risolve, perche' se l'utente si
> copia su un supporto rimuovibile il file mmc.exe o altri tool di
> gestione, riesce a bypassare le protezioni tramite ACL.
>
> Dato che penso che la sicurezza informatica non si esaurisca nel negare
> servizi ma nel fornirli in maniera il piu' possibile sicura e dato che
> per me uno dei principali  valori aggiunti di usare una piattaforma come
> quella Microsoft sta nella facilita' di uso dei servizi di rete e quindi
> anche della possibilita' di condividere in maniera immediata risorse con
> altri utenti, non mi sembra che disattivare il servizio di condivisione
> di risorse in rete sul client XP sia una risposta corretta a questo
> problema.
> Infatti in tale caso mi sfuggirebbe  il senso di adottare un client XP a
> livello aziendale, con tutti i costi in termini di upgrade e
> manutenzione che cio' comporta, se poi si e'  costretti ad inibire i
> servizi base che hanno contribuito a quella scelta iniziale; potrei
> chiedermi perche' non usare altri tipi di client (Linux?) di minore
> costo e che forniscono, per le altre funzionalita', servizi comparabili.
>
> E' chiaro che a note vulnerabilita', come quelle relative alle share di
> rete, ci si deve proteggere con delle misure di hardening opportune
> sulla piattaforma XP, come gia' consigliato da Microsoft stessa.
>
> Qualcuno sa come limitare le  azioni privilegiate consentite ai Power
> User, che sono difficili da impedire ricorrendo ai metodi tradizionali,
> come ACL, User Rights ecc., magari tramite ACL opportune su file
> particolari della sicurezza localelocale, in modo che l'utente locale
> Power User non possa modificare l'attribuzione ai gruppi locali, ecc.?
>
> P.S.:Possibile che per usare una delle maggiori &quot;facilities&quot;
> dell'ambiente Microsoft si sia costretti a tanto, in barba a sicurezza,
> Group Policy e affini?  ;-)
>
> Saluti alla lista.
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>
>
>
>
>

________________________________________________
Messaggio spedito con [shaduz:MAiL 1.8a]


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List