Pericoli e contromisure

Articolo
11/22/2018

Capitolo 9: Modelli amministrativi di Windows XP e Windows Server 2003

Nelle sezioni dei modelli amministrativi dei Criteri di gruppo sono incluse le impostazioni basate sul Registro di sistema che gestiscono il comportamento e l'aspetto dei computer in un ambiente specifico. Queste impostazioni consentono di gestire anche il comportamento dei componenti e delle applicazioni dei sistemi operativi. Oltre alle numerose impostazioni disponibili per la configurazione, è possibile aggiungerne altre importando file adm aggiuntivi.

Questo capitolo elenca le impostazioni dei modelli amministrativi incluse nel nodo Configurazione computer dei Criteri di gruppo definiti nella presente guida e le impostazioni incluse nel nodo Configurazione utente. Nel seguente capitolo non viene esaminata ogni singola impostazione disponibile nei modelli amministrativi per Microsoft Windows XP e Microsoft Windows Server 2003. Tuttavia, in questo capitolo vengono fornite le istruzioni su tutte le impostazioni relative alla protezione dei computer che eseguono questi sistemi operativi. Alcune delle impostazioni che non sono state contemplate riguardano in modo specifico: Compatibilità tra applicazioni, Utilità di pianificazione, Windows Installer, Windows Messenger e Windows Media Player.

Le versioni precedenti di questa guida contenevano informazioni relative ai Modelli amministrativi di Office XP. Microsoft Office 2003 contiene una grande quantità di caratteristiche e di modifiche ai Modelli amministrativi che vengono consegnati con il prodotto. Per ulteriori informazioni sulle modifiche, vedere la sezione "Ulteriori informazioni" alla fine del capitolo.

In questa pagina

Impostazioni di configurazione del computer Impostazioni configurazione utente Ulteriori informazioni

Impostazioni di configurazione del computer

Le impostazioni di configurazione seguenti si applicano ai computer che appartengono a un dominio di servizio directory Active Directory. Le informazioni sulle impostazioni di configurazione utente sono riportate più avanti in questo capitolo.

NetMeeting

Microsoft NetMeeting consente agli utenti di condurre riunioni virtuali sulla rete dell'organizzazione. È possibile configurare le impostazioni dei Criteri di gruppo di NetMeeting all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ NetMeeting

Disattiva Condivisione desktop remoto

Questa impostazione di criterio disattiva la funzionalità di condivisione del desktop remoto di NetMeeting. Questa impostazione di criterio può essere attivata in modo che gli utenti non possano configurare NetMeeting per rispondere automaticamente alle chiamate in ingresso e consentire il controllo remoto del desktop locale.

I possibili valori dell'impostazione Disattiva Condivisione desktop remoto sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Abilitando questa impostazione di criterio, gli utenti non saranno in grado di utilizzare la funzionalità di condivisione del desktop remoto di NetMeeting.

Contromisura

Configurare l'impostazione Disattiva Condivisione desktop remoto su Attivato.

Impatto potenziale

Gli utenti non saranno in grado di configurare la condivisione del desktop remoto tramite NetMeeting, ma potranno ancora utilizzare le funzioni Assistenza remota e Desktop remoto, se queste sono rimaste abilitate.

Impostazioni di sistema di Internet Explorer

Microsoft Internet Explorer è il browser Web contenuto in Windows XP e Windows Server 2003 e molte delle sue funzioni possono essere gestite dai Criteri di gruppo. È possibile configurare le impostazioni dei Criteri di gruppo del computer Internet Explorer all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Internet Explorer

Disattiva l'installazione automatica dei Componenti di Internet Explorer e Accesso a Internet

Questa impostazione di criterio consente di impedire il download automatico dei componenti mediante Internet Explorer richiesti dai siti Web durante l'esplorazione dell'utente. Se questa impostazione di criterio è disattivata o non è configurata, verrà richiesto agli utenti di scaricare e installare i componenti utilizzati dai siti Web visitati. Questo criterio consente agli amministratori di controllare i componenti che possono essere installati dall'utente.

I possibili valori dell'impostazione Disattiva l'installazione automatica dei Componenti di Internet Explorer e Accesso a Internet sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

È possibile che un operatore malintenzionato di un sito Web utilizzi componenti contenenti codice dannoso. Questo può essere scaricato ed eseguito inconsapevolmente dagli utenti di un'organizzazione, rischiando di esporre i dati riservati, causare la perdita di dati e creare instabilità.

Contromisura

Configurare l'impostazione Disattiva l'installazione automatica dei Componenti di Internet Explorer e Accesso a Internet su Attivato.

Impatto potenziale

Internet Explorer non sarà in grado di scaricare automaticamente i componenti richiesti dai siti Web durante l'esplorazione dell'utente.

Disattiva Controllo periodico per aggiornamenti software di Internet Explorer

Se si attiva questa impostazione di criterio, in Internet Explorer non verrà determinata la disponibilità di versioni successive del browser né inviata all'utente alcuna notifica in merito. Disabilitando o non configurando il criterio, per impostazione predefinita viene eseguita una ricerca degli aggiornamenti di Internet Explorer ogni 30 giorni, quindi viene inviata agli utenti una notifica in caso sia disponibile una nuova versione. Questo criterio consente agli amministratori di mantenere il controllo delle versioni di Internet Explorer evitando l'invio di notifiche agli utenti ogniqualvolta è disponibile una nuova versione del browser.

I possibili valori dell'impostazione Disattiva Controllo periodico per aggiornamenti software di Internet Explorer sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Benché Microsoft esegua controlli completi su tutte le patch e i service pack prima della pubblicazione, alcune organizzazioni desiderano verificare accuratamente tutto il software installato nei computer gestiti. È possibile attivare l'impostazione Disattiva Controllo periodico per aggiornamenti software di Internet Explorer per assicurare che i computer non effettuino il download automatico e l'installazione di aggiornamenti per Internet Explorer.

Contromisura

Configurare l'impostazione Disattiva Controllo periodico per aggiornamenti software di Internet Explorer su Attivato.

Impatto potenziale

Internet Explorer non sarà in grado di scaricare e installare automaticamente aggiornamenti rapidi e service pack, pertanto gli amministratori dovranno utilizzare un altro processo per eseguire la distribuzione automatica degli aggiornamenti software nei computer gestiti.

Disattiva avvisi Shell per aggiornamenti software all'avvio del programma

Questa impostazione di criterio consente di impedire l'invio di notifiche all'utente durante l'installazione di nuovi componenti da parte di programmi che utilizzano il canale di distribuzione del software Microsoft. Il canale di distribuzione del software consente di aggiornare in modo dinamico il software presente sui computer grazie all'uso delle tecnologie Open Software Distribution (osd).

Se questa impostazione di criterio viene attivata, gli utenti non riceveranno una notifica quando i programmi vengono aggiornati dai canali di distribuzione del software. Se questa impostazione viene disattivata o non configurata, gli utenti riceveranno una notifica prima che il loro programmi vengano aggiornati. Questo criterio consente agli amministratori che intendono utilizzare i canali di distribuzione del software di aggiornare i programmi senza alcun intervento dell'utente.

I possibili valori dell'impostazione Disattiva avvisi Shell per aggiornamenti software all'avvio del programma sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Nelle organizzazioni che utilizzano tecnologie e strumenti OSD è preferibile che gli utenti non siano al corrente delle patch e dei service pack installati nei computer, perché potrebbero tentare di interrompere il processo di installazione prima che venga completato.

Contromisura

Configurare l'impostazione Disattiva avvisi Shell per aggiornamenti software all'avvio del programma su Attivato.

Impatto potenziale

Gli utenti non riceveranno alcuna notifica quando gli aggiornamenti software vengono distribuiti tramite tecnologie OSD.

Basa impostazioni proxy sul computer (non sull'utente)

Se si attiva questa impostazione di criterio, gli utenti non potranno modificare le impostazioni proxy e dovranno utilizzare le aree create per tutti gli utenti dei computer a cui hanno accesso.

I possibili valori dell'impostazione Basa impostazioni proxy sul computer (non sull'utente) sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Disabilitando o non configurando l'impostazione, gli utenti di uno stesso computer potranno stabilire impostazioni proxy personalizzate. Questo criterio assicura che le impostazioni proxy siano le stesse per tutti gli utenti di un computer specifico.

Contromisura

Configurare l'impostazione Basa impostazioni proxy sul computer (non sull'utente) su Attivato.

Impatto potenziale

Tutti gli utenti saranno costretti a utilizzare le impostazioni proxy definite per il computer.

Aree di protezione: impedisci l'aggiunta e l'eliminazione di siti

Questa impostazione di criterio consente di impedire la gestione dei siti nelle aree di protezione (per consultare le impostazioni per la gestione dei siti nelle aree di protezione, selezionare Strumenti e quindi Opzioni Internet dalla barra dei menu di Internet Explorer, fare clic sulla scheda Protezione, quindi su Siti). Se questa impostazione di criterio è disattivata o non è configurata, gli utenti potranno aggiungere o rimuovere i siti Web nelle aree Siti attendibili e Siti con restrizioni e modificare le impostazioni nell'area intranet locale.

I possibili valori dell'impostazione Aree di protezione: impedisci l'aggiunta e l'eliminazione di siti sono:

Attivato
Disattivato
Non configurato

Nota: se si attiva l'impostazione Disattiva la scheda Protezione (che si trova in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet) , la scheda Protezione non sarà più presente sull'interfaccia e l'impostazione avrà precedenza su Aree di protezione: impedisci l'aggiunta e l'eliminazione di siti.

Vulnerabilità

Se questa impostazione di criterio non è configurata, gli utenti potranno aggiungere o rimuovere i siti Web nelle aree Siti attendibili e Siti con restrizioni e modificare le impostazioni nell'area intranet locale. Questa configurazione potrebbe consentire di aggiungere a queste aree i siti che contengono codice dannoso e che tale codice venga eseguito dagli utenti.

Contromisura

Configurare l'impostazione Aree di protezione: impedisci l'aggiunta e l'eliminazione di siti su Attivato.

Impatto potenziale

Gli utenti non saranno in grado di modificare le impostazioni definite dall'amministratore per la gestione dei siti nelle aree di protezione. Quando è necessario aggiungere o rimuovere siti dalle aree di protezione di Internet Explorer, l'amministratore dovrà configurarli.

Aree di protezione: impedisci la modifica del criterio

Se si attiva questa impostazione di criterio, vengono disabilitati il pulsante Livello personalizzato e il dispositivo di scorrimento Livello di protezione per l'area nella scheda Protezione della finestra di dialogo Opzioni Internet. Se questa impostazione di criterio è disattivata o non è configurata, gli utenti potranno modificare le impostazioni delle aree di protezione. Questa impostazione di criterio può essere utilizzata per non consentire la modifica delle impostazioni dei criteri per le aree di protezione definite dall'amministratore.

I possibili valori dell'impostazione Aree di protezione: impedisci la modifica del criterio sono:

Attivato
Disattivato
Non configurato

Nota: se si attiva l'impostazione Disattiva la scheda Protezione (che si trova in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet), la scheda Protezione non sarà più presente sull'interfaccia e l'impostazione avrà la precedenza su Aree di protezione: impedisci la modifica del criterio.

Vulnerabilità

Gli utenti che modificano le impostazioni di protezione di Internet Explorer potrebbero abilitare l’esecuzione di tipi di codice dannoso da Internet e da siti Web nell'elenco Siti con restrizioni del browser.

Contromisura

Configurare l'impostazione Aree di protezione: impedisci la modifica del criterio su Attivato.

Impatto potenziale

Non sarà possibile configurare le impostazioni di protezione per le aree di Internet Explorer.

Aree di protezione: utilizza solo le impostazioni del computer

Questa impostazione di criterio consente solo le modifiche eseguite a un'area di protezione che verranno applicate a tutti gli utenti dello stesso computer. Disabilitando o non configurando l'impostazione, gli utenti di uno stesso computer potranno stabilire impostazioni personalizzate per le aree di protezione. Questo criterio assicura che le impostazioni delle aree di protezione siano le stesse per tutti gli utenti di un determinato computer.

I possibili valori dell'impostazione Aree di protezione: utilizza solo le impostazioni del computer sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Contromisura

Configurare l'impostazione Aree di protezione: utilizza solo le impostazioni del computer su Attivato.

Impatto potenziale

Non sarà possibile configurare le impostazioni di protezione per le aree di Internet Explorer.

Disattiva rilevamento errori critici

Questa impostazione di criterio consente di configurare la funzionalità di rilevamento errori critici nella gestione dei componenti aggiuntivi di Internet Explorer. Se si abilita questa impostazione di criterio, un errore critico in Internet Explorer sarà simile a quello su un computer dotato di Windows XP Professional con Service Pack 1 e versioni precedenti: sarà richiamata la Segnalazione errori di Windows. Se si disattiva questo criterio, sarà operativa la funzionalità di rilevamento errori critici nella gestione dei componenti aggiuntivi.

I possibili valori dell'impostazione Disattiva rilevamento errori critici sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Un report di errori critici potrebbe contenere informazioni riservate della memoria del computer.

Contromisura

Configurare l'impostazione di criterio Disattiva rilevamento errori critici su Attivato.

Impatto potenziale

Le informazioni sugli errori critici causati dai componenti aggiuntivi di Internet Explorer non saranno comunicate a Microsoft. Se si verificano errori critici ripetuti di frequente e si ha la necessità di segnalarli per una successiva risoluzione dei problemi, è necessario configurare temporaneamente questa impostazione su Disattivato.

Non consentire agli utenti di abilitare o disabilitare i componenti aggiuntivi

Questa impostazione di criterio consente di stabilire se gli utenti hanno la possibilità di abilitare o disabilitare i componenti aggiuntivi attraverso Gestione componenti aggiuntivi. Se si configura questo criterio su Attivato, gli utenti non possono abilitare o disabilitare i componenti aggiuntivi attraverso Gestione componenti aggiuntivi. La sola eccezione è se un componente aggiuntivo è stato espressamente inserito nell'Elenco componenti aggiuntivi dei criteri in modo da consentire agli utenti di continuare a gestire il componente aggiuntivo. Se si configura questo criterio su Disattivato, gli utenti potranno abilitare o disabilitare i componenti aggiuntivi.

Nota: per ulteriori informazioni sulla gestione dei componenti aggiuntivi di Internet Explorer in Windows XP SP2, vedere l'articolo della Microsoft Knowledge Base 883256 "Gestione dei componenti aggiuntivi di Internet Explorer in Windows XP Service Pack 2" all'indirizzo http://support.microsoft.com/kb/883256/it.

I possibili valori dell'impostazione Non consentire agli utenti di abilitare o disabilitare i componenti aggiuntivi sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti scelgono spesso di installare componenti aggiuntivi che non sono consentiti dai criteri di protezione di un'organizzazione. Tali componenti possono rappresentare un rischio significativo per la protezione e la privacy della rete.

Contromisura

Configurare il valore dell'impostazione Non consentire agli utenti di abilitare o disabilitare i componenti aggiuntivi su Attivato.

Impatto potenziale

Quando l'impostazione Non consentire agli utenti di abilitare o disabilitare i componenti aggiuntivi è abilitata, gli utenti non saranno in grado di attivare o disattivare i componenti aggiuntivi di Internet Explorer. Se l'organizzazione utilizza componenti aggiuntivi, questa configurazione può influenzare la capacità operativa.

Internet Explorer\Pannello di controllo Internet\Protezione

È possibile configurare le impostazioni dei Criteri di gruppo di protezione di Internet Explorer all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Internet Explorer\Pannello di controllo Internet\Protezione

Le singole impostazioni di criterio della scheda Protezione sono documentate in modo esauriente nei sistemi Windows XP e Windows Server 2003 Help e sul sito Web di Microsoft. Quindi, tali informazioni saranno ripetute nella presente guida. È necessario tenere presente le seguenti linee guida generali.

Vulnerabilità

Se agli utenti viene data la possibilità di configurare le loro impostazioni di protezione in Internet Explorer, potrebbero aumentare la vulnerabilità dei loro computer a software pericolosi (malware). Inoltre, gli utenti potranno evitare qualsiasi criterio di protezione standard dell'organizzazione già presente.

Contromisura

Utilizzare le impostazioni nel nodo Internet Explorer\Pannello di controllo Internet\Protezione dei Criteri di gruppo per configurare i valori appropriati per le aree di protezione e il funzionamento relativo all'area di protezione.

Impatto potenziale

Windows XP SP2 e Windows Server 2003 SP1 hanno introdotto nuove impostazioni di criterio che consentono di proteggere la configurazione delle aree di Internet Explorer nell'ambiente. I valori predefiniti per queste impostazioni forniscono una protezione migliore rispetto alle versioni precedenti di Windows. Può tuttavia essere necessario personalizzare queste impostazioni di criterio in base all'ambiente locale. Ad esempio, è possibile aggiungere i propri partner commerciali o fornitori all'area Siti attendibili e non consentire che gli utenti apportino modifiche agli elenchi dell'area.

Internet Explorer\Pannello di controllo Internet\Avanzate

Le impostazioni in questa sezione dei Modelli amministrativi sono equivalenti alle impostazioni disponibili sulla scheda Avanzate della finestra di dialogo Opzioni Internet di Internet Explorer.

Le due impostazioni di protezione riportate di seguito sono presenti in Windows Server 2003 con SP1 e in Windows XP con SP2.

Consenti l'esecuzione o l'installazione del software anche se la firma è non è valida.

Questa impostazione di criterio consente di stabilire se gli utenti possono installare o utilizzare il software scaricato anche se la firma non è valida. Una firma non valida potrebbe indicare che qualcuno ha manomesso il file. Se si attiva questa impostazione del criterio, sarà richiesta l'autorizzazione per installare o eseguire file con firma non valida. Se si disattiva questa impostazione del criterio, gli utenti non potranno eseguire o installare file con una firma non valida.

I possibili valori dell'impostazione Consenti l'esecuzione o l'installazione del software anche se la firma è non è valida sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Ai controlli e ai download di file di Microsoft ActiveX sono spesso allegate firme digitali che garantiscono l'integrità del file e l'identità dell'autore della firma (il creatore) del software. Le firme consentono di verificare di aver scaricato software non modificato e di identificare l'autore della firma per determinare se ci si fida abbastanza per eseguire il software. Non è possibile stabilire la validità del codice privo di firma.

Contromisura

Configurare l'impostazione Consenti l'esecuzione o l'installazione del software anche se la firma è non è valida su Disattivato in modo che gli utenti non possano eseguire componenti ActiveX privi di firma.

Impatto potenziale

Alcuni software e controlli legittimi possono avere una firma non valida. Verificare con cura e in sede separata tali software prima di consentirne l'utilizzo sulla rete dell'organizzazione.

Accetta i contenuti attivi dai CD che vengono eseguiti sui computer degli utenti

Questa impostazione di criterio consente di determinare se eseguire i contenuti attivi presenti sui CD nei computer degli utenti. Nelle organizzazioni in cui la protezione è un aspetto prioritario è possibile impedire l'esecuzione di controlli ActiveX o di altri contenuti attivi distribuiti su un CD.

I possibili valori dell'impostazione Accetta i contenuti attivi dai CD che vengono eseguiti sui computer degli utenti sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Se gli utenti eseguono i contenuti distribuiti su un CD e non quelli in rete, possono aggirare accidentalmente un criterio di protezione dell'organizzazione.

Contromisura

È possibile configurare l'impostazione Accetta i contenuti attivi dai CD che vengono eseguiti sui computer degli utenti su Disattivato. Questa configurazione eviterà l'esecuzione dei contenuti attivi memorizzati nel CD.

Impatto potenziale

Quando questa impostazione di criterio è abilitata, le applicazioni progettate per essere installate da CD non potranno funzionare correttamente senza l'intervento dell'utente.

Accetta le estensioni di browser di terze parti

(Questa impostazione del criterio è disponibile solo in Windows Server 2003).

Gli utenti potrebbero installare estensioni di browser di terze parti, note come BHO (browser helper objects). L'impostazione Accetta le estensioni di browser di terze parti verifica se i BHO installati verranno caricati all'avvio di Internet Explorer.

I possibili valori dell'impostazione Accetta le estensioni di browser di terze parti sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Le estensioni di browser di terze parti possono essere pericolose, perché potrebbero contenere vulnerabilità o addirittura codice dannoso. Inoltre la loro installazione potrebbe violare i criteri di protezione dell'organizzazione.

Contromisura

Configurare l'impostazione Accetta le estensioni di browser di terze parti su Disattivato.

Impatto potenziale

Quando l'impostazione Accetta le estensioni di browser di terze parti viene configurata su Disattivato, gli utenti saranno in grado di installare le estensioni di browser di terze parti, ma queste non saranno caricate all'avvio di Internet Explorer. Questa configurazione può compromettere il flusso di lavoro dell'utente o generare le chiamate all'help desk.

Ricerca la revoca dei certificati server

(Questa impostazione del criterio è disponibile solo in Windows Server 2003).

Quando una connessione SSL (Secure Sockets Layer) è stabilita tra il browser e un server remoto, il server presenta un certificato al computer client che sarà utilizzato nella negoziazione di protezione iniziale. Quando l'impostazione Ricerca la revoca dei certificati server è attivata, Internet Explorer determinerà se il certificato presentato è sull'elenco di revoca certificati dell'autorità emittente.

I possibili valori dell'impostazione Ricerca la revoca dei certificati server sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti potrebbero comunicare in modo accidentale con un server il cui certificato è scaduto o è stato revocato dall'autorità emittente. Se il server remoto è stato compromesso, tale evento potrebbe causare la divulgazione di informazioni o anche attacchi attivi.

Contromisura

Configurare l'impostazione Ricerca la revoca dei certificati server su Attivato.

Impatto potenziale

Quando l'impostazione Ricerca la revoca dei certificati server è attivata, gli utenti potrebbero ricevere avvisi riguardo a siti che prima credevano affidabili; è necessario informarli per aiutarli a prendere decisioni responsabili durante la navigazione in Internet.

Ricerca le firme digitali sui programmi scaricati

(Questa impostazione del criterio è disponibile solo in Windows Server 2003).

I programmi scaricati potrebbero essere firmati con la tecnologia Microsoft Authenticode, che collega una firma digitale agli oggetti eseguibili, quali ad esempio programmi e i controlli ActiveX. Quando l'impostazione Ricerca le firme digitali sui programmi scaricati è attivata, Internet Explorer effettuerà la ricerca della firma digitale di programmi eseguibili e visualizzerà le loro identità prima di eseguire il download.

I possibili valori dell'impostazione Ricerca le firme digitali sui programmi scaricati sono:

Attivato
Disattiva
Non configurato

Vulnerabilità

Gli utenti potrebbero scaricare inavvertitamente contenuti non appropriati o dannosi.

Contromisura

Configurare l'impostazione Ricerca le firme digitali sui programmi scaricati su Attivato.

Impatto potenziale

Quando l'impostazione Ricerca le firme digitali sui programmi scaricati è attivata, gli utenti visualizzeranno le informazioni sulle identità dei programmi eseguibili che sono stati firmati.

Non salvare su disco le pagine crittografate

(Questa impostazione del criterio è disponibile solo in Windows Server 2003).

Quando Internet Explorer recupera pagine da un server remoto, memorizza le pagine all'interno della cache dei file temporanei. Questa funzionalità migliora la prestazione e offre la possibilità di navigare avanti e indietro nell'elenco della cronologia di navigazione senza connettersi nuovamente all'host.

I possibili valori dell'impostazione Non salvare su disco le pagine crittografate sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Le pagine memorizzate nella cache dalle connessioni protette SSL possono contenere informazioni riservate, come ad esempio password o numeri delle carte di credito.

Contromisura

Configurare l'impostazione Non salvare su disco le pagine crittografate su Attivato.

Impatto potenziale

Le pagine recuperate sulle connessioni SSL non saranno memorizzate nella cache. Questa configurazione potrebbe aumentare l'utilizzo della larghezza di banda della rete come le pagine dei browser scaricate nuovamente dagli utenti che, se questa impostazione di criterio non fosse stata attivata, sarebbero state memorizzate nella cache.

Svuota la cartella Temporary Internet Files quando il browser è chiuso

(Questa impostazione del criterio è disponibile solo in Windows Server 2003).

Le pagine recuperate da Internet Explorer sono memorizzate nella cache dei file temporanei. Internet Explorer gestisce la cache secondo le impostazioni nella finestra di dialogo Impostazioni Temporary Internet Files. Dopo aver scaricato un file o un oggetto, questo rimane nella cache fino a quando non viene rimosso da Internet Explorer.

I possibili valori dell'impostazione Svuota la cartella Temporary Internet Files quando il browser è chiuso sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Le informazioni riservate potrebbero rimanere nella cartella \Temporary Internet Files anche dopo l'uscita dell'utente da Internet Explorer e dopo la sua disconnessione. Un altro utente sullo stesso computer potrebbe accedere a tali file.

Contromisura

Configurare l'impostazione Svuota la cartella Temporary Internet Files quando il browser è chiuso su Attivato.

Impatto potenziale

Internet Explorer utilizza la cartella \Temporary Internet Files come cache per migliorare le prestazioni del browser. Se questa funzionalità viene disattivata, la quantità di tempo e la larghezza di banda necessarie agli utenti per navigare nel Web potrebbero aumentare.

Internet Explorer\Funzioni di protezione

La sezione Configurazione computer\Modelli amministrativi\Componenti di Windows\Internet Explorer\Funzioni di protezione dei Modelli amministrativi di Windows comprende diverse impostazioni di criterio che controllano varie funzioni di protezione aggiunte a Internet Explorer 6.0 in Windows Server 2003 SP1 e Windows XP SP2. Ciascuna di queste impostazioni di criterio contiene tre impostazioni subordinate:

Processi di Internet Explorer. L'impostazione può assumere tre valori diversi: Attivato, Disattivato e Non configurato. Se si seleziona Attivato, il comportamento specificato viene disattivato per i processi di Internet Explorer ed Esplora risorse. Se invece si seleziona Disattivato o Non configurato, il comportamento predefinito - descritto altrove per ciascuna impostazione - resta attivo.
Elenco dei processi. Questa impostazione consente di specificare i singoli processi per i quali attivare o disattivare la funzione di protezione. L'elenco dei processi stabilisce i processi a cui viene applicato il controllo della funzionalità; un valore di impostazione 1 disattiva la funzionalità per quei processi, mentre un valore di impostazione 0 attiva la funzionalità.
Tutti i processi. L'impostazione può assumere tre valori diversi: Attivato, Disattivato e Non configurato. Se si seleziona Attivato, il comportamento specificato viene disattivato per i processi di Internet Explorer ed Esplora risorse. Se invece si seleziona Disattivato o Non configurato, il comportamento predefinito - descritto altrove per ciascuna impostazione - resta attivo.

Limitazione di protezione del comportamento binario

Internet Explorer contiene comportamenti binari dinamici, che corrispondono a componenti che incapsulano funzionalità specifiche di elementi HTML a cui erano connessi. Questi comportamenti binari non sono controllati da impostazioni di protezione di Internet Explorer e quindi vengono eseguiti sulle pagine Web presenti nell'area Siti con restrizioni.

In Windows XP SP2 e Windows Server 2003 SP1, è presente una nuova impostazione di protezione Internet Explorer per i comportamenti binari. Per impostazione predefinita, questa impostazione di protezione disattiva i comportamenti binari nell'area Siti con restrizioni e consente una riduzione generale delle vulnerabilità nei comportamenti binari Internet Explorer.

Oltre alle impostazioni Processi di Internet Explorer, Elenco dei processi e Tutti i processi, descritte in precedenza, l'impostazione Limitazione di protezione del comportamento binario consente di accettare i singoli comportamenti con l'impostazione Ammin-comportamenti approvati. Per controllare questi comportamenti binari e script, è ora possibile impostare l'area appropriata su Ammin-approvato e utilizzare questa impostazione per specificare i singoli comportamenti che possono essere eseguiti in ciascuna area.

Vulnerabilità

I comportamenti scritti in modo non corretto o dannosi possono essere richiamati da pagine Web e causare instabilità o danneggiamenti.

Contromisura

Disattiva completamente l'uso di comportamenti binari. In alternativa, è possibile specificare una serie di comportamenti consentiti mediante l'impostazione Ammin-comportamenti approvati.

Impatto potenziale

Le applicazioni che si basano su comportamenti binari potrebbero non funzionare correttamente se i comportamenti dai quali dipendono vengono disattivati.

Limitazione protocollo di protezione MK

Questa impostazione di criterio blocca il protocollo MK utilizzato raramente per ridurre l'area esposta ad attacchi di un computer. Alcune applicazioni Web meno aggiornate utilizzano il protocollo MK per recuperare le informazioni dai file compressi.

Vulnerabilità

È possibile che si presentino vulnerabilità nell'handler del protocollo MK, o nelle applicazioni che lo richiamano.

Contromisura

Poiché il protocollo MK non è diffuso, dovrebbe essere bloccato quando non necessario. Disattivare l'accesso di tutti i processi al protocollo MK.

Impatto potenziale

Poiché le risorse che utilizzano il protocollo MK verranno interdette quando si distribuisce questa impostazione, assicurarsi che nessuna delle applicazioni utilizzi tale protocollo.

Protezione di blocco dell'area computer locale

Quando Internet Explorer apre una pagina Web, applica restrizioni a ciò che la pagina può fare. Tali restrizioni sono basate sulla zona di protezione a cui appartiene la pagina. Esistono diverse possibili aree di protezione e ciascuna ha serie di limitazioni differenti. L'area di protezione di una pagina è determinata dalla sua posizione. Ad esempio, le pagine che si trovano su Internet saranno normalmente inserite in un'area di protezione Internet più limitata. Alcune operazioni, come l'accesso al disco rigido locale, potrebbero non essere consentite. Le pagine situate nella rete dell'organizzazione si troverebbero in genere nell'area di protezione Intranet e avrebbero meno restrizioni. Le restrizioni precise, associate alla maggior parte di queste aree, possono essere configurate dall'utente mediante Opzioni Internet sul menu Strumenti di Internet Explorer.

Le applicazioni scritte correttamente non devono fare affidamento sull'accesso oggetti tra domini. Le applicazioni che non funzionano quando questo criterio è attivato.

Limitazioni protezione Windows tramite script

Internet Explorer consente agli script di aprire, ridimensionare e riposizionare in modo programmato vari tipi di finestre. L'impostazione Limitazioni protezione Windows tramite script limita le finestre pop-up e impedisce la visualizzazione di finestre nelle quali le barre di titolo e di stato non sono visibili all'utente o nascondono altre barre di titolo e di stato della finestra.. Se si attiva questa impostazione di criterio, Windows applicherà queste restrizioni a Esplora risorse e ai processi di Internet Explorer. Se si disattiva o non si configura questa impostazione di criterio, gli script continuano a creare finestre pop-up e finestre che ne nascondono altre.

Molti strumenti di terze parti tentano di controllare le finestre pop-up di Internet Explorer. Gran parte di tali strumenti limita le finestre pop-up in modo simile a questa impostazione. I sistemi di blocco pop-up di terze parti normalmente non interferiscono con questa impostazione, che non dovrebbe avere alcun effetto su tali sistemi.

Vulnerabilità

I siti Web malintenzionati ridimensioneranno finestre per nascondere altre finestre o costringere l'utente a interagire con una finestra che contiene codice dannoso.

Contromisura

Configurare l'impostazione Limitazioni protezione Windows tramite script per Processi di Internet Explorer su Attivato.

Impatto potenziale

Le applicazioni Web in cui è necessario ridimensionare o posizionare le finestre potrebbero non funzionare correttamente quando l'impostazione attivata.

Protezione da promozione di area

Internet Explorer pone delle restrizioni a ogni pagina Web aperta che dipendono dalla posizione della pagina stessa (come l'area Internet, l'area Intranet o l'area Computer locale). Le pagine Web su un computer locale hanno le restrizioni di protezione più basse e risiedono nell'area Computer locale, il che rende l'area di protezione del computer locale uno dei bersagli principali per gli attacchi informatici.

Gli utenti potrebbero non essere in grado di eseguire applicazioni o di utilizzare pagine che comprendono contenuti attivi, se sono impostati i controlli relativi all'area. È necessario verificare completamente le applicazioni in ciascuna area per assicurare che funzionino correttamente quando viene utilizzato il blocco del protocollo.

Internet Information Services (IIS)

Microsoft Internet Information Services (IIS) 6.0, il server Web incorporato in Windows Server 2003, consente di semplificare la condivisione di informazioni e documenti su Internet e sulle reti Intranet aziendali. È possibile configurare le impostazioni di IIS all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Internet Information Services

Impedisci l'installazione di IIS

Per impostazione predefinita, IIS 6.0 non è installato in Windows Server 2003. È possibile abilitare l'impostazione Impedisci l'installazione di IIS per impedire che l'installazione di IIS venga eseguita sui computer nell'ambiente.

I possibili valori dell'impostazione Impedisci l'installazione di IIS sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Le precedenti versioni di IIS e le applicazioni IIS per l'accesso alla rete presentavano problemi a livello di protezione tali da renderle estremamente vulnerabili in remoto. Benché IIS 6.0 sia molto più sicuro rispetto alle versioni precedenti, è possibile che contenga nuove vulnerabilità che non sono state ancora scoperte e divulgate. Pertanto, è consigliabile che nelle organizzazioni non venga installato IIS su computer diversi dai server Web stabiliti.

Contromisura

Configurare l'impostazione Impedisci l'installazione di IIS su Attivato.

Impatto potenziale

Non sarà possibile installare applicazioni o componenti di Windows che richiedono IIS. In base a questa impostazione dei Criteri di gruppo, gli utenti che installano applicazioni o componenti di Windows che richiedono IIS non riceveranno alcun avviso o messaggio di errore relativo all'impossibilità di installare IIS. Questa impostazione di criterio non avrà alcun effetto se abilitata su un computer in cui IIS è già installato.

Servizi terminal

Il componente Servizi terminal di Windows Server 2003 è basato sulla modalità del server applicazioni dei Servizi terminal di Windows 2000 e ora include nuove funzionalità client e di protocollo in Windows XP. I Servizi terminal consentono la distribuzione delle applicazioni basate su Windows o dei desktop Windows in quasi tutti i computer, inclusi quelli che non possono eseguire programmi Windows.

I Servizi terminal di Windows Server 2003 sono in grado di potenziare le funzionalità di distribuzione del software per diversi scenari aziendali, consentendo una notevole flessibilità per le applicazioni e l'infrastruttura di gestione. Quando si esegue un'applicazione di Terminal Server, l'applicazione viene eseguita sul server e vengono trasmesse sulla rete solo le informazioni relative alla tastiera, al mouse e alla visualizzazione. Per ogni utente viene visualizzata una singola sessione, che viene gestita in modo trasparente dal sistema operativo del server ed è indipendente da altre sessioni client.

È possibile configurare le impostazioni dei Criteri di gruppo di Terminal Server all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Servizi terminal

Nega la disconnessione di un amministratore connesso alla sessione della console

Questa impostazione del criterio consente di specificare se un amministratore che si connette alla console di un server può disconnettere un amministratore connesso alla console. La sessione della console è anche nota come Sessione 0. È possibile accedere alla console utilizzando l'opzione /console da Connessione desktop remoto nel campo nome computer o dalla riga di comando.

I possibili valori dell'impostazione Nega la disconnessione di un amministratore connesso alla sessione della console sono:

Attivato
Disattivato
Non configurato

Se l'impostazione Nega la disconnessione di un amministratore connesso alla sessione della console è abilitata, non sarà possibile disconnettere un amministratore connesso al computer. Se si disabilita questa impostazione di criterio, un amministratore potrà disconnettere un altro amministratore. Se questa impostazione di criterio non viene configurata, un amministratore potrà essere disconnesso da un altro amministratore, ma tale autorizzazione può essere revocata a livello dei criteri del computer locale.

Questo criterio è utile quando l'amministratore connesso non intende essere disconnesso da un altro amministratore. Se un amministratore connesso viene disconnesso, tutti i dati non salvati andranno persi.

Vulnerabilità

Se un utente malintenzionato decide di stabilire una sessione di Terminal Server e acquisisce privilegi amministrativi, potrà rendere più difficile riprendere il controllo del computer disconnettendo in modo forzato l'amministratore che tenta di connettersi al server tramite la console Sessione 0. L’efficacia della contromisura è limitata, in quanto un utente malintenzionato che acquisisce privilegi sufficienti a disconnettere altri utenti, in realtà ha già assunto il controllo completo del computer.

Contromisura

Configurare l'impostazione Nega la disconnessione di un amministratore connesso alla sessione della console su Attivato.

Impatto potenziale

Gli amministratori non potranno disconnettere altri amministratori dalla console Sessione 0 in modo forzato.

Non consentire agli amministratori locali di personalizzare le autorizzazioni

Questa impostazione di criterio consente di controllare i privilegi di amministratore per la personalizzazione delle autorizzazioni di protezione nello strumento Configurazione Servizi terminal (tscc.msc). Se si attiva questa impostazione di criterio, gli amministratori non saranno in grado modificare i descrittori di protezione per i gruppi utenti nella scheda Autorizzazioni di TSCC. Nella configurazione predefinita, gli amministratori possono apporre tali modifiche.

Se l'impostazione Non consentire agli amministratori locali di personalizzare le autorizzazioni viene abilitata, la scheda Autorizzazioni di TSCC non potrà essere utilizzata per personalizzare i descrittori di protezione della connessione o per modificare i descrittori di protezione predefiniti di un gruppo esistente. Tutti i descrittori di protezione sono di sola lettura. Disabilitando o non configurando l'impostazione, gli amministratori del server avranno pieni privilegi di lettura/scrittura sui descrittori di protezione degli utenti nella scheda Autorizzazioni di TSCC.

I possibili valori dell'impostazione Non consentire agli amministratori locali di personalizzare le autorizzazioni sono:

Attivato
Disattivato
Non configurato

Nota: il metodo preferito per la gestione dell'accesso utente è rappresentato dall'aggiunta di un utente al gruppo Utenti desktop remoto.

Vulnerabilità

Se un utente malintenzionato acquisisce privilegi amministrativi per un server che esegue i Servizi terminal, potrà creare una condizione DoS modificando le autorizzazioni mediante l'utilizzo dello strumento Configurazione Servizi terminal e impedendo ad altri utenti la connessione al server.

L’efficacia della contromisura è limitata, in quanto un utente malintenzionato che acquisisce privilegi di amministrazione sufficienti in realtà ha già assunto il controllo completo del computer.

Contromisura

Configurare l'impostazione Non consentire agli amministratori locali di personalizzare le autorizzazioni su Attivato.

Impatto potenziale

La scheda Autorizzazioni di TSCC non potrà essere utilizzata per personalizzare i descrittori di protezione della connessione o per modificare i descrittori di protezione predefiniti di un gruppo esistente.

Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal

Questa impostazione di criterio consente di specificare il livello di controllo remoto ammesso nelle sessioni di Terminal Server. Il controllo remoto può essere stabilito con o senza l'autorizzazione di un utente. Questa impostazione di criterio può essere utilizzata per selezionare uno o due livelli di controllo remoto: Visualizza sessione consente di visualizzare la sessione dell'utente, mentre Controllo completo consente anche di interagire con la sessione.

Se l'impostazione Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal viene abilitata, gli amministratori potranno interagire in remoto con la sessione di Terminal Server di un utente in base alle regole specificate. Per impostare le regole, selezionare il livello di controllo e le autorizzazioni nell'elenco Opzioni. Per disabilitare il controllo remoto, selezionare Nessun controllo remoto consentito. Disabilitando o non configurando l'impostazione, le regole di controllo remoto potranno essere determinate dall'amministratore del server mediante l'utilizzo dello strumento Configurazione Servizi terminal. Per impostazione predefinita, gli utenti di controllo remoto possono avere il controllo completo solo con l'autorizzazione dell'utente che ha aperto la sessione.

I possibili valori dell'impostazione Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal sono:

Abilitato con le seguenti opzioni:
- Nessun controllo remoto consentito
- Controllo completo con autorizzazione dell'utente
- Controllo completo senza autorizzazione dell'utente
- Visualizza sessione con autorizzazione dell'utente
- Visualizza sessione senza autorizzazione dell'utente
Disattivato
Non configurato

Nota: questa impostazione è disponibile in entrambi i nodi Configurazione computer e Configurazione utente. Se l'impostazione è configurata sia in Configurazione computer sia nel nodo di Configurazione utente, la prima assume la precedenza sulla seconda.

Vulnerabilità

Se un utente malintenzionato acquisisce privilegi amministrativi per il server, potrà utilizzare la funzione di controllo remoto dei Servizi terminal per esaminare le azioni di altri utenti. Tale situazione potrebbe portare alla divulgazione di informazioni confidenziali. L’efficacia della contromisura è limitata, in quanto un utente malintenzionato che acquisisce privilegi di amministrazione sufficienti in realtà ha già assunto il controllo completo del computer.

Contromisura

Configurare l'impostazione Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal su Attivato e selezionare l'opzione Nessun controllo remoto consentito.

Impatto potenziale

Gli amministratori non potranno utilizzare la funzionalità di controllo remoto per assistere altri utenti dei Servizi terminal.

Reindirizzamento dati client/server

Servizi terminal consente il reindirizzamento dei dati e delle risorse da client e server. Ad esempio, i dati stampati da un'applicazione server possono essere reindirizzati al client, oppure gli Appunti locali del client possono essere utilizzati nelle applicazioni server. Le impostazioni nella sezione "Reindirizzamento dati client/server" dei Criteri di gruppo permettono di personalizzare i tipi di reindirizzamento consentiti.

Le impostazioni di Reindirizzamento dati di Terminal Server possono essere configurate all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Servizi terminal\Client\Reindirizzamento dati server

Consenti reindirizzamento fuso orario

Questa impostazione di criterio consente di specificare se il computer client potrà reindirizzare o meno le impostazioni di fuso orario alla sessione di Terminal Server. Per impostazione predefinita, il fuso orario della sessione corrisponde al fuso orario del server e al computer client non è consentito il reindirizzamento delle informazioni sul fuso orario.

Se l'impostazione Consenti reindirizzamento fuso orario viene abilitata, i client a cui è consentito reindirizzare il fuso orario invieranno le informazioni sul fuso orario al server. L'ora di base del server verrà quindi utilizzata per calcolare l'ora della sessione corrente. L'ora della sessione corrente corrisponde all'ora di base del server più il fuso orario del client. Attualmente, Connessione desktop remoto e Windows CE 5.1 sono i soli client a cui è consentito il reindirizzamento del fuso orario. La Sessione 0, ovvero la sessione della console, utilizza sempre il fuso orario e le impostazioni del server. Per modificare l'ora e il fuso orario del sistema, è necessario connettersi alla Sessione 0.

Se l'impostazione Consenti reindirizzamento fuso orario, il reindirizzamento del fuso orario non verrà eseguito. Non configurando l'impostazione, il reindirizzamento del fuso orario non verrà specificato a livello dei Criteri di gruppo e per impostazione predefinita verrà disattivato. Quando l'impostazione viene modificata da un amministratore, diventerà effettiva soltanto con le nuove connessioni. Per rendere effettiva la nuova impostazione, le sessioni iniziate prima della modifica dