File desktopUso del computer condiviso con Windows SteadyState
Wes Miller
Se negli ultimi dieci anni hai avuto a che fare con un laboratorio informatico, conosci già questo problema.Si tratta di qualcosa che ho scoperto la prima volta quando frequentavo l'università.Allora, i laboratori erano aperti tutto il giorno (per accedervi, era necessario fornire l'ID studente) e, non essendo sorvegliati, era possibile entrarci dalla biblioteca.Gli studenti appassionati di giochi elettronici di quell'epoca
potevano entrare e modificare i file principali di Windows® e MS-DOS® per eseguire i loro giochi.Il risultato finale era un computer sul quale era possibile giocare, ma sul quale non era più possibile eseguire Windows correttamente.Tutti abbiamo avuto lo stesso problema: un computer sul quale talmente tante persone avevano messo le mani, da renderlo inutilizzabile.
Recentemente, sono stato in vacanza a South Padre Island, in Texas.L'hotel in cui ho pernottato aveva una sala con tre computer su cui era in esecuzione Windows XP.Poiché non era impostato alcun criterio di protezione, chiunque poteva utilizzare questi sistemi Windows come amministratore. Ciò significava che gli ospiti potevano utilizzare come desideravano questi poveri computer, installando software dannosi e rimuovendo o modificando le applicazioni principali, ma sicuramente non era questo lo scopo del direttore.Sia che si tratti di un laboratorio o di un hotel, la verità è che i computer condivisi in un ambiente pubblico hanno una vita difficile a differenza dei computer utilizzati in ambienti privati.
Possibili soluzioni al problema
Download e utilizzo di SteadyState
È possibile scaricare gratuitamente Windows SteadyState all'indirizzo go.microsoft.com/fwlink/?LinkId=104721.È possibile trovare ulteriori informazioni su SteadyState all'indirizzo microsoft.com/windows/products/winfamily/sharedaccess.
Windows SteadyState può essere eseguito su qualsiasi sistema sul quale può essere eseguito Windows XP.Il miglioramento più significativo rispetto a SCT è che SteadyState non richiede una seconda partizione per funzionare come fa SCT per la Protezione disco di Windows.
Nella seguente tabella viene fornita una panoramica dei requisiti di sistema per SteadyState.Si noti che SteadyState non richiede un file system in formato NTFS poiché sono supportate tutte le versioni di Windows XP.SteadyState al momento non funziona con Windows Vista®.
| Componente | Requisito |
| Processore | 300 MHz o superiore (minimo 233 MHz). |
| Memoria | Almeno 128 MB di RAM (il valore minimo è 64 MB, ma potrebbe influire negativamente sulle prestazioni e su alcune funzionalità). |
| Disco rigido | Almeno 1,5 GB di spazio disponibile su disco rigido senza Protezione disco di Windows o almeno 4 GB di spazio disponibile su disco rigido con Protezione disco di Windows. |
| Sistema operativo | Windows XP Home Edition, Windows XP Professional o Windows XP Tablet PC Edition.Deve essere installato Windows XP SP2. |
| Lingue localizzate supportate | Inglese, olandese, francese, italiano, giapponese, brasiliano portoghese, cinese semplificato e spagnolo. |
| File system | File system in formato NTFS. |
| Accesso | Accesso a livello di amministratore. |
Se hai letto i miei articoli dell'anno scorso o se conosci la distribuzione di Windows in generale, potresti pensare: "Semplice, sarà sufficiente creare una nuova immagine dei sistemi".Chi ha provato questa esperienza però, sa che non è sempre così semplice.Il grande pulsante rosso per la nuova creazione di immagini, anche se premuto tutti i giorni o una volta alla settimana, non risolve il problema.
Anni fa, volevo aprire un cybercafé insieme a un mio amico.Questo accadeva nel 1995, quando era ancora un'idea originale.La mia preoccupazione più grande era effettivamente come garantire affidabilità e disponibilità del sistema.Sfortunatamente, le possibilità a quel tempo implicavano generalmente la creazione di una nuova immagine o soluzioni leggermente più stabili, ma non esisteva alcuna operazione plug-and-play.
