Su un sistema Windows con un account di tipo amministratore si possono cambiare le impostazioni di sicurezza, installare software e hardware, accedere a tutti i file sul computer e apportare modifiche ad altri account utente.
Con un account dotato dei privilegi amministrativi si possono applicare modificare sulla configurazione del sistema Windows che hanno sugli altri utenti del computer.
Cosa significa Esegui come amministratore in Windows
In Windows esistono due tipi di account utente principali: gli utenti normali appartenenti al gruppo Users e gli amministratori che fanno parte del gruppo Administrators.
Al momento dell’installazione di Windows viene creato un account amministratore principale ma la buona prassi è quella di utilizzare un account standard per le normali attività quotidiane.
Lo scopo degli account amministrativi è quello di permettere modifiche a certi aspetti del sistema operativo che potrebbero altrimenti essere danneggiati accidentalmente (o attraverso azioni malevole). Se si usa un account normale l’utente o eventuali processi dannosi non possono causare problemi al funzionamento di Windows e modificarne il comportamento in profondità.
Su tutti i sistemi Windows esiste anche un account Administrator nascosto che di norma è disabilitato ma che si può attivare manualmente in caso di necessità. Si chiama proprio così, Administrator, e la sua presenza diventa palese premendo Windows+R
, digitando cmd
quindi impartendo il comando net user
.
Quando si utilizza un account normale e si richiedesse l’effettuazione di un intervento che necessita dei privilegi amministrativi, Windows chiede di inserire le credenziali di un account amministratore presente sulla stessa macchina.
Esistono comunque molteplici modi per acquisire i privilegi più elevati usando un account utente normale. Nuovi meccanismi di privilege escalation vengono scoperti continuamente e Microsoft li risolve ogni mese (insieme ad altri problemi di sicurezza) con il rilascio di apposite patch correttive (il secondo martedì del mese).
Se si possiede l’accesso fisico a una macchina Windows è possibile attivare tranquillamente l’account Administrator nascosto o creare un nuovo account amministratore anche dal semplice supporto d’installazione del sistema operativo. Il tutto senza modificare la configurazione di Windows. Ne abbiamo parlato negli articoli in cui parliamo di password dimenticata in Windows 10 e di come accedere a Windows 11 nel caso in cui non si ricordasse la password.
Esistono però decine di vulnerabilità che possono essere sfruttate, soprattutto sui sistemi non aggiornati, per acquisire privilegi amministrativi.
Alcuni driver possono essere utilizzati per attività di privilege escalation come recentemente mostrato nel caso di un incidente che ha coinvolto i mouse Razer e i dispositivi di altri produttori.
“Là fuori” esiste comunque una batteria di script PowerShelle e strumenti di penetration testing che consentono di cercare vulnerabilità conosciute e mettere in evidenza eventuali problemi di configurazione legati ad eseguibili, librerie DLL e servizi di terze parti.
Tutte le app Win32 a 64 e 32 bit possono essere eventualmente eseguite con i diritti di amministratore: basta cliccare con il tasto destro sul loro eseguibile quindi scegliere Esegui come amministratore.
Sin dai tempi di Windows Vista ogni volta che un programma vuole eseguire un’operazione che richiede privilegi elevati l’azione viene sospesa e UAC (User Account Control) chiede all’utente se i diritti di amministratore debbano essere accordati o meno. Nel caso in cui si stesse usando un utente standard Windows chiede di inserire le credenziali di un account amministrativo. Nel caso degli account utente che sono amministratori è sufficiente fare clic su un pulsante di conferma per continuare.
Dalla finestra del prompt dei comandi vista in precedenza si può digitare whoami
per verificare il nome dell’account in uso.
Digitando net user nome-account
è possibile verificare se l’account specificato appartenga o meno al gruppo Administrators e quindi goda dei diritti corrispondenti.
Quali programmi stanno usando i diritti di amministratore
Per controllare quanti e quali programmi in esecuzione sul sistema stanno usando i privilegi amministrativi basta premere CTRL+MAIUSC+ESC
per aprire il Task Manager, cliccare eventualmente su Più dettagli, sulla scheda Dettagli quindi con il tasto destro sulla riga delle intestazioni di colonna.
Con un clic su Seleziona colonne bisogna spuntare la casella Con privilegi elevati quindi premere OK.
Cliccando a questo punto sull’intestazione Con privilegi elevati appena aggiunta nella finestra del Task Manager si possono raggruppare tutti i processi che usano e non usano privilegi amministrativi.
Per motivi di sicurezza il file manager di Windows (Esplora file) non utilizza i privilegi amministrativi.