• Articolo

Protezione

Gestione delle restrizioni hardware tramite Criteri di gruppo

Jeremy Moskowitz

 

Panoramica:

  • Limitazione delle installazioni di hardware
  • Restrizioni per dispositivi specifici
  • Restrizioni per classi di dispositivi

Tutti sanno che è vero: le chiavette USB per la memorizzazione dei dati e di altri dispositivi rimovibili semplifica la vita personale ma complica la vita professionale. È necessario trovare il modo di controllare quali

dispositivi hardware possono essere installati e quali no. Per fortuna, con Criteri di gruppo in Windows Vista™ e nella prossima versione di Windows® Server con nome in codice "Longhorn", è possibile autorizzare i mouse USB ma impedire le chiavette USB, autorizzare l'uso dei lettori di CD-ROM, ma non dei masterizzatori di DVD oppure consentire l'uso di dispositivi Bluetooth ma non PCMCIA.

Esistono due sezioni di Criteri di gruppo che aiutano a proteggere l'hardware: Configurazione computer | Modelli amministrativi | Sistema | Accesso agli archivi rimovibili (vedere la Figura 1) e Configurazione computer | Modelli amministrativi | Sistema | Installazione dispositivi | Restrizioni installazione dispositivi (vedere la Figura 2).

Figura 1 Restrizioni hardware predefinite in Criteri di gruppo

Figura 1** Restrizioni hardware predefinite in Criteri di gruppo **(Fare clic sull'immagine per ingrandirla)

Figura 2 Personalizzazione dei tipi di hardware a cui applicare le restrizioni

Figura 2** Personalizzazione dei tipi di hardware a cui applicare le restrizioni **(Fare clic sull'immagine per ingrandirla)

Il nome del primo set (Accesso agli archivi rimovibili) ne spiega già la funzione: se si attiva un'impostazione del criterio per un tipo di dispositivo di archiviazione rimovibile (CD/DVD, disco floppy e così via), sarà quindi possibile limitare la lettura e/o scrittura su tale tipo di dispositivo, se necessario. Le opzioni disponibili però non sono così sofisticate come in Restrizioni per l'installazione di dispositivi.

In Accesso agli archivi rimovibili esistono gruppi di impostazioni del criterio denominati Classi personalizzate: nega accesso in lettura e Classi personalizzate: nega accesso in scrittura. Dal nome si direbbero opzioni interessanti, ma il criterio Accesso agli archivi rimovibili non impedisce l'installazione dei driver. Quando viene rilevato l'hardware, il driver per la classe è già stato installato. Il criterio non fa altro che evitare che si legga o si scriva sul dispositivo. Nella sezione successiva, in cui si descrivono le impostazioni del criterio Restrizioni per l'installazione di dispositivi, sono riportate le istruzioni per bloccare del tutto l'uso del driver.

Gestione di classi e ID

È prima di tutto necessario stabilire con chiarezza quali dispositivi limitare. Si può pensare in grande o in piccolo. Vale a dire, è possibile limitare una determinata "classe" di dispositivi oppure scendere ancora di più nello specifico e limitare un singolo tipo di hardware. È ovviamente possibile ragionare all'inverso e consentire solo specifiche classi di dispositivi, come i mouse USB. Il trucco, in tutti i casi, è tutto qui: per definire dei criteri efficaci, è necessario stabilire in anticipo l'hardware che si desidera limitare.

Se, quindi, si desidera bloccare tutti i driver di joystick e consentire solo l'installazione dei mouse USB, è necessario disporre di un joystick e di un mouse USB. In alternativa è possibile utilizzare Internet per individuare ID hardware, ID compatibile o Classe dispositivo. Tuttavia, se si dispone dei dispositivi fisici, l'operazione risulterà molto più semplice. In questo caso, infatti, è possibile collegare il dispositivo al computer e individuare direttamente ID hardware, ID compatibile o Classe dispositivo. Una volta acquisite queste informazioni, sarà possibile bloccare o l'utilizzo del dispositivo.

Nell'esempio seguente, viene impedito l'utilizzo di una famiglia di scheda audio specifica: una Creative AutoPCI ES1371/ES1373. Per escludere altri dispositivi (dispositivi USB specifici, porte USB e così via), continuare con l'operazione sostituendo di volta in volta il dispositivo desiderato.

Accedere a Gestione dispositivi su un computer su cui siano già installati i dispositivi hardware. Quando si individua il dispositivo, fare clic con il pulsante destro del mouse e scegliere Proprietà, quindi la scheda Dettagli. Per impostazione predefinita viene visualizzata una "Descrizione del dispositivo". Sono informazioni molto interessanti, ma in questo momento poco utili. Scegliere la casella a discesa Proprietà e selezionare "ID hardware", come nella Figura 3.

Figura 3 La scheda Dettagli del dispositivo

Figura 3** La scheda Dettagli del dispositivo **(Fare clic sull'immagine per ingrandirla)

Nella pagina ID hardware vengono visualizzati dall'alto in basso gli ID di dispositivo dal più specifico al meno specifico. Se si esamina con attenzione la prima voce in alto nell'elenco ID hardware, si noterà che questa scheda audio è specificatamente una Rev 2 della scheda audio ES1371. Un'informazione molto dettagliata. Se si scorre l'elenco, la descrizione diventa meno specifica fino a comprendere intere famiglie.

Inoltre, è possibile modificare le Proprietà per ID compatibili. Questi descrivono anche l'hardware e sono considerati meno specifici rispetto agli ID hardware. È possibile decidere di utilizzare le informazioni in ID compatibili per tentare di inserire altro hardware simile nell'elenco dei dispositivi da non utilizzare, perché è meno specifico e consente di raggiungere maggiori risultati. In questo caso si corre però il rischio di limitare dispositivi di cui, invece, si intende consentire l'utilizzo.

Alla categoria meno specifica si accede selezionando Classe dispositivo dalla casella a discesa Proprietà. Nell'esempio, la scheda audio viene indicata semplicemente come Media. I dispositivi di questo tipo sono moltissimi, quindi anche in questo caso meno è dettagliata l'informazione, maggiore deve essere la prudenza.

Una volta deciso il valore da utilizzare, fare clic con il pulsante destro del mouse, scegliere Copia, incollarlo nel Blocco note e memorizzarlo. Eseguire una copia esatta del valore è importante, perché nei passaggi successivi il valore dovrà essere inserito in modo preciso, in particolare dovranno corrispondere tutti i caratteri minuscoli e maiuscoli del valore.

Se per acquisire ID hardware o Classe dispositivo si preferisce utilizzare la riga di comando invece di Gestione dispositivi, leggere le informazioni sull'utilità da riga di comando Devcon all'indirizzo support.microsoft.com/kb/311272. Microsoft consente di utilizzare alcuni ID per le classi più comuni quando non è possibile accedere fisicamente ai dispositivi; consultare le informazioni all'indirizzo go.microsoft.com/fwlink/?LinkId=52665.

Controllo dell'accesso all'hardware con i Criteri di gruppo

Nell'articolo vengono descritte tutte le impostazioni che si trovano in Configurazione computer | Modelli amministrativi | Sistema | Installazione dispositivi | Restrizioni installazione dispositivi (illustrato nella Figura 2), per portare a termine l'operazione dell'esempio è sufficiente una sola di tali impostazioni.

Creare prima di tutto un oggetto Criteri di gruppo (GPO) e collegarlo a un OU (o dominio e così via) che contiene i computer che utilizzano Windows Vista da controllare. Modificare quindi il GPO e passare a Configurazione computer | Modelli amministrativi | Sistema | Installazione dispositivi | Restrizioni installazione dispositivi | Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID. Scegliere Attivato nell'impostazione del criterio, fare clic su Mostra (anche nell'impostazione del criterio) e scegliere Aggiungi nella finestra di dialogo "Mostra contenuti". Quindi nella finestra di dialogo "Aggiungi elemento", incollare le informazioni sul dispositivo salvate in precedenza, come illustrato nella Figura 4.

Figura 4 Incollare l'ID del dispositivo per ottenere una descrizione esatta

Figura 4** Incollare l'ID del dispositivo per ottenere una descrizione esatta **(Fare clic sull'immagine per ingrandirla)

Questo è il punto cruciale della procedura: se è già stato installato su un computer, il dispositivo non verrà magicamente disinstallato né ne verrà limitato l'accesso. Di conseguenza, se si intende limitare l'accesso all'hardware, sarà necessario eseguire l'operazione prima della distribuzione di Windows Vista. È tuttavia utile sottolineare che in Windows Vista viene rieseguito il controllo a ogni rimozione e reinstallazione del dispositivo. Dispositivi come le unità USB (che vengono spesse rimosse e reinstallate) sono esempi evidenti di applicazione di questo processo. Poiché Windows Vista esegue il controllo solo quando il dispositivo viene ricollegato, il dispositivo viene limitato in tale momento (anche se il driver del dispositivo viene caricato inizialmente sul computer). Il problema più complesso riguarda i dispositivi che vengono forniti con il computer e non vengono rimossi e reinstallati. Per questo tipo di dispositivi, esiste una soluzione non immediatamente evidente.

Quando si accende un computer a cui non è ancora mai stato collegato il dispositivo hardware, Windows tenterà di installare il driver, fornendo le informazioni sullo stato e sul relativo avanzamento. Se si è impostato un criteri per limitare tale dispositivo, si vedrà un risultato come nella Figura 5.

Figura 5 L'installazione di un dispositivo impedita

Figura 5** L'installazione di un dispositivo impedita  **(Fare clic sull'immagine per ingrandirla)

Ulteriori restrizioni per l'hardware

Nell'esempio precedente è stato impedito l'accesso a un solo dispositivo. Se necessario, è possibile seguire la procedura opposta, limitando tutto l'hardware e consentendo per impostazione predefinita solo alcuni dispositivi. Anche in questo caso è possibile visualizzare un elenco di impostazioni dei criteri nella Figura 2, che mostra la sezione Configurazione computer | Modelli amministrativi | Sistema | Installazione dispositivi | Restrizioni installazione dispositivi di Criteri di gruppo. È possibile scegliere tra diverse impostazioni disponibili.

La prima è "Consenti agli amministratori di ignorare criteri di Restrizioni installazione dispositivi". Per impostazione predefinita, gli amministratori locali di Windows Vista devono rispettare le restrizioni definite. Se si attiva questa impostazione, gli amministratori locali potranno ignorare la restrizione e installare qualsiasi dispositivo hardware.

La seconda impostazione è "Consenti l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi". Quando si immettono le descrizioni dei dispositivi in questa impostazione di criterio, si consente espressamente l'installazione sul sistema dei dispositivi hardware corrispondenti. Questa impostazione di criterio rispetta solo le classi di installazione, non gli ID di dispositivo (utilizzati nell'esempio).

Per ottenere l'effetto opposto, è possibile impostare "Impedisci l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi".

Le due impostazioni "Visualizza un messaggio personalizzato quando un criterio impedisce l'installazione (titolo fumetto) / (testo fumetto)" consentono di personalizzare il messaggio, come nella Figura 5.

Come già anticipato, la modalità meno specifica per descrivere l'hardware è la classe dell'hardware. È opportuno notare che l'impostazione "Consenti l'installazione dei dispositivi che corrispondono a uno di questi ID" non rispetta le descrizioni di ID classe. Per utilizzare le descrizioni di ID classe, utilizzare "Consenti l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi" oppure "Impedisci l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi". È preferibile utilizzare il secondo criterio con l'impostazione "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri". Quando si impedisce (per impostazione predefinita) l'accesso a tutto l'hardware e si utilizza quindi questa impostazione, si specifica in modo preciso i dispositivi di cui si desidera consentire l'utilizzo.

Nell'esempio si è utilizzato il criterio "Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID" per limitare un tipo specifico di hardware in base agli ID dispositivo. Per implementare delle restrizioni utilizzando una Classe dispositivo, è necessario sfruttare altre impostazioni specifiche dei criteri, come "Consenti l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi" oppure "Impedisci l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione dispositivi".

L'opzione "Impedisci l'installazione dei dispositivi rimovibili" rappresenta un modo rapido e generico per limitare qualsiasi dispositivo hardware che descriva se stesso come rimovibile, compresi i dispositivi USB. Questa impostazione resta comunque piuttosto generica, dunque è preferibile non utilizzarla troppo spesso. Utilizzare, invece, le tecniche descritte in precedenza per ottenere ID dispositivo moderatamente restrittivi e bloccarli in modo specifico.

Infine, "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" è l'impostazione di criterio che consente di limitare tutto l'hardware di cui non sia stata autorizzata in modo specifico l'installazione. Questi criteri, insieme ai vari criteri di autorizzazione (come "Consenti l'installazione dei dispositivi che corrispondono a uno di questi ID"), rappresentano uno strumento molto valido per autorizzare solo l'hardware che si desidera venga utilizzato nel proprio ambiente.

Conclusioni

I Criteri di gruppo in Windows Vista consentono di eseguire molte nuove operazioni, estremamente utili per autorizzare solo l'hardware che si desidera venga utilizzato nel proprio ambiente. È sufficiente implementare le impostazioni dei criteri prima possibile durante la distribuzione, in modo che risulti da subito impossibile connettere l'hardware che non si desidera venga utilizzato sulla rete.

Intervista con Michael Dennis, il Lead Program Manager per Criteri di gruppo in Microsoft

Ho avuto di recente l'opportunità di intervistare Michael Dennis, che ha diretto il team di Criteri di gruppo in Microsoft fin dalla sua fondazione. Michael sta lasciando il team Criteri di gruppo per inseguire nuove opportunità all'interno di Microsoft. Ho trascorso un po' di tempo in compagnia di Michael a riflettere sugli ultimi nove anni di Criteri di gruppo, sugli obiettivi raggiunti e sulla strada ancora da fare.

Jeremy Moskowitz Michael, credo che molte persone vorrebbero sapere qual è l'obiettivo più importante raggiunto dal team Criteri di gruppo durante la tua conduzione in Microsoft.

Michael Dennis I successi più significativi risalgono a qualche tempo fa, quando ci siamo concentrati sullo sviluppo di ciò che poi sarebbe diventato Criteri di gruppo. In Windows NT® 4.0 esisteva già Criteri di sistema, dunque siamo partiti da quella base e dalla valutazione dei problemi noti all'epoca. Tutto ciò accadeva nello stesso periodo in cui veniva sviluppato Active Directory®, quindi ci siamo dedicati al miglioramento della gestibilità di client e server.

L'idea di origine prevedeva che Criteri di gruppo venisse creato in una gerarchia e il fatto che questa idea fosse del tutto nuova rappresentava molto per noi. Ci siamo di conseguenza concentrati su infrastruttura principale, processi dei client e integrazione con Active Directory.

Il sottoprodotto del nostro miglior risultato si è rivelato il peggior problema. Il motivo erano i problemi della GUI utilizzata in Windows 2000. Per utilizzare le nuove funzionalità in modo efficace, gli utenti avrebbero dovuto laurearsi in Criteri di gruppo, dal momento che nemmeno gli amministratori sapevano bene come funzionasse. Avremmo dovuto creare il Console Gestione Criteri di gruppo (GPMC) e Gruppo di criteri risultante (RSoP) prima di riconsegnare il prodotto (come previsto dalle specifiche).

JM Quali elementi nuovi avresti voluto inserire in Criteri di gruppo?

MD Gli elementi che ho sempre voluto, fin dalla release in Windows 2000, ora sono tutti compresi in Windows Vista: elementi come RSoP, GPMC, impostazioni potenziate e così via. Mi sarebbe piaciuto giungere prima a questo risultato.

Ora vorrei che l'infrastruttura di Criteri di gruppo potesse essere estesa più facilmente dai partner. Il nostro modello di estensione lato server/lato client richiede molto lavoro di sviluppo. È anche vero che la nostra struttura di modelli ADM/ADMX costituisce un framework di facile estensione. Sarebbe tuttavia meglio se quella parte del sistema consentisse ai partner di estendere più tipi di impostazioni.

Un altro desiderio consiste nel rendere il reporting di GPMC più estendibile per strumenti di partner e sviluppatori di terze parti. È un'area su cui siamo stati abbastanza sollecitati dai produttori terzi di strumenti.

JM Quali sono le caratteristiche del team Criteri di gruppo poco note al pubblico?

MD A volte non è chiara a tutti la collocazione del team Criteri di gruppo nel quadro globale. L'idea di fondo prevede che il team crei l'infrastruttura, il trasporto e le parti relative a lato server e lato client. Solo per Windows Vista, tuttavia, abbiamo collaborato con 120 diversi team di Microsoft per integrare le nuove impostazioni di questa versione.

I lettori devono comprendere che Criteri di gruppo non è colpevole degli eventuali problemi di rallentamento del sistema all'avvio o all'accesso. Se il sistema è lento, è piuttosto colpa del payload di Criteri di gruppo. Se si chiede a Criteri di gruppo di eseguire operazioni molto onerose, i rallentamenti diventano una conseguenza ovvia. Se si richiede, ad esempio, un'installazione personalizzata di Microsoft Office per ciascun computer, non c'è problema. L'importante è essere consci del peso dell'operazione richiesta; prima di ottenere un prompt di accesso sarà necessario attendere il completamento dell'installazione di Office. Questo è un rallentamento? Certo che lo è, ma è esattamente ciò che l'amministratore ha richiesto al sistema.

JM Quali sono le funzionalità di Criteri di gruppo che preferisci?

MD In questo periodo sono molto soddisfatto di alcune delle nuove impostazioni integrate in Windows Vista. Le impostazioni dei dispositivi rimovibili (le restrizioni applicate alle chiavette USB e così via) erano funzionalità molto richieste dal pubblico. Sono disponibili circa 2.400 impostazioni in Windows Vista, che offrono agli amministratori un livello di controllo significativo. Mi diverto a chiedere ai clienti cosa vorrebbero tenere sotto controllo e a dimostrare quindi come fare per riuscirci.

JM Perché si è passati dai file ADM agli ADMX?

MD Dal punto di vista tecnico, non è stato necessario tutto questo per ottenere la nuova funzione di archivio centrale di Windows Vista. Il passaggio ad ADMX è stato motivato soprattutto dalla necessità di supportare in modo corretto più lingue contemporaneamente.

In precedenza, negli ambienti multilingue capitava spesso che il contenuto dei file ADM in un GPO venisse inavvertitamente scritto da un'altra lingua. Storicamente, il formato ADM deriva da Windows NT 4.0, che l'ha preso a prestito da Windows 98, che l'ha ereditato da Windows 95. Se all'epoca fosse già stato disponibile, XML sarebbe stato il candidato ideale per il formato dei nostri file.

Ora che è disponibile il formato XML, è diventato più facile supportare più lingue ed esistono ottime opportunità in futuro di apportare miglioramenti a Registro di sistema e impostazioni grazie alla nuova schematizzazione.

JM Quale è stata la sfida più difficile da vincere durante il lavoro nel team Criteri di gruppo?

MD Il problema più rilevante affrontato dal team è la necessità di ottenere gli altri componenti di Windows per attivare i criteri per le rispettive funzionalità.

Il team X può rispondere: "Abbiamo appena creato questa utilissima funzionalità. Perché mai qualcuno dovrebbe disattivarla&?quot; È facile capire le loro ragioni. Abbiamo dovuto risolvere molti di questi problemi.

Le sfide sono anche di carattere tecnico e riguardano l'attivazione di alcuni elementi tramite i criteri, ad esempio, Windows Firewall con protezione avanzata (WFAS). WFAS è stato molto difficile da gestire, poiché la sua corretta attivazione tramite criteri non è affatto così diretta come potrebbe sembrare. L'interfaccia creata dal team WFAS per Windows Vista è eccellente, ma l'integrazione è stata complessa.

Nelle versioni di Windows prima di Vista, i team responsabili dei prodotti non tenevano conto della possibilità di attivare i diversi componenti del pacchetto tramite i criteri. Durante lo sviluppo di Windows Vista, invece, una buona parte dei team ci ha chiesto come fare per consentirne l'attivazione. Un ottimo risultato!

JM Cosa hai in programma per il futuro?

MD Sto passando al team "Mobile Information Worker", che si occupa di smartphone, Pocket PC e così via. Il mio compito consisterà nell'estendere alcune delle tecnologie di gestione presenti in Windows Server System ai dispositivi Windows Mobile®.

Tenterò di infondere la mia visione e la mia passione per la facilità di gestione e di applicarle a questo nuovo ambito. Lascio comunque il team Criteri di gruppo in una posizione di vantaggio che gli consentirà di procedere anche senza il mio apporto.

JM Vuoi dire altro ai nostri lettori?

MD Il momento più importante dell'intero processo di sviluppo di Criteri di gruppo è stato il contatto con i clienti per comprendere realmente le esigenze sul campo. Se i clienti hanno un'opinione ben strutturata sugli scenari in cui desiderano inserire Criteri di gruppo e delle esigenze aziendali già formate, possono comunicarli con fiducia a Microsoft.

Disponiamo di un meccanismo di commenti e suggerimenti molto buono che tutti possono utilizzare accedendo all'indirizzo WindowsServerFeedback.com. Basta cercare il pulsante di Criteri di gruppo (Group Policy).

Se gli utenti si esprimono nei seguenti termini: "Ecco il problema, ecco le nostre esigenze aziendali, vorremmo conoscere il sistema per ottenere questo risultato e per questo motivo" le informazioni raccolte acquisiscono un valore inestimabile per noi. I responsabili di Criteri di gruppo prendono le proprie decisioni proprio leggendo le informazioni che giungono tramite questo canale.

Dunque, chi desidera avere un impatto sui futuri sviluppi di Criteri di gruppo, deve comunicarci le proprie esigenze. Purché non ci si limiti a scrivere: "Ci serve il criterio di gruppo per fare X" senza alcuna informazione sui motivi e gli obiettivi. Il lavoro del team è esattamente immaginare o scoprire il "come&quot. L'informazione che invece deve fornire il cliente è il "perché".

JM Grazie per averci raccontato le tue esperienze nel team Criteri di gruppo in Microsoft e in bocca al lupo per la tua nuova attività!

MD Grazie a te, Jeremy.

Jeremy Moskowitz, MCSE e MVP per Criteri di gruppo, gestisce GPanswers.com, il forum della comunità su Criteri di gruppo. Tiene una serie di workshop di formazione intensiva su Criteri di gruppo. Il suo ultimo libro è Group Policy: Management, Troubleshooting and Security (Sybex, 2007). È possibile contattare Jeremy all'indirizzo www.GPanswers.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.