Una volta eliminato il problema, per la protezione dei computer condivisi, è necessario poter effettuare le seguenti operazioni:
- Garantire che gli utenti utilizzino i PC non come amministratori.Questo dovrebbe valere sempre per tutti i computer condivisi.
- Applicare criteri affinché i sistemi siano più protetti possibile.In questo modo, è meno probabile che gli utenti possano manipolare aree del sistema a cui non dovrebbero accedere.
- Poter revocare le modifiche effettuate dagli utenti.Anche se gli utenti operano come non amministratori, possono effettuare modifiche anomale a menu, preferiti e altro ancora.
Fortunatamente, Microsoft lavora da anni su un set di strumenti progettato per affrontare queste situazioni.
Storia di SteadyState
Poco più di un anno fa, Microsoft ha rilasciato Windows Shared Computing Toolkit (SCT).Scaricabile gratuitamente per i sistemi verificati Windows Genuine Advantage, il toolkit è stato progettato considerando in particolare biblioteche, cybercafé, laboratori e altri ambienti informatici condivisi.È possibile che alcuni abbiano letto l'articolo su SCT nell'edizione di luglio 2006 di TechNet Magazine (technetmagazine.com/issues/2006/07/UtilitySpotlight).
Una nuova versione, adesso denominata Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess), è stata pubblicata nel mese di giugno 2007. La nuova versione è stata ridenominata in parte perché il set di strumenti ha subito modifiche significative tra una versione e l'altra.Esegue tuttora le stesse attività che verranno illustrate di seguito, ma il team si è concentrato sulla facilità di utilizzo globale nella versione più recente.Di conseguenza, SteadyState è strettamente integrato in una nuova console ed è più semplice da installare e gestire.È più potente e flessibile e supporta l'integrazione con Active Directory® per uno dei componenti principali, il che significa maggiore flessibilità in diversi scenari aziendali completamente nuovi.Adesso supporta anche l'integrazione con Windows Update che consente a SteadyState di sapere quando disattivare la Protezione disco di Windows per applicare indipendentemente gli aggiornamenti.Ciò riduce il sovraccarico di operazioni amministrative necessarie per i sistemi gestiti tramite SteadyState.
Funzionalità di SteadyState
Windows SteadyState è formato da quattro componenti principali:Le restrizioni per il computer che proteggono le opzioni di protezione e configurazione per i singoli computer, Protezione disco di Windows che memorizza nella cache (e annulla) le modifiche apportate alla partizione di sistema Windows, la gestione dell'account utente che crea, modifica, importa o esporta un utente e, infine, le impostazioni e restrizioni utente che proteggono le opzioni di configurazione e protezione dei singoli utenti.
Un miglioramento che è possibile notare immediatamente in Shared Computing Toolkit è la guida per l'utente.Una guida all'avvio che semplifica l'impostazione e l'avvio di SteadyState.SteadyState fornisce inoltre quattro attività principali che è opportuno approfondire (che rispecchiano le funzionalità principali illustrate in precedenza):
- Imposta restrizioni per il computer (restrizioni per il computer).
- Pianifica aggiornamenti software.Consente di specificare se SteadyState applica automaticamente gli aggiornamenti di Windows.Questa opzione è consigliata poiché gestisce la funzionalità Protezione disco di Windows e aggiorna anche le firme di diversi programmi Antivirus più diffusi.
- Proteggi il disco rigido (Protezione disco di Windows).
- Aggiungi utente (gestione dell'account utente).
In Aggiungi utente si trovano le restrizioni utente e le impostazioni che forniscono un'opzione di configurazione per i singoli utenti.
Computer, restrizioni utente e impostazioni
Se si ha una buona conoscenza di Criteri di gruppo di Windows, si conoscono già gli aspetti Imposta restrizioni per il computer e le impostazioni e restrizioni utente di SteadyState.Invece di costringere gli amministratori di SteadyState ad utilizzare Editor oggetti Criteri di gruppo (GPEdit.msc), che non è una funzionalità disponibile in Windows XP Home Edition (sebbene SteadyState sia supportato), SteadyState rileva diverse opzioni di protezione e configurazione principali comuni negli ambienti informatici condivisi.
