Account utente e sicurezza in ambito IT aziendale – Parte 1

Uno dei punti di discussione inerenti ai sistemi operativi Microsoft è cosa ci guadagnerebbero le aziende nel migrare a Windows Vista, lasciandosi alle spalle il loro fidato Xp o Windows 2000.

Personalmente ritengo che le nuove tecnologie di protezione e gestione diritti degli account sia uno dei motivi cardine per effettuare questa migrazione, in quanto Vista permette un gestione più coerente del ‘desktop utente’, specie se se ne devono standardizzare un certo numero, quando per chi lavora nel settore IT aziendale è fondamentale sapere che lo ’stato’ di un pc da lui configurato non può variare, almeno non oltre i limiti della personalizzazione concessa ad un singolo utente

E qui ci si scontra con l’User Account Control (UAC), e con le conseguenti modifiche effettuate o da effettuare ai software perchè vengano eseguiti non più sotto un ambiente privilegiato, ma come utente standard. L’UAC però non si limita a questo, ne si limita ad impedire manovre di configurazione pericolese all’utente. Per esempio un compito importante svolto da questa nuova feature di Windows Vista è di assicurarsi che i dat, le configurazioni e quant’altro vengano scritti su disco (e così anche sul registro di sistema) in ‘zone’ riservate all’utenza specifica e, per esempio, non permettere più a nessun software di scrivere dati sotto c:\windows se non sono cose che hanno davvero rilevanza per la macchina su cui sono installati. Non era infrequente vedere applicativi, specie i più piccoli, usare cartelle ‘a caso’ sotto \Windows\ per memorizzare impostazioni in file .ini, o nascondere chiavi per i trial timer dentro zone poche ortodosse (come Local Machine \ ..  \ Classi  ID) del registro di sistema.

Alcuni possibli problemi

Forse penserete che, mentre un responsabile IT è felicissimo di privare di libertà gli utenti, questi lo siano molto meno. E che l’IT sia felice anche della standardizzazione dei desktop, e di nuovo l’utente no. Ma non sottovalutiamo i possibli problemi derivanti da lasciare a un tenza standard dei privilegi di amministratore in ambito non casalingo

Gli utenti possono installare software per conto loro

Bene? No …  un responsabile IT deve sapere sempre cosa viene installato, per non parlare di sapere  dove viene installato. A scuola sotto il buon vecchio NT ricordo che installavamo giochi sotto \winnt\system32 perchè tanto lì il tecnico di laboratorio non avrebbe mai guardato, si cancellavano le icone dal menù e dal dekstop e via andare. Questa situazione è rischiosa, perchè se qualcosa va male non saprete sempre identificarne la causa, e poi è a dir poco incresciosa in ambito ufficio, no?

Ci sono poi utenti che installando certi software, verdi mIRC, introducono anche possibili falle di sicurezza nell’infrastruttura aziendale. O scaricano robaccia via email e fidandosi eseguono tutti gli .exe che trovano

E se ogni utente cambia le configurazioni del proprio pc, prima o poi le performance o almeno la stabilità di uno dei sistemi viene decisamente a mancare…

La gestione delle licenze si fa spinosa

Siete sicuri che i software che i vostri utenti installeranno siano davvero tutti originali, pagati e con relativa licenza intestata a nome dell’azienda e che siano registrati a suo nome? Ok, la risposta è no.

Perdita di dati e file importanti

Un utente un po’ smanettone che gira per l’hard disk, spesso prende inavvertitamente contro a file .tmp che in realtà sono li per motivi seri, e li cancella, o modifica gli .ini giusto per vedere cosa succede…. e cosa succederebbe se i file danneggiati o eliminati avessero a che fare col boot o col registro?

E i malware?

Mettete il caso che vengano installati dei software maligni e siano questi a sovrascrivere file importanti. Basterebbe limitare la libertà di movimento di Internet Explorer per minimizzare alcuni di questi rischi.

Configurazioni di sistema alternate

Mi è personalmente successo più volte di intervenire in azienda altrui per risolvere conflitti di driver, configurazioni firewall sballate, riattivare antivirus  e antimalware che erano stati disabilitati perchè il pc andava lento. Queste sono cose da evitare.

Anche i dispositivi possono creare problemi

Senza alcuna restrizione sull’uso, gli utenti possono attaccare al pc qualsiasi cosa, anche e spesso inutili: telefonini, modem gprs, penne usb, con conseguente rischio di autorun "infetti" (cioè non direttamente  ma che lanciano software infetto).

Ma non finisce qui: se un utente salva una proprioa unità usb o disco esterna i dati dell’azienda? Glielo vogliamo pe forza permettere?

Limiti nelle possibilità di intervento del settore IT

Non sapendo a priori su cosa state lavorando, per via degli utenti farfalloni, diventa anche problematico ogni volta risalire a qual’è la causa degli eventuali problemi dei pc. Mettiamo che un simpaticone decida di installare una scheda per la ricezione della radio FM su uno dei pc aziendali. E che questo non sia compatibile col sistema operativo (e magari l’utente cerca a manina di far andare i driver). Quando l’utOnto di turno toglie le mani, e l’hardware, dal vostro computer, voi che informazioni avete per risalire alla causa del problema?

Applicativi mal programmati richiedono privilegi elevati a priori

Un altro tipo specifico di software che in ambito aziendale non deve girare sono quelle piccole utility che anche solo per comprimere dei file delle volte chiedono per sicurezza i privilegi amministrativi. Un esempio: nLite e vLite, due ottimi software. Ma richiedono privilegi di amministrazione. Certo che questi software non sono pericolosi per il pc, ma per quale motivo un utente qualsiasi deve farli girare nella vostra azienda?

Una linea d’azione coerente

Ci sono parecchie cose che mitigano o evitano del tutto questi problemi

Gli utenti standard devono avere privilegi standard

Una rilfessione personale, che faccio essendo io per sviluppatore di software per Vista: se anche i programmatori hanno utenze standard allora i software che produrranno, se davvero non ne hanno necessità, saranno testati per funzionare sotto privilegi standard. E’ troppo facile per un programmatore aggirare l’ostacolo facendo sempre prendere alti privilegi di esecuzione ad un suo software. E se ci fosse un baco nella gestione della memoria? E se un software maligno usasse proprio il tuo software per attaccare sistemi altrui?

Ridurre il numero di utenti amministratori

Ritengo sia educativo verso l’utenza convivere con un pc con privilegi limitati. Il pc, a casa sua, farà quel che vuole lui. In azienda no: il pc è una macchina, come se fosse una pressa, una pala, un forno od altro, e in quanto tale deve funzionare solo in un modo e nessuno deve permettersi il lusso di andarci a dietro perchè tanto è lui ad usarla.

Dirigere i binari degli applicativi in \Program File\

E così anche i software di sistema dovrebbero rimanere nell’ambito di %SystemDrive%\Windows.

In queste due posizioni, sotto Windows Vista, godono di una protezione in più, e quindi meno soggetti a smanettoni e malware.

La gestione delle macchine dovrebbe essere centralizzata ed automatizzata

Ci sono cose, quali la distribuzione delle patch mensili, che vanno a nozze in un ambiente IT veramente omogeneo. E se viene centralizzata la distribuzione, per non dire automatizzata, l’intero comparto IT ne trae beneficio, a tutto vantaggio dell’azienda stessa

Usate l’User Account Control

il che vuol dire in definitiva, usate Windows Vista, o almeno Windows Server 2008.

Crea un database dei problemi di compatiblità

Se un determinato applicativo, che so, per la gestione delle commissioni intra-reparto, non gira sotto Vista, un IT può usare il Microsoft Application Compatiblity Toolkit, ed impostare precisi criteri su un gruppo di macchine perchè questa possa essere eseguita, sì come compatible con Xp per esempio, ma su ogni pc sempre con le stesse configurazioni. E gestire un archivio di dati dove queste applicazioni e relative configurazioni vengono mappate e dettagliatamente spiegate aiuta futuri interventi ed eventuali nuove installazioni.

Rendete omogeneo anche l’hardware

Questo c’entra poco con Vista o non-Vista. Ma rimane sempre valido: acquistate e/o configurate i pc aziendali per gruppi logici. Decidete a priori cosa serve in quel reparto o in quell’ufficio specifico. E create computer tutti uguali con tutto ma solo il necessario per eseguire i proprio compiti.

E non trascurate un margine di upgradabilità: non comprate degli HP al supermarket, che spesso non prevedono neppure slot aggiuntivi per aggiungere RAM. Capisco non poter installare la radio FM o altre porte USB (e già potrebbe essere un problema questo), ma non poter aggiungere RAM ad un pc potrebbe portare il pc ad una rottamazione prematura

Installate i file firma di antivirus e antimalware immediatamente

Un altro consiglio generico sulla sicurezza aziendale è di provvedere regolarmente e con rapidità all’installazione degli aggiornamenti di qualsiasi software di sicurezza che voi abbiate sul pc.

A questo riguardo una nota: ci sono antivirus che permettono anche agli utenti standard di disattivare gli aggiornamenti automatici via web. E vi garantisco che certe persone lo fanno perchè gli da fastidio la finestra dell’agggiornamento…. Evitateli. (I software così, ma anche gli utenti così se ve li potete scegliere)

Applicate patch e hotfix al sistema

Non trascurate mai di applicare ogni patch e hotfix disponibile, via Windows Update o più probabilmente con WSUS in ambito aziendale.

A domani, perchè ne parleremo ancora