Ok, lo ammetto: questo articolo non è certamente la soluzione ad ogni male ma... serviva un titolo d'impatto! :D
E' un dato di fatto che Microsoft Internet Explorer sia il browser più utilizzato al mondo per la navigazione web, questa sua caratteristica lo rende particolarmente appetibile a chiunque voglia scovarne eventuali vulnerabilità... ed infatti ne esistono veramente molte! C'è da aggiungere inoltre che Internet Explorer utilizza tecnologie che vanno ben oltre la semplice fruizione di contenuti web e che gli permettono di dialogare con il cuore del sistema operativo (Vedi ActiveX). Tutto questo rende IE una scelta piuttosto insicura per la navigazione quotidiana e quindi sarebbe buona norma utilizzare dei browser alternativi.
Nonostante quanto appena detto c'è chi adora usare Internet Explorer e spesso lo fa utilizzando un utente che possiede pieni diritti amministrativi sul sistema operativo, purtroppo questa è una brutta abitudine che non aiuta a proteggersi da possibili infezioni malware (moderni virus). Qualsiasi malware venga scaricato sulla macchina otterrà i privilegi dell'utente che lo esegue, e se questo utente possiede i diritti sufficienti per modificare i files di sistema stiamo pur sicuri che anche il malware lo farà! - Per approfondire l'argomento consiglio la lettura di quest'altro articolo [1].
Buona norma invece sarebbe quella di utilizzare, almeno durante la navigazione internet quotidiana, un utente senza diritti amministrativi sul sistema operativo, così facendo si andrebbero sicuramente a ridurre le probabilità di infezione malware attraverso pagine Web.
Lo scopo di questo articolo è quello di mostrare come sia possibile eseguire Internet Explorer mantenendo diritti limitati sul sistema anche quando stiamo utilizzando Windows con un account amministrativo.
Quello che faremo sarà:
- creare un nuovo account utente "limitato" da poter utilizzare esclusivamente per questo scopo
- creare un collegamento sul Desktop che mediante la funzione RunAs (EseguiCome) si occuperà di eseguire Intenet Explorer utilizzando il suddetto account utente
N.B: questa guida è stata scritta appositamente per essere applicabile sia a Windows XP Professional che a Windows XP Home Edition (in realtà il metodo funziona anche su Windows Server ma mi auguro che non lo utilizziate per navigare su Internet)
Rechiamoci sul pannello di controllo e facciamo clic sulla voce "Account Utente"
Inseriamo nell'apposito campo il nome che vogliamo assegnare al nuovo utente e premiamo avanti. Io ho scelto "InternetExplorer" come nome utente.
Come "tipo di account" scegliamo "Limitato", questa operazione sarà sufficiente per non assegnare particolari diritti amministrativi all'utente. Clicchiamo ora su "Crea Account".
Lo strumento di gestione utenti ci riporterà ora nella schermata iniziale con la sola differenza che a questo punto dovrebbe essere visibile nella lista degli account anche il nuovo utente creato. Clicchiamoci sopra.
L'utente in questione ora non ha una password, dobbiamo assegnarne una. Clicchiamo sul tasto "Crea Password".
Digitiamo due volte la password per conferma negli appositi campi. Io digito "securedexplorer". Una volta fatto clicchiamo sul pulsante "Crea Password".
Ora possiamo pure chiudere l'interfaccia di gestione degli utenti e il pannello di controllo. Torniamo sul desktop e creiamo un nuovo collegamento. Tasto Destro sul desktop -> Nuovo -> Collegamento.
Immettiamo nell'apposito campo il percorso del collegamento che sarà:
%systemroot%\system32\runas.exe /user:InternetExplorer /savecred "%programfiles%\Internet Explorer\IEXPLORE.EXE"
Dovete fare attenzione soltanto al parametro "/user:", quello che segue deve essere il nome del nuovo utente che abbiamo precedentemente creato.
Premiamo il tasto "Avanti" e nella prossimo schermata inseriamo un nome che identificherà il nuovo collegamento. io inserisco "Internet Explorer - Sicuro". Premiamo su "Fine".
Abbiamo così ottenuto il nostro collegamento che si occuperà di lanciare Internet Explorer mediante il comando RunAs e quindi con un utente diverso dal nostro. Dobbiamo sistemare però due piccoli dettagli: l'icona (che risulta bianca) e la cartella di esecuzione del comando. Per fare questo clicchiamo con il tasto destro del mouse sul collegamento appena creato e scegliamo "Proprietà".
Nella finestra delle proprietà facciamo clic sul pulsante "Cambia Icona"
Ci verrà restituito un messaggio di avviso, è normale, selezioniamo OK per procedere.
Scorrete la lista delle icone fino a raggiungere l'icona di Internet Explorer (la "E" azzurra), dovrebbe trovarsi verso la fine. Selezionatela e scegliete OK.
Prima di chiudere la finestra delle proprietà inseriamo nel campo "Da:" il percorso:
"%programfiles%\Internet Explorer"
inclusi gli apici. Poi facciamo pure clic sul pulsante "Applica" ed "Ok".
Ecco come risulterà il nostro collegamento:
Proviamo ad aprirlo tramite doppio clic. Ci verrà presentata la finestra del prompt dei comandi che ci avverte che stiamo tentando di avviare l'applicazione con un account utente diverso dal nostro e ne richiede la password, è l'effetto del comando RunAs (EseguiCome).
Se inseriamo la password dell'utente specificato e premiamo Invio dovrebbe aprirsi Internet Explorer.
Ora stiamo finalmente utilizzando Internet Explorer utilizzando i diritti limitati di un utente diverso dal nostro.
C'è da aggiungere però che cambiando l'utente di esecuzione si perdono anche le relative impostazioni e preferenze di Internet Explorer, presumo che le più importanti di queste siano i "Preferiti".
Per importare i preferiti del vostro utenti in quelli dell'utente limitato è sufficiente copiare ed incollare la cartella
C:\Documents And Settings\VostroUtente\Preferiti
in
C:\Documents And Settings\UtenteLimitato\
rispondendo in maniera affermativa quando vi viene richiesto di sostituirne l'intero contenuto.
L'unica nota dolente sta nel fatto che questa procedura si comporta in maniera leggermente diversa in Windows XP Home Edition rispetto a Windows XP Professional: mentre in Windows XP Professional la password dell'utente "limitato" verrà memorizzata in una memoria cache (grazie allo switch /savecred del comando RunAS) e non ci verrà quindi continuamente richiesta, in Windows XP Home Edition dovremmo purtroppo inserirla ad ogni avvio del browser (lo switch /savecred non è compatibile con Windows XP Home Edition).
Ci tengo a precisare nuovamente che quella appena descritta non è una soluzione definitiva alle infezioni malware ma bensì una basilare prevenzione. - Per approfondire l'argomento consiglio la lettura di quest'altro articolo [1].
Autore
Mirko Iodice
mirko -at- notageek (.dot) it