„Cea mai rea singurătate e să nu te simți confortabil cu tine însuți.”Mark Twain

Securitate à la Microsoft

13 octombrie 2009 | Comentariile sunt închise pentru Securitate à la Microsoft

Corecție: am scris acest articol noaptea tîrziu, pe baza unor informații incomplete furnizate de colegi și fără o verificare temeinică prealabilă. Îmi cer scuze pentru asta. Cînd am reușit în sfîrșit să mă ocup personal de verificările de rigoare, am ajuns la concluzia că nu se poate reproduce problema descrisă mai jos. Păstrez însă articolul aici pentru că altfel e păcat de timpul pierdut la scrierea lui , dar precizez încă odată: problema descrisă mai jos nu se verifică, nu poate fi reprodusă și explicația cea mai probabilă este că acțiunile descrise au fost efectuate de către un cont de utilizator cu permisiuni de administrator. Cred că nici măcar M$ nu putea greși în halul ăsta, dar la momentul respectiv m-am lăsat purtat de beția posibilității să fi descoperit o dudă uriașă… .

Munca în IT a fost întotdeauna haioasă și interesantă datorită bug-urilor descoperite ocazional în software. În cazul produsului principal al celor de la Microsoft – sistemul de operare Windows, cu multele lui versiuni și variante –, problema încetează a mai fi amuzantă.

Pe vechiul blog am scris despre unele din ele, în general titlurile care conțin Stupid Software, dar nu numai . Cum „cariera” mea s-a îndepărtat oarecum de domeniul IT-ului clasic, am crezut că n-o să mai am prea curînd ocazia să scriu despre dude ale minunatului Windows, dar iată că m-am înșelat. Și p-asta am întîlnit-o chiar la noul job, culmea…

Notă: Urmează limbaj tehnic (nu deochiat, nu). Cine nu dorește să servească poate sări direct la paragrafele cu vocale.

Pași pentru reproducere

  1. Pe un laptop (sau computer cu adaptor de rețea wireless) se instalează Windows XP și Service Pack 3, se fac toate actualizările la zi.
  2. Se instalează toate driverele necesare pentru funcționarea sistemului, inclusiv cele ale plăcii wireless. Se testează funcționarea corectă a Wi-Fi. Se verifică apariția în Control Panel → Network Connections a unei conexiuni denumite „Wireless Connection” (denumire urmată și de un număr în anumite cazuri).
  3. Pe lîngă utilizatorul inițial, implicit, cu drepturi de administrator (numit mai departe Admin), se creează un al doilea, fără drepturi de administrare (să-l botezăm origial User).
  4. Se repornește sistemul, se face login cel puțin odată pe contul User.
  5. Se face logout și se reintră pe contul Admin.
  6. Din Device Manager → Network adapters se selectează placa wireless, se invocă meniul contextual (click dreapta) și se alege Disable.
  7. Se răspunde cu YES la mesajul ăsta:
    Dacă dezactivezi dispozitivul, n-o să mai meargă
    care în traducere liberă ar suna „Dacă dezactivezi dispozitivul, n-o să mai meargă”.
    Ca paranteză la paranteză (la paranteză… ), dacă se dă dublu click pe dispozitiv sau se alege Properties din meniul contextual, sistemul nu mai cere confirmare și îl dezactivează direct la apăsarea butonului OK. Dezactivare dispozitiv din fereastra Properties
    Asta e nouă, am descoperit-o acum, cînd făceam capturile pentru articol . Aș fi curios să știu de ce s-a stabilit că procedura asta n-ar mai avea nevoie de confirmare, dar wha’evaaa, trecem mai departe.
  8. Se face logout și se reintră pe contul User. Se verifică în Device Manager → Network adapters că placa wireless este dezactivată (x-ul roșu peste icoana dispozitivului) și că utilizatorul User nu are dreptul să-i schimbe starea.
  9. Se intră în Control Panel → Network Connections, se verifică starea conexiunii „Wireless Connection” (disabled).
  10. Se invocă meniul contextual pe „Wireless Connection” (click dreapta) și se alege Enable. Sistemul nu numai că activează bucuros placa wireless, dar se și conectează automat la primul punct de acces setat ca preferat!

