www.MegaLab.it

[cippico]

se non ho capito male in caso di uac disabilitato questa modifica abiliterebbe un controllo in caso di installazione software senza certificato...
avbvisa anche in caso di intrufolamento malware e cose simili?

grazie e ciaooo

[sampei.nihira]

Non proprio, non è un controllo, è un impedimento.
Ogni sw non firmato (Chromium,VLC,LibreOffice,OpenOffice......) oppure a cui è stato modificato l'IL di default (io ad esempio ho modificato l'IL di Sumatrapdf) non potrà essere eseguito/installato/aggiornato (quindi nell'account Standard) con privilegi amministrativi.

Ci siamo ?

[cippico]

capito...
pensavo venissero anche intercettate eventuali installazioni di porcherie durante navigazione tipo malware o altro...

grazie e ciaooo

[sampei.nihira]

capito...
pensavo venissero anche intercettate eventuali installazioni di porcherie durante navigazione tipo malware o altro...

grazie e ciaooo

Si infatti.
Anche un eventuale malware non firmato non potrà installarsi nel sistema anche se fosse eseguito dallo stesso utente del pc.
Ma sopratutto, ripeto ancora, se si usano sw non firmati in presenza di questa modifica questi non potranno essere vettore di infezione.
Esempio.
Io uso Sumatrapdf per aprire un file pdf malevolo (ma io non sospetto che sia malevolo) in rete.
Questo file malevolo è stato scritto per sfruttare un bug del sw da remoto.
Ed è perfino in grado di bypassare lo UAC.
Al momento dell'elevazione dei privilegi,se il mio Sumatrapdf ha una firma non valida,l'operazione di installazione (che sfrutta il sw come mezzo di installazione) che sarebbe silente (almeno a livello UAC) per ogni altro utente nel mio caso viene interrotta dal pop-up a video del deny elevation of unsigned programs che mi notifica ciò.

Se io non stò facendo nulla che navigare è ovvio che dico.....guarda che c...la mia configurazione di sicurezza ha bloccato sul nascere un tentativo di installazione.

Poi è ovvio che magari ci possono essere degli stop/impedimenti altrove.
Antivirus,UAC,sandbox,........

[developerwinme]

http://www.ilsoftware.it/articoli.asp?t ... l-top_9162

http://www.av-test.org/en/tests/home-user/julaug-2012/

Interessante graduatoria, che premia Kaspersky sia nel settore free (ZoneAlarm ha il motore di Kaspersky) che in quello paid.

[sondlive07]

http://www.ilsoftware.it/articoli.asp?tag=Antivirus-ed-antimalware-a-confronto-quali-i-nomi-al-top_9162

http://www.av-test.org/en/tests/home-user/julaug-2012/

Interessante graduatoria, che premia Kaspersky sia nel settore free (ZoneAlarm ha il motore di Kaspersky) che in quello paid.

sbaglio io oppure manca comodo ???

[devicepenguin]

Tutto chiaro tranne questa cosa:
La modifica "deny elevation of unsigned programs" è appunto una modifica al valore di registro (come amministratore)

Io dallo screen ne vedo più di una di modifiche al registro

[sampei.nihira]

E' quella in blu.

[devicepenguin]

Con questa modifica al registro ogni sw non firmato non potrà a priori subire l'elevazione dei privilegi.
L'avviso a schermo che blocca l'operazione è un pop-up abbastanza anonimo che in questo momento non posso inserire quì perché non dispongo del pc nuovo.
Comunque dice che il server ha restituito un riferimento (o cose simili).

Eccolo qua il messaggio a cui ti riferisci http://yfrog.com/722012092113h4222p

Ora (per favore) mi spieghi con calma e in dettaglio come faccio quando sono sicuro che un software è ok e lo voglio installare?

(Va da se che poi deve anche funzionare correttamente)

[sampei.nihira]

Quando il sw è firmato non ci sono problemi usi la normale procedura la modifica al registro non influisce in alcun modo.
Quando il sw non è firmato devi per forza di cose rimodificare il valore di registro (altrimenti ottiene il pop-up di errore che hai riportato) poi installarlo e poi ovvio cambiare nuovamente il valore.

Ma mentre ciò di cui sopra è cosa banale qualche caso limite si presenta in fase di aggiornamento di un sw che è firmato.
Spesso accade che la nuova ver del sw necessita di una rimozione della ver precedente.
E magari ti ritrovi che mentre l'installer sai che è firmato,l'unistaller non lo sia !!
E quindi devi per forza di cose modificare il valore del registro.

Come conosci i sw firmati da quelli non firmati ?
Con l'esperienza,l'uso del deny elevation,ed anche e sopratutto, se vuoi verificare per i tuoi sw installati la firma, non dobbiamo dimenticare anche l'uso di uno strumento quale Process Explorer.

Quindi se la procedura di installazione procede spedita non avrai alcun problema.
Può accadere in qualche caso che la procedura di installazione si interrompa e si visualizza il pop-up solito e tu quindi devi annullarla e procedere alla modifica del valore di registro.
Ovvio che poi sai che quel sw necessita del valore di default al registro e quindi successivamente prima di installare/aggiornare procedi alla modifica del registro.

[sampei.nihira]

Se non vado errato per l'orario dalle 19:00 di oggi è disponibile (quindi aggiornate) la patch del recente problema ad I.E.

_______________________________________________________________________________

Stò aspettando la risposta al mio quesito di Eraser e soci su ITSec all'articolo su Chrome ed i sandbox.
Sempre che rispondono......prima o poi !!

[devicepenguin]

Quando il sw è firmato non ci sono problemi usi la normale procedura la modifica al registro non influisce in alcun modo.
Quando il sw non è firmato devi per forza di cose rimodificare il valore di registro (altrimenti ottiene il pop-up di errore che hai riportato) poi installarlo e poi ovvio cambiare nuovamente il valore

..e quindi credo che ci vuole un riavvio del sistema ogni volta (?)

Con l'esperienza,l'uso del deny elevation

questo , è un altro aspetto che poi mi piacerebbe capire meglio come funziona (ma capiamo una cosa per volta )

Interessante

[devicepenguin]

Un altra cosa che mi sono dimenticato di chiedere.
Quella 'modifica' è possibile farla anche per XP?

[sampei.nihira]

Quando il sw è firmato non ci sono problemi usi la normale procedura la modifica al registro non influisce in alcun modo.
Quando il sw non è firmato devi per forza di cose rimodificare il valore di registro (altrimenti ottiene il pop-up di errore che hai riportato) poi installarlo e poi ovvio cambiare nuovamente il valore

..e quindi credo che ci vuole un riavvio del sistema ogni volta (?)

Con l'esperienza,l'uso del deny elevation

questo , è un altro aspetto che poi mi piacerebbe capire meglio come funziona (ma capiamo una cosa per volta )

Interessante

Nessun riavvio del sistema.
Fai la modifica al registro,installi e rimodifichi.
Per l'altra domanda ti metto un immagine di PE con la verifica della firma (io solitamente non uso quest'impostazione per il fatto dell'esperienza che scrivevo),dove ti ho messo i pallini gialli vedi come si presentano i sw firmati da quelli non firmati:

[sampei.nihira]

Un altra cosa che mi sono dimenticato di chiedere.
Quella 'modifica' è possibile farla anche per XP?

Con Xp potrebbe essere interessante bloccare i download da I.E. (ovvio se non si usa mai) con il trick 1806.

[devicepenguin]

Nessun riavvio del sistema.
Fai la modifica al registro,installi e rimodifichi

Ok,poi provo (credevo che quando si mette mano al regedit bisogna sempre riavviare per rendere effettive le modifiche)

Con Xp potrebbe essere interessante bloccare i download da I.E. (ovvio se non si usa mai) con il trick 1806

Si,sicuramente sarebbe da impostare sui computer dove l'utente deve solo navigare ,impedendogli appunto di fare download (anche se non conosco il trick 1806 )

Però io chiedevo se quella modifica funziona anche su XP la dove l'utente non scaricherà il file facendo download,ma avendolo giù sul computer,oppure inserendo una usb ,poi passa il software sul PC e da li tenterebbe di installarlo.

[sampei.nihira]

Nessun riavvio del sistema.
Fai la modifica al registro,installi e rimodifichi

Ok,poi provo (credevo che quando si mette mano al regedit bisogna sempre riavviare per rendere effettive le modifiche)

Con Xp potrebbe essere interessante bloccare i download da I.E. (ovvio se non si usa mai) con il trick 1806

Si,sicuramente sarebbe da impostare sui computer dove l'utente deve solo navigare ,impedendogli appunto di fare download (anche se non conosco il trick 1806 )

Però io chiedevo se quella modifica funziona anche su XP la dove l'utente non scaricherà il file facendo download,ma avendolo giù sul computer,oppure inserendo una usb ,poi passa il software sul PC e da li tenterebbe di installarlo.

Non ho ben capito cosa hai scritto sopra ma non avevo risposto per dar modo di "pensare".
Secondo me è un po' "deleterio" rispondere ad ogni quesito degli utenti,perché non dà loro modo di trarre conclusioni.
Ma vedo che lo riproponi quindi ritengo che "devo" rispondere.

No,non funziona.

[sampei.nihira]

Uff...che giornata oggi ed io volevo "rilassarmi" un po' !!

E' un vero peccato che un browser come Chrome non consenta una disattivazione del redirect automatico.
Ho provato velocemente un estensione:

https://chrome.google.com/webstore/deta ... iojd?hl=it

ma ammetto che proprio non l'ho capita !!

[devicepenguin]

No,non funziona

Ok grazie. E un trip simile per XP non lo conosci?

[sampei.nihira]

Premessa

XP è un OS che sarà pensionato nel 2014.
Solitamente è installato in macchine dalle caratteristiche hardware old.
Chi usa oggi XP in sicurezza (trà cui ci sono io) sarà una percentuale di popolazione mondiale infinetesimale..........perché ?
perché è un OS vecchio.
Ti faccio un esempio paragonandolo alle auto.

Se tu prendi un auto di diversi anni fà ha gli accorgimenti di quelle moderne ?
No e nemmeno è conveniente/fattibile inserirli è più utile cambiare auto.
Ciò non toglie che la guida di alcune auto d'epoca sia interessante.
Ti faccio un esempio nell'esempio.
Io sò guidare la Lancia Ardea di mio cugino.
Ha la guida a destra e devi cambiare con la mano sinistra ovvio occorre saper fare la doppietta in questa operazione.
Io ho preso la patente C proprio con un camion con queste caratteristiche, e prima ancora guidavo la 500 di mia madre.

Ma quante persone saranno (oggi) in grado di guidare in sicurezza un'auto dalle impostazioni così diverse da quelle odierne ?
Converrebbe modificarla per adattarla alla guida di un neopatentato odierno ?
No,anzi sarebbe "un crimine" !!!

Vedi io per XP la penso allo stesso modo.
Ciò non toglie che sia possibile usarlo in sicurezza senza pretendere troppo da un OS "così anziano".
La cosa migliore da fare per chi usa XP è quella dell'account limitato,il sw più evoluto che implementa ciò è quello sotto:

http://www.dedoimedo.com/computers/surun.html

un'altra possibilità è data dalla limitazione dei privilegi solitamente associata al browser ma anche ad alcuni sw specifici:

http://www.ilsoftware.it/articoli.asp?t ... dotti_2816

ed io uso questa impostazione.
Ed ancora la possiamo ritrovare in alcuni sw odierni (tipo SandboxIE) ed io uso anche questo sw come credo ormai sia cosa conosciuta.

Ma come per l'esempio dell'auto precedente,quanti utenti odierni saranno in grado di usare oggi, XP, specie con le caratteristiche di sicurezza
sopradette ?

Ciò non toglie che per me, come per l'Ardea dell'esempio sopra, usare XP riserva ancora delle soddisfazioni.