none
Tre utenti su enti diversi passano da Administrator a Utenti debugger RRS feed

  • Domanda

  • Ciao,

    sulle circa duecento macchine in rete, su 4 enti diversi,
    quasi tutte con s.o. XP SP3 (e qualche 7),

    (dove ogni ente ha un Windows Server 2003 per i profili, senza variazioni),
    i nostri utenti entrano a dominio con profilo locale di tipo Administrator.

    In un paio di giorni mi capita che due utenti XP di Enti diversi mi segnalano
    l'errore "couldn't create the Java virtual machine" sul launcher.

    Scopro quasi per caso che i due utenti XP ora sono diventati utenti debugger,
    e che posso lanciare l'applicativo solo con "l'esegui come..."
    e assurdamente mettendo le loro stesse credenziali DOMINIO\utente
    e password di login.

    Oggi per caso ho visto che un terzo utente XP ha il tipo di profilo modificato
    in utente debugger...

    Tutte le macchine sono "sane" e prive di malware...
    non vorrei fare altre verifiche in questo senso a meno che non mi sfugga qualcosa...

    Avete qualche idea in merito, sia per quanto riguarda il problema
    della virtual machine di java, sia per quanto riguarda la causa
    del cambio di tipologia di account locale di dominio ?

    Grazie

    p.s. sarà forse una "strana" coincidenza, ma tutti i 3 pc sono degli HP


    Arcoblu (marco)

    sabato 17 marzo 2012 06:23

Tutte le risposte

  • Ciao,

    sulle circa duecento macchine in rete, su 4 enti diversi,

    ciao, ma tecnicamente per te in informatica cos'è "un Ente" ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    sabato 17 marzo 2012 13:53
    Moderatore
  • Ciao, Edoardo,

    in effetti io non sono l'amministratore di rete, faccio assistenza all'utente finale,

    ed opero solo occasionalmente sui server. Per quanto riguarda gli Enti, corrispondono a domini diversi

    all'interno di ogni Azienda (sono effettivamente 4 diversi Comuni), domini

    che credo siano tra loro in trust, e fanno capo ad una stessa Intranet

    (ogni pc può potenzialmente entrare al login in ognuno di questi domini, a prescindere

    da dove è fisicamente dislocato e da dove sono i server), ma non mi sento di dire di più.

    Forse è un'informazione inutile, e magari non c'entra nulla con la rete e con questo "problema"

    ma è anche per dire che non è un problema isolato solo all'interno di uno stesso dominio.

    Ciao


    Arcoblu (marco)

    sabato 17 marzo 2012 18:53
  • Se sono gli utenti di dominio aggiunti localmente ad essere diventati utenti debugger da administrator allora forse il problema sta proprio nelle macchine client. Il fatto stesso che gli utenti localmente hanno diritti di administrator rendono la macchina potenzialmente più esposta a questo tipo di problemi (modifiche di malware successivamente rimossi, modifiche eseguite in qualche modo dagli stessi utenti a causa di problemi software, ecc...). Io quindi ti consiglio, se possibile, di limitare un pò i privilegi che hanno gli utenti localmente....
    domenica 18 marzo 2012 10:16
    Moderatore
  • Grazie per la risposta e per il consiglio,

    in effetti quello che mi di ci è plausibile... sono proprio gli utenti

    di dominio che sono passati da administrator a debugger;

    devo pero' dire che in circa 6 anni è la prima volta che

    vedo accadere questo "sistematicamente", per cui mi chiedevo

    se si sa che "recentemente" questo problema sia accaduto anche ad altri,

    per colpa magari di virus, aggiornamenti Windows, presenza di .Net

    o Java RE o di altre cose... !

    Ciao


    Arcoblu (marco)

    domenica 18 marzo 2012 11:41
  • la causa potrebbe essere l'installazione di strumenti di sviluppo sui clients in questione oppure l'installazione di uno dei framework cosa che indirettamente ha installato mdm.exe ossia il Machine Debug Manager come riportato in questo thread

    http://forums.techarena.in/windows-security/60401.htm

    fai una verifica sui clients in questione.

    i ogni caso, rimessi gli accounts nel loro gruppo di sicurezza originale (local administrator), non si sono verificati in seguito ulteriori problemi.

    è evidente che rendere gli utenti amministratori locali del client è, dal punto di vista della sicurezza, una sciocchezza galattica.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    domenica 18 marzo 2012 16:11
    Moderatore
  • Allora,

    1) grazie per la risposta e per la citazione del thread che leggerò

    2) rimessi gli utenti nel gruppo di sicurezza originale, il problema l'ho ancora e devo dare "esegui come" perchè l'applicativo venga lanciato senza dare l'errore "couldn't create java virtual machine"

    3) "sciocchezza galattica" mi sembra un giudizio un po' esagerato - anche se fornito da chi può essere un bravissimo esperto - piu' che una reale valutazione tecnica, e poi in parecchi anni questa "politica" non ha mai dato (apparentemente) problemi di sicurezza

    4) In ogni caso, ripeto, grazie di cuore ma passo e, per quanto mi riguarda, la chiudo qui.


    Arcoblu (marco)

    domenica 18 marzo 2012 17:11
  • 3) "sciocchezza galattica" mi sembra un giudizio un po' esagerato - anche se fornito da chi può essere un bravissimo esperto - piu' che una reale valutazione tecnica, e poi in parecchi anni questa "politica" non ha mai dato (apparentemente) problemi di sicurezza

    beh... pensa che io ho pure cercato di essere moderato usando l'espressione "sciocchezza galattica" per cui anch'io mi fermo qui lasciando a qualche altro frequentatore del Forum il compito di renderti edotto sui rischi che corrono i sistemi quando gli utenti finali vengono resi membri del gruppo locale Administrators.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    domenica 18 marzo 2012 18:12
    Moderatore