Descriere

La slujbă ținem cursuri cu 2 grupe concomitent, în săli alăturate. Vlad, Radu și Cătălina instruiesc coordonatori; Andreia, Mălin și subsemnatul – simpli utilizatori.

Vlad și Radu ne-au tot spus în ultimele săptămîni că au avut în sală oameni care au reușit să-și activeze placa de reța și să se conecteze la internet (pierzînd evident orice interes pentru cursul lor plicticos , de unde și ideea inițială de a le restricționa accesul). N-am dat prea mare importanță, știam că mulți ocupă chiar posturi de IT în instituțiile lor, știam că parola de administrator este penibilă și printre primele pe care eu le-aș încerca la nevoie, deci am presupus că nu e nimic shady. Mai ales că în sala noastră se întîmplase la mult mai puține computere, vreo 2, la care am presupus că am uitat pur și simplu să dezactivăm placa wireless.

Însă astăzi în pauza de prînz, deci la 4 ore după venirea unei noi serii de cursanți și după schimbarea parolei de administrator (e adevărat, nici cea nouă nu e cu mult mai sigură), Radu mi-a comunicat cu o privire puțin perplexă că mai bine de jumătate dintre oamenii lor erau conectați la internet! Evident, la început am crezut că face mișto, dar cînd m-am convis că așa este, am cam înghițit în sec… eu fusesem cel care propusesem soluția dezactivării device-ului, eu o testasem, și eram cît se poate de convins că funcționează. Parola relativ simplă nu putea să fie explicația, cea anterioară fusese chiar mai simplă, iar numărul celor care se conectaseră era mult mai mare decît înainte.

Ei bine, se pare că n-am testat toate posibilitățile. Un utilizator simplu nu are dreptul (și ca urmare nu poate) să intre în Device Manager și să facă modificări, nici legate de starea dispozitivelor (active/inactive), nici de altă natură. Odată cu dezactivarea device-ului se dezactivează și conexiunea aferentă din Control Panel → Network Connections, dar pe care un utilizator simplu are dreptul să o reactiveze (de ce? habar n-am). Logica îmi spunea că, neavînd permisiunile necesare să reactiveze și dispozitivul, nu e nici o problemă, oricum nu va funcționa. Dar logica mea nu are nici o legătură cu logica programatorilor Microsoft, care s-au întrecut pe ei înșiși încă o dată. Windows este mai mult decît bucuros să activeze și dispozitivul odată cu conexiunea, reducînd practic permisiunile de acces ale utilizatorului în zone sensibile ale sistemului la o glumă proastă.

Încă n-am găsit o soluție pentru asta, dar mîine voi încerca să dezactivez serviciul „Wireless Configuration”, să vedem ce iese. Pasul 2 va fi să setez IP și gateway fictive, care să facă imposibilă conectarea la access point. Sper ca măcar la aceste setări să nu mai aibă acces și ultimul utilizator amărît… altfel înjurăturile mele despre mama lui Bill Gates se vor auzi cu certitudine pînă în Redmond.

Morala

Lolek:De ce sînt atîtea programe malefice (viruși/troieni/spyware/malware) care afectează utilizatorii de Windows?

Bolek:Pentru că e cel mai popular și mai răspîndit sistem de operare! Statistic vorbind, rulează pe cele mai multe computere din lume!

Tuturor Bolekilor din lume le spun în mod public și colectiv: Mă lăsați?!

Revin cu rezolvarea.

Actualizare: Deși practic nu mai era nevoie de o rezolvare pentru că am stabilit că vorbeam discuții despre o non-problemă, am zis totuși să testez ce se întîmplă la dezactivarea serviciului ”Wireless Zero Configuration” (în Windows Server 2003 R2 se numește doar Wireless Configuration, deci nu am greșit mai sus). Se întîmplă ceea ce trebuie și ceea ce bănuiam: dacă placa wireless este setată pe configurare automată (DHCP), atunci conectarea nu mai este posibilă, iar un utilizator restricționat nu are permisiunile necesare pentru a reporni sau reactiva serviciul. Setarea manuală a unui IP fix corect, precum și a celorlalți parametri necesari (gateway, DNS servers) permite însă conectarea fără probleme, din nou doar dacă utilizatorul are permisiunile necesare modificărilor (Power User sau Administrator).

Categorizat: Moftware | Etichetat: , , , |

Comentarii închise.