Nella Figura 1 è riportata la schermata di configurazione per Imposta restrizioni per il computer.Si noti che queste sono tutte impostazioni generiche che vengono applicate all'intero computer.Tali impostazioni vengono selezionate principalmente per ridurre i rischi di protezione del sistema e, nel caso di accesso di un'unità USB, per ridurre la possibilità di rimuovere elementi dal sistema.Nelle impostazioni per i singoli utenti, è possibile trovare anche un metodo per bloccare l'accesso in lettura ad alcune o a tutte le unità.
Figura 1** Restrizioni per il computer in SteadyState **(Fare clic sull'immagine per ingrandirla)
È importante notare che l'impostazione relativa all'USB è attiva solo durante l'esecuzione del sistema Windows in cui è configurato SteadyState.Per ottenere una protezione contro gli attacchi non in linea, è necessario configurare correttamente il BIOS affinché blocchi l'avvio da dispositivi USB o CD e protegga tramite password lo stesso BIOS.
Ovviamente, questo metodo non è infallibile.Ricordare la terza legge delle "10 leggi immutabili della protezione" (microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx):"Se un utente malintenzionato ha accesso fisico illimitato al tuo computer, non devi considerarlo più il tuo computer."Un individuo scrupoloso con sufficiente tempo e gli strumenti giusti a disposizione, spesso è in grado di oltrepassare la password di un BIOS.
Protezione disco di Windows
Se è già stato utilizzato Windows XP Embedded da un CD o Windows PE 2.0, quello che sto per descrivere suonerà familiare e a ragione poiché questi due sistemi hanno una storia in comune.Protezione disco di Windows consente di effettuare l'annullamento completo delle operazioni effettuate nella partizione di sistema di Windows salvando tutte le modifiche effettuate sulla partizione di sistema nella cache che si trova sulla stessa partizione.Questo è un aspetto importante di SteadyState poiché è il componente che consente di annullare le modifiche effettuate nel tempo dagli utenti del sistema.
Protezione disco di Windows è utile principalmente se si desidera garantire la possibilità di tornare rapidamente (dopo un riavvio non pianificato o a intervalli programmati) allo stato di distribuzione iniziale del sistema.Dispone di quattro modalità che è possibile impostare nella finestra di dialogo mostrata nella Figura 2:
Figura 2** Configurazione di Protezione disco di Windows **(Fare clic sull'immagine per ingrandirla)
Disattivo Protezione disco di Windows è completamente disattivata e tutte le modifiche vengono scritte normalmente su disco.
Attivo - Eliminazione delle modifiche al riavvio Protezione disco di Windows è attivata e, ogni volta che il computer viene riavviato, vengono eliminate tutte le modifiche.In sostanza, ciò significa che il sistema torna esattamente allo stato in cui era quando è stata selezionata e salvata questa opzione.
Attivo - Eliminazione delle modifiche quando stabilito Quasi identica alle opzioni precedenti eccetto per il fatto che le modifiche vengono eliminate quando stabilito piuttosto che al successivo riavvio.Questa è una scelta logica se si desidera eliminare le modifiche quotidianamente o settimanalmente.
Attivo - Conservare le modifiche definitivamente Teoricamente simile alla modalità Disattivo, con la differenza che questa è una modalità temporanea.Ad esempio, è possibile utilizzare questa modalità se si desidera aggiornare le applicazioni, installare nuove applicazioni o configurare il sistema.Questa non è una modalità che è possibile impostare per lunghi periodi.
Si noti che Protezione disco di Windows richiede il riavvio per passare da una modalità all'altra.
Pianifica aggiornamenti software
L'impostazione Pianifica aggiornamenti software è utile in quanto SteadyState adesso è in grado di attivare o disattivare automaticamente Protezione disco di Windows.Se si consente a SteadyState di gestire gli aggiornamenti, Protezione disco di Windows viene impostata in modo da conservare le modifiche durante l'aggiornamento e quindi viene riportata all'impostazione precedente.Si consiglia questa impostazione poiché consente di eliminare un'attività dall'elenco delle attività di gestione.
Sono supportati i software di protezione seguenti tramite la funzionalità di aggiornamento in Aggiornamenti software:Computer Associates eTrust 7.0, McAfee VirusScan, Windows Defender e TrendMicro 7.0.
Gestione dell'account utente
L'opzione Aggiungi utente consente di configurare nuovi utenti per il sistema.Nella Figura 3 vengono mostrate le opzioni disponibili per il nuovo utente:nome, password, un'immagine che rappresenti l'utente e la posizione del profilo utente.Una volta creati gli utenti, è possibile impostare le restrizioni utente e le impostazioni per tutti gli account locali.L'aspetto interessante è che una volta aggiunto e configurato un account sul sistema, è possibile esportarlo e quindi importarlo in un altro sistema, se necessario (oppure archiviarlo).
Figura 3** Aggiunta di account utente **(Fare clic sull'immagine per ingrandirla)
Una funzionalità utile della gestione dell'account utente consiste nel fatto che i profili utente possono essere creati su una partizione secondaria tramite il menu Percorso utente mostrato nella Figura 3.In genere, i profili devono essere creati sulla partizione Windows, a meno che non venga manualmente specificato un percorso Documents and Settings diverso durante l'impostazione, tramite un file unattend.txt.Questo approccio è particolarmente utile con SteadyState poiché annulla le modifiche effettuate alla partizione di sistema Windows quando Protezione disco di Windows è attivata.Se si desidera che un profilo utente rimanga coerente quando Protezione disco di Windows elimina i dati dalla cache, è possibile specificare semplicemente il profilo utente da archiviare su un'altra partizione locale durante la creazione dell'utente effettuata tramite la gestione dell'account utente.
Questo processo funziona riavviando per eliminare i dati dalla cache di Protezione disco di Windows, applicando gli aggiornamenti e quindi riavviando di nuovo per ripristinare Protezione disco di Windows.Oltre a Windows Update, SteadyState aggiorna i file delle firme per alcune delle applicazioni antivirus supportate più diffuse (vedere l'intestazione laterale "Acquisire e utilizzare SteadyState").Se l'applicazione non è supportata o è necessario eseguire un altro programma di aggiornamento, è possibile occuparsi manualmente degli aggiornamenti; assicurarsi che Protezione disco di Windows sia disattivata, altrimenti l'aggiornamento delle firme andrà perso.
Restrizioni utente e impostazioni
Dopo aver selezionato un utente, SteadyState divide le restrizioni per l'utente in quattro categorie.Queste categorie derivano dalle impostazioni di Criteri di gruppo e probabilmente risulteranno familiari.
Le impostazioni generali controllano i profili utente e impongono le configurazioni di disconnessione.Ciò include le impostazioni per il blocco del profilo e l'impostazione degli intervalli di timeout per la disconnessione dopo un determinato periodo di utilizzo o tempo di inattività.
Le impostazioni delle restrizioni per Windows, mostrate nella Figura 4, controllano gli elementi di configurazione specifici di Windows.Gli esempi includono la rimozione dell'accesso agli elementi dell'interfaccia utente Windows come i componenti del menu Start e la funzionalità di Esplora risorse.Esiste anche la possibilità di bloccare l'accesso a determinate unità in base alla lettera di unità, come pure la possibilità di disattivare la masterizzazione dei CD.
Figura 4** Restrizioni utente specifiche di Windows **(Fare clic sull'immagine per ingrandirla)
La scheda Restrizioni per le funzionalità, mostrata nella Figura 5, controlla l'accesso granulare alla maggior parte delle funzionalità di Internet Explorer®, consente di impostare l'home page di Internet Explorer e di controllare le funzionalità di Microsoft® Office ad un certo livello, che consiste solitamente nel controllare la possibilità di esecuzione degli script di Visual Basic®, Applications Edition (VBA).
Figura 5** Restrizioni per la funzionalità **(Fare clic sull'immagine per ingrandirla)
Le impostazioni relative ai programmi bloccati (vedere la Figura 6) controllano la possibilità di eseguire determinate applicazioni; fondamentalmente, viene creato un elenco di applicazioni da bloccare.Nell'elenco vengono inserite diverse applicazioni comuni ed è possibile aggiungerne altre.Si noti che questi elementi vengono bloccati in base alla definizione del loro percorso.Se a un utente è consentito spostare un'applicazione da qualche altra parte all'interno del sistema, la regola relativa al percorso non viene più applicata.Tuttavia, tale operazione può essere evitata se si applicano correttamente al sistema file e ACL di directory e restrizioni di accesso adeguate.
