Eseguire le applicazioni come non amministratore con diritti di amministratore

Per motivi di sicurezza, sia a casa che nelle reti aziendali è opportuno non lavorare con un identificatore sul PC che fa parte del gruppo di amministratori locali. Un attacco da Internet, in questo caso, …

Eseguire le applicazioni come non amministratore con diritti di amministratore

  1. Rivista
  2. »
  3. Articolo
  4. »
  5. Finestre
  6. »
  7. Eseguire le applicazioni come non amministratore con diritti di amministratore

Per motivi di sicurezza, sia a casa che nelle reti aziendali è opportuno non lavorare con un identificatore sul PC che fa parte del gruppo di amministratori locali. Un attacco da Internet, in questo caso, provoca di solito solo danni minori, poiché un hacker o un virus introdotto di nascosto può manipolare solo il profilo dell’utente connesso, ma non il sistema operativo o le applicazioni installate. Nelle reti aziendali, inoltre, si dovrebbe evitare che gli utenti possano installare ulteriori applicazioni o manipolare le impostazioni del sistema operativo a piacimento.

Soprattutto per Windows XP e Windows 2000, su noadmin.de è possibile trovare una soluzione per molte applicazioni la cui esecuzione con un ID non amministratore causa problemi. Tuttavia, alcune applicazioni vengono eseguite solo con i diritti di amministratore, oppure è troppo dispendioso in termini di tempo cercare una soluzione e implementarla in rete su molti client. Se si è connessi come utente semplice, è possibile fare clic con il tasto destro del mouse sul collegamento corrispondente nel menu di avvio e selezionare il comando “Esegui come…” per avviare l’applicazione come amministratore. Questo passaggio viene spesso dimenticato e, soprattutto nelle reti in cui gli utenti del dominio lavorano solo con diritti di utente semplice, è complicato spiegare a tutti gli utenti per quali applicazioni è necessario fare prima clic sul collegamento con il pulsante destro del mouse e selezionare il comando “Esegui come…” per avviare l’applicazione senza errori con diritti estesi. Tuttavia, è possibile fare in modo che quando si fa clic su determinati collegamenti si apra automaticamente la finestra “Esegui come”:

Accedere come amministratore, aprire le proprietà del collegamento di questa applicazione nel menu di avvio e fare clic sul pulsante “Avanzate…” nella scheda “Collegamento”. Nella finestra che si apre, selezionare l’opzione “Esegui con altre credenziali”.

alt

Figura 1: Esegui come…

Se si fa clic sul collegamento, si apre direttamente la finestra “Esegui come”, in cui l’utente deve inserire la password di amministratore.

alt

Figura 2: … dettagli utente

Avvio dei componenti di controllo del sistema come non amministratore

Nessun problema in Windows Vista

Se in Windows Vista si richiama un componente del pannello di controllo per il quale sono necessari i diritti di amministrazione, viene avviato automaticamente il controllo dell’account utente in cui è possibile inserire la password di amministratore. Per esempio, avviate il componente “Account utente” e fate clic su “Gestisci altri account” per verificarlo.

A proposito, è possibile modificare questo comportamento predefinito tramite un criterio di gruppo: A tale scopo, avviare “Pannello di controllo – Strumenti di amministrazione – Criteri di sicurezza locali” e in “Opzioni di sicurezza – Controllo dell’account utente” aprire il criterio “Comportamento della richiesta di sollevamento per gli utenti standard”. Se qui modificate l’opzione “Richiedi informazioni di accesso” in “Rifiuta automaticamente le richieste di elevazione”, un utente non amministratore riceverà in futuro il messaggio “Questo programma è stato bloccato da un criterio di gruppo” quando farà clic sui componenti corrispondenti del pannello di controllo.

A proposito, è anche possibile inserire il comando “gpedit.msc” tramite “Start – Esegui” e aprire così l’editor degli oggetti dei criteri di gruppo. Qui è necessario aprire prima “Configurazione del computer – Impostazioni di Windows – Impostazioni di sicurezza – Criteri locali” per arrivare al criterio “Opzioni di sicurezza – Controllo dell’account utente – “Comportamento della richiesta di sollevamento per gli utenti standard” come descritto sopra.

