Mettere in sicurezza Internet Explorer – Secure your Internet Explorer

Ok, lo ammetto: questo articolo non è certamente la soluzione ad ogni male ma... serviva un titolo d'impatto! :D

E' un dato di fatto che Microsoft Internet Explorer sia il browser più utilizzato al mondo per la navigazione web, questa sua caratteristica lo rende particolarmente appetibile a chiunque voglia scovarne eventuali vulnerabilità... ed infatti ne esistono veramente molte! C'è da aggiungere inoltre che Internet Explorer utilizza tecnologie che vanno ben oltre la semplice fruizione di contenuti web e che gli permettono di dialogare con il cuore del sistema operativo (Vedi ActiveX). Tutto questo rende IE una scelta piuttosto insicura per la navigazione quotidiana e quindi sarebbe buona norma utilizzare dei browser alternativi.

Nonostante quanto appena detto c'è chi adora usare Internet Explorer e spesso lo fa utilizzando un utente che possiede pieni diritti amministrativi sul sistema operativo, purtroppo questa è una brutta abitudine che non aiuta a proteggersi da possibili infezioni malware (moderni virus). Qualsiasi malware venga scaricato sulla macchina otterrà i privilegi dell'utente che lo esegue, e se questo utente possiede i diritti sufficienti per modificare i files di sistema stiamo pur sicuri che anche il malware lo farà! - Per approfondire l'argomento consiglio la lettura di quest'altro articolo.

Buona norma invece sarebbe quella di utilizzare, almeno durante la navigazione internet quotidiana, un utente senza diritti amministrativi sul sistema operativo, così facendo si andrebbero sicuramente a ridurre le probabilità di infezione malware attraverso pagine Web.

Lo scopo di questo articolo è quello di mostrare come sia possibile eseguire Internet Explorer mantenendo diritti limitati sul sistema anche quando stiamo utilizzando Windows con un account amministrativo.

Quello che faremo sarà:

  • creare un nuovo account utente "limitato" da poter utilizzare esclusivamente per questo scopo
  • creare un collegamento sul Desktop che mediante la funzione RunAs (EseguiCome) si occuperà di eseguire Intenet Explorer utilizzando il suddetto account utente

N.B: questa guida è stata scritta appositamente per essere applicabile sia a Windows XP Professional che a Windows XP Home Edition (in realtà il metodo funziona anche su Windows Server ma mi auguro che non lo utilizziate per navigare su Internet)

Rechiamoci sul pannello di controllo e facciamo clic sulla voce "Account Utente"

Limited_IE.png


Inseriamo nell'apposito campo il nome che vogliamo assegnare al nuovo utente e premiamo avanti. Io ho scelto "InternetExplorer" come nome utente.

Limited_IE_2.png


Come "tipo di account" scegliamo "Limitato", questa operazione sarà sufficiente per non assegnare particolari diritti amministrativi all'utente. Clicchiamo ora su "Crea Account".

Limited_IE_3.png


Lo strumento di gestione utenti ci riporterà ora nella schermata iniziale con la sola differenza che a questo punto dovrebbe essere visibile nella lista degli account anche il nuovo utente creato. Clicchiamoci sopra.

Limited_IE_4.png


L'utente in questione ora non ha una password, dobbiamo assegnarne una. Clicchiamo sul tasto "Crea Password".

Limited_IE_5.png


Digitiamo due volte la password per conferma negli appositi campi. Io digito "securedexplorer". Una volta fatto clicchiamo sul pulsante "Crea Password".

Limited_IE_6.png


Ora possiamo pure chiudere l'interfaccia di gestione degli utenti e il pannello di controllo. Torniamo sul desktop e creiamo un nuovo collegamento. Tasto Destro sul desktop -> Nuovo -> Collegamento.

Limited_IE_7.png


Immettiamo nell'apposito campo il percorso del collegamento che sarà:

%systemroot%\system32\runas.exe /user:InternetExplorer /savecred "%programfiles%\Internet Explorer\IEXPLORE.EXE"

Dovete fare attenzione soltanto al parametro "/user:", quello che segue deve essere il nome del nuovo utente che abbiamo precedentemente creato.

Limited_IE_8.png


Premiamo il tasto "Avanti" e nella prossimo schermata inseriamo un nome che identificherà il nuovo collegamento. io inserisco "Internet Explorer - Sicuro". Premiamo su "Fine".

