SeDebugPrivilege: come ristabilire i permessi all’utente

Negli ultimi periodi a parecchi utenti é capitato di lanciare un software anti-rootkit e di ritrovarsi davanti ad un errore simile a:

Impossibile acquisire i privilegi necessari (SeDebugPrivilege)

o un messaggio del genere. Un esempio classico é il software F-Secure Blacklight beta

Cosa significa questo?

Un account utente di Windows gode di determinati permessi, tra i quali SeDebugPrivilege - questo per gli account di amministrazione. Questo permesso é particolarmente importante per un’applicazione che puó usufruirne, perché permette di avere accesso alle zone di memoria utilizzate da tutti i vari processi, compreso LSA (Local Security Authority, lsass.exe). Tecnicamente parlando, l’API di Windows OpenProcess() controlla se il chiamante ha il permesso SeDebugPrivilege; in caso affermativo restituirá un handle PROCESS_ALL_ACCESS.


Risulta quindi un obiettivo importante per i malware, soprattutto i rootkit, che tentano di disattivarlo dall’account utente una volta che hanno infettato il pc.

Come ristabilirlo?

Innanzitutto dobbiamo avere un account amministratore, ovviamente. Poi dobbiamo distinguere tra Windows XP Professional e Windows XP home. Infatti con Windows XP professional é possibile ristabilire il permesso semplicemente accedendo al pannello di controllo e poi andando sugli Strumenti di amministrazione. Da qui andare su Criteri di Protezione locale (per trovarlo piú facilmente si puó passare nel pannello di controllo alla visualizzazione classica delle icone). Poi andare su assegnazione diritti utenti (é un sottogruppo della chiave Criteri Locali) e facciamo doppio click sul valore Debug di programmi. Nella finestra che si aprirá clicchiamo su Aggiungi utente o gruppo, poi Tipi di oggetto e spuntiamo la casella Gruppi in alto e poi sull’utente da aggiungere scriviamo Administrators. Diamo ok e riavviamo il pc. Al successivo start di sistema tutti gli account di amministratore avranno il permesso riattivato.

Windows XP Home invece non permette di avere accesso a queste configurazioni particolari degli account, per cui abbiamo bisogno di scaricare dal sito della Microsoft il Windows Server 2003 Resource Kit Tools che installerá nel sistema alcune utility particolarmente utili per la gestione avanzata di Windows. A noi serve precisamente il tool ntrights, che viene installato con il kit.

Una volta installato il kit, apriamo il prompt di dos (START - ESEGUI - “CMD” e diamo invio). Poi scriviamo il comando:

ntrights +r SeDebugPrivilege -u Administrators

e diamo invio. Dovrebbe dare come risultato Granting SeDebugPrivilege to Administrators … succesful. Finito, riavviamo il sistema.

Dovremmo essere cosí riabilitati all’utilizzo dei tool che necessitavano di questo permesso.

Ripristino files di sistema in XP

Se si sono danneggiati i files di sistema o avete il presentimento che lo siano, per esempio dopo aver fatto una disinfestazione con l'antivirus, si può fare un controllo con il programma interno di windows sfc.
Visto che chiede il CD è meglio se copiate i files dal cd originale della cartella I386 in una cartella nell'hard disk. Seguite la procedura seguente.

1. Copiare da cd di windows la cartella I386 in C:\temp\I386
2. Aprite il registro ed andate su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
3. Aprite la stringa "SourcePath" e modificate il valore in C:\temp\I386
4. Riavviare il sistem
5. Lanciare il comando sfc /scannow

Drivers modem telecom alice adsl

Ecco la lista dei drivers per i modem di alice adsl.
http://tbuy-web.rossoalice.alice.it/alice/static/help/services/aiuto/alice/alice.html

Così la finiamo con il solito: non trovo il dischetto, l'ho perso, ma qual'è? ecc.

Problema Rete Windows XP Home Edition

Mi e' capitato spesso di imabattermi di dover configurare una rete con la presenza di pc aventi Windows XP HOME EDITION installato.
Bene spesso capita che i sudetti pc vengono visti nella lista ma non ci si riesce ad accedere.

Ecco cosa controllare e cosa installare:

1) Accertatevi che nel registro (start, esegui, regedit, ok)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
il valore restrictanonymous sia a 0 (zero) e tale rimanga dopo un riavvio.

2) Se dopo aver apportato la modifica nel registro e il valore non e' cambiato dopo il riavvio scaricate rktools.exe lo installate e sa riga di comando (start, esegui, cmd, ok) digitate:
ntrights.exe -u everyone +r SeNetworkLogonRight

Marketing and Advertising source of information

I like reading Marketing Pilgrim because they have the pulse of the net.
I made a gadget with the Pilgrim rss feed on my iGoogle home page which is of course my first page on the browser.
It has been very nice the Google reputation management article.

I suggest to all of you who find good internet marketing information to visit often the above site.
Bye!