Windows Vista

Con UAC (User Account Control) si realizza il sogno degli account senza privilegi di amministratore

Alex Heaton

Panoramica:

• Perché non è mai consigliabile eseguire il sistema operativo con privilegi di amministratore
• Risoluzione dei problemi durante l'esecuzione del sistema operativo come utente standard
• Funzionamento di User Account Control

Per la maggior parte delle organizzazioni IT, la riduzione al minimo degli utenti con privilegi di amministratore è un obiettivo importante. Sebbene in teoria concordino con la necessità di espandere al massimo il parco di utenti con account standard, nella pratica circa l'80% degli amministratori IT configurano i propri desktop con account con privilegi di amministratore, lasciando

i computer più esposti al malware e rendendo più complessa la gestione. Non è tuttavia facile evitare l'utilizzo di account con privilegi di amministratore. Gli ostacoli che è necessario affrontare quando si tenta di non utilizzarli sono molti.

Si devono prima di tutto affrontare problemi di compatibilità delle applicazioni. Molte applicazioni vengono scritte e sottoposte a test utilizzando account con privilegi di amministratore e, in alcuni casi, non è nemmeno possibile eseguirle con un account standard. Spesso, infatti, le applicazioni tentano di scrivere in aree ad accesso limitato, come la directory Programmi o le chiavi del Registro di sistema HKLM.

Le versioni precedenti di Windows®, inoltre, erano eccessivamente rigide riguardo alle impostazioni configurabili dagli utenti. Agli utenti standard non era consentito modificare il fuso orario o le impostazioni di risparmio di energia, connettersi alle reti senza fili protette oppure installare controlli ActiveX® senza contattare il supporto tecnico, con tutti i costi del caso.

Windows Vista™ ha risolto questi problemi. Anche quando agli utenti non vengono assegnati account con privilegi di amministratore, UAC (User Account Control) e altre tecnologie di Windows Vista semplificano il supporto e la gestione dei desktop e migliorano la produttività degli utenti standard. Per raggiungere questo risultato non è necessario compromettere la protezione, come accade invece quando si modificano gli elenchi di controllo di accesso (ACL, Access Control List), ovvero quando si adotta il metodo più diffuso per garantire agli utenti un accesso più libero e personalizzato. Di seguito sono riportati degli esempi di come in Windows Vista siano stati risolti alcuni dei problemi di controllo degli accessi.

La virtualizzazione migliora la compatibilità

Molte applicazioni che non vengono eseguite da un utente standard in Windows XP, potranno essere eseguite in Windows Vista senza apportare modifiche, grazie alle funzionalità virtualizzazione del Registro di sistema e del file system. In Windows XP molte applicazioni si interrompono quando viene tentata la scrittura in aree protette del file system e del Registro di sistema non accessibili a un utente standard. In Windows Vista la compatibilità risulta potenziata dal reindirizzamento delle operazioni di scrittura (e delle conseguenti operazioni di lettura da file system e Registro di sistema) verso una posizione specifica all'interno del profilo dell'utente. Se, ad esempio, viene tentata un'operazione di scrittura nel file C:\programmi\contoso\settings.ini e l'utente non dispone dell'autorizzazione per la scrittura in tale directory, l'operazione di scrittura verrà reindirizzata a C:\Users\nomeutente\AppData\Local\VirtualStore\Programmi\contoso\settings.ini. Se invece viene tentata un'operazione di scrittura in HKLM\Software\Contoso\, l'azione verrà automaticamente reindirizzata verso HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso. Nella Figura 1 viene illustrato il processo di reindirizzamento. Inoltre, in base al Certified for Windows Vista Software Logo Program le applicazioni devono essere eseguite da un utente standard senza richiedere la virtualizzazione; in caso contrario, all'applicazione non verrà attribuito il logo.

Figura 1** Processo di virtualizzazione del Registro di sistema e del file system **

Maggiori privilegi agli utenti standard

In Windows Vista sono stati concessi ulteriori privilegi agli account utente standard, in modo che possano eseguire le attività più comuni senza dover ricorrere al supporto tecnico o disporre di tutte le autorizzazioni concesse a un account di amministratore. I nuovi privilegi comprendono la facoltà di visualizzare orologio di sistema e calendario, modificare il fuso orario, modificare le impostazioni di protezione della rete wireless, modificare le impostazioni di risparmio energia e scaricare e installare aggiornamenti critici da Windows Update.

In Windows Vista, inoltre, la deframmentazione dischi è un processo pianificato automaticamente. Le azioni per cui sono necessari i privilegi di amministratore sono contrassegnati dall'icona di uno scudo, in modo che agli utenti risulti immediatamente chiaro quali sono le modifiche consentite.

Installazione dei controlli ActiveX

La gestione centralizzata dei controlli ActiveX a volte risulta molto complessa, perché l'aggiornamento può essere frequente e perché, prima della distribuzione tramite un programma software come SMS (Systems Management Server) o Criteri di gruppo, è necessario creare nuovi pacchetti. In Windows Vista è presente un componente opzionale, denominato Servizio ActiveX Installer, che consente agli amministratori IT di specificare con Criteri di gruppo i siti Web da cui gli utenti standard possono eseguire l'installazione di controlli ActiveX. Per utilizzare Servizio ActiveX Installer, procedere come descritto di seguito.

1. Attivare il Servizio ActiveX Installer sui computer client. È possibile attivare il servizio tramite l'applet Pannello di controllo delle funzionalità di Windows oppure quando si configura l'immagine di desktop.
2. In Criteri di gruppo di Active Directory, in Configurazione computer | Modelli amministrativi | Componenti di Windows, selezionare Servizio ActiveX Installer. Selezionare Attiva. Con la replica del criterio agli utenti, viene consentita l'installazione dei controlli dai siti specificati.

È opportuno utilizzare questa funzione con giudizio, dal momento che i controlli ActiveX e gli altri tipi di codice eseguibile potrebbero avviare attività dannose. La funzione va utilizzata solo con fornitori ritenuti attendibili e su siti Intranet tenuti sotto stretto controllo.

Il Servizio ActiveX Installer si integra, inoltre, con l'infrastruttura di gestione degli eventi di Windows Vista ed è possibile ricevere notifiche automatiche quando gli utenti devono installare dei controlli ActiveX. Se un utente standard tenta di installare un controllo non approvato, nel registro applicazioni viene creato un evento. In Windows Vista è possibile configurare l'invio automatico di un messaggio di posta elettronica o l'esecuzione di un altro programma non appena si verifica un evento. In tal modo è possibile ottenere informazioni immediate sulla necessità dell'utente di installare un controllo e aggiungere il sito a Criteri di gruppo, senza interrompere l'attività dell'utente per periodi prolungati. Con Windows Vista è inoltre possibile sottoscrivere gli eventi di più computer dell'azienda e generare un elenco di tutti i controlli che gli utenti hanno tentato di installare.

Installazione dei driver dei dispositivi hardware

Un altro dei motivi per cui resta ancora diffuso l'utilizzo delle autorizzazioni da amministratore, specialmente per i computer portatili, è la preoccupazione che gli utenti non riescano a installare i driver dei dispositivi hardware necessari durante un viaggio o uno spostamento. Con la nuova infrastruttura di archivio driver di Windows Vista si risolve questo problema grazie a un controllo flessibile dei dispositivi che gli utenti sono autorizzati a installare. È possibile inserire nell'archivio driver i dati relativi a tutti i driver attendibili, in modo che gli utenti possano installare i dispositivi consentiti quando necessario. È inoltre possibile utilizzare Criteri di gruppo per autorizzare gli utenti standard a installare una classe di dispositivi, ad esempio le stampanti, o addirittura ID hardware di dispositivi specifici, come le unità memoria flash consentite.

Poiché l'archivio driver di Windows Vista è una cache attendibile di driver integrati e di terze parti memorizzata sul disco rigido di ciascun computer client, è possibile installarli senza i privilegi di amministratore. Per inserire i driver nell'archivio, è possibile aggiungere i driver in immagini non in linea oppure aggiornarli in modo dinamico sui client in linea sulla rete. Nel caso delle immagini non in linea Gestione pacchetti consente di inserire in modo semplice i driver nell'archivio driver.

Nel caso delle immagini in linea, invece, è possibile impiegare un'utilità da riga di comando, come pnputil.exe o DevCon, insieme ad applicazioni di distribuzione di software per aggiungere, aggiornare o eliminare driver dall'archivio. Per semplificare e rendere ancora più flessibile il processo di inserimento dei driver nell'archivio, Windows Vista consente ai reparti IT e alle terze parti di firmare l'integrità del pacchetto di driver.

Per impostazione predefinita, solo gli utenti con diritti di amministratore sono autorizzati ad aggiungere nuovi driver all'archivio. Resta pressante l'esigenza, da parte soprattutto degli utenti mobili, di installare dispositivi come le stampanti quando sono fuori ufficio. Grazie alle nuove impostazioni di Criteri di gruppo, Windows Vista consente di garantire agli utenti standard la flessibilità necessaria per l'installazione dei dispositivi autorizzati anche quando i driver non sono già presenti nell'archivio driver. Per delegare i privilegi di gestione dei driver, visualizzare l'interfaccia di Criteri di gruppo e passare a Configurazione computer | Modelli amministrativi | Sistema | Installazione driver | Consenti l'installazione dei driver di questi dispositivi ai non amministratori. È necessario conoscere il GUID delle classi di dispositivi di cui si desidera delegare gestione e installazione agli utenti standard. È possibile trovare le classi di dispositivi in linea nelle pagine MSDN® (in inglese) oppure, se il dispositivo è installato sul computer che si utilizza, nella finestra Gestione dispositivi | Proprietà. Fare clic sulla scheda Dettagli e selezionare la casella a discesa GUID classe periferica. È inoltre necessario verificare che i certificati utilizzati per la firma dei driver siano già presenti nell'archivio Autori attendibili del computer client, gestibile tramite Criteri di gruppo.

Queste nuove funzionalità di Windows Vista garantiscono agli utenti standard tutta la flessibilità necessaria per l'installazione dei dispositivi e consentono di creare ambienti desktop gestiti per un maggior numero di utenti.

Livelli di blocco del desktop

Nonostante questi miglioramenti del sistema operativo Windows Vista, non tutte le organizzazioni saranno in grado di distribuire tutti i desktop Windows Vista con autorizzazioni da utenti standard. In alcune organizzazioni si utilizzano applicazioni che richiedono comunque privilegi da amministratore oppure utenti, come gli sviluppatori, che hanno la necessità di installare il proprio software. È prevista una soluzione anche per questi casi. Windows Vista consente di definire più livelli di controllo del desktop, configurabili tramite la selezione dell'account utente e Criteri di gruppo, che nel complesso garantiscono una maggiore gestibilità e protezione rispetto a un account di amministratore di Windows XP. La maggior parte delle impostazioni di sistema relative alle impostazioni UAC sono disponibili nell'editor dei criteri di protezione (secpol.msc), illustrato nella Figura 2.

Figura 2** Editor dei criteri di protezione **(Fare clic sull'immagine per ingrandirla)

Il primo livello di protezione è la modalità Approvazione amministratore. In questa modalità è possibile ridurre le minacce rappresentate da alcuni tipi di attacchi malware con l'avvio, per impostazione predefinita, dei programmi con privilegi di utente standard e la notifica all'utente dei programmi che tentano l'esecuzione con privilegi di amministratore. La modalità consente l'esecuzione di controlli tramite il registro eventi quando un utente esegue un programma che richiede diritti di amministratore. È tuttavia importante ricordare che, sebbene sia possibile eseguire un'applicazione con i privilegi di utente standard, in questa modalità non si ottiene lo stesso livello di protezione garantito da un account utente standard. All'utente restano i privilegi di amministratore e la possibilità di modificare le impostazioni dei criteri, installare software non approvato e consentire l'installazione di malware potenti, come un rootkit.

Il livello successivo è basato sul precedente, ma prevede l'utilizzo di Criteri di gruppo per limitare l'elevazione dei programmi firmati con un certificato presente nell'archivio Autori attendibili. In tal modo è possibile evitare che del malware non firmato ottenga i privilegi di amministratore e impedire agli utenti di installare software non autorizzato. Quando tuttavia sono attivi degli account di amministratore, gli utenti meno attenti o i malware più sofisticati potrebbero disattivare i criteri, almeno temporaneamente, per eseguire operazioni non autorizzate. È di conseguenza consigliabile utilizzare questi primi due livelli come misure provvisorie, durante la risoluzione di eventuali problemi che impediscono l'attivazione di account utente standard.

Il livello di protezione successivo si ottiene rimuovendo gli utenti dagli account di amministratore e attivando in sostituzione degli account utente standard. Tra le funzioni di UAC figura la finestra di dialogo delle credenziali OTS (Over-the-shoulder), visualizzata per impostazione predefinita dagli utenti standard quando viene avviato un programma che richiede credenziali di amministratore. Agli utenti standard viene impedito di eseguire l'azione, ma vengono forniti nome utente e password di un amministratore che è possibile utilizzare per procedere con l'azione. Uno scenario tipico per l'utilizzo di questa funzione è un utente di computer portatile che viaggia spesso. Se, ad esempio, deve installare con urgenza un software mentre è in viaggio, l'utente può rivolgersi al supporto tecnico per ottenere la password di un account di amministratore locale, da immettere per consentire l'esecuzione del programma (vedere la Figura 3). Quando si forniscono password di amministratore agli utenti, è consigliabile stabilire procedure e strumenti per la reimpostazione della password di amministratore non appena gli utenti si riconnettono alla rete e registrare tutti i programmi eseguiti con le credenziali di amministratore. È inoltre opportuno ricordare che, se i PC degli utenti sono stati attaccati da malware, l'amministratore potrebbe essere indotto a concedere involontariamente privilegi dimostrativi al malware.

Figura 3** Richiesta di una password di amministratore **(Fare clic sull'immagine per ingrandirla)

È inoltre possibile disattivare la finestra di dialogo delle credenziali utilizzando Criteri di gruppo. Impostare Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard su Nega automaticamente richieste di esecuzione con privilegi elevati (vedere la Figura 4). La maggior parte delle aziende che distribuiscono desktop con privilegi di utente standard dovrebbero configurare UAC in questo modo, anche per evitare che gli utenti chiamino il supporto tecnico per ottenere una password che il reparto IT non desidera divulgare.

Figura 4** Applicazioni bloccate da Criteri di gruppo **(Fare clic sull'immagine per ingrandirla)

Per ottenere un livello più alto di blocco del desktop, è possibile utilizzare in combinazione UAC e gli account utente standard con i criteri restrizione software di Windows (SRP, Software Restriction Policies). SRP consente alle aziende di compiere un ulteriore passo e impedire l'esecuzione di qualsiasi software non autorizzato in modo specifico. SRP è stato progettato per bloccare l'esecuzione del software, a meno che questo non soddisfi criteri specifici basati su certificato Authenticode®, hash, percorso o area Internet. È possibile gestire SRP tramite Criteri di gruppo e creare con uno sforzo minimo criteri molto efficaci per impedire l'installazione ed esecuzione di programmi non approvati. Un criterio tipico impedirà l'esecuzione di tutti gli eseguibili, con l'eccezione degli eventuali file che si trovano nei percorsi %WINDIR% e %PROGRAMFILES% e applicherà i criteri a tutti gli utenti tranne gli amministratori.

La definizione di un criterio di questo tipo consente comunque al personale IT di installare qualsiasi programma necessario nella directory Programmi, senza aggiungere ciascun file .exe a un elenco di eseguibili autorizzati. Poiché non dispone dell'accesso a queste directory, inoltre, l'utente standard non potrà posizionare l'eseguibile altrove.

Nell'articolo non è citato il gruppo Power Users per il semplice motivo che in Windows Vista questo gruppo non esiste più. In alcune organizzazioni il gruppo Power Users veniva utilizzato nel tentativo di limitare i privilegi di amministratore. Agli utenti inseriti nel gruppo Power Users non era consentito eseguire configurazioni del sistema non approvate, ma agli stessi utenti (o al malware eseguito con le credenziali dell'utente) era consentito di ottenere ulteriori diritti e autorizzazioni, fino alle credenziali di amministratore complete. È per questo motivo che in Windows Vista i soli due tipi di account principali sono utente standard e amministratore.

Infrastruttura di gestione del desktop

Con la virtualizzazione del Registro di sistema e del file system, la nuova infrastruttura di archivio driver e le altre funzionalità illustrate, sarà molto più facile distribuire desktop Windows Vista con account di utente standard. Anche con queste tecniche, tuttavia, non sarà possibile supportare in modo completo un ambiente per utenti standard, a meno che non si disponga di un'infrastruttura di gestione che comprenda strumenti, procedure e personale, in grado di supportare gli utenti che non sono in grado di eseguire delle operazioni da soli. Alcuni degli aspetti di cui tenere conto sono i seguenti:

Installazione del software Se agli utenti viene impedito di installare il software liberamente, sarà necessario approntare delle modalità alternative. Una delle possibili modalità, che non prevede l'utilizzo di altro software di gestione, consiste nell'impiego di Criteri di gruppo. Con Criteri di gruppo è possibile aggiungere un programma all'elenco di Installazione applicazioni. Se un utente tenta di installare un programma utilizzando questo metodo, l'operazione avverrà con le autorizzazioni elevate necessarie all'utente per portare a termine l'installazione. Per soluzioni più articolate, è possibile utilizzare SMS o prodotti simili. Alcune soluzioni consentono addirittura di creare dei portali Web self-service da cui un utente standard può scegliere il software da installare.

Aggiornamento del software È necessario predisporre delle procedure di installazione degli aggiornamenti sui PC che siano diverse dal semplice invio di un messaggio di posta elettronica che ne richieda l'installazione. Per gestire e distribuire la maggior parte degli aggiornamenti Microsoft, è possibile utilizzare Windows Server Update Services, scaricabile gratuitamente per Windows Server. Per distribuire una gamma più ampia di aggiornamenti, è possibile utilizzare un prodotto di gestione desktop come SMS.

Personale e processi di supporto Quando un utente contatta il supporto tecnico per risolvere un problema che compromette le prestazioni o per installare un nuovo programma, è probabile che non sia possibile guidarlo telefonicamente nell'esecuzione della procedura, almeno nei casi in cui le autorizzazioni non sono sufficienti. Nel reparto IT si dovrà diffondere l'utilizzo di strumenti di assistenza e amministrazione remote per la diagnosi dei problemi e la modifica delle impostazioni. Anche Assistenza remota Windows funzionerà in modo diverso, perché gli utenti standard connessi non possono approvare le richieste di azioni per cui sono necessari i privilegi di amministratore, anche se il personale del supporto tecnico può ricorrere a Desktop remoto per apportare le modifiche amministrative in modalità remota.

È quindi fondamentale predisporre procedure chiare ed efficienti per la gestione delle eccezioni ai criteri. Ad esempio, si ipotizzi un addetto del reparto di marketing che esprime l'esigenza di installare una versione di prova di un nuovo strumento grafico da valutare. Chi deve fornire l'approvazione per l'installazione del software? Il diretto responsabile dell'addetto, il direttore marketing o il responsabile dei sistemi informativi? In che modo verrà eseguita l'installazione e quanto dovrà attendere l'addetto? È preferibile creare un semplice flusso di lavoro per l'approvazione che si integri al sistema di gestione dei problemi del supporto tecnico. Un esempio di flusso di lavoro potrebbe essere il seguente:

1. L'utente invia la richiesta di installazione di un programma e il collegamento all'eseguibile di installazione (presente sul disco rigido o nell'unità CD), quindi conferma che il software non è stato ottenuto in modo illegale e non verrà utilizzato a scopi dannosi.
2. La richiesta viene inviata al responsabile dell'utente per l'approvazione.
3. La richiesta viene inviata al responsabile delle applicazioni del reparto IT, che verifica che non vi siano problemi di compatibilità, esegue il controllo antivirus e si accerta che l'azienda non abbia già acquistato una licenza del programma in questione o di un programma simile da un altro fornitore.
4. La richiesta viene inviata a un tecnico del supporto per l'avvio remoto dell'installazione e la notifica all'utente non appena il software è pronto per l'uso.

Per creare un'interfaccia del flusso di lavoro, è possibile produrre uno script per delle pagine Web dinamiche o acquistare un pacchetto commerciale per il supporto tecnico o la gestione dei problemi tecnici. Per la creazione di un ambiente gestito, piuttosto che non gestito, sarà necessario disporre di personale dedicato. È auspicabile che siano necessari pochi tecnici per la diagnosi e il ripristino delle immagini di PC instabili o infetti, ma è probabile che nella fase iniziale vadano allocate più risorse alla creazione e distribuzione dei pacchetti software.

Sul lungo periodo, i costi di supporto tenderanno a ridursi e i computer a restare stabili più a lungo, ma all'inizio è probabile che si verifichi un aumento delle chiamate al supporto tecnico per ottenere assistenza nelle configurazioni. Le chiamate al supporto tecnico tenderanno a diminuire dopo la configurazione di immagini di desktop e criteri di gruppo con le impostazioni necessarie per gli utenti.

Cultura

L'ostacolo finale non è tecnologico, ma psicologico. È possibile che alcuni clienti non accolgano con favore l'idea di non disporre dei privilegi di amministratore, ma la maggior parte degli utenti non noterà la differenza. Se si adottano gli account utente standard contemporaneamente alla distribuzione di Windows Vista, i vantaggi in termini di produttività offerti dalle funzioni di ricerca desktop integrate, la nuova interfaccia utente Aero™ (glass) e i miglioramenti per gli utenti mobili faranno senza dubbio passare in secondo piano gli inconvenienti derivanti dal non disporre più di privilegi di amministratore. Se, tuttavia, le procedure predisposte si riveleranno inadeguate e gli utenti saranno costretti ad attendere per settimane prima di ottenere l'autorizzazione all'installazione del software, è probabile che la novità non sarà accolta con piacere.

In definitiva la responsabilità di garantire la protezione dei PC aziendali, impedire l'utilizzo di software senza licenza e applicare le normative vigenti e i criteri interni è del reparto IT. Molte aziende, per rispettare tutti questi impegni, dovranno adottare nuovi criteri per la riduzione del numero di utenti con privilegi di amministratore. Con Windows Vista sarà più semplice non deludere le aspettative degli utenti.

Ulteriori riferimenti

Per ulteriori informazioni sulla riduzione di utenti con privilegi di amministratore:

• Aaron Margosis’s Non-Admin blog—Running with Least Privilege on the Desktop (in inglese)
• User Account Control Team Blog (in inglese)
• User Account Control Overview (in inglese)
• Understanding and Configuring User Account Control (in inglese)
• Virtual Lab: User Account Control (in inglese)

Alex Heaton è Senior Product Manager del Windows Vista Security Team. In precedenza ha ricoperto la carica di Lead Site Manager per i siti Web Microsoft dedicati alla sicurezza, tra cui microsoft.com/protect. Alex è inoltre un redattore del blog dello User Account Control Team blogs.msdn.com/uac (in inglese).

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.