Una delle più importanti innovazioni introdotte da Windows Vista nel campo della sicurezza è Controllo Account Utente (noto anche con l'acronimo UAC, dall'inglese User Account Control), una funzionalità che richiede la conferma dell'utente prima di eseguire operazioni potenzialmente pericolose per la salute del sistema.
Le possibilità di configurazione offerte dal Centro di Controllo di UAC (presente nel Pannello di Controllo) risultano piuttosto limitate sia in Windows Vista che, nonostante alcuni miglioramenti, nel suo successore Windows 7.
Per sopperire a queste limitazioni e fornire agli utenti avanzati un maggiore controllo su UAC, Microsoft ha predisposto anche alcune opzioni avanzate, localizzate nello Snap-in di Microsoft Management Console noto come Criteri di Sicurezza Locale.
Questo componente, assente nelle versioni Home del sistema operativo, raggruppa numerose opzioni relative alle impostazioni di sicurezza del sistema operativo.
In questo articolo vedremo dunque le opzioni relative a Controllo Account Utente presenti in questo snap-in, spiegandone nel dettaglio la funzione. Verrà inoltre dato qualche consiglio su come configurare le varie voci.
Prima di cominciare ricordo nuovamente che questo componente non è disponibile nelle versioni Starter, Home Basic e Home Premium, quindi la procedura descritta di seguito non è applicabile in queste versioni.
La procedura seguente è valida per Windows 7 e risulta applicabile anche su Windows Vista con differenze minime; è tuttavia possibile che alcune voci non siano presenti o abbiano nomi differenti sul sistema meno recente.
Per prima cosa dobbiamo avviare il Gestore dei Criteri di Sicurezza Locali. Per farlo apriamo il menu Start e cerchiamo secpol.msc. A questo punto clicchiamo col tasto destro sulla voce secpol.msc o Criteri di Sicurezza Locali e scegliamo Esegui come Amministratore. Se viene visualizzata una finestra di Controllo Account Utente immettiamo la password e/o confermiamo.
Ora si aprirà la finestra di gestione dei Criteri di Sicurezza Locali.
Per visualizzare le opzioni relative a Controllo Account Utente dobbiamo cliccare su Criteri Locali e poi su Opzioni di Sicurezza.
A questo punto ci troveremo davanti ad un elenco di criteri ordinati in ordine alfabetico. Ci interessano quelli il cui nome inizia con Controllo Account Utente.
Nelle prossime pagine analizzeremo nel dettaglio le varie opzioni disponibili.
Vediamo ora le varie opzioni disponibili, analizzandone la funzione e dando anche qualche consiglio sul come configurarle.
Ricordo che la modifica dei settaggi può comportare la necessità di un riavvio del computer per rendere operative le nuove impostazioni.
Alla richiesta di elevazione passa al desktop sicuro
Questa opzione consente di determinare se visualizzare gli avvisi di UAC sul Secure Desktop, un particolare tipo di Desktop, dove viene visualizzata unicamente la finestra di richiesta di UAC e con il quale nessun'altra applicazione può interferire.
Sebbene sui computer meno performanti questa misura possa causare un rallentamento nella visualizzazione della finestra di conferma, è fortemente consigliabile lasciare questa opzione Attivata, in quanto disabilitarla significa rinunciare ad una importantissima misura di sicurezza aggiuntiva.
Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore
Questa opzione consente di determinare il comportamento di UAC alla richiesta di elevazione dei privilegi per gli amministratori.
Sono disponibili sei opzioni. Vediamole nel dettaglio:
- Esegui con privilegi elevati senza richiedere conferma: Questa opzione consiste sostanzialmente nella disattivazione di UAC per gli utenti amministratori: ogni richiesta di privilegi verrà automaticamente soddisfatta dal sistema operativo senza richiedere conferma. Questa comportamento è equivalente a quello presente su Windows XP e comporta la disattivazione della Modalità Approvazione Amministratore (che vedremo nella prossima pagina);
- Richiedi credenziali sul desktop sicuro: Questa opzione specifica che, al momento della richiesta di privilegi, verrà visualizzata, sul Secure Desktop, una finestra dove inserire la propria password;
- Richiedi consenso sul desktop sicuro: Come sopra, con la differenza che viene richiesta semplicemente la conferma;
- Richiedi credenziali: Come Richiedi credenziali sul dekstop sicuro, con la differenza che la finestra di conferma non sarà visualizzata sul Secure Desktop. La finestra di conferma viene ugualmente visualizzata sul Secure Desktop se il criterio Alla richiesta di elevazione passa al desktop sicuro è impostato su Attivato.
- Richiedi consenso: Come sopra, con la differenza che viene richiesta semplicemente la conferma;
- Richiedi consenso per file binari non Windows: Come Richiedi consenso sul desktop sicuro, con la differenza che la conferma viene richiesta solo per i file che non sono componenti di Windows.
Per quanto riguarda questa opzione le scelte consigliate sono due:
- Richiedi consenso sul desktop sicuro, se siete "maniaci" della sicurezza e non vi crea problemi un maggiore numero di avvisi;
- Richiedi consenso per file binari non Windows, per tutti gli altri casi.
Comportamento della richiesta di elevazione dei privilegi per gli utenti standard
Questa opzione, piuttosto simile alla precedente, consente di determinare il comportamento di UAC alla richiesta di elevazione dei privilegi per gli utenti standard.
Sono disponibili tre opzioni. Vediamole nel dettaglio:
- Nega automaticamente richieste di elevazione dei privilegi: Questa opzione impedisce agli utenti standard di eseguire programmi e operazioni che richiedono privilegi elevati. Se si seleziona questa opzione l'unico modo per usufruire di tali privilegi sarà accedere con un utente amministratore;
- Richiedi credenziali sul Desktop sicuro e Richiedi credenziali: Questa due opzioni corrispondono alle omonime viste sopra;
L'opzione consigliata in questo caso è senza dubbio Richiedi credenziali sul Desktop sicuro.
Consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza utilizzare il desktop sicuro
Questa opzione consente di determinare se le applicazioni compilate con l'opzione UIAccessattivata possono visualizzare le loro richieste di privilegi senza utilizzare il Secure Desktop.
Sebbene la disattivazione di questa opzione possa generare alcuni problemi di compatibilità (in particolare con utilità per l'Accesso Facilitato) è consigliabile non attivarla, in quanto potrebbe ridurre il livello di sicurezza del computer.
Eleva solo file eseguibili firmati e convalidati
Utilizzando questa opzione si può scegliere se consentire l'elevazione di privilegi solo a file eseguibili dotati di una firma digitale valida e attendibile.
Sebbene l'attivazione di questa opzione consenta di migliorare il livello di sicurezza, impedendo l'esecuzione di programmi di provenienza dubbia e quindi potenzialmente pericolosi, purtroppo rende impossibile l'installazione e l'uso di molti software perfettamente leciti che, per vari motivi, non sono firmati digitalmente.
Inoltre, anche lasciando disattivata tale opzione, si viene comunque informati se il programma che richiede i privilegi è firmato digitalmente e da quale autore è edito.
In questo caso sta all'utente decidere come impostare la voce, sulla base dei software che usa abitualmente.
Personalmente, utilizzo abbastanza spesso software non firmati che richiedono i privilegi di amministratore, quindi sul mio computer questa opzione è disattivata.
Esegui tutti gli amministratori in modalità Approvazione Amministratore
Questa opzione consente di configurare il funzionamento della cosidetta modalità Approvazione amministratore.
Prima di vedere come impostare tale voce, è necessario chiarire il concetto alla base di questa funzionalità con una breve spiegazione teorica.
A partire da Windows Vista, gli utenti amministratori, quando effettuano operazioni che non richiedono privilegi elevati, hanno lo stesso livello di accesso al sistema degli utenti normali.
In caso un'applicazione richieda privilegi superiori, viene richiesto di confermarne l'esecuzione, come accade per gli utenti standard, con la differenza che, a meno di configurazioni particolari, non è necessario immettere la password.
In sintesi, gli amministratori sono utenti normali che possono eseguire operazioni "amministrative" senza necessità di inserire una password, ma semplicemente confermando di voler elevare i privilegi.
In termini tecnici si dice che questi sono eseguiti in "Modalità Approvazione amministratore".
Tornando all'opzione in esame, questa consente di scegliere se eseguire tutti gli amministratori in questa particolare modalità.
In caso la si disattivi, il sistema operativo trattera gli amministratori esattamente come in Windows XP.
Personalmente reputo consigliabile lasciare questa opzione Attivata, disattivando magari la successiva, in modo da poter utilizzare l'account Administrator per la "manutezione straordinaria" e un altro utente amministratore per le operazione quotidiane.
Modalità Approvazione amministratore per l'account Administrator predefinito
Questa opzione risulta piuttosto simile alla precedente, con l'unica differenza che la modifica riguarda l'account Administrator, l'utente amministratore predefinito.
In questo caso il consiglio è di lasciare questa opzione Disattivata, ed utilizzare l'account Administrator solo in caso di reale necessità.
Rileva installazione applicazioni e richiedi elevazione
Con questa voce è possibile scegliere se il sistema operativo deve rilevare i programmi di installazione e richiederne automaticamente l'installazione con i privilegi elevati.
A meno di particolari esigenze, è consigliabile lasciare questa opzione Attivata.
Solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri
Questa opzione permette di determinare il comportamente del sistema operativo in caso si tenti di avviare applicazioni compilate con l'opzione UIAccess, che abbiamo già visto nella pagina precedente.
In particolare, attivando questa opzione, solo le applicazioni contenute in percorsi protetti potranno essere avviate con i privilegi che l'opzione UIAccess comporta.
Tra i percorsi protetti troviamo solo le cartelle Program Files e System32 e le relative sottocartelle.
A meno di particolari esigenze è consigliabile lasciare questa opzione Attivata.
Virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente
Questo criterio consente di migliorare la compatibilità di vecchie applicazioni con Controllo Account Utente.
Infatti, attivando questa opzione, i tentativi di scrittura su aree del filesystem e del registro che richiedono privilegi elevati verranno gestiti dal sistema operativo reindirezzando in modo del tutto trasparente tali richieste in un'area differente per ogni utente.
In caso contrario, tali tentativi genererebbero un errore.
Anche in questo caso, a meno di motivi particolari, il consiglio è di lasciare l'opzione Attivata.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati