Eseguire le applicazioni pi delicate con diritti amministrativi ridotti.

Come utilizzare DropMyRights e Privbar
Spesso si sottovaluta come il lavorare con Windows con diritti amministrativi sia una prassi pericolosa per l'integrit del sistema operativo e dei dati
memorizzati sul personal computer, soprattutto se l'utente non  sufficientemente esperto.
Il trucco che segue illustra una procedura poco conosciuta che permette di eseguire applicazioni-critiche in modalit "non amministrativa" con lo scopo
di evitare problemi.
Molti dei malware in circolazioni possono compiere le loro nefandezze sul sistema "infettato", solo perch l'account utente configurato ha i privilegi amministrativi.
Si pensi ad un malware che crei file nocivi all'interno della cartella di sistema (SYSTEM32) di Windows, "uccida" vari processi, disabiliti il Windows
Firewall (nel caso, ad esempio, di Windows XP SP2), copi diversi file nelle cartelle di Windows, cancelli chiavi e valori nel registro di sistema.
Tutte queste operazioni non sarebbero possibili se il client di posta elettronica e browser (Internet Explorer), operassero in modalit "non amministrativa".
Sarebbe quindi intelligente se si potessero eseguire applicazioni "delicate" (perch potenzialmente pi a stretto contatto con worm e malware in generale)
come Internet Explorer e il client di posta senza i diritti amministrativi pur conservandoli per le altre operazioni sul personal computer.
Sia Windows XP che Windows Server 2003 supportano una funzionalit denominata Software Restriction Policy, conosciuta anche come "SAFER".
Si tratta di uno speciale meccanismo che permette ad un utente o ad uno sviluppatore software di eseguire un'applicazione con un numero di diritti ristretto,
per cui un amministratore, ad esempio,  cos in grado di avviare un programma come se fosse un utente normale.
DropMyRights  un'applicazione, distribuita da Microsoft stessa, che consente di ridurre i diritti amministrativi per applicazioni specifiche.
Il software  prelevabile gratuitamente cliccando qui: 
http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi
Per avviare l'installazione,  sufficiente fare doppio clic sul file .msi, accettare il contratto di licenza d'uso (dopo averlo esaminato) ed indicare come
cartella di destinazione quella di Windows (es.: c:\windows), quindi, non create una cartella "ad hoc" per DropMyRights.
Ad installazione conclusa, ogniqualvolta si desideri eseguire un programma (od aprire un sito web!...) sul quale non si riveste grande fiducia,  Sufficiente
utilizzare il comando seguente: %windir%\DropMyRights.exe "c:\nome_cartella\nome_programma.exe" "carattere".
Avendo ovviamente cura di sostituire a "nome cartella" ed a "nome_programma", rispettivamente, la cartella ed il nome dell'eseguibile dell'applicazione
"non fidata".
L'ultimo elemento, il carattere, indica i diritti coi quali si vuole eseguire il programma:
n utente normale.
Usando "n", virus e spyware possono sempre leggere o cancellare i vostri file personali ma non possono installarsi sul sistema od infettare alcunch.
In molti consigliano di usare questa modalit, ad esempio, per navigare sul web mediante Internet Explorer anzich utilizzare i diritti amministrativi!
c "paranoid mode".
L'applicazione viene eseguita ma non  consentita la lettura e la scrittura di file (questo include, ad esempio, nel caso di Internet Explorer, lista dei
siti web "Preferiti").
u "super paranoid mode".
Possono presentarsi diversi problemi nel corso dell'esecuzione di un programma perch gran parte delle operazioni vengono impedite.
Pu essere usata, per esempio, qualora si volesse veramente visitare un sito ritenuto estramente pericoloso.
Per avviare Internet Explorer con privilegi ridotti (utente normale) si pu creare un nuovo collegamento che punti al percorso seguente:
%windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" n Analoga operazione pu essere effettuata per altri programmi "critici" come il
client di posta o il client di messaggistica istantanea.
E' bene precisare che qualora si esegua Internet Explorer con diritti utente ristretti, tutte le applicazioni lanciate dal browser di casa Microsoft (Media
Player, Acrobat Reader,...) opereranno nella stessa modalit.
L'installazione di un'applicazione da web non sar possibile ma bisogner avviare il setup dal sistema locale servendosi di "Risorse del computer".
Chi fosse interessato ad aggiugere, in Internet Explorer, una nuova barra degli strumenti che visualizzi i diritti utente in uso, pu installare PrivBar,
"add-on" veicolato sul sito MSDN di Microsoft e prelevabile da qui: 
http://www.speakeasy.org/~aaronmar/NonAdmin/PrivBar.zip
Per installare "PrivBar"  necessario estrarre il contenuto del file .zip compresso in una cartella su disco fisso di propria scelta quindi digitare in
Start, Esegui... il comando seguente (si suppone di aver salvato i file nella cartella c:privbar):
regsvr32 c:\privbar\PrivBar.dll A questo punto, per concludere l'installazione, bisogner fare doppio clic, da "Risorse del computer", sul file PrivBarReg.reg
acconsentendo all'inserimento delle informazioni nel registro di Windows.
Dopo aver avviato Internet Explorer, sar infine necessario attivare la visualizzazione della nuova toolbar dal men Visualizza, Barre degli strumenti,
PrivBar.
Comparir immediatamente la nuova barra degli strumenti (verranno indicati nome della macchina in uso, nome dell'account utente e diritti amministrativi
con i quali  stata richiesta l'esecuzione di Internet Explorer).
Com' possibile notare, Internet Explorer  stato eseguito in modalit amministratore, da un account con diritti amministrativi:
Questa pratica  assolutamente sconsigliata. Pur utilizzando un account amministratore,  possibile eseguire Internet Explorer od altri software con diritti
utente pi limitati, semplicemente creando un collegamento come segue:
%windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" n, %windir%\DropMyRights.exe "C:ProgrammiInternet ExplorerIEXPLORE.EXE"`` c, ``
oppure %windir%\DropMyRights.exe "C:\Programmi\Internet Explorer\IEXPLORE.EXE" u.

