Guide: passo per passo

Condividi:        

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
5. Salvaguardare l'autorità amministrativa

Essere infettati da un virus è molto più semplice di quanto non si creda, più che scrivere un documento di Word o di spedire una email. Nel caso di Nimda poi, la normale navigazione su Web o l'apertura di una email espongono il PC al rischio di infezione. Se il logon alla macchina fosse stato completato con un'utenza amministrativa le conseguenze dell'infezione sarebbero gravi, permettendo una rapida e vasta diffusione nella LAN.

E' chiaro pertanto che all'interno di una LAN venga perseguita la politica del minor privilegio possibile, relativamente agli account che fanno parte dei gruppi Administrators, Domain Admins o Enterprise Admins. In primis bisogna fornire ad ogni amministratore 2 account: uno con autorità amministrativa ed uno senza. Conseguenza immediata è istruire gli amministratori ad effettuare il logon con l'account a minor privilegi quando devono leggere la posta, navigare su Web ed in generale compiere tutte quelle attività per cui non è richiesto nessun privilegio particolare, che invece si rende necessario nel compiere un Windows Update, l'installazione di alcuni programmi e l'amministrazione pura della rete.

Penso che la via migliore e più rapida nel seguire questa politica da parte di un amministratore sia quella di non usare mai un account amministrativo per il logon. Quando si rende necessario l'uso dei privilegi, al buon amministratore basta tener premuti SHIFT+CTRL e cliccare con il tasto destro sull'applicazione da lanciare: la seconda voce nella cascata di opzioni che apparirà sarà Run As (Esegui Come), la quale lancerà una schermata di autenticazione per eseguire l'applicazione con gli adeguati privilegi. L'unica attenzione da porre è su di un problema di coerenza logica, e vado a farne un esempio: se si esegue il comando Run As per avviare Microsoft Outlook sotto autorità amministrativa e un messaggio di posta in arrivo lancia una sessione Browser, anche quest'ultima verrà eseguita nel contesto amministrativo.


Generale: Dylan666 [40 visite dal 20 Dicembre 04 @ 00:01 am]