Figura 6** Blocco dell'esecuzione dei programmi **(Fare clic sull'immagine per ingrandirla)
Un'altra funzionalità importante di SteadyState si basa sui modelli preconfigurati che specificano i livelli delle restrizioni per Windows e per la funzionalità.I modelli semplificano l'acquisizione di una configurazione di base applicata in base al livello desiderato di blocco di funzioni e funzionalità.Naturalmente, è anche possibile creare modelli personalizzati.
Restrizioni di SteadyState
SteadyState è molto utile per un'organizzazione che desidera stabilizzare i sistemi informatici condivisi.Potrebbe essere uno strumento commerciale adeguato.Come strumento gratuito, è eccellente.Ricordarsi, comunque, che non è in grado di fare qualsiasi cosa.
I sistemi informatici condivisi sono bersagli facili di attacchi o abusi non intenzionali.È necessario garantire che questi sistemi siano isolati da informazioni a cui non è necessario accedere.Mentre SteadyState ha anche la capacità di bloccare l'accesso alle applicazioni, queste imposizioni sono gestite tramite i criteri restrizione software.Come notò Mark Russinovich qualche anno fa, esistono tecniche in base alle quali un utente dotato di buon senso può creare un'applicazione che sembri priva di pericoli, ma che può consentire di ignorare tali criteri anche quando l'utente accede con limitazioni (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx).Oltre a bloccare l'accesso a tutti i dispositivi e l'accesso Internet, questa è una vulnerabilità che è necessario tenere presente.Ricordare sempre la legge numero 3...
Ovviamente, SteadyState è solo un componente di un sistema informatico condiviso ben configurato.La regolare applicazione degli aggiornamenti tramite Windows Update e la configurazione appropriata di Windows Firewall (o un altro firewall) sono importanti.Inoltre, accertarsi di installare e configurare un antivirus, un antispyware e altre contromisure di protezione rese necessarie dall'analisi dei potenziali rischi per il computer.Analogamente, controllare l'accesso al computer; se non fosse possibile, controllare almeno ciò che il computer può vedere.Non archiviare localmente informazioni riservate.
Infine, durante la qualifica della piattaforma, assicurarsi che i test includano l'utilizzo di SteadyState (con Protezione disco di Windows abilitato, a meno che non sia stato stabilito di non utilizzarlo) e di tutti gli ulteriori software che è stato pianificato di eseguire sul sistema.Sarà necessario garantire che i software e SteadyState funzionino bene insieme.
Supporto per SteadyState
I commenti degli utenti su SteadyState sono molto positivi.Finora è stato segnalato un numero ridotto di problemi minori, alcuni legati all'ordine in cui è necessario aggiungere gli utenti.Molti di questi problemi (insieme ad altri suggerimenti e idee) vengono trattati nella community di Windows SteadyState (a cui viene fornito il collegamento in diverse parti dell'applicazione e della documentazione di SteadyState) all'indirizzo forums.microsoft.com/windowstoolsandutilities.
Prima di iniziare, si consiglia di esaminare il manuale di SteadyState, disponibile all'indirizzo go.microsoft.com/fwlink/?LinkId=104722.Questo manuale fornisce suggerimenti e idee per il corretto utilizzo di SteadyState.
Conclusione
SteadyState fornisce un'ampia gamma di funzionalità per tutti i sistemi Windows XP per cui è necessario controllare l'accesso ed è gratuito.La funzionalità Protezione disco di Windows, ampiamente migliorata, e i miglioramenti apportati all'interfaccia utente semplificano la distribuzione e la gestione globale dei sistemi ad accesso condiviso.
SteadyState consente di mantenere i sistemi attivi e in esecuzione, sia che si tratti di sistemi di laboratori di computer, chioschi ad accesso condiviso di collaboratori o visitatori, classi per la formazione o qualsiasi altro ambiente informatico condiviso.Non sarà più necessario intervenire settimanalmente per rendere di nuovo operativo un sistema.Questo costituisce un enorme miglioramento di tale documento.
Wes Millerè Technical Product Manager di Initiate Systems (InitiateSystems.com) ad Austin, Texas.In passato ha lavorato per Winternals Software e per Microsoft in qualità di Program Manager.È possibile contattare Wes all'indirizzo technet@getwired.com.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.