• Articolo

Scegliere uno strumento di distribuzione per le impostazioni di protezione e le opzioni relative alla privacy in Office System 2007

Aggiornamento: febbraio 2009

Si applica a: Office Resource Kit

 

Ultima modifica dell'argomento: 2015-03-09

Per creare un piano di protezione efficace per Microsoft Office System 2007, è innanzitutto necessario identificare gli strumenti che si intende utilizzare per configurare, distribuire e gestire le impostazioni di protezione all'interno dell'organizzazione. In alcuni casi, un unico strumento è adeguato per la configurazione, la distribuzione e la gestione delle impostazioni. In altri casi, potrebbe essere necessario utilizzare una combinazione di strumenti diversi, ad esempio uno strumento per la definizione e la distribuzione della configurazione iniziale e un altro per la successiva gestione delle impostazioni. La scelta della strumento più adatto è fondamentale nel processo di pianificazione della protezione, poiché tale strumento deve garantire l'effettiva distribuzione e applicazione delle impostazioni di protezione pianificate all'interno di tutta l'organizzazione. Tale strumento consente inoltre di modificare le impostazioni di protezione dopo l'implementazione iniziale per rispondere alle minacce improvvise per la protezione.

Per la distribuzione e la gestione delle applicazioni desktop in ambienti aziendali è possibile utilizzare una vasta gamma di strumenti e tecniche. Per la configurazione, la distribuzione e la gestione delle impostazioni di protezione in Office System 2007 è tuttavia consigliabile utilizzare solo lo Strumento di personalizzazione di Office e i modelli amministrativi di Criteri di gruppo di Office System 2007 (file con estensione adm). Per ogni strumento esistono diversi requisiti e limitazioni e ognuno di essi presenta caratteristiche e funzionalità diverse. La scelta dello strumento corretto richiede un'attenta valutazione dell'infrastruttura di gestione e distribuzione esistente e dell'architettura di protezione dell'organizzazione, nonché delle esigenze dell'organizzazione in questo ambito. Per determinare lo strumento appropriato valutando le diverse possibilità, utilizzare le procedure consigliate e i suggerimenti forniti nelle sezioni che seguono.

Strumento di personalizzazione di Office

Lo Strumento di personalizzazione di Office è un nuovo strumento dell'interfaccia utente grafica che consente di creare un file di configurazione (con estensione msp). Un file di configurazione può contenere una vasta gamma di informazioni, ad esempio le istruzioni per l'Installazione e sulla licenza, e le impostazioni dell'applicazione, ad esempio le impostazioni di protezione e le opzioni relative alla privacy. È possibile utilizzare un file di configurazione nei due modi seguenti:

  • In combinazione con il programma di installazione per personalizzare il processo di installazione durante un'implementazione su larga scala.

  • In combinazione con Windows Installer 3.1 per aggiornare o gestire le impostazioni di configurazione durante la fase operativa del ciclo di vita del software.

Per personalizzare il processo di installazione utilizzando un file di configurazione è necessario eseguire le attività seguenti:

  1. Configurare le opzioni di installazione e le impostazioni dell'applicazione utilizzando l'interfaccia utente grafica dello Strumento di personalizzazione di Office.

  2. Salvare le impostazioni e le opzioni in un file con estensione msp.

  3. Eseguire il programma di installazione nei computer client, specificando, tramite parametri della riga di comando, il file con estensione msp che si desidera utilizzare con il programma di installazione.

Per aggiornare o gestire le installazioni esistenti utilizzando un file di configurazione, è necessario eseguire le attività seguenti:

  1. Configurare le impostazioni dell'applicazione in un file con estensione msp esistente o nuovo utilizzando l'interfaccia utente grafica dello Strumento di personalizzazione di Office.

  2. Salvare le nuove impostazioni dell'applicazione nel file con estensione msp.

  3. Eseguire Windows Installer nei computer client, specificando, tramite parametri della riga di comando, il file con estensione msp che si desidera utilizzare con Windows Installer.

Per ulteriori informazioni sull'utilizzo dello Strumento di personalizzazione di Office, vedere Strumento di personalizzazione di Office in Office System 2007 e Personalizzare Office System 2007.

Requisiti e limitazioni

Lo Strumento di personalizzazione di Office è uno strumento nuovo che tuttavia non richiede alcun particolare miglioramento dell'infrastruttura. Per utilizzare tale strumento non è necessario modificare, ad esempio, l'hardware, il software, la topologia di rete o l'architettura di protezione esistente. Lo strumento, tuttavia, presenta i requisiti seguenti:

  • È necessario utilizzare lo Strumento di personalizzazione di Office in combinazione con il programma di installazione di Office. Lo Strumento di personalizzazione di Office genera solo file con estensione msp. Non applica impostazioni di protezione ai computer. Per installare Office System 2007 e applicare le impostazioni di protezione salvate nei file con estensione msp è necessario utilizzare il programma di installazione.

  • È necessario utilizzare il programma di installazione incluso in Office System 2007. Questo infatti è l'unico programma di installazione supportato in grado di leggere i dati dei file con estensione msp generati dallo Strumento di personalizzazione di Office e di aggiungere le impostazioni di protezione e altre impostazioni nel Registro di sistema.

  • Nei computer in cui viene eseguito il programma di installazione e lo Strumento di personalizzazione di Office deve essere installato Windows Installer 3.1.

  • Per eseguire lo Strumento di personalizzazione di Office e il programma di installazione di Office è necessario essere membro del gruppo Administrators del computer locale.

Prima di decidere se utilizzare lo Strumento di personalizzazione di Office per configurare e gestire le impostazioni di protezione, tenere in considerazione le due limitazioni seguenti di tale strumento:

  • Non è possibile bloccare o applicare impostazioni di protezione. Lo Strumento di personalizzazione di Office configura le impostazioni dell'applicazione in parti accessibili pubblicamente del Registro di sistema, ad esempio HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Se si utilizza questo strumento per configurare o gestire le impostazioni di protezione per Office System 2007, gli utenti possono modificare le impostazioni di protezione distribuite. Queste impostazioni sono considerate preferenze dell'utente anziché impostazioni gestite, poiché gli utenti possono modificarle. Se si desidera applicare impostazioni di protezione, utilizzare Criteri di gruppo.

  • È possibile configurare solo un'impostazione di blocco di formati di file. Le impostazioni di blocco di formati di file consentono di impedire l'apertura o il salvataggio di alcuni tipi o formati di file da parte degli utenti. Queste impostazioni sono utili se si desidera impedire agli utenti di utilizzare formati di file di versioni precedenti o se si desidera attenuare gli attacchi di tipo zero-day.

Scenari comuni

È possibile utilizzare lo Strumento di personalizzazione di Office e il programma di installazione per configurare, distribuire e gestire le impostazioni di protezione in molti ambienti IT. Nelle sezioni seguenti vengono descritti scenari in cui lo Strumento di personalizzazione di Office e il programma di installazione si dimostrano particolarmente utili.

Ambienti non gestiti

Lo Strumento di personalizzazione di Office viene comunemente utilizzato nelle organizzazioni in cui le applicazioni desktop non vengono gestite in modo centralizzato o in cui gli ambienti desktop non vengono gestiti in modalità remota. In questi casi, è possibile utilizzare lo Strumento di personalizzazione di Office e il programma di installazione per configurare, distribuire e gestire le impostazioni di protezione senza utilizzare uno strumento di amministrazione remota, ad esempio Microsoft Systems Management Server 2003, o uno strumento basato su criteri, ad esempio Criteri di gruppo.

Configurazioni di protezione iniziali

Lo Strumento di personalizzazione di Office viene comunemente utilizzato per stabilire le configurazioni di protezione iniziali anche se per bloccare o applicare le impostazioni di protezione si utilizza Criteri di gruppo. In tale modo si garantisce che le impostazioni di protezione siano configurate durante l'implementazione iniziale e prima del primo aggiornamento dei criteri. L'utilizzo dello Strumento di personalizzazione di Office per la creazione della configurazione di protezione iniziale consente inoltre di riapplicare il file di configurazione iniziale in un computer per ripristinare le impostazioni di protezione.

Ambienti parzialmente bloccati

Lo Strumento di personalizzazione di Office è utile in ambienti parzialmente bloccati in cui un sottoinsieme fondamentale di impostazioni di protezione è stato bloccato tramite Criteri di gruppo, mentre altre impostazioni di protezione non sono bloccate e possono essere configurate dagli utenti. In questo scenario, la maggior parte delle impostazioni di protezione viene configurata durante la configurazione iniziale mediante un file di configurazione con estensione msp generato dallo Strumento di personalizzazione di Office, mentre le impostazioni di protezione fondamentali vengono distribuite e gestite tramite Criteri di gruppo dopo il completamento della configurazione iniziale.

Modelli amministrativi di Criteri di gruppo

In Office System 2007 sono inclusi 15 modelli amministrativi, che consentono di gestire le impostazioni di protezione mediante Criteri di gruppo locali o basati sul dominio. I modelli amministrativi sono file di testo Unicode utilizzati da Criteri di gruppo per descrivere la posizione nel Registro di sistema in cui sono memorizzate le impostazioni dei criteri basati sul Registro di sistema stesso. Tutte le impostazioni dei criteri basati sul Registro di sistema sono visualizzate e configurate nel nodo Modelli amministrativi di Editor oggetti Criteri di gruppo. I modelli amministrativi non applicano le impostazioni dei criteri ma consentono di visualizzare le impostazioni dei criteri nell'Editor oggetti Criteri di gruppo. Gli amministratori possono quindi creare oggetti Criteri di gruppo contenenti le impostazioni dei criteri che desiderano utilizzare, ad esempio un oggetto Criteri di gruppo contenente diverse impostazioni per la gestione di controlli ActiveX, componenti aggiuntivi e macro.

I valori del Registro di sistema utilizzati per le impostazioni di Criteri di gruppo sono archiviati nelle chiavi del Registro di sistema approvate per Criteri di gruppo. Gli utenti non possono modificare o disabilitare tali impostazioni. Le impostazioni di Criteri di gruppo gestite interamente dagli amministratori sono dette “criteri effettivi". Per le impostazioni di Criteri di gruppo effettivi sono attive limitazioni ACL con lo scopo di evitare la modifica delle impostazioni da parte degli utenti. Le chiavi del Registro di sistema approvate per Criteri di gruppo sono le seguenti:

Per le impostazioni dei criteri per i computer:

  • HKEY_LOCAL_MACHINE\Software\Policies (posizione preferita)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Per le impostazioni dei criteri per gli utenti:

  • HKEY_CURRENT_USER\Software\Policies (posizione preferita)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Per ulteriori informazioni sui modelli amministrativi e sul rapporto tra Criteri di gruppo e lo Strumento di personalizzazione di Office, vedere Estensione Modelli amministrativi e Strumento di personalizzazione di Office e Criteri di gruppo in Panoramica di Criteri di gruppo (Office System 2007). Per ulteriori informazioni sull'utilizzo dei modelli amministrativi per la configurazione, la distribuzione e la gestione delle impostazioni di protezione, vedere Applicare le impostazioni utilizzando Criteri di gruppo in Office System 2007.

Requisiti e limitazioni

Se si desidera installare Office System 2007 in computer che eseguono Microsoft Windows XP, Microsoft Windows Server 2003 o Windows Vista, per utilizzare i modelli amministrativi è necessario soddisfare i requisiti seguenti.

  • Per configurare, distribuire e gestire le impostazioni di protezione tramite le impostazioni di Criteri di gruppo basati sul dominio, è necessario che nell'organizzazione sia stato distribuito il servizio directory Active Directory.

  • Per configurare, distribuire e gestire le impostazioni di protezione tramite le impostazioni di Criteri di gruppo locali è necessario essere membro del gruppo Administrators del computer locale.

Prima di decidere se utilizzare i modelli amministrativi per configurare e gestire le impostazioni di protezione, tenere in considerazione le due limitazioni seguenti di tali modelli:

  • Criteri di gruppo non dispone di un meccanismo per il ripristino della configurazione iniziale delle impostazioni. Se si utilizza Criteri di gruppo per distribuire le impostazioni della configurazione iniziale e in seguito si modificano le impostazioni di Criteri di gruppo, per ripristinare la configurazione iniziale è necessario riconfigurare ognuna delle modifiche successive. Se si disattiva o si elimina l'oggetto Criteri di gruppo che contiene le impostazioni, tutte le impostazioni risulteranno non configurate.

  • Non è possibile configurare le impostazioni degli editori attendibili con Criteri di gruppo. È possibile aggiungere certificati digitali all'elenco di editori attendibili solo con lo Strumento di personalizzazione di Office.

  • Se l'organizzazione è di dimensioni ridotte e non si utilizza Active Directory, il carico di lavoro amministrativo necessario per la comprensione e l'implementazione di Criteri di gruppo in un ambiente Active Directory potrebbe rendere proibitivo l'utilizzo di Criteri di gruppo basati sul dominio.

Scenari comuni

È possibile utilizzare Criteri di gruppo per configurare, distribuire e gestire le impostazioni di protezione in molti ambienti IT. Nelle sezioni seguenti vengono descritti scenari in cui i modelli amministrativi si dimostrano particolarmente utili.

Ambienti gestiti

I modelli amministrativi sono utili nelle organizzazioni che utilizzano Criteri di gruppo per la gestione di ambienti desktop, sia nel caso in cui sia stata eseguita la distribuzione di Active Directory e l'ambiente desktop venga gestito mediante Criteri di gruppo basati sul dominio che nel caso in cui Active Directory non sia installata ma si esegua la gestione dell'ambiente desktop tramite Criteri di gruppo locali.

Ambienti bloccati

I modelli amministrativi sono utili in ambienti bloccati, in cui gli utenti dispongono di scarso controllo della configurazione del desktop. In questo scenario, tutte le impostazioni di protezione vengono distribuite e gestite mediante Criteri di gruppo. Eventuali impostazioni di protezione configurate durante l'installazione iniziale vengono sostituite dalle impostazioni di Criteri di gruppo.

Implementazione delle impostazioni di blocco di formati di file

I modelli amministrativi rappresentano l'unico modo per implementare in modo efficace le impostazioni di blocco di formati di file, che consentono di impedire l'apertura o il salvataggio di alcuni tipi o formati di file da parte degli utenti. Queste impostazioni sono utili per attenuare gli attacchi di tipo zero-day quando si conosce il tipo o il formato di file specifico che rappresenta un rischio per l'organizzazione. Queste impostazioni sono inoltre utili se si desidera impedire agli utenti di utilizzare formati di file di versioni precedenti o imporre l'utilizzo degli stessi formati di file a tutti gli utenti.

Scelta di uno strumento

Nella tabella seguente vengono confrontate le caratteristiche e le funzionalità degli due strumenti consigliati che è possibile utilizzare per configurare le impostazioni di protezione in Office System 2007. Utilizzare le informazioni nella tabella per valutare ogni strumento e determinare il più adatto per l'organizzazione.

Caratteristiche e funzionalità Modelli amministrativi Strumento di personalizzazione di Office + programma di installazione

Richiede Active Directory.

Sì (Criteri di gruppo basati sul dominio)

No (Criteri di gruppo locali)

No

Richiede Windows Installer 3.1.

No

Richiede credenziali amministrative per il computer client.

Sì (Criteri di gruppo locali)

No (Criteri di gruppo basati sul dominio)

Utilizzabile per bloccare impostazioni di protezione.

No

Utilizzabile per la gestione delle impostazioni di protezione dopo l'installazione iniziale.

Utilizzabile per definire configurazioni di protezione iniziali.

Sì (non ideale)

Utilizzabile per configurare le impostazioni di blocco di formati di file.

Sì (tutte le impostazioni)

Sì (solo un'impostazione)

Utilizzabile per aggiungere editori all'elenco di editori attendibili.

No

Scaricare il manuale

Questo argomento è incluso nei manuali seguenti, che possono essere scaricati per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili, vedere la pagina di informazioni su Office Resource Kit.