Passwordless - User con diritti di Administrator (senza password) mini-Howto

Augusto Scatolini (webmaster@comunecampagnano.it).

V1.0, febbraio 2006


Il problema nasce quando su una  macchina workstation Windows XP o 2K, sia stand-alone che membro di un Dominio, si crea un utente nel gruppo Users. Gli utenti del gruppo Users hanno diritti di amministrazione molto ridotti per problemi di sicurezza. Spesso accade che vecchi o particolari programmi non funzionano più perchè richiedono poteri da Amministratore della macchina. In questo caso, fino a questo momento c'erano solo due possibilità: o rinunciare ad usare il programma esigente o elevare lo status dell'utente a membro del gruppo Power Users e se non sufficiente al gruppo Administrators, vanificando così le politiche di sicurezza.

La soluzione si chiama RUNASSPC, applicazione tedesca http://www.robotronic.de che permette  all'amministratore di abilitare l'utente semplice all'uso di una o più applicazioni "esigenti" specificando la password d'amministratore che però non appare in chiaro in quanto crittografata. Risultato: l'utente User potrà utilizzare quei programmi che necessitano della  password da amministratore senza conoscere la password.


1. Requisiti

Gli unici due requisiti sono il programma che applica e crittografa la password all'applicazione: runasspcadmin.exe e il programma che utilizza l'utente per lanciare l'applicazione esigente: runasspc.exe. Per comodità creiamo una cartella sul disco C: di nome runasspc e dentro scarichiamo i due file eseguibili. I due programmi sono di tipo GREEN ovvero non necessitano di installazione.

2. Applicazione della password e crittografia

La prova pratica di seguito illustrata riguarda l'applicazione MRT.EXE (strumento di rimozione del malware di Microsoft). Dopo aver lanciato runasspcadmin.exe si seleziona (navigando) l'applicazione da abilitare (deve comparire nel quadro Path/Apllication.exe). Si inserisce il nome di un amministatore (di solito Administrator) nel campo Username e la password dell'amministratore (che comparirà mascherata) nel campo Password. Nel campo Current Encrypfile si scrive un nome che poi ricorderà l'applicazione (in questo caso mrt.spc). Infine si salva il file crittografato cliccando sul tasto Save Cryptfile.

Se il processo di creazione del file .spc va a buon fine apparirà il messaggio di conferma come mostrato in figura

Il file viene creato automaticamente nella stessa cartella che contiene l'applicazione, quindi in questo caso il file mrt.spc lo troveremo dentro \windows\system32\

3. Uso del file da parte dell'utente

Ci sono diverse soluzioni, la più semplice è quella di creare, da parte dell'amministratore, un link sul desktop dell'utente contente il seguente comando

c:\runasspc\runasspc.exe /cryptfile:"D:\windows\system32\mrt.spc"

che praticamente richiama il programma runasspc.exe con il parametro che specifica il nome e la posizione del file SPC come mostrato in figura

L'utente non dovrà fare altro che cliccare sul collegamento che si troverà sul desktop e potrà così lanciare una applicazione che richiederebbe i diritti di amministratore senza conoscere la password di amministratore.

Un altro metodo consiste nel copiare il programma runasspc.exe nella cartella che contiene il programma da eseguire, rinominare il file con estensione .spc con il nome CRYPT e infine eseguire il programma RUNASSPC.EXE. Questo esguirà per default il file CRYPT.SCP. 

 

FINE

questo documento è rilasciato con licenza CopyLeft - (tutti i rovesci sono riservati) - ovvero fatene quello che vi pare!

altre guide e mini-howto