Come rendere più sicuro il sistema dalle intrusioni

Spesso quando si tratta il tema della sicurezza informatica si è portati a pensare che l’unica strada percorribile passi per l’installazione di programmi esterni come Firewall, Hips e simili. Questo sostanzialmente è vero ma non bisogna dimenticare che alla base di tutto, ancor prima forse dei Firewall, dovrebbe esistere una configurazione della macchina e delle policy che permetta al sistema di rispondere in maniera adeguata agli attacchi esterni.

Servizi, policy e registro di sistema devono subire quindi “radicali” irrobustimenti. Windows permette queste modifiche e configurazioni intervenendo sul blocco dei servizi, degli activeX e, come dicevamo, con modifiche mirate al cuore del sistema, il registro, di aumentare notevolmente la stabilità e la sicurezza del sistema stesso.
Questo non vuol dire che i vari sistemi di sicurezza sono inutili, ma significa che una corretta gestione della macchina sin dai livelli più bassi del sistema ci permette di ridurre il carico di lavoro che i Firewall devono fare per mettere in sicurezza il computer. Insomma, possiamo affermare che il setup di cui sopra costituisca un ulteriore mattone per quel muro di difesa che dobbiamo erigere fra noi e la rete esterna.

La costruzione di questo ulteriore tassello di sicurezza passa, ma soprattutto inizia, da una corretta configurazione dei servizi. In Windows esistono servizi (quindi porte aperte verso l’esterno) che in tutta sincerità oltre che essere inutili, hanno almeno in passato costituito una grave minaccia per la privacy e la sicurezza degli utenti. Avremo modo di parlare in maniera più approfondita di questo aspetto, ma giusto per fare ora qualche esempio potremmo accennare al protocollo DCOM. Un protocollo, in precedenza conosciuto con il nome di OLE, che consente ai componenti software di comunicare direttamente su una rete. Tale protocollo è stato in un recente passato sfruttato pesantemente dal worm Blaster per diffondersi in rete e causare enormi danni.

“Ok dai ho capito, ho fretta. Da dove inizio a mettere le mani?”

Calma calma, in informatica, ma non solo, la fretta è cattiva consigliera. Bisogna procedere per gradi, ponderare bene le scelte che si fanno, valutare il rapporto rischi/benefici, ma soprattutto pensare bene a quello che si sta per fare.
Tutte le operazioni che si fanno su un pc, così come quelle che vedremo di seguito, possono essere potenzialmente pericolose, specie quando si interviene sul registro.

E’ buona norma quindi, prima di operare in tal senso, avere una copia di backup generale del sistema (immagine disco). Se non disponete di un software in grado di generare copie di sicurezza come le iso del disco, abbiate almeno l’accortezza di eseguire un salvataggio del registro di sistema. Nel caso che qualcosa non vada a buon fine, i danni al pc potrebbero arrivare a fino al punto di dover installare nuovamente il sistema operativo. Tenete quindi a portata di mano il cd originale d’installazione.

Fatte queste opportune considerazioni siamo pronti per iniziare.

Per cominciare a mettere mano al nostro sistema iniziamo innanzitutto dai servizi. Per fare questo andiamo nel pannello di controllo > strumenti di amministrazione > Servizi. Oppure accediamo più semplicemente da start > esegui e digitiamo services.msc

Bene, ora siamo arrivati nel pannello dei servizi.Scorriamo fino a trovare la voce

Registro di sistema remoto : Questo servizio permette ad un utente remoto di modificare il nostro registro di sistema. Se il servizio viene disabilitato il registro potrà essere modificato solo dall’amministratore del pc, cioè noi. Se non fosse già disabilitato, blocchiamo subito questo inutile e pericoloso servizio. Per farlo clicchiamo due volte sul nome del servizio. Si aprirà una finestra come quella in figura.

Alla voce “tipo di avvio” impostiamo la voce “Disabilitato“. Alla voce stato del servizio clicchiamo su arresta e poi su ok.

Servizio Server : Questo servizio supporta la condivisione in rete di file, stampa e named-pipe per il computer in uso. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili.
Per un pc singolo questo servizio si può tranquillamente disattivare. Come indica il nome, svolge tutte le funzioni tipiche di un server di rete, quali il routing, la gestione di e-mail e domini: le piccole reti domestiche ne necessitano comunque per la condivisione di file e stampanti. Disabilitare il servizio

Servizio Messenger : In passato questo servizio è stato sfruttato per diffondere messaggi che sembravano provenire dal sistema operativo stesso, mentre in realtà si trattava di messaggi provenienti dall’esterno. Messaggi che talvolta non si sono fermati al semplice spam, ma che sono stati utilizzati per trasmettere virus. Questo servizio non ha nulla a che vedere con il programma di chat Messenger. Disabilitare il servizio.

Servizio RPC Locator : Servizio per la gestione dei database RPC. Tanto inutile quanto pericoloso. In passato il worm Sasser sfruttava alcune vulnerabilità del servizio LSASS (Local Security Authority Subsystem Service) per accedere al servizio RPC e riavviare il sistema ogni 60 secondi. Disabilitare il servizio.

Servizio Helper NetBIOS di TCP/IP : Attiva il servizio supporto NetBIOS su TCP/IP. Anche questo servizio in un passato abbastanza recente è stato al centro della diffusione di virus come Opaserv. Disabilitare il servizio.

Fatto questo da pannello di controllo, clicchiamo su connessioni di rete. Clicchiamo con il tasto dx del mouse sull’icona della nostra connessione e selezioniamo la voce proprietà dal menu. Poi protocollo internet TCP/IP > proprietà > avanzate > wins

In questa finestra mettiamo il pallino su disabilita Netbios su TCP

Servizio Host di periferiche Plug and Play universali : Un servizio che consentirebbe di ospitare periferiche Plug and Play universali. Assieme al servizio SSDP, è stato in passato un bel passaggio aperto per vari tipi di virus e worm. Il servizio si mette in ascolto sulla porta 5000. Disabilitare il servizio.

Servizio di rilevamento SSDP : Servizio che consente di rilevare periferiche UPnP nella rete domestica. Come per il servizio Host di periferiche Plug and Play, in passato ha sofferto di grossi problemi. Disabilitare il servizio.

Servizio DDE di rete : Fornisce trasporto di rete e protezione per DDE (Dynamic Data Exchange) per programmi in esecuzione sullo stesso computer o su computer diversi. Se il servizio è stato arrestato, trasporto e protezione DDE non saranno disponibili. Disabilitare il servizio.

Servizio DDE DSDM di rete : Gestisce risorse di rete condivise DDE (Dynamic Data Exchange. Se il servizio è stato arrestato, le risorse di rete condivise DDE non saranno disponibili. Disabilitare il servizio.

Ora abbiamo disabilitato i servizi più “pericolosi“. Sui servizi di XP ci sarebbe molto da scrivere, e molti altri potrebbero essere disattivati. Non è nostra volontà trattare in questo articolo il tema dei servizi disattivabili. Noi qui abbiamo trattato quelli che è necessario bloccare per evitare “spifferi”.

Una volta chiusi i servizi, riavviamo il sistema. Ora ci dedicheremo a tappare qualche “falla” nella gestione dei controlli ActiveX.

“Cos’è l’ActiveX?“

L’ActiveX è un’estensione che, integrata in un’applicazione predisposta all’utilizzo di questa tecnologia, permette di aggiungere nuove possibilità, comandi, ed eventualmente di semplificare alcuni processi, soprattutto nell’ambito dello sviluppo di software.
ActiveX, dall’inglese Active e eXtension, è una tecnologia Microsoft che deriva da due vecchie tecnologie sempre di proprietà Microsoft: OLE (Object Linking and Embedding) e COM (Component Object Model) e che consente alle applicazioni Internet di essere più potenti di quelle composte da semplici script.

Per interrompere l’esecuzione di un controllo ActiveX in Internet Explorer, è necessario effettuare la modifica del valore dati del valore DWORD Compatibility Flags del CLSID del controllo ActiveX.
È possibile impedire l’esecuzione di un controllo ActiveX in Internet Explorer impostando il bit di interruzione, in modo che il controllo non venga mai chiamato da Internet Explorer quando vengono utilizzate impostazioni predefinite.

Questo bit è un valore specifico del valore DWORD Compatibility Flags del controllo ActiveX nel Registro di sistema. Si tratta di un’operazione diversa dalla revoca dell’opzione “contrassegnato come sicuro” di un controllo ActiveX. Quando si revoca l’opzione “contrassegnato come sicuro”, il controllo continua ad essere chiamato da Internet Explorer e viene visualizzato un messaggio di avviso nel quale è specificato che il controllo ActiveX potrebbe non essere sicuro.

A seconda della scelta effettuata è possibile che il controllo venga eseguito. Quando invece viene impostato il bit di interruzione per un controllo ActiveX, questo non viene mai chiamato da Internet Explorer a meno che non sia attivata l’opzione Inizializza e esegui script controlli ActiveX non contrassegnati come sicuri in Internet Explorer. Per impostare il bit di interruzione, attenersi alla seguente procedura:

1. Determinare il CLSID del controllo ActiveX che si desidera disattivare. Se non si è certi del CLSID del controllo, contattare la casa produttrice. Se il controllo è installato, è possibile determinarne il CLSID qualora se ne conosca il nome. A questo scopo, esaminare il valore stringa predefinito della chiave ProgID per tutte le chiavi CLSID contenute nella chiave HKEY_CLASSES_ROOT\CLSID. Potrebbe essere necessario rimuovere il maggior numero possibile di controlli ActiveX, eccetto quello che si desidera disattivare, per consentire l’identificazione del CLSID corretto.

2. Utilizzare l’editor del Registro di sistema per modificare il valore dati del valore DWORD Compatibility Flags del CLSID, relativo all’oggetto ActiveX nella seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID del controllo ActiveX dove CLSID del controllo ActiveX è l’identificatore di classe del controllo ActiveX corretto.

3. Modificare il valore del valore DWORD Compatibility Flags DWORD impostandolo su 0×00000400.

Ci sono principalmente 4 ActiveX che è importante disattivare:

ADODB.Stream
Shell.Explorer
Shell.Application
Shell URL protocol handler

ADODB.Stream : Un oggetto flusso ADO rappresenta un file in memoria che contiene numerosi metodi per la lettura e la scrittura di file binari e di testo. Quando questa funzionalità legata alla progettazione viene combinata con vulnerabilità note della protezione di Microsoft Internet Explorer, un sito Web potrebbe eseguire script dall’area Computer locale. Questo problema si verifica perché l’oggetto ADODB.Stream consente l’accesso al disco rigido quando tale oggetto è presente in Internet Explorer.

Qualsiasi applicazione Web di settori specifici che richiede il caricamento o il salvataggio di un file sul disco rigido può utilizzare l’oggetto ADODB.Stream in Internet Explorer. Se ad esempio un server della rete Intranet ospita un modulo che un impiegato deve scaricare e completare, l’oggetto ADODB.Stream verrà utilizzato per ottenere il file e salvarlo localmente. Dopo la modifica del file localmente da parte dell’utente e l’invio di tale file di nuovo al server, l’oggetto ADODB.Stream verrà utilizzato per leggere il file dal disco rigido locale e per inviarlo di nuovo al server.

Istruzioni per disabilitare l’oggetto ADODB.Stream.

Per disattivare l’oggetto ADODB.Stream creando manualmente la chiave di registro, attenersi alla seguente procedura:
1. Chiudere tutte le finestre aperte di Internet Explorer.
2. Fare clic sul pulsante Start, quindi scegliere Esegui.
3. Nella casella Apri digitare Regedit, quindi scegliere OK.
4. Nell’editor del Registro di sistema individuare la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
5. Fare clic con il pulsante destro del mouse su ActiveX Compatibility, scegliere Nuovo, quindi Chiave.
6. Digitare il seguente nome per la chiave: {00000566-0000-0010-8000-00AA006D2EA4}
7. Fare clic con il pulsante destro del mouse sulla nuova chiave, scegliere Nuovo, quindi Valore DWORD.
8. Denominare il valore Compatibility Flags.
9. Nel riquadro destro fare clic con il pulsante destro del mouse su Compatibility Flags e scegliere Modifica dal menu di scelta rapida.
10. Nella finestra di dialogo Modifica valore DWORD assicurarsi che sia selezionata l’opzione Esadecimale, digitare 400 nella casella Dati valore, quindi scegliere OK.
11. Chiudere l’editor del Registro di sistema.

Shell.Explorer : E’ un controllo che permette a Internet Explorer di far riferimento alle directory locali in un oggetto di tipo finestra. Impostando il kill bit su questo oggetto si impedirà a IE di mostrare l’interfaccia di visualizzazione cartelle.

Per disabilitare l’uso dell’ActiveX Shell.Explorer seguire i punti del passo precedente, ma impostare il kill bit per la seguente chiave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8856F961-340A-11D0-A96B-00C04FD705A2}

Shell.Application : Questo oggetto consente di installare ed eseguire programmi attraverso Internet Explorer. Gli oggetti Shell.Application potrebbero essere usati da attacker, attraverso pagine maligne HTML contenenti vari script e codici, per eseguire in maniera completamente automatica codice arbitrario attraverso la sola visualizzazione della pagina nel browser o nel client di posta, con gli stessi privilegi di esecuzione dell’utente che in quel momento ha avviato la macchina.

Per disabilitare l’uso dell’ActiveX Shell.Explorer seguire i punti del passo precedente, ma impostare il kill bit per la seguente chiave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{13709620-C279-11CE-A49E-444553540000}

Shell URL protocol handler : Sostituire il valore CLSID che trovate in HKCR\PROTOCOLS\Handler\shell\CLSID con il seguente {3050F406-98B5-11CF-BB82-00AA00BDCE0B}

Terminato anche il “setup” degli ActiveX riavviamo ancora una volta il sistema, per dedicarci alla parte finale della configurazione: l’irrobustimento dello stack TCP/IP

“Cos’è lo stack TCP/IP?“

Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.

Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione. Tuttavia in questo articolo vedremo come con l’uso e la configurazione di vari parametri nel registro di Windows sia possibile portare benefici alla protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

- Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
- Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Alcune chiavi e valori cui si fa riferimento in questa procedura potrebbero non essere disponibili per impostazione predefinita. In questi casi è necessario creare chiavi, valori e dati valore.

Come dicevamo all’inizio, gli interventi che ci apprestiamo a compiere potrebbero essere, se non eseguiti nel modo corretto, dannosi. E’ importantissimo, prima di compiere qualunque azione sul registro, premurarsi di averne una copia completa.

“Come faccio una copia di backup del registro?“

Per eseguire una copia di sicurezza del registro avviamo il regedit (start > esegui > regedit) e dal menù file selezioniamo la voce esporta. Il sistema ci permetterà a questo punto di decidere un nome del file di salvataggio ed in quale cartella o area di destinazione salvarlo. Una volta ottenuta la nostra copia di backup possiamo passare alla fase delle modifiche.

Sempre in regedit posizioniamoci alla seguente chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters

Per arrivare a questa voce è sufficiente agire sull’albero del riquadro di sinistra fino a trovare esattamente la chiave che ci interessa. Una volta arrivati, dovremo trovare nel blocco di destra le voci che andremo ad elencare di seguito.

Alcune chiavi e valori cui si fa riferimento in questo articolo potrebbero non essere disponibili per impostazione predefinita. In questi casi è necessario creare il nome, il tipo di chiave (nel nostro caso sono tutte REG_DWORD) e dati.

Valore: EnableDeadGWDetect – Valore consigliato: 0 [Valori validi: 0 (disabilitato), 1 (abilitato)]
1: se si imposta EnableDeadGWDetect su 1, il protocollo TCP può rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.
0: è consigliabile impostare il valore di EnableDeadGWDetect su 0. In caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.

Nome valore: SynAttackProtect – Valore consigliato: 1 [Valori validi: 0 - 2]
Questo valore del Registro di sistema fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono più rapidamente durante un attacco SYN (un tipo di attacco “Denial of Service”).

I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
- 0 (valore predefinito): nessuna protezione dagli attacchi SYN
- 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN. Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione è più veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se è in corso un attacco, Windows utilizza i valori seguenti:
- TcpMaxPortsExhausted
- TCPMaxHalfOpen
- TCPMaxHalfOpenRetried

Nome valore: TcpMaxPortsExhausted – Valore consigliato: 0 [Valori validi: 0 - 65535]
specifica il limite di richieste di connessione TCP che deve essere superato prima di attivare la protezione dagli attacchi SYN.

Nome valore: TcpMaxHalfOpen – Valore consigliato: 64 [Valori validi: 100 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxHalfOpenRetried – Valore consigliato: 400 [Valori validi: 80 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD per cui è stata inviata almeno una ritrasmissione. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxConnectResponseRetransmissions – Valore consigliato: 2 [Valori validi: 0 - 255]
controlla il numero di ritrasmissioni di un SYN-ACK prima di annullare il tentativo di risposta a una richiesta SYN.

Nome valore: TcpMaxDataRetransmissions – Valore consigliato: 3 [Valori validi: 0 - 65535]
specifica il numero di volte in cui TCP ritrasmetterà un singolo segmento di dati (non di connessione) prima di annullare la connessione

Nome valore: EnablePMTUDiscovery – Valore consigliato: 1 [Valori validi: 0, 1]
se questo valore è impostato su 1 (valore predefinito), il protocollo TCP deve individuare l’unità massima di trasmissione o il pacchetto con la dimensione maggiore nel percorso di un host remoto. Un pirata informatico può forzare la frammentazione del pacchetto e quindi sovraccaricare lo stack. Specificando il valore 0, verrà imposta la MTU di 576 byte per le connessioni da host non inclusi nella subnet locale.

Nome valore: KeepAliveTime – Valore consigliato: 300000 [Valori validi: 80 - 4294967295]
specifica la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva è ancora intatta inviando un pacchetto keep-alive

Nome valore: NoNameReleaseOnDemand – Valore consigliato: 1 [Valori validi: 0, 1]
specifica che il computer non deve rivelare il nome NetBIOS quando riceve una richiesta di rilascio dei nomi.

Valore: DisableIPSourceRouting – Valore consigliato: 1 [Valori validi: 0, 1, 2]
disattiva l’origine routing IP, che consente a un mittente di determinare la route che un datagramma deve seguire attraverso la rete.

Valore: EnableFragmentChecking – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
impedisce allo stack IP di accettare pacchetti frammentati

Valore: EnableMulticastForwarding – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
il servizio di routing si basa su questo parametro per determinare se i pacchetti multicst IP debbano essere inoltrati o meno. Questo parametro viene creato dal servizio Routing e accesso remoto.

Valore: IPEnableRouter – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
l’impostazione di questo parametro su 1 (true) consente al sistema di inoltrare i pacchetti IP alle reti a cui è connesso.

Valore: EnableAddrMaskReply – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
questo parametro stabilisce se il computer deve rispondere a una richiesta di maschera indirizzo ICMP.

Ora rechiamoci alla chiave:

HKLM\System\CurrentControlSet\Services\AFD\Parameters

Valore: EnableICMPRedirect – Valore consigliato: 0 [Valori validi: 0, 1]
se si modifica questo valore su 0, viene impedita la creazione di route host dispendiose in seguito alla ricezione di un pacchetto di reindirizzamento ICMP.

Valore: EnableDynamicBacklog – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
specifica che la funzionalità AFD.SYS dovrà gestire un numero elevato di connessioni SYN_RCVD in modo efficace.

Nome valore: MinimumDynamicBacklog – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
specifica il numero minimo di connessioni disponibili consentito per un endpoint in ascolto. Se il numero di connessioni disponibili risulta inferiore a questo valore, viene inserito un thread nella coda per creare altre connessioni disponibili.

Nome valore: MaximumDynamicBacklog – Valore consigliato: 20 [Valori validi: 0 - 4294967295]
specifica il numero totale delle connessioni disponibili e di quelle in stato SYN_RCVD.

Nome valore: DynamicBacklogGrowthDelta – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
quando sono necessarie altre connessioni, specifica il numero di connessioni disponibili che devono essere create.

Altri interventi: disattivare l’account Guest e le Anonymous sessions

Il blocco o meglio la disattivazione dell’account Guest è consigliata anche dalla stessa Microsoft. Si consiglia di disabilitare l’account Guest se si desidera proteggere il più possibile i dati contenuti nelle cartelle condivise da accessi non autorizzati, assicurandosi di aver attivato la Condivisione avanzata. L’account Guest è disattivabile seguendo questa procedura:

1) Fare clic su Start, quindi scegliere Pannello di controllo.

2) Fare clic su Prestazioni e manutenzione, scegliere Strumenti di amministrazione, quindi fare doppio clic su Gestione computer.

3) Nella struttura della console selezionare Utenti e gruppi locali, quindi fare doppio clic su Utenti.

4) Fare clic con il pulsante destro del mouse sull’account che si desidera modificare e scegliere Proprietà.

5) Selezionare la casella di controllo Account disabilitato.

Anonymous Session o Accesso anonimo : Una connessione tramite Null Session, nota anche come accesso anonimo, è un meccanismo che consente ad un utente anonimo di ottenere informazioni attraverso la rete o di connettersi senza autenticazione. E’ importante disabilitare quindi la possibilità di accesso alla rete a utenti anonimi. Per fare questo, portiamoci alla chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ ed impostiamo per la voce restrictanonymous il valore 2.

Lo stesso valore dovrà essere impostato anche per la chiave RestrictAnonymousSAM

“Cos’altro possiamo fare per avere maggiore sicurezza?”

Una delle ultime cose che restano da fare, prima di installare Firewall, Antivirus e Hips è quella di attivare la funzione DEP (Data Execution Prevention). Con il rilascio dell’SP2 di Windows XP, Microsoft ha realizzato una serie di migliorie rispetto ai sistemi operativi precedenti. Una di queste è proprio la funzione DEP software. Questa funzione è un insieme di tecnologie hardware e software che consentono di eseguire controlli sulla memoria, per contribuire alla protezione da attacchi basati su codice dannoso.
Questa tecnologia ha lo scopo di controllare che la cella di memoria, sulla quale un programma potrebbe scrivere, non contenga già dati o codice. Un blocco della scrittura nella cella di memoria preserverebbe dai buffer overflow, un tipo di attacco o exploit usato sempre più spesso negli ultimi tempi.
La funzionalità Protezione esecuzione programmi non impedisce di fatto l’installazione dei programmi, ma verifica che la memoria di sistema sia utilizzata correttamente.

Configurazione di DEP a livello di sistema

La configurazione di Protezione esecuzione programmi per il sistema è controllata da opzioni di comando Boot.ini. Sono state inoltre apportate modifiche alla voce Sistema del Pannello di controllo, per consentire agli utenti finali di configurare facilmente le impostazioni di DEP se sono connessi al sistema come amministratori. In Windows sono supportate quattro configurazioni a livello di sistema per i criteri di Protezione esecuzione programmi applicati a livello sia di hardware che di software.

OptIn : (configurazione predefinita). Nei sistemi con processori compatibili con i criteri di Protezione esecuzione programmi applicati a livello di hardware, tale funzionalità è attivata per impostazione predefinita per un numero limitato di file binari di sistema e di applicazioni che scelgono di attivare tale opzione. Questa opzione consente di proteggere per impostazione predefinita con DEP solo i file binari di sistema di Windows.

OptOut : La funzionalità DEP è attivata per impostazione predefinita per tutti i processi. La voce Sistema del Pannello di controllo consente di creare manualmente un elenco di applicazioni specifiche in cui non viene applicata la funzionalità DEP.

AlwaysOn : Questa opzione consente di ottenere una protezione completa per l’intero sistema mediante DEP. Tutti i processi vengono sempre eseguiti con l’applicazione di DEP. L’elenco di eccezioni per escludere applicazioni specifiche dalla protezione di DEP non è disponibile. Le correzioni per la compatibilità del sistema per DEP non vengono applicate.

AlwaysOff : Questa opzione non prevede alcuna protezione DEP per qualunque parte del sistema, indipendentemente dal supporto dei criteri di DEP a livello di hardware. Il processore non viene eseguito in modalità Estensione indirizzo fisico, a meno che l’opzione /PAE non sia presente nella voce di avvio.

Gli utenti finali che effettuano l’accesso come amministratori possono configurare manualmente DEP, scegliendo i criteri OptIn e OptOut nella scheda Protezione esecuzione programmi della finestra di dialogo Proprietà sistema. La procedura riportata di seguito illustra la configurazione manuale di DEP nel computer in uso:

1) Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi fare doppio clic su Sistema.
2) Selezionare la scheda Avanzate. Fare clic su Impostazioni in Prestazioni.
3) Selezionare la scheda Protezione esecuzione programmi.
4) Fare clic su Attiva Protezione esecuzione programmi solo per i programmi e i servizi essenziali di Windows per selezionare il criterio OptIn.
5) Fare clic su Attiva Protezione esecuzione programmi per tutti i programmi e i servizi tranne quelli selezionati per selezionare il criterio OptOut.
6) Se è stato selezionato il criterio OptOut, fare clic su Aggiungi e aggiungere le applicazioni per cui non si desidera utilizzare DEP.

Se desiderate non applicare nessun tipo di controllo DEP dovrete andare in: Pannello di controllo > Sistema > Avanzate
Quindi cliccare su Impostazioni alla “voce” Avvio e ripristino e poi sul tasto Modifica.
A questo punto si aprirà il blocco note e sotto [operating systems] bisognerà cambiare il parametro /NoExecute=OptIn con /NoExecute=AlwaysOff

Quindi basterà salvare il file (boot.ini) e riavviare il sistema operativo.

Accedere al computer attraverso un utente con requisiti limitati.

C’è una misura di sicurezza fondamentale per Windows, purtroppo quasi sempre ignorata o non applicata, anche se potrebbe evitare molte insidie e molti “disastri informatici “: creare un account utente per navigare in internet, anche quando si è l’unico amministratore e l’unico utente di un pc. La posizione di account utente infatti – come potete vedere dalla tabella sottostante – pone dei limiti specifici alle operazioni che è possibile eseguire nel sistema finché si rimane loggati con tale qualifica. Un utente non può installare programmi hardware o software nel sistema, non può cambiarne o eliminarne le impostazioni fondamentali, comprese quelle dei software di sicurezza, e tutta un’altra serie di limitazioni.

Questi divieti ovviamente valgono per qualunque processo o applicazione tenti di eseguire una delle operazioni non consentite, sia che venga lanciata dall’utente stesso sia che invece venga eseguita da qualche malware che tenta di penetrare nel sistema o da qualche aggressore informatico. In questa maniera molti attacchi maligni che prendessero di mira il nostro pc durante la navigazione in internet non riuscirebbero ad andare a buon fine, perché verrebbero bloccati proprio sul nascere.

Ovviamente nemmeno questa forma di difesa è assoluta e impenetrabile, e soprattutto vale finché rimaniamo loggati nel sistema come utenti: nel momento in cui ci rilogghiamo come amministratori la difesa viene a cadere, ma è quello che dobbiamo fare per installare un programma ad esempio. Di qui, ancora una volta, il concetto fondamentale che un solo tipo di difesa non è mai sufficiente per garantirci protezione dalle minacce informatiche, e che i migliori sistemi di sicurezza valgono poco se poi noi li usiamo male e con poca accortezza: navigare sempre su internet come utenti con poteri limitati serve a ben poco se poi siamo pronti – in altro momento e come amministratori – ad installare alla cieca e senza garanzie il primo programma che capita.

Di seguito le istruzioni di utilizzo per un account limitato.
Quanto segue è basato su un sistema operativo XP professional con SP2, ma, in linea generale, dovrebbe essere sfruttabile su ogni windows xp.

Per l’iniziale creazione e gestione delle autorizzazioni dovrete essere loggati come Admnistrator o Power Users.

-1- creazione dell’utente limitato

Pannello di controllo > account utente > crea nuovo account > immettere nome per il nuovo account > account limitato > crea nuovo account.

-2- gestione

I permessi base dell’account limitato sono i seguenti:

per modificare i diritti si procede così:

pannello di controllo -> strumenti di amministrazione -> Criteri di protezione locale -> i Criteri locali -> Assegnazione diritti utente

-3- controllo delle limitazioni e loro rafforzamento

Andare In risorse del computer, quindi nell’unità/partizione dove si è installato il sistema operativo, fare click col destro del mouse e scegliere Proprietà.

Nella scheda Protezione sfogliare in utenti e gruppi alla ricerca dell’utente con account limitato.
Qualora non comparisse in lista selezionare Users, quindi cliccare “Aggiungi” ed immettere il nome dell’utente con account limitato.

L’utente con account limitato comparirà ora nell’elenco “Utenti e gruppi” e sarà contraddistinto dall’avere alla fine del suo nome la scritta (limited)

Selezionare ora l’utente con l’account limitato (nel mio caso LTG, acronimo di less than guest, ossia meno che ospite) e cliccare su “Avanzate”.

Impostare le caratteristiche secondo i propri gusti, o come segue:

*la parte sulla creazione di file o cartelle, quadrettata in arancione, va settata a seconda del livello di comodità/paranoia prescelto, bloccando la creazione di file non potrete effettuare download da internet, a rigore nemmeno navigare, scegliete di conseguenza quale utilizzo intendete fare dall’account limitato, anche alla base di ciò che andremo a spiegare qui di seguito.

Fatto ciò si avranno delle segnalazioni di avvisi di protezione a cui rispondere si

e quindi, se avete selezionato di estendere la protezione anche agli oggetti figlio, dovrete attendere che il computer “trasferisca” le nuove autorizzazioni a tutti i file:

Ora, tutto ciò che è presente nella partizione di sistema non sarà modificabile dall’account limitato.

Supponiamo, adesso, di voler concedere all’utente limitato l’utilizzo del browser Opera, il cui percorso è –> C:\Programmi\Opera\Opera.exe

Possiamo o andare a modificare le autorizzazioni del solo eseguibile, sperando che questo per il suo utilizzo non necessiti di creare o modificare file, oppure, se non siamo certi, possiamo essere di manica più larga e posizionarci sulla cartella (in questo caso omonima)che lo contiene, ed andare a modificarne i criteri di protezione.
Più specificamente ci cliccheremo col destro, sceglieremo la scheda Protezione, al solito andremo ad aggiungere (se non vi fosse) l’utente con account limitato e quindi a concedere i permessi necessari, come in figura:

Se in modalità utente con account limitato un programma non dovesse avere le necessarie autorizzazioni per poter girare non preoccupatevi, vi verrà visualizzato un messaggio con la seguente dicitura “Impossibile eseguire” seguita dal percorso dell’eseguibile.

Sempre giostrando sulla base dei criteri sopra, ossia dosando e calibrando le autorizzazioni, è possibile limitare ulteriormente un dato utente o concedergli maggiore libertà.

Questa piccola guida è terminata. Alcuni dei valori e dei setup potrebbero già essere presenti nei vostri sistemi, in quanto alcuni programmi di sicurezza che potreste aver usato potrebbero aver apportato alcune modifiche al registro e ai servizi di cui abbiamo parlato.
La sicurezza va costruita su “più strati”, e questo è solo il primo dei vari livelli che dovrete attivare per navigare in sicurezza.

Fonte : Pianeta Pc