Limited_IE_9.png


Abbiamo così ottenuto il nostro collegamento che si occuperà di lanciare Internet Explorer mediante il comando RunAs e quindi con un utente diverso dal nostro. Dobbiamo sistemare però due piccoli dettagli: l'icona (che risulta bianca) e la cartella di esecuzione del comando. Per fare questo clicchiamo con il tasto destro del mouse sul collegamento appena creato e scegliamo "Proprietà".

Limited_IE_10.png


Nella finestra delle proprietà facciamo clic sul pulsante "Cambia Icona"

Limited_IE_11.png


Ci verrà restituito un messaggio di avviso, è normale, selezioniamo OK per procedere.

Limited_IE_12.png


Scorrete la lista delle icone fino a raggiungere l'icona di Internet Explorer (la "E" azzurra), dovrebbe trovarsi verso la fine. Selezionatela e scegliete OK.

Limited_IE_13.png


Prima di chiudere la finestra delle proprietà inseriamo nel campo "Da:" il percorso:

"%programfiles%\Internet Explorer"

inclusi gli apici. Poi facciamo pure clic sul pulsante "Applica" ed "Ok".

Limited_IE_14.png


Ecco come risulterà il nostro collegamento:


Proviamo ad aprirlo tramite doppio clic. Ci verrà presentata la finestra del prompt dei comandi che ci avverte che stiamo tentando di avviare l'applicazione con un account utente diverso dal nostro e ne richiede la password, è l'effetto del comando RunAs (EseguiCome).

Limited_IE_16.png


Se inseriamo la password dell'utente specificato e premiamo Invio dovrebbe aprirsi Internet Explorer.

Limited_IE_17.png


Ora stiamo finalmente utilizzando Internet Explorer utilizzando i diritti limitati di un utente diverso dal nostro.

C'è da aggiungere però che cambiando l'utente di esecuzione si perdono anche le relative impostazioni e preferenze di Internet Explorer, presumo che le più importanti di queste siano i "Preferiti".

Per importare i preferiti del vostro utenti in quelli dell'utente limitato è sufficiente copiare ed incollare la cartella

C:\Documents And Settings\VostroUtente\Preferiti

in

C:\Documents And Settings\UtenteLimitato\

rispondendo in maniera affermativa quando vi viene richiesto di sostituirne l'intero contenuto.

Limited_IE_18.png


L'unica nota dolente sta nel fatto che questa procedura si comporta in maniera leggermente diversa in Windows XP Home Edition rispetto a Windows XP Professional: mentre in Windows XP Professional la password dell'utente "limitato" verrà memorizzata in una memoria cache (grazie allo switch /savecred del comando RunAS) e non ci verrà quindi continuamente richiesta, in Windows XP Home Edition dovremmo purtroppo inserirla ad ogni avvio del browser (lo switch /savecred non è compatibile con Windows XP Home Edition).

Ci tengo a precisare nuovamente che quella appena descritta non è una soluzione definitiva alle infezioni malware ma bensì una basilare prevenzione. - Per approfondire l'argomento consiglio la lettura di quest'altro articolo.

Autore

Mirko Iodice
mirko -at- notageek (.dot) it

Print This Email this Twit This! Add to del.icio.us Share on Facebook Digg This! Stumble It! AddThis! Share on Segnalo Alice Share on OKNotizie

Post Metadata

Data
28 giugno 2007

Autore
Mirko

Categorie

13 commenti a “Mettere in sicurezza Internet Explorer – Secure your Internet Explorer”




  1. Ciao, la soluzione che hai proposto la usavo qualche anno fa per winmx ed explorer, poi ho trovato dropmyrights. l'hai escluso per qualche motivo?

    Rispondi



  2. Ciao, non l'ho escluso, semplicemente non ho pensato alla possibilità di utilizzare altri metodi che non siano le funzionalità già messe a disposizione dal sistema operativo.
    La mia intenzione era principalmente quella di integrare il mio articolo sui virus ribadendo l'importanza di questo concetto: i diritti amministrativi non andrebbero mai utilizzati per eseguire programmi facilmente attaccabili e direttamente connessi ad Internet.
    Ti invito a pubblicare un link alla soluzione che hai nominato in modo che anche altri lettori possano considerarla ed eventualmente utilizzarla, i suggerimenti sono sempre ben venuti, ti ringrazio :)

    Rispondi



  3. ghghgh giusto.
    ok per il link, ma non garantisco, poco tempo :D

    Rispondi



  4. Ciao, innanzitutto complimenti x la dritta,io sapevo del vantaggio di navigare da account limitato, ma non sapevo si potesse farlo cosi.. devo dire che è molto pratico!(semmai mi funzionasse :-\ )ho seguito tutta l'operazione da te indicata, mettendo però al posto Di internet explorer mozilla firefox.Il risultato è il seguente:
    %systemroot%\system32\runas.exe /user:Navigazione WEB /savecred "%programfiles%\Mozilla Firefox\FIREFOX.EXE"
    fatto il resto, provo ad aprire ma la finestra prompt si apre x una frazione di secondo per poi richiudersi. Perchè?Ho provato anke con internet explorer ed il comportamento è il medesimo.

    Rispondi



  5. @poliedrico
    Penso che il problema stia nel nome utente "Navigazione WEB" che contiene uno spazio. Probabilmente runas cerca di interpretarlo come opzione ma non la riconosce e quindi va in errore.
    Prova ad utilizzare un nome utente senza spazio oppure racchiudilo tra apci, ad es. /user:"Navigazione WEB"

    Rispondi



  6. Ciao Mirko, grazie vivamente del consiglio anke perchè il problema era effettivamente quello.Ora la finestra del prompt si apre ma avviene un'altra cosa strana... non posso digitare nulla al suo interno, quindi niente password, niente accesso!

    Rispondi



  7. @poliedrico
    Quando viene richiesta la password nel prompt è normale che tu non possa vedere ciò che scrivi... ma scrivi comunque e premi invio.

    Rispondi



  8. Ma non dovrebbero comparire degli asterischi quanto meno?Cmq l'o fatto e purtr non parte :(

    Rispondi



  9. @poliedrico
    No, non compaiono asterischi :)
    Prova ad utilizzare un account utente senza spazi nel nome e assicurati che la password digitata sia corretta.

    Rispondi



  10. Trovato l'errore:
    Avevo si scritto senza spazi l'utente, ma solo nel percorso del collegamento!Il nome utente era ancora con lo spazio :) Grazie infinite, credo proprio ke questa opzione mi sarà molto utile.
    Saluti

    Rispondi



  11. Salve, è da un po' che ci sbatto la testa senza trovare la soluzione.
    Ho bisogno di avviare IE con utente PC diverso, su una pagina specifica (es. http://www.notageek.it) per la quale, per impostazione di IE, viene bypassato il proxy, per il quale sarebbero altrimenti necessarie altre credenziali.
    Vorrei farlo con un file .BAT
    Il massimo che sono riuscito a fare è avviare IE con utenza diversa e poi immettere l'indirizzo della pagina, e funziona, ma appena aggiungo RUNAS cominciano i problemi.
    Grazie

    Rispondi



  12. @ mickeycc

    Prova con il comando:

    runas /user:dominio\utente "C:\Programmi\Internet Explorer\iexplore.exe http://www.notageek.it"

    Se non hai un dominio oppure vuoi utilizzare un utente locale sostituisci la parola "dominio" con il nome del tuo computer.

    Ad esempio:

    runas /user:PC01\Administrator "C:\Programmi\Internet Explorer\iexplore.exe http://www.notageek.it"

    Rispondi



    • Il comando lanciato così com'é, mi fa partire il wizard per creare una connessione ad internet.
      1) Con l'aggiunta di /profile al comando RUNAS ottengo che si apre IE e nella barra dell'indirizzo c'é : http://explorer/IEXPLORE.EXE%20http://www.notageek.it ;
      2) Stessa cosa se aggiungo /env ;
      3) Ho provato così : runas /profile /env /utente:userid "%SYSTEMROOT%\EXPLORER.EXE /E,http://www.notageek.it" ma non succede niente, eppure il comando senza runas funziona ;

      Tutti i comandi sopra elencati, se lanciati senza runas funzionano correttamente.
      ----------------------------------------
      EUREKA ! ! !
      Mentre facevo delle prove per verificare che non avevo detto sciocchezze, ho trovato la soluzione : bisogna usare i nomi corti.
      runas /profile /utente:userid "C:\Progra~1\Intern~1\IEXPLORE.EXE http://www.notageek.it"

      Grazie per la disponibilità a divulgare e condividere le tue conoscenze informatiche.
      E' davvero molto importante.
      Saluti

      Rispondi



Lascia un commento