In Windows XP/2000 è possibile anche

In Windows XP e Windows 2000 è possibile avviare tutti i componenti del pannello di controllo, ma i campi sono grigi e non possono essere modificati da chi non è amministratore. Se si fa clic sul pannello di controllo nel menu di avvio o sui singoli componenti del pannello di controllo con il tasto destro del mouse, si scopre che non hanno proprietà che possono essere modificate. Sebbene sia possibile creare un nuovo collegamento con destinazione “%windir%\system32\control.exe” per avviare l’intero pannello di controllo e quindi modificarne le proprietà, il pannello di controllo non si avvia secondo la procedura descritta sopra se non si è connessi come amministratore.

Tuttavia, esiste la seguente possibilità di avviare i singoli componenti del pannello di controllo con i diritti di amministratore. A tale scopo, creare un nuovo collegamento e specificare il file CPL corrispondente, ad esempio %windir%\system32\sysdm.cpl, per avviare il componente Sistema. Una volta creato il collegamento, aprire le sue proprietà e selezionare innanzitutto un simbolo memorabile per il collegamento nella scheda “Collegamento” tramite il pulsante “Altro simbolo…”. Utilizzare il pulsante “Avanzate…” per attivare l’opzione “Esegui con informazioni di accesso diverse”. È inoltre importante aggiungere il gruppo di sicurezza “Utente” nella scheda “Sicurezza” o almeno l’ID utente dell’utente che sarà poi autorizzato ad apportare le modifiche nel pannello di controllo.

alt

Figura 3: Impostazioni di sicurezza

In Windows XP, spostare il nuovo collegamento in “C:\Documents and Settings\All Users\Startmenu” o in “C:\Documents and Settings\All Users\Desktop”. In Windows Vista, la cartella “C:´Utenti” è ora denominata “C:´Utenti”.
Di seguito è riportato un elenco di alcuni file CPL e del loro significato in Windows XP e Windows Vista:

ACCESS.CPL Accessibilità (solo per Windows XP)
APPWIZ.CPL Software
DESK.CPL Display
FIREWALL.CPL Firewall di Windows
HDWWIZ.CPL Assistente hardware
INETCPL.CPL Impostazioni Internet
INTL.CPL Opzioni regione e lingua
JOY.CPL Controllore di gioco
MAIN.CPL Proprietà del mouse
MMSYS.CPL Suoni e dispositivi audio
NCPA.CPL Connessioni di rete
NETSETUP.CPL Installazione guidata della rete (solo Windows XP)
NUSRMGR.CPL Account utente (solo Windows XP)
ODBCCP32.CPL Amministratore origine dati ODBC
POWERCFG.CPL Opzioni di alimentazione
STICPL.CPL Proprietà dello scanner e della telecamera
SYSDM.CPL Proprietà del sistema
TABLETPC.CPL Penna e dispositivi di input (solo Windows Vista)
TELEPHON.CPL in Windows XP: opzioni telefoniche e modem, in Windows Vista: informazioni di localizzazione
TIMEDATE.CPL Proprietà data/ora
WSCUI.CPL Centro sicurezza di Windows

Affinché l’utente non debba chiedere all’Helpdesk quale sia la password dell’amministratore, è possibile rinominare il collegamento: Ad esempio, rinominare il collegamento “Sistema” in “Avvia il sistema come amministratore con password F+4g#3” o in “Password amministratore di sistema F+4g#3”. È possibile procedere in questo modo anche per facilitare agli utenti l’avvio amministrativo di applicazioni che altrimenti non verrebbero eseguite senza errori.

Problemi di sicurezza in un dominio

Per motivi di sicurezza, è ovviamente problematico dare agli utenti di un dominio Windows la password di amministratore locale. Cosa dovrebbe impedire all’utente del dominio di accedere sempre come amministratore e di installare applicazioni arbitrarie, invece di accontentarsi delle restrizioni di un identificatore che non è membro del gruppo di amministratori locali?

Tuttavia, una dichiarazione firmata da tutti gli utenti può vietare agli utenti di installare applicazioni non autorizzate o di manipolare il sistema in qualsiasi modo. Una violazione può portare a un avvertimento o all’interruzione del servizio. L’amministratore locale, inoltre, non è un membro del dominio e non può accedere ai server e ai loro servizi (sistema di posta elettronica, stampante di rete, directory di gruppo, modelli di documenti aziendali, ecc.) Il lavoro produttivo non è quindi possibile con l’ID dell’amministratore, costringendo gli utenti ad accedere con l’ID dell’utente del dominio.

Soprattutto nelle reti più piccole, ad esempio con Microsoft Small Business Server, spesso non ci sono amministratori di sistema, solo per motivi di costo, che possono attivarsi immediatamente se alcune applicazioni non funzionano senza errori con i semplici diritti utente o se le impostazioni di sistema devono essere modificate ad hoc per consentire un ulteriore lavoro significativo. In questo ambiente, è sicuramente un’alternativa migliore dare all’utente la password di amministratore locale in modo che possa avviare applicazioni specifiche con diritti estesi secondo il metodo descritto sopra, invece di includere l’ID utente nel gruppo degli amministratori locali e quindi lasciare che l’utente lavori con i diritti di amministratore su tutta la linea.

Caratteristiche speciali del controllo utente di Windows Vista

PowerToys di elevazione degli script per Windows Vista

In un articolo, Michael Murgolo, consulente senior per le infrastrutture di Microsoft Consulting Services, presenta alcuni PowerToys per l’elevazione degli script da lui creati per superare le limitazioni causate dal Controllo dell’account utente durante l’esecuzione degli script.

Lo strumento elevazione può essere utilizzato per lanciare applicazioni che richiedono all’utente di elevare i privilegi dell’utente tramite una riga di comando, uno script o la finestra di dialogo Esegui. Ad esempio, con il seguente comando, aprire il file “win.in” dopo la richiesta di elevazione nell’editor: elevate notepad c:\Windows\Win.ini

Per la maggior parte dei tipi di script di Windows, non esiste l’opzione “Esegui come amministratore” quando si fa clic con il pulsante destro del mouse sul file in Esplora risorse. PowerToys Elevate HTML Application, Elevate Windows PowerShell Script ed Elevate WSH Script aggiungono l’opzione “Esegui come amministratore” al menu contestuale di Explorer rispettivamente per i tipi di file HTA, Windows PowerShell e Windows Script Host.

Lo strumento ElevateMSI.inf clona le azioni standard per i pacchetti di Windows Installer (file msi) e i file di patch associati (file msp) in modo che l’opzione del menu contestuale “Installa come amministratore” sia disponibile per i pacchetti e l’opzione “Applica patch come amministratore” per le patch.
Altri strumenti gratuiti presentati nell’articolo sono CMD Prompt Here as Administrator e PowerShell Prompt Here as Administrator.

Potete trovare l’articolo qui.

Tutti i PowerToys presentati nell’articolo sono disponibili nell’area di download del codice all’indirizzo: technetmagazine .com/code07.aspx

Leggete anche il post del blog Scripting Elevation su Vista

Controllo degli utenti
Ma anche se si aggiungono singoli utenti o uno speciale gruppo di sicurezza di Active Directory di un dominio al gruppo degli amministratori locali, è possibile limitare nuovamente le loro autorizzazioni, ad esempio con User Control. Questo shareware funziona in Windows 2000, XP, Vista, 2008 e Windows 7 e consente di impostare varie restrizioni nel sistema per gli utenti. È possibile utilizzare un filtro software per determinare quali programmi l’utente può o non può eseguire. Esiste un filtro per i siti web, un filtro per Internet, una protezione per il desktop e altri ancora. Per saperne di più, visitate WinTotal.

Su WinTotal sono già disponibili alcuni suggerimenti sulle caratteristiche speciali del Controllo dell’account utente (UAC) di Windows Vista:

Attivare l’account amministratore in Vista
L’articolo descrive la differenza tra amministratori reali e ristretti e mostra come attivare l’amministratore reale, che è disattivato per impostazione predefinita.
Se si desidera disattivare l’UAC per gli amministratori ristretti, leggere l’articolo Disattivare o modificare il controllo dell’account utente.

Disattivare e riattivare il Controllo dell’account utente
L’articolo mostra diversi modi per disattivare e riattivare il Controllo dell’account utente.

Per disabilitare il Controllo dell’account utente è possibile utilizzare anche il programma gratuito TweakUAC, ma dopo aver letto l’articolo precedente non è più necessario utilizzare questi strumenti.

Se volete saperne di più su come funziona il Controllo dell’account utente, potete trovare diversi articoli sui forum web di Microsoft:

  • Il controllo dell’account utente di Windows Vista
  • Con il Controllo dell’account utente, i programmi senza diritti di amministratore non sono più un sogno.
  • Controllo dell’account utente per i professionisti IT
  • Windows Vista per gli sviluppatori: Requisiti per lo sviluppo di applicazioni Windows Vista per il Controllo dell’account utente

Articoli correlati