Sudowin è un add-on open source che offre funzionalità simili al Sudo (Super User Do) di Unix anche agli utenti Windows che non sono amministratori .
Tale strumento consente una semplice "scalata" dei privilegi, lasciando quindi a chiunque la possibilità di eseguire facilmente programmi, l'avvio dei quali richiede i privilegi di amministratore.
Sudowin è un modulo che si aggiunge, e non si sostituisce, a molte delle procedure di logging esistenti in Windows, tra cui lo User Account Control (UAC) di Windows Vista, che in alcune situazioni è stato proprio descritto come una versione per Windows di Sudo.
In un certo senso, questa descrizione non è del tutto esatta, sia per le caratteristiche intrinseche di sudo sia per il modo in cui funziona Windows. Quindi, per spiegare sudowin correttamente, è necessario soffermarsi su alcuni dettagli.
Il comando Sudo
In Unix, il comando sudo abilita a lanciare processi come amministratore, fornendo i corretti privilegi (come per esempio una password adeguata). Ciò comporta che un utente che agisce solitamente in contesti di basso livello disponga di privilegi tali da poter avviare processi riservati unicamente agli amministratori.
Tramite i comandi RUNAS e UAC, Windows Vista permette qualcosa di simile, ma in un modo differente. Quando si utilizzano tali funzioni per far girare un’applicazione come amministratore, il comando in questione viene eseguito da un’identità utente totalmente differente, che dispone dei privilegi di amministratore. Questo è il motivo per cui, per esempio, se si esegue un’applicazione desktop di Vista che è stata lanciata senza i privilegi UAC, spesso non interagisce correttamente con le altre applicazioni desktop che girano senza UAC, semplicemente perché non vengono eseguite nello stesso spazio utente. Una situazione di questo tipo può essere fastidiosa e sovente costringe l'utente a “elevare” più applicazioni contemporaneamente.
Per ridurre le problematicità, il programmatore Schley Andrew Kutz ha deciso di "prendere la strada meno complicata", come egli stesso sottolinea, e di creare qualcosa che funzioni come sudo all’interno di Windows. Il risultato è stato chiamato sudowin ed è stato progettato per consentire un controllo estremamente granulare su come i privilegi possano essere "scalati" sia in base all’utente sia in base all’applicazione. I programmi avviati attraverso sudowin non sono eseguiti in contesti utente separati e ciò permette di interagire gli uni con gli altri in modo convenzionale.
Una volta installato, Sudowin viene configurato in due fasi:
1. L'amministratore aggiunge tutti gli utenti che hanno privilegi sudo in uno usergroup appositamente creato
2. L'amministratore configura quindi un file XML che controlla il modo in cui lavorano gli utenti con i privilegi sudo. Questo è il passaggio che comporta la maggior parte del lavoro, anche se il numero dei parametri che devono essere modificati nel file XML è relativamente piccolo. È solo quando si opera in modo più granulare o si devono effettuare implementazioni su larga scala che il lavoro può diventare consistente.
Ogni utente può avere una "whitelist" delle applicazioni che è autorizzato a far funzionare in “modalità elevata” oppure può semplicemente “elevare” qualsiasi applicazione. Le applicazioni permesse sono predisposte all’interno del principale file di configurazione XML. Le credenziali possono essere memorizzate per un periodo di tempo definito, così come accade in una convenzionale implementazione di sudo nel mondo Unix. Infine, il programma dispone di un’architettura plug-in per estenderne le funzionalità (la funzione di caching delle credenziali è uno di questi plug-in), e supporta caratteristiche come quella che permette a sudo di girare solo in determinate ore del giorno.
Il più grande svantaggio è la difficoltà di configurare in una sola volta il sistema per molti utenti, dal momento che tutto è fatto icon file XML. Ma al suo interno, questo è un modo estremamente promettente per estendere sui meccanismi di sicurezza esistenti di Windows.
