Pericoli e contromisure

Articolo
11/22/2018

Capitolo 4: Diritti utente

I diritti utente consentono agli utenti di eseguire attività su un computer o in un dominio e si suddividono in diritti di accesso e privilegi. I diritti di accesso stabiliscono chi è autorizzato ad accedere a un computer e in che modo può essere effettuato l’accesso. I privilegi controllano l’accesso alle risorse del computer e del dominio e possono prevalere sulle autorizzazioni impostate per oggetti specifici.

Un diritto di accesso è, ad esempio, la capacità di accesso a un computer locale. Un privilegio è, ad esempio, la capacità di arrestare il computer. Entrambi i tipi di diritto utente vengono assegnati dagli amministratori a singoli utenti o gruppi nell’ambito delle impostazioni di protezione del computer. Per un riepilogo delle impostazioni necessarie in questo capitolo, consultare la cartella di lavoro Microsoft Excel "Windows Default Security and Services Configuration" (in inglese) inclusa in questa guida. Questa cartella di lavoro illustra le impostazioni predefinite per le assegnazioni dei diritti utente.

Nota: è prevista l'assegnazione di determinati diritti utente agli account integrati utilizzati dall'Internet Information Server (IIS). Le impostazioni di assegnazione diritti utente illustrate in questo capitolo, identificano i diritti richiesti dall'IIS; per ulteriori informazioni su questi requisiti, consultare l'elenco "IIS and Built-In Accounts (IIS 6.0)" (in inglese) all'indirizzo www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.

In questa pagina

Impostazioni di Assegnazione diritti utente Ulteriori informazioni

Impostazioni di Assegnazione diritti utente

È possibile configurare le impostazioni di assegnazione diritti utente utilizzando l'Editor oggetti Criteri di gruppo in:

Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Assegnazioni diritti utenti

Accesso al computer dalla rete

Questa impostazione del criterio determina se gli utenti possono collegarsi al computer dalla rete. Questa funzionalità è richiesta da una serie di protocolli di rete, tra cui i protocolli basati su SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) e COM+ (Component Object Model Plus).

I valori per Accesso al computer dalla rete sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che possono connettersi dal proprio computer alla rete possono anche accedere alle risorse dei computer di destinazione per cui hanno l’autorizzazione. Ad esempio, il diritto utente Accesso al computer dalla rete è necessario per collegarsi a stampanti e cartelle condivise. Se questo diritto viene assegnato al gruppo Everyone e se per alcune cartelle condivise sono state configurate autorizzazioni di condivisione e autorizzazioni file system NTFS, che concedono l’accesso in lettura a questo stesso gruppo, chiunque nel gruppo potrà visualizzare i file presenti in queste cartelle condivise. È improbabile, tuttavia, che questa situazione si verifichi per le nuove installazioni di Microsoft Windows Server™ 2003 con Service Pack 1 (SP1), in quanto le autorizzazioni di condivisione e NTFS predefinite in Windows Server 2003, non includono il gruppo Everyone. Questa vulnerabilità può presentare un livello maggiore di rischio per i computer aggiornati da Windows NT 4.0 o Windows 2000, poiché le autorizzazioni predefinite di questi sistemi operativi non sono restrittive come quelle di Windows Server 2003.

Contromisura

Assegnare il diritto utente Accesso al computer dalla rete solo agli utenti che devono poter accedere al server. Ad esempio, se si configura questa impostazione del criterio per i gruppi Administrators e Users e i membri del gruppo Domain Users sono inclusi nel gruppo Users locale, gli utenti che accedono al dominio saranno in grado di accedere alle risorse condivise dai server nel dominio.

Impatto potenziale

Se si rimuove il diritto utente Accesso al computer dalla rete dai controller di dominio per tutti gli utenti, nessuno sarà in grado di accedere alle risorse del dominio o della rete. Se si rimuove il diritto utente dai server membri, gli utenti non saranno in grado di collegarsi ai server dalla rete. Se sono stati installati componenti opzionali quali ASP.NET o IIS (Internet Information Services), è necessario assegnare questo diritto utente agli altri account richiesti da tali componenti. È importante accertare che questo diritto utente sia stato assegnato agli utenti autorizzati per i computer che utilizzano per accedere alla rete.

Agisci come parte del sistema operativo

Questa impostazione del criterio determina se un processo può assumere l'identità di un utente per ottenere l'accesso alle risorse cui l'utente è autorizzato ad accedere. Di norma, questo privilegio è necessario solo per i servizi di autenticazione di basso livello. Si osservi che, per impostazione predefinita, l’accesso non è limitato alle risorse associate all’utente.. Il processo chiamante, infatti, potrebbe richiedere l’aggiunta di privilegi arbitrari al token. Il processo chiamante potrebbe, inoltre, creare un token di accesso che non fornisce un'identità principale per controllare i registri eventi di sistema.

I valori possibili per Agisci come parte del sistema operativo sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Agisci come parte del sistema operativo è molto potente. Chiunque con questo diritto utente può assumere il controllo completo del computer e cancellare le prove delle attività svolte.

Contromisura

Limitare l'assegnazione del diritto utente Agisci come parte del sistema operativo a pochi account. In circostanze normali, questo diritto non dovrebbe essere assegnato nemmeno al gruppo Administrators. Nel caso in cui un servizio richieda questo diritto utente, configurare il servizio in modo che acceda con l'Account di sistema locale, che di per sé è dotato di questo privilegio. Evitare di creare un account distinto e di assegnargli questo diritto utente.

Impatto potenziale

L'impatto dovrebbe essere minimo o nullo, poiché il diritto utente Agisci come parte del sistema operativo è richiesto di raro da altri account che non siano l'Account di sistema locale.

Aggiunta del computer al dominio

Questa impostazione del criterio determina se un utente può aggiungere un computer in un determinato dominio. Perché questa impostazione sia efficace, deve essere assegnata ad almeno un controller di dominio. Un utente dotato di questo diritto utente può aggiungere fino a dieci workstation al dominio. Gli utenti possono aggiungere un computer in un dominio anche se è stata concessa loro l'autorizzazione per la creazione di oggetti computer per un’unità organizzativa (UO) o per il contenitore Computer nel servizio directory Active Directory. Gli utenti che dispongono di questa autorizzazione possono aggiungere un numero illimitato di computer al dominio, a prescindere dal fatto che siano dotati del diritto utente Aggiunta del computer al dominio.

I valori possibili per Aggiunta del computer al dominio sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Aggiunta del computer al dominio comporta una vulnerabilità moderata. Gli utenti con questo diritto possono aggiungere al dominio un computer la cui configurazione non è conforme ai criteri di protezione dell'organizzazione. Si supponga, ad esempio, che un’organizzazione non desideri che gli utenti abbiano privilegi amministrativi per il proprio computer. Un utente potrebbe installare Windows nel proprio computer, quindi aggiungere il computer al dominio. In questo modo, l'utente conosce la password dell’account dell'amministratore locale e, utilizzando questo account, può accedere e aggiungere l'account del dominio al gruppo Administrators locale.

Contromisura

Configurare l'impostazione Aggiunta del computer al dominio in modo che solo i membri autorizzati del team IT possano aggiungere computer al dominio.

Impatto potenziale

Per le organizzazioni che non hanno mai consentito agli utenti di configurare i propri computer e di aggiungerli al dominio, questa contromisura non avrà alcun impatto. Per le organizzazioni che hanno consentito a tutti o ad alcuni utenti di configurare i propri computer, con il passare del tempo, questa contromisura renderà necessario definire una prassi formale per queste procedure. Non avrà effetto sui computer esistenti, tranne se sono rimossi o aggiunti di nuovo al dominio.

Regolazione quote di memoria per un processo

Questa impostazione del criterio determina se consentire agli utenti di regolare la quantità massima di memoria disponibile per un processo. Sebbene questa funzionalità sia utile per mettere a punto i computer, è necessario tenere presente la possibilità di abuso. Nelle mani sbagliate, infatti, potrebbe essere utilizzato per sferrare un attacco di tipo Denial of Service (DoS).

I valori possibili per l'impostazione Regolazione quote di memoria per un processo sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un utente dotato del privilegio Regolazione quote di memoria per un processo può ridurre la quantità di memoria disponibile per qualsiasi processo, che può provocare il rallentamento o l'errore di applicazioni di rete critiche per l'attività dell'azienda.

Contromisura

Assegnare il diritto utente Regolazione quote di memoria per un processo solo agli utenti che ne hanno bisogno per svolgere il proprio lavoro, come gli amministratori di applicazioni che sono responsabili dei sistemi di gestione dei database o gli amministratori di dominio che gestiscono la directory dell'organizzazione e l'infrastruttura che la sostiene.

Impatto potenziale

Le organizzazioni che non hanno assegnato agli utenti ruoli con privilegi limitati avranno difficoltà ad imporre questa contromisura. Inoltre, se sono stati installati componenti opzionali quali ASP.NET o IIS, è necessario assegnare il diritto utente Regolazione quote di memoria per un processo agli altri account richiesti da tali componenti. IIS richiede che questo privilegio venga assegnato agli account IWAM_<nomecomputer>, Servizio di rete e Servizio. Altrimenti, questa contromisura non avrebbe alcun impatto sulla maggior parte dei computer. Se un account utente richiede questo diritto utente, assegnarlo a un account del computer locale invece di un account di dominio.

Consenti accesso locale

Questa impostazione del criterio determina se un utente può avviare una sessione interattiva sul computer. Gli utenti che non dispongono di questo diritto possono comunque avviare una sessione interattiva remota dal computer se è stato concesso loro il diritto Consenti accesso tramite Servizi terminal.

I valori possibili per Consenti accesso locale sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Tutti gli account cui è stato assegnato il diritto utente Consenti accesso locale, possono accedere alla console del computer. Se non si limita l'assegnazione di questo diritto utente ai soli utenti autorizzati che hanno bisogno di accedere alla console del computer, utenti non autorizzati potrebbero scaricare ed eseguire codice dannoso per elevare i propri privilegi.

Contromisura

Per i controller di dominio, assegnare il diritto utente Consenti accesso locale solo al gruppo Administrators. Per gli altri ruoli di server, si potrebbe scegliere di aggiungere Backup Operators e Power Users. Per i computer degli utenti finali, assegnare questo diritto anche al gruppo Users.

In alternativa, è possibile assegnare il diritto utente Nega accesso locale a gruppi quali Account Operators, Server Operators e Guests.

Impatto potenziale

Se si rimuovono questi gruppi predefiniti, si rischia di ridurre le capacità degli utenti assegnati a ruoli amministrativi specifici nell’ambiente. Se sono stati installati componenti opzionali quali ASP.NET o IIS, è necessario assegnare il diritto utente Consenti accesso locale agli altri account richiesti da tali componenti. IIS richiede che questo diritto utente venga assegnato all'account IUSR_<nomecomputer>. Verificare che non vi siano conseguenze negative sulle attività delegate.

Consenti accesso tramite Servizi terminal

L'impostazione di questo criterio determina se gli utenti possono accedere al computer attraverso una connessione desktop remoto. Evitare di assegnare questo diritto ad altri utenti o gruppi. È prassi consigliata aggiungere o rimuovere utenti dal gruppo Utenti desktop remoto, per controllare l'apertura di una connessione desktop remoto sul computer.

I valori possibili per Consenti accesso tramite Servizi terminal sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Tutti gli account cui è stato assegnato il diritto utente Consenti accesso tramite Servizi terminal possono accedere alla console remota del computer. Se non si limita l'assegnazione di questo diritto utente ai soli utenti autorizzati che hanno bisogno di accedere alla console del computer, utenti non autorizzati potrebbero scaricare ed eseguire codice dannoso per elevare i propri privilegi.

Contromisura

Per i controller di dominio, assegnare il diritto utente Consenti accesso tramite Servizi terminal solo al gruppo Administrators. Per gli altri ruoli di server e per i computer degli utenti finali, aggiungere il gruppo Utenti desktop remoto. Per i server terminal che non vengono eseguiti in modalità server applicazioni, verificare che solo il personale IT autorizzato alla gestione remota dei computer appartiene a uno di questi gruppi.

Avviso: per i server terminal che vengono eseguiti in modalità server applicazioni, verificare che ad accedere al server siano solo utenti con account che fanno parte del gruppo incorporato Utenti desktop remoto, che di per sé è già dotato di questo diritto di accesso.

In alternativa, è possibile assegnare il diritto utente Nega accesso tramite Servizi terminal a gruppi quali Account Operators, Server Operators e Guests. È necessario, tuttavia, utilizzare questo metodo con cautela, perché si potrebbe impedire l'accesso ad amministratori autorizzati che appartengono anche a un gruppo con il diritto utente Nega accesso tramite Servizi terminal.

Impatto potenziale

La rimozione del diritto utente Consenti accesso tramite Servizi terminal dai cambiamenti di altri gruppi o appartenenze in questi gruppi predefiniti, potrebbe limitare le capacità degli utenti che svolgono determinati ruoli amministravi nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Backup di file e directory

Questa impostazione del criterio determina se gli utenti possono aggirare le autorizzazioni per file e directory per eseguire il backup del computer. Questo diritto utente è efficace solo quando un'applicazione tenta l'accesso attraverso l'API (Application Programming Interface) di backup del file system NTFS, utilizzando un'utilità di backup quale NTBACKUP.EXE. In caso contrario, sono valide le autorizzazioni standard per file e directory.

I valori possibili per Backup di file e directory sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che sono in grado di eseguire il backup dei dati da un computer, possono inserire il supporto di backup in un computer che non appartiene al dominio in cui dispongono di privilegi amministrativi e ripristinare i dati. Così facendo, possono acquisire la proprietà dei file e visualizzare tutti i dati crittografati contenuti nel set di backup.

Contromisura

Assegnare il diritto utente Backup di file e directory solo ai membri del team IT che contano tra le proprie mansioni giornaliere il backup dei dati dell'organizzazione. Se si utilizza un software di backup eseguibile in account di servizio specifici, assegnare il diritto utente Backup di file e directory solo a questi account e non al personale IT.

Impatto potenziale

Le modifiche apportate all'appartenenza ai gruppi dotati del diritto utente Backup di file e directory potrebbero limitare le capacità degli utenti che svolgono ruoli amministrativi specifici nell'ambiente. Verificare che gli amministratori autorizzati ad effettuare i backup siano ancora in grado di svolgere le operazioni di backup.

Ignora controllo visite

Questa impostazione del criterio determina se gli utenti che esplorano un percorso oggetti nel file system NTFS o nel Registro di sistema, devono dimostrare di possedere l'autorizzazione di accesso speciale “Visita cartelle”. Questo diritto utente consente all'utente solo di cambiare cartelle e non di visualizzarne il contenuto.

I valori possibili per Ignora controllo visite sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Amministratori Windows esperti configurano gli elenchi di controllo accesso di sistema (ACL) consapevoli che l'impostazione predefinita per Ignora controllo visite è di consentire a chiunque di ignorare il controllo visite. La configurazione predefinita può provocare problemi solo se gli amministratori che configurano le autorizzazioni non hanno compreso il funzionamento di questa impostazione del criterio. Ad esempio, presuppongono che gli utenti che non sono in grado di accedere a una cartella non possono neanche accedere al contenuto delle sottocartelle. Una situazione del genere è improbabile e, di fatto, questa vulnerabilità presenta un rischio minimo.

Contromisura

Le organizzazioni che devono prestare particolare attenzione alla protezione possono rimuovere il gruppo Everyone e, magari, anche il gruppo Users dall’elenco dei gruppi con il diritto utente Ignora controllo visite. L'assunzione del controllo esplicito sulle assegnazioni delle visite può essere un modo molto efficace di controllare gli accessi a informazioni riservate. (Inoltre, è possibile utilizzare la funzione Access–based Enumeration aggiunta in Windows Server 2003 SP1. Con questa funzione, gli utenti non possono visualizzare le cartelle o i file cui non sono autorizzati ad accedere. Per ulteriori informazioni su questa funzionalità, consultare la pagina in inglese www.microsoft.com/technet/prodtechnol/ windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx).

Impatto potenziale

I sistemi operativi Windows, così come molte applicazioni, sono stati progettati partendo dal presupposto che questo diritto utente venga assegnato a tutti coloro che sono autorizzati ad accedere al computer. Pertanto, Microsoft consiglia di provare meticolosamente le eventuali modifiche alle assegnazioni del diritto utente Ignora controllo visite prima di applicarle ai sistemi di produzione. In particolare, l'IIS richiede che questo diritto utente venga assegnato agli account Servizio di rete, Servizio locale, IIS_WPG, IUSR_<nomecomputer> e IWAM_ <nomecomputer>. (Deve essere assegnato anche all'account ASPNET utilizzando la sua appartenenza al gruppo Users). Questa guida consiglia di lasciare questa impostazione del criterio quale configurazione predefinita.

Modifica dell'orario di sistema

Questa impostazione del criterio determina se gli utenti possono regolare l'orario dell'orologio interno del computer. Non è necessario disporre di questo diritto per modificare il fuso orario o altre caratteristiche di visualizzazione dell’orario di sistema.

I valori possibili per Modifica dell'orario di sistema sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che sono in grado di cambiare l’orario in un computer possono provocare vari problemi: Ad esempio, i timestamp delle voci nei registri eventi potrebbero non essere corretti, i timestamp relativi a data e ora di creazione di file e cartelle potrebbero essere inesatti e i computer che fanno parte di un dominio potrebbero non essere in grado di autenticare se stessi o gli utenti che li utilizzano per accedere al dominio. Inoltre, poiché il protocollo di autenticazione Kerberos richiede che l'orologio del richiedente e dell'autenticatore siano sincronizzati nell'ambito di un periodo di asimmetria definito dall'amministratore, un pirata informatico potrebbe modificare l'orario del computer, rendendo impossibile per lo stesso ottenere o concedere ticket Kerberos.

Il rischio per questo tipo di eventi viene minimizzato nella maggior parte dei controller di dominio, dei server membro e dei computer degli utenti finali, perché il servizio Ora di Windows sincronizza automaticamente l’ora con i controller di dominio, come descritto di seguito:

Tutti i computer desktop client e server membro utilizzano il controller di dominio di autenticazione come partner orario in ingresso.
Tutti i controller di dominio all'interno di un dominio utilizzano il master operazioni dell'emulatore controller di dominio primario (PDC) come partner orario in ingresso.
Tutti i master operazioni dell'emulatore PDC scelgono il partner orario in ingresso in base alla gerarchia dei domini.
Il master operazioni dell'emulatore PDC nel dominio principale rappresenta il punto di riferimento principale dell'organizzazione. Si consiglia, pertanto di configurare il computer per la sincronizzazione con un server di riferimento orario esterno affidabile.

Questa vulnerabilità diventa molto più grave se un pirata informatico riesce a cambiare l’ora del sistema e a interrompere il servizio Ora di Windows o a riconfigurarlo in modo che si sincronizzi con un server di riferimento ora non preciso.

Contromisura

Assegnare il diritto utente Modifica dell'orario di sistema solo agli utenti che devono effettivamente poter modificare l’ora del sistema, come il personale del reparto IT.

Impatto potenziale

L’impatto dovrebbe essere nullo, poiché nella maggior parte delle organizzazioni la sincronizzazione dell'ora di tutti i computer del dominio è automatica. I computer che non appartengono al dominio devono essere configurati in modo da sincronizzarsi con un’origine esterna.

Creazione di file di paging

Questa impostazione del criterio determina se gli utenti possono creare e modificare le dimensioni di un file di paging. Determina, in particolare, se gli utenti possono specificare le dimensioni del file di paging per una determinata unità nella casella Opzioni prestazioni della scheda Avanzate della finestra di dialogo di Proprietà di sistema.

I valori possibili per Creazione di file di paging sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che possono modificare le dimensioni del file di paging possono impostare dimensioni estremamente piccole oppure possono spostare il file in un volume di archiviazione molto frammentato, che può comportare una riduzione delle prestazioni del computer.

Contromisura

Assegnare il diritto utente Creazione di un file di paging solo ai membri del gruppo Administrators.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Creazione di un oggetto token

Questa impostazione del criterio consente a un processo di creare un token, che potrà essere usato per accedere alle risorse locali quando utilizza NtCreateToken() o altre API per la creazione di token.

I valori possibili per Creazione di un oggetto token sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il sistema operativo esamina il token di accesso di un utente per determinare il livello dei privilegi dell'utente. I token di accesso vengono creati quando gli utenti accedono al computer locale o si connettono a un computer remoto tramite la rete. In caso di revoca di un privilegio, la modifica viene registrata immediatamente, ma viene applicata al token di accesso dell'utente solo la volta successiva che l'utente accede o si connette. Un utente che può creare o modificare token può modificare il livello di accesso per qualsiasi account connesso. Potrebbe, quindi, elevare i privilegi o creare una condizione di tipo DoS.

Contromisura

Evitare di assegnare il diritto Creazione di un oggetto token agli utenti. I processi che richiedono questo diritto utente devono utilizzare l'account di sistema, in cui il diritto è predefinito, invece di un account utente distinto cui è stato assegnato questo diritto.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Creazione di oggetti globali

Questa impostazione del criterio determina se gli utenti possono creare oggetti globali che siano disponibili in tutte le sessioni. Pur non disponendo di questo diritto utente, gli utenti possono comunque creare oggetti specifici per la propria sessione.

I valori possibili per Creazione di oggetti globali sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che possono creare oggetti globali possono intervenire sui processi in esecuzione nelle sessioni di altri utenti. Ciò può provocare problemi di vario tipo, ad esempio errori delle applicazioni o danneggiamento dei dati.

Contromisura

Assegnare il privilegio Creazione di oggetti globali solo ai membri dei gruppi locali Administrators e Servizio.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Creazione di oggetti condivisi permanenti

Questa impostazione del criterio determina se gli utenti possono creare oggetti della directory nel gestore oggetti. Gli utenti dotati di questo diritto possono creare oggetti condivisi permanenti, tra cui periferiche, semafori e mutex. Questo diritto utente è utile ai componenti in modalità kernel che estendono lo spazio dei nomi degli oggetti e che sono predefiniti con questo diritto utente. Pertanto, di norma non è necessario assegnarlo esplicitamente agli utenti.

I valori possibili per Creazione di oggetti condivisi permanenti sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti dotati del diritto utente Creazione di oggetti condivisi permanenti possono creare nuovi oggetti condivisi e divulgare in rete dati riservati.

Contromisura

Evitare di assegnare il diritto Creazione di oggetti condivisi permanenti agli utenti. I processi che richiedono questo diritto utente devono utilizzare l'account di sistema, predefinito con questo diritto utente, invece di un account utente distinto.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Debug di programmi

Questa impostazione del criterio determina se gli utenti possono aprire o allegare un processo qualsiasi, compresi i processi di cui non sono titolari. Questo diritto offre l'accesso a componenti del sistema operativo riservati ed essenziali.

I valori possibili per Debug di programmi sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Debug di programmi consente di acquisire informazioni riservate dalla memoria di sistema oppure di accedere e modificare le strutture del kernel o delle applicazioni. Alcuni strumenti di intrusione sfruttano questo diritto utente per estrarre password con hashing e altre informazioni di protezione private o di effettuare l'inserimento di codice di tipo rootkit. Per ridurre il rischio di vulnerabilità, per impostazione predefinita, il diritto utente Debug di programmi viene assegnato solo agli amministratori.

Contromisura

Revocare il diritto utente Debug di programmi a tutti gli utenti ed i gruppi che non lo richiedono.

Impatto potenziale

Se si revoca questo diritto utente, nessuno sarà in grado di eseguire il debug dei programmi. Tuttavia, in circostanze normali di raro i computer di produzione richiedono questa funzionalità. Se dovesse sorgere un problema che richiede temporaneamente il debug di un'applicazione su un server di produzione, è possibile spostare il server in un'altra unità organizzativa ed assegnarne il diritto utente Debug di programmi a Criteri di gruppo diversi.

L'account di servizio utilizzato per il servizio cluster ha bisogno del privilegio Debug di programmi; altrimenti, il servizio Clustering di Windows non sarà disponibile. Per ulteriori informazioni su come configurare Clustering di Windows e proteggere il computer, consultare l'articolo della Microsoft Knowledge Base n. 891597, "Come applicare le impostazioni di protezione più restrittive su un server basato su Windows Server 2003 di cluster", all'indirizzo http://support.microsoft.com/kb/891597/it.

Le utilità di gestione dei processi non sarà in grado di intervenire sui processi di cui l'utente che esegue l'utilità non è titolare. Ad esempio, lo strumento Kill.exe di Windows Server 2003 Resource Kit può essere utilizzato solo dagli amministratori dotati di questo diritto utente per interrompere i processi non avviati da altri.

Inoltre, alcune versioni meno recenti di Update.exe, utilizzato per installare aggiornamenti dei prodotti Windows, richiedono che l'account che applica l'aggiornamento sia dotato di questo diritto utente. Se si installa una patch che utilizza questa versione di Update.exe, il computer potrebbe non rispondere. Per ulteriori informazioni, consultare l'articolo della Microsoft Knowledge Base n. 830846, “Blocco di Aggiornamenti prodotto di Windows o utilizzo della maggior parte o di tutte le risorse della CPU” all'indirizzo http://support.microsoft.com/kb/830846/it.

Nega accesso al computer dalla rete

Questa impostazione del criterio determina se gli utenti possono collegarsi al computer dalla rete.

I valori possibili per Nega accesso al computer dalla rete sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti che possono accedere al computer tramite la rete possono enumerare elenchi di nomi di account, nomi di gruppo e risorse condivise. Gli utenti che dispongono dell’autorizzazione per accedere alle cartelle e ai file condivisi possono connettersi tramite la rete e visualizzare o modificare i dati. Per garantire un livello supplementare di protezione, è possibile negare esplicitamente questo diritto di accesso agli account ad alto rischio, ad esempio all’account Guest locale e ad altri account che non hanno motivo di accedere al computer dalla rete.

Contromisura

Assegnare il diritto utente Nega accesso al computer dalla rete ai seguenti account:

ACCESSO ANONIMO
Account locale Administrator predefinito
Account Guest locale
Account Support predefinito
Tutti gli account di servizio

Un'importante eccezione è costituita dagli account di servizio che vengono utilizzati per avviare servizi necessari per connettersi al computer dalla rete. Se, ad esempio, è stata configurata una cartella condivisa per i server Web per visualizzarne il contenuto da un sito Web, è necessario che il server che ospita la cartella sia accessibile dalla rete con l'account che esegue l'IIS. Questo diritto utente è particolarmente efficace quando è necessario configurare server e workstation che gestiscono informazioni riservate per esigenze di conformità alle normative.

Impatto potenziale

Se si configura il diritto utente Nega accesso al computer dalla rete per altri gruppi, si rischia di limitare le capacità degli utenti che svolgono ruoli amministrativi specifici nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Nega accesso come processo batch

Questa impostazione del criterio determina se gli utenti possono accedere utilizzando la funzionalità di coda batch, funzione di Windows Server 2003 che consente di pianificare e avviare processi automaticamente una o più volte nel tempo. Questo diritto utente è necessario per tutti gli account che vengono utilizzati per avviare processi pianificati mediante l'Utilità di pianificazione.

I valori possibili per Nega accesso come processo batch sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli account dotati del diritto utente Nega accesso come processo batch possono essere utilizzati per pianificare processi in grado di dilapidare le risorse del computer e provocare una condizione di DoS.

Contromisura

Assegnare il diritto utente Nega accesso come processo batch all'account Support predefinito e all'account Guest locale.

Impatto potenziale

Se si assegna il diritto utente Nega accesso come processo batch ad altri account, si rischia di negare la possibilità ad utenti cui sono stati assegnati ruoli amministrativi specifici di svolgere le proprie mansioni. Verificare che non vi siano conseguenze negative sulle attività delegate. Se, ad esempio, si assegna il diritto utente all'account IWAM_<nome computer>, il Punto di gestione MSM non sarà disponibile. In un computer Windows Server 2003 installato di recente, questo account non appartiene al gruppo Guests, al contrario in un computer aggiornato da Windows 2000, questo account è membro del gruppo Guests. È importante, pertanto, determinare quali account appartengono a gruppi cui è stato assegnato il diritto utente Nega accesso come processo batch.

Nega accesso come servizio

Questa impostazione del criterio determina se gli utenti possono accedere come servizio.

I valori possibili per Nega accesso come servizio sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli account che possono accedere come servizio possono essere utilizzati per configurare e avviare nuovi servizi non autorizzati, ad esempio keylogger o software dannoso. I vantaggi derivanti dalla contromisura specificata sono alquanto mitigati dal fatto che solo gli utenti con privilegi amministrativi possono installare e configurare servizi e un pirata informatico che ha già un tale livello di accesso potrebbe configurare il servizio in modo che venga eseguito con l'account di sistema locale.

Contromisura

Questa guida consiglia di non assegnare il diritto utente Nega accesso come servizio agli account e quindi di accettare la configurazione predefinita. Le organizzazioni che devono adottare misure di protezione particolarmente rigide potrebbero assegnare questo diritto utente a gruppi e account che di certo non avranno mai la necessità di accedere come servizio.

Impatto potenziale

Se si assegna il diritto utente Nega accesso come servizio a determinati account, sarà impossibile avviare alcuni servizi e questo potrebbe provocare una condizione di DoS.

Nega accesso locale

Questa impostazione del criterio determina se gli utenti possono accedere direttamente alla tastiera del computer.

I valori possibili per Nega accesso locale sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Per accedere alla console del computer potrebbe venire utilizzato qualsiasi account con il diritto per l’accesso locale. Se il diritto utente non si limita ai soli utenti autorizzati per accedere alla console del sistema, è possibile che utenti non autorizzati possano scaricare ed eseguire codice dannoso per elevare i propri privilegi.

Contromisura

Assegnare il diritto utente Nega accesso locale all'account Support predefinito. Se sono stati installati componenti opzionali quali ASP.NET, è necessario assegnare questo diritto utente agli altri account richiesti da tali componenti.

Nota: l'account Support_388945a0 rende possibile l’interoperabilità del servizio Guida in linea e supporto tecnico con gli script con firma. Questo account viene utilizzato principalmente per controllare l’accesso agli script con firma a cui è possibile accedere da Guida in linea e supporto tecnico. Gli amministratori possono utilizzare questo account per consentire a un utente tipico, privo di accesso amministrativo, di eseguire script con firma da collegamenti incorporati in Guida in linea e supporto tecnico. Questi script possono essere programmati per l'utilizzo delle credenziali dell'account Support_388945a0 invece delle credenziali dell’utente per l’esecuzione di operazioni amministrative specifiche nel computer locale, che altrimenti non sarebbero possibili con il normale account dell’utente.

Quando l’utente fa clic su un collegamento in Guida in linea e supporto tecnico, lo script viene eseguito nel contesto di protezione dell’account Support_388945a0. Questo account ha accesso limitato al computer ed è disabilitato per impostazione predefinita.

Impatto potenziale

Se si assegna il diritto utente Nega accesso locale ad altri account, si rischia di limitare le capacità degli utenti cui sono stati assegnati ruoli specifici nell'ambiente. Tuttavia, questo diritto utente deve essere assegnato esplicitamente all'account ASPNET dei computer che utilizzano IIS 6.0. Verificare che non vi siano conseguenze negative sulle attività delegate.

Nega accesso tramite Servizi terminal

L'impostazione di questo criterio determina se gli utenti possono accedere al computer attraverso una connessione desktop remoto.

I valori possibili per Nega accesso tramite Servizi terminal sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli account con il diritto di accedere tramite Servizi terminal possono essere utilizzati per accedere alla console remota del computer. Se il diritto utente non si limita ai soli utenti autorizzati per accedere alla console del sistema, è possibile che utenti non autorizzati possano scaricare ed eseguire codice dannoso per elevare i propri privilegi.

Contromisura

Assegnare il diritto di accesso Nega accesso tramite Servizi terminal all’account locale predefinito Administrator e a tutti gli account di servizio. Se sono stati installati componenti opzionali quali ASP.NET, è necessario assegnare questo diritto utente agli altri account richiesti da tali componenti.

Impatto potenziale

Se si assegna il diritto utente Nega accesso tramite Servizi terminal agli altri gruppi, si rischia di limitare le capacità degli utenti cui sono stati assegnati ruoli specifici nell'ambiente. Gli account dotati di questo diritto utente non sono in grado di collegarsi al computer attraverso Servizi terminal o Assistenza remota. Verificare che non vi siano conseguenze negative sulle attività delegate.

Impostazione account computer ed utente a tipo trusted per la delega

Questa impostazione del criterio determina se gli utenti possono modificare l'impostazione Trusted per la delega di un oggetto utente o computer nell'Active Directory. Gli utenti o i computer cui è stato assegnato questo diritto utente devono disporre dell'accesso in scrittura dei flag di controllo dell'account nell'oggetto.

La delega dell’autenticazione è una funzionalità utilizzata dalle applicazioni client/server a più livelli, che consente a un servizio di front-end di utilizzare le credenziali del client per l'autenticazione a un servizio di back-end. Per attuare questa configurazione, il client e il server devono essere eseguiti con gli account considerati trusted per la delega.

I valori possibili per Impostazione account computer ed utente a tipo trusted per la delega sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

L'uso improprio del diritto utente Impostazione account computer ed utente a tipo trusted per la delega può consentire ad utenti non autorizzati di impersonare altri utenti in rete. Un pirata informatico può utilizzare questo privilegio per accedere alle risorse e rendere difficile determinare l'accaduto a seguito del problema di protezione.

Contromisura

Il diritto utente Impostazione account computer ed utente a tipo trusted per la delega deve essere assegnato solo se esiste l'effettiva esigenza di applicarne le funzionalità. Quando si assegna questo diritto, si consiglia di esaminare l'uso delle deleghe vincolate per tenere sotto controllo le attività degli account delegati.

Nota: non c'è nulla che giustifichi l'assegnazione di questo diritto utente nei server membro e nelle workstation che appartengono a un dominio, in quanto non ha significato in questi contesti. È rilevante, infatti, solo nei controller di dominio e nei sistemi autonomi.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Arresto forzato da un sistema remoto

Questa impostazione del criterio determina se un utente può arrestare un computer da una postazione remota in rete.

I valori possibili per Arresto forzato da un sistema remoto sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Qualsiasi utente in grado di arrestare un computer può provocare una condizione di DoS. Pertanto, questo privilegio deve essere assegnato solo se strettamente necessario.

Contromisura

Assegnare il diritto utente Arresto forzato da un sistema remoto solo ai membri del gruppo Administrators oppure a coloro cui sono stati assegnati ruoli specifici che richiedono questa funzionalità, come il personale non amministrativo di un centro operativo.

Impatto potenziale

Se si rimuove il diritto utente Arresto forzato da un sistema remoto dal gruppo Server Operator, si rischia di limitare le capacità degli utenti cui sono stati assegnati ruoli amministrativi specifici nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Generazione controlli di protezione

Questa impostazione del criterio determina se un processo può generare registrazioni di controllo nel registro di protezione. È possibile utilizzare le informazioni nel registro di protezione per tenere traccia degli accessi non autorizzati al computer.

I valori possibili per Generazione controlli di protezione sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un pirata informatico può utilizzare gli account autorizzati a scrivere nel registro di protezione per inserire eventi privi di significato nel registro. Se il computer è configurato in modo che gli eventi vengano sovrascritti quando necessario, il pirata informatico potrebbe utilizzare questo metodo per cancellare le prove delle sue attività illecite. Se il computer è configurato per l'arresto quando non è in grado di scrivere sul registro di protezione e non è configurato per eseguire il backup automatico dei file del registro, questo metodo può essere usato per creare una condizione di DoS (Denial of Service).

Contromisura

Verificare che il diritto utente Generazione controlli di protezione sia assegnato solo ai gruppi Servizio e Servizio di rete.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Impersona un cliente dopo l'autenticazione

Il diritto utente Impersona un cliente dopo l'autenticazione consente ai programmi eseguiti da un utente di rappresentare l'utente o un altro account specificato, in modo che possano agire in sua vece. Se questo diritto utente è richiesto per questo tipo di rappresentazione, un utente non autorizzato non sarà in grado di convincere un client a connettersi (ad esempio tramite una chiamata RPC o una named pipe) a un servizio da lui creato e quindi rappresenti tale client, operazione questa che può elevare le autorizzazioni dell’utente non autorizzato fino ai livelli amministrativo o di sistema.

Per impostazione predefinita, il gruppo predefinito Service viene aggiunto ai token di accesso dei servizi che vengono avviati da Gestione controllo servizio. Il gruppo Service viene aggiunto anche ai token di accesso dei server COM avviati dall’infrastruttura COM e configurati per essere eseguiti con un account specifico. A tal fine, questi processi ricevono questo diritto utente all’avvio.

Inoltre, un utente può rappresentare un token di accesso al verificarsi di una o più delle seguenti condizioni:

Il token di accesso che viene rappresentato è per l’utente in questione.
L’utente, nella sessione di accesso corrente, si è collegato alla rete con credenziali esplicite per creare un token di accesso.
Il livello richiesto è minore di Rappresenta, ad esempio è Anonimo o Identifica.

Per questi motivi, di norma non è necessario assegnare questo diritto agli utenti.

I valori possibili per Impersona un cliente dopo l'autenticazione sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un pirata informatico dotato del diritto utente Impersona un cliente dopo l'autenticazione può creare un servizio, tentare di far collegare un client al servizio e quindi rappresentare il client per elevare il proprio livello di accesso a quello del client stesso.

Contromisura

Verificare che sui server membro, il privilegio Impersona un cliente dopo l'autenticazione sia assegnato solo ai gruppi Administrators e Service. Questo diritto utente deve essere assegnato al gruppo IIS_WPG, che a sua volta lo assegna all'account Servizio di rete, sui computer che eseguono IIS 6.0.

Impatto potenziale

Nella maggior parte dei casi questa configurazione avrà impatto nullo. Se sono stati installati componenti opzionali, quali ASP.NET o IIS, è necessario assegnare il diritto utente Impersona un cliente dopo l'autenticazione agli altri account richiesti da tali componenti, quali IUSR_<nomecomputer>, IIS_WPG, ASP.NET o IWAM_<nomecomputer>.

Aumenta priorità di esecuzione

Questa impostazione del criterio determina se gli utenti possono aumentare la classe di priorità di base di un processo. (L'aumento della priorità relativa in una classe di priorità non è un'operazione che richiede privilegi). Questo diritto utente non è richiesto dagli strumenti di amministrazione forniti con il sistema operativo ma potrebbe essere richiesto dagli strumenti di sviluppo software.

I valori possibili per Aumenta priorità di esecuzione sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un utente cui è stato assegnato questo diritto utente può aumentare la priorità di pianificazione di un processo fino al livello In tempo reale, lasciando così poco tempo per gli altri processi, e ciò potrebbe provocare una condizione di tipo DoS.

Contromisura

Verificare che il diritto utente Aumenta priorità di esecuzione sia assegnato solo al gruppo Administrators.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Installa e disinstalla driver periferica

Questa impostazione del criterio determina se gli utenti possono caricare e rimuovere dinamicamente i driver di periferica. Questo diritto utente non è necessario se il file Driver.cab del computer contiene già un driver firmato per il nuovo hardware.

I valori possibili per Installa e disinstalla driver periferica sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

I driver di periferica vengono eseguiti come codice con privilegi di alto livello. Un utente dotato del diritto utente Installa e disinstalla driver periferica potrebbero installare, inconsapevolmente, codice dannoso mascherato da driver di periferica. Si presume che gli amministratori prestino estrema cautela e che, pertanto, installeranno solo driver con firme digitali verificate.

Nota: è necessario disporre di questo diritto utente ed essere anche membro del gruppo Administrators o del gruppo Power Users, per poter installare un nuovo driver per una stampante locale o gestire una stampante locale e configurare i valori predefiniti per opzioni quali la stampa fronte retro. Il requisito di disporre del diritto utente e dell'appartenenza al gruppo Administrators o Power Users è nuovo in Windows XP e Windows Server 2003.

Contromisura

Assegnare il diritto utente Installa e disinstalla driver periferica ai soli utenti o gruppi che fanno parte di Administrators sui server membro. Per i controller di dominio, assegnare questo diritto utente ai soli utenti o gruppi che fanno parte di Domain Admins.

Impatto potenziale

Se si rimuove il diritto utente Installa e disinstalla driver periferica dal gruppo Print Operators o da altri account, si rischia di limitare le capacità degli utenti cui sono stati assegnati ruoli amministrativi specifici nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Blocco di pagine in memoria

Questa impostazione del criterio determina se un processo può archiviare dati nella memoria fisica, per evitare il paging di dati nella memoria virtuale sul disco del computer. Se si assegna questo diritto utente, le prestazioni del computer ne risentiranno notevolmente.

I valori possibili per Blocco di pagine in memoria sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Gli utenti dotati del diritto utente Blocco di pagine in memoria possono assegnare memoria fisica a molti processi, che potrebbero lasciare poca RAM disponibile, se non nulla, per i processi e provocare una condizione di DoS.

Contromisura

Evitare di assegnare il diritto utente Blocco di pagine in memoria agli account.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Accesso come processo batch

Questa impostazione del criterio determina se gli utenti possono accedere utilizzando una funzionalità di coda batch come il servizio Utilità di pianificazione. Quando un amministratore utilizza la procedura guidata Aggiungi operazione pianificata per pianificare un'operazione in modo che venga eseguita con un nome utente e una password specifici, a tale utente viene assegnato automaticamente il diritto Accesso come processo batch. All’ora pianificata il servizio Utilità di pianificazione consente all'utente l'accesso come processo batch anziché come utente interattivo e l’operazione viene eseguita nel contesto di protezione dell’utente.

I valori possibili per Accesso come processo batch sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Accesso come processo batch presenta una vulnerabilità che comporta un rischio basso. Per la maggior parte delle organizzazioni, le impostazioni predefinite sono sufficienti.

Contromisura

Lasciare che il computer gestisca questo diritto di accesso automaticamente se si desidera consentire l'esecuzione delle operazioni pianificate per account utente specifici. Se non si desidera utilizzare l'Utilità di pianificazione in questo modo, configurare il diritto utente Accesso come processo batch solo per l'account Servizio locale e per l’account di supporto locale (Support_388945a0). Per i server IIS, configurare questo criterio a livello locale, anziché tramite criteri di gruppo basati sul dominio, in modo da poter verificare che questo diritto di accesso sia stato assegnato agli account locali IUSR_<nomecomputer> e IWAM_<nomecomputer>.

Impatto potenziale

Se si configura l'impostazione Accesso come processo batch utilizzando criteri di gruppo basati sul dominio, il computer non sarà in grado di assegnare il diritto utente agli account utilizzati per pianificare processi con l'Utilità di pianificazione. Se sono stati installati componenti opzionali quali ASP.NET o IIS, è necessario assegnare questo diritto utente agli altri account richiesti da tali componenti. Ad esempio, l'IIS richiede che questo diritto utente venga assegnato al gruppo IIS_WPG e agli account IUSR_<nomecomputer>, ASPNET e IWAM_<nomecomputer>. Se non si assegna il diritto utente al gruppo o agli account, l'IIS non sarà in grado di eseguire alcuni oggetti COM necessari per assicurare il funzionamento corretto.

Accesso come servizio

Questa impostazione del criterio determina se un principio di sicurezza può accedere come un servizio. I servizi possono essere configurati in modo da essere eseguiti con l’account di sistema locale, con l’account Servizio locale o con l’account Servizio di rete, in cui il diritto di accedere come servizio è incorporato. Questo diritto deve essere assegnato a ogni servizio che viene eseguito con un account utente distinto.

I valori possibili per Accesso come servizio sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Accesso come servizio è un diritto utente potente perché consente l'avvio dei servizi di rete o dei servizi eseguiti costantemente dall'account di un computer, anche se nessuno è connesso. Il rischio viene mitigato dal fatto che solo gli utenti con privilegi amministrativi possono installare e configurare i servizi. Un pirata informatico che ha già raggiunto un tale livello di accesso può configurare il servizio in modo che venga eseguito con l’account di sistema locale.

Contromisura

L'insieme predefinito dei principi di protezione dotati del diritto utente Accesso come servizio si limita al Sistema locale, al Servizio locale e al Servizio di rete, che sono tutti account locali incorporati. Si consiglia di ridurre al minimo il numero di account dotati di questo diritto.

Impatto potenziale

Questa è la configurazione predefinita nella maggior parte dei sistemi e non avrà conseguenze negative. Tuttavia, se sono stati installati componenti opzionali quali ASP.NET o IIS, è necessario assegnare il diritto utente Accesso come servizio agli altri account richiesti da tali componenti. IIS richiede che questo diritto utente venga assegnato all'account utente ASPNET.

Gestione file registro di controllo e di protezione

Questa impostazione del criterio determina se gli utenti possono specificare le opzioni di controllo dell'accesso a un oggetto per risorse specifiche, ad esempio file, oggetti Active Directory e chiavi del Registro di sistema. Attivare il controllo degli accessi agli oggetti in Criteri controllo, selezionando Impostazioni di protezione, Criteri locali, altrimenti non viene eseguito. Un utente che dispone di questo diritto utente può anche visualizzare e cancellare il contenuto del registro eventi di protezione dal Visualizzatore eventi.

I valori possibili per Gestione file registro di controllo e di protezione sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

La capacità di gestire il registro eventi di protezione è un diritto utente molto potente, che deve essere concesso con estrema cautela. Chiunque detiene questo diritto utente può eliminare il contenuto del registro di protezione per cancellare le prove di attività non autorizzate.

Contromisura

Il diritto utente Gestione file registro di controllo e di protezione deve essere assegnato solo al gruppo Administrators locale.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Modifica valori di ambiente firmware

Questa impostazione del criterio determina se gli utenti possono modificare le variabili di ambiente del sistema mediante un processo tramite un'API o un utente tramite Proprietà del sistema.

I valori possibili per Modifica valori di ambiente firmware sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Chiunque sia dotato del diritto utente Modifica valori di ambiente firmware può configurare le impostazioni di un componente hardware per provocarne il guasto, che può provocare il danneggiamento dei dati o una condizione di?DoS.

Contromisura

Verificare che il diritto utente Modifica valori di ambiente firmware sia assegnato solo al gruppo Administrators locale.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Esecuzione operazioni di manutenzione volume

Questa impostazione del criterio determina se gli utenti non amministrativi o remoti possono eseguire le operazioni di gestione del volume o del disco, quali la deframmentazione di un volume, la creazione o la rimozione di volumi e l'esecuzione dello strumento Pulitura disco. Quando un processo eseguito nel contesto di protezione di un utente richiama SetFileValidData(), Windows Server 2003 controlla se questo diritto utente è presente nel token di accesso di tale utente.

I valori possibili per Esecuzione operazioni di manutenzione volume sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un utente dotato del diritto utente Esecuzione operazioni di manutenzione volume può eliminare un volume, provocando una perdita di dati o una condizione di DoS.

Contromisura

Verificare che il diritto utente Esecuzione operazioni di manutenzione volume sia assegnato solo al gruppo Administrators locale.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Creazione di profilo del singolo processo

Questa impostazione del criterio determina se gli utenti possono campionare le prestazioni di un processo applicativo. Di norma, non è necessario disporre di questo diritto utente per utilizzare lo snap-in MMC (Microsoft Management Console) Prestazioni. Tuttavia, questo diritto è necessario se il Monitor di sistema è configurato per raccogliere dati utilizzando Strumentazione gestione Windows (WMI).

I valori possibili per Creazione di profilo del singolo processo sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Creazione di profilo del singolo processo comporta una vulnerabilità moderata. Un pirata informatico che ha acquisito detto diritto utente è in grado di monitorare le prestazioni del computer e così identificare i processi critici che desidera attaccare direttamente. Il pirata informatico potrebbe anche determinare i processi in esecuzione nel computer, individuando così le contromisure da evitare, quali software antivirus e sistemi di rilevamento delle intrusioni oppure gli altri utenti connessi al sistema.

Contromisura

Verificare che il diritto utente Creazione di profilo del singolo processo sia assegnato solo al gruppo Administrators locale.

Impatto potenziale

Se si rimuove il diritto utente Creazione di profilo del singolo processo dal gruppo Power Users o da altri account, si rischia di limitare le capacità degli utenti cui sono stati assegnati ruoli amministrativi specifici nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Creazione di profilo delle prestazioni del sistema

Questa impostazione del criterio determina se gli utenti possono campionare le prestazioni dei processi di sistema. Questo privilegio è richiesto dallo snap-in MMC Prestazioni solo se è stato configurato per raccogliere dati utilizzando Strumentazione gestione Windows (WMI). Di norma, non è necessario disporre di questo diritto utente per utilizzare lo snap-in Prestazioni. Tuttavia, questo diritto è necessario se il Monitor di sistema è configurato per raccogliere dati utilizzando WMI.

I valori possibili per Creazione di profilo delle prestazioni del sistema sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Creazione di profilo delle prestazioni del sistema comporta una vulnerabilità moderata. Un pirata informatico che ha acquisito detto diritto utente è in grado di monitorare le prestazioni del computer e così identificare i processi critici che desidera attaccare direttamente. Il pirata informatico potrebbe anche determinare quali sono i processi attivi nel computer, individuando così le contromisure da evitare, quali software antivirus, sistemi di rilevamento delle intrusioni.

Contromisura

Verificare che il diritto utente Creazione di profilo delle prestazioni del sistema sia assegnato solo al gruppo Administrators locale.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Rimozione del computer dall'alloggiamento

Questa impostazione del criterio determina se l'utente di un computer portatile possa selezionare Rilascia PC dal menu Avvio per rimuovere il computer dall'alloggiamento.

I valori per Rimozione del computer dall'alloggiamento sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Chiunque sia dotato del diritto utente Rimozione del computer dall'alloggiamento è in grado di rimuovere il computer portabile dall'alloggiamento di espansione. L’efficacia di questa contromisura è ridotta dai seguenti fattori:

Se un pirata informatico è in grado di riavviare il computer, potrà rimuoverlo dall'alloggiamento di espansione dopo l'avvio del BIOS e prima dell'avvio del sistema operativo.
Questa impostazione non incide sui server, poiché di norma non sono installati in alloggiamenti di espansione.
Un pirata informatico può rubare il computer e l'alloggiamento di espansione.

Contromisura

Verificare che il diritto utente Rimozione del computer dall'alloggiamento sia assegnato solo ai gruppi locali Administrators e Power Users.

Impatto potenziale

Questa configurazione è l'impostazione predefinita, pertanto dovrebbe avere un impatto minimo. Tuttavia, se gli utenti dell’organizzazione non sono membri del gruppo Power Users o Administrators, non potranno rimuovere i propri computer portatili dall'alloggiamento di espansione senza aver prima arrestato il sistema. Pertanto, potrebbe essere necessario assegnare il privilegio Rimozione del computer dall'alloggiamento al gruppo Users locale per i computer portabili.

Sostituzione token a livello di processo

Questa impostazione del criterio consente a un processo padre di sostituire il token di accesso associato a un processo figlio.

I valori possibili per Sostituzione token a livello di processo sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un utente dotato del privilegio Sostituzione token a livello di processo è in grado di avviare i processi come altri utenti, che potrebbero utilizzare questo metodo per celare attività non autorizzate sul computer. (Nei computer Windows 2000, l'uso del diritto utente Regolazione quote di memoria per un processo richiede che l'utente sia dotato anche del diritto utente Regolazione quote di memoria per un processo, esaminato in precedenza nel capitolo).

Contromisura

Per i server membri, verificare che il diritto utente Sostituzione token a livello di processo sia assegnato solo agli account Servizio locale e Servizio di rete.

Impatto potenziale

Questa è la configurazione predefinita nella maggior parte dei sistemi e non avrà conseguenze negative. Tuttavia, se sono stati installati componenti opzionali quali ASP.NET o IIS, è necessario assegnare il privilegio Sostituzione token a livello di processo ad altri account. Ad esempio, l'IIS richiede che questo diritto utente venga assegnato agli account Servizio, Servizio di rete e IWAM_ <nomecomputer>.

Ripristina file e directory

Questa impostazione del criterio determina se un utente può aggirare le autorizzazioni per file e directory quando eseguono il ripristino di file e directory di backup e se può impostare qualsiasi identità di protezione valida come proprietario di un oggetto.

I valori possibili per Ripristina file e directory sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Un pirata informatico dotato del diritto utente Ripristina file e directory può ripristinare dati riservati su un computer e sovrascrivere dati più recenti, che può provocare la perdita di dati importati, il danneggiamento di dati o una condizione DoS (Denial of Service). Un pirata informatico può sovrascrivere file eseguibili utilizzati da amministratori o servizi di sistema autorizzati con versioni dotate di codice nocivo in grado di elevare i propri privilegi, compromettere dati o installare backdoor per accedere continuamente al computer.

Nota: anche se questa contromisura è stata configurata, un pirata informatico può sempre ripristinare dati su un computer del dominio che è sotto il suo controllo. Pertanto, è di importanza cruciale che le organizzazioni proteggano con cura i supporti utilizzati per il backup dei dati.

Contromisura

Verificare che il diritto utente Ripristina file e directory sia assegnato solo al gruppo Administrators locale, tranne se l'organizzazione ha definito chiaramente ruoli cui affidare il backup e il ripristino dei dati.

Impatto potenziale

Se si rimuove il diritto utente Ripristina file e directory dal gruppo Backup Operators e da altri account, si rischia di impedire agli utenti di eseguire operazioni delegate specifiche. Verificare che questa modifica non comprometta la capacità del personale di svolgere le proprie mansioni.

Arresto del sistema

Questa impostazione del criterio determina se un utente può arrestare il computer locale.

I valori possibili per Arresto del sistema sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Per quando riguarda i controller di dominio, solo un numero molto ristretto di amministratori affidabili deve avere il diritto di arrestare il sistema. Sebbene il diritto utente Arresto del sistema richiede la capacità di accedere a un server, è necessario prestare attenzione agli account e ai gruppi cui si concede l'autorizzazione ad arrestare il controller di dominio.

Quando si arresta un controller di dominio, non è più disponibile per elaborare gli accessi, servire i Criteri di gruppo e rispondere alle query del protocollo LDAP (Lightweight Directory Access Protocol). Arrestando controller di dominio con ruoli FSMO (Flexible Single-Master Operations), si può disabilitare una funzionalità chiave svolta nel dominio, come l'elaborazione degli accessi per le nuove password svolta dal ruolo emulatore Controllore dominio primario (PDC).

Contromisura

Verificare che il diritto utente Arresto del sistema sia assegnato solo ai gruppi Administrators e Backup Operators nei server membro e che solo il gruppo Administrators nei controller di dominio ne sia dotato.

Impatto potenziale

Il risultato della rimozione di questi gruppi predefiniti dal diritto utente Arresto del sistema può limitare le capacità delegate dei ruoli assegnati nell'ambiente. Verificare che non vi siano conseguenze negative sulle attività delegate.

Sincronizza i dati di servizio della directory

Questa impostazione del criterio determina se un processo può leggere tutti gli oggetti e le proprietà della directory, a prescindere dalla protezione di oggetti e proprietà. Questo privilegio è necessario per poter utilizzare i servizi di sincronizzazione della directory (dirsync) LDAP.

I valori possibili per Sincronizza i dati di servizio della directory sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Il diritto utente Sincronizza i dati di servizio della directory incide sui controller del dominio. Solo i controller del dominio devono essere in grado di sincronizzare i dati del servizio directory. I controller di dominio hanno questo diritto utente per impostazione predefinita, perché il processo di sincronizzazione viene eseguito nel contesto dell'account di sistema nei controller di dominio. Un pirata informatico con questo diritto utente può visualizzare tutte le informazioni archiviate nella directory. Quindi, potrebbe utilizzare le informazioni così ottenute per effettuare altri attacchi o rendere pubblici dati riservati, ad esempio numeri di telefono diretti o indirizzi fisici.

Contromisura

Verificare che a nessun account sia assegnato il diritto utente Sincronizza i dati di servizio della directory.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Diventa proprietario (di file o altri oggetti)

Questa impostazione del criterio determina se un utente può diventare proprietario di qualsiasi oggetto che può essere protetto nel computer, inclusi oggetti Active Directory, file e cartelle NTFS, stampanti, chiavi del Registro di sistema, processi e thread.

I valori possibili per Diventa proprietario (di file o altri oggetti) sono:

Un elenco di account definito dall'utente
Non definito

Vulnerabilità

Qualsiasi utente dotato del diritto utente Diventa proprietario (di file o altri oggetti) può assumere il controllo di qualsiasi oggetto, indipendentemente dalle autorizzazioni sull’oggetto, su cui poi potrà effettuare le modifiche desiderate. Ciò può comportare divulgazione o danneggiamento di dati oppure una condizione di DoS.

Contromisura

Il diritto utente Diventa proprietario (di file o altri oggetti) deve essere assegnato solo al gruppo Administrators locale.

Impatto potenziale

Nessuna. Si tratta della configurazione predefinita.

Inizio pagina

Ulteriori informazioni

I seguenti collegamenti forniscono ulteriori informazioni sulle assegnazioni dei diritti utente in Windows Server 2003 e Windows XP.

Approfondimenti sulle assegnazioni dei diritti utente con SCE sono disponibili nella sezione "Assegnazione diritti utente" della guida in linea dell'Editor di configurazione della protezione per Windows Server 2003 all'indirizzo www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ serverhelp/71b2772f-e3c0-4134-b7f0-54c244ee9aef.mspx.
Informazioni dettagliate sulle assegnazioni dei diritti utente locali in computer Windows XP sono disponibili nell'argomento della Guida "To assign user rights for your local computer" (in inglese) all'indirizzo www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/lpe_assign_user_right.mspx.
Per ulteriori informazioni sulle assegnazioni dei diritti utente in Windows lo XP, consultare la sezione "User Rights Assignment" (in inglese) della documentazione in linea per Windows XP Professional all'indirizzo www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/uratopnode.mspx.
Per ulteriori informazioni per la personalizzazione dell'interfaccia utente dell'Editor di configurazione della protezione, consultare l'articolo della Microsoft Knowledge Base “Come aggiungere le impostazioni di Registro di sistema personalizzato a Editor di configurazione della protezione” all'indirizzo http://support.microsoft.com/kb/214752/it.
Per ulteriori informazioni sulla creazione di modelli amministrativi personalizzati in Windows, consultare l'articolo della Microsoft Knowledge Base “How to: Creare modelli amministrativi personalizzati in Windows 2000” all'indirizzo http://support.microsoft.com/kb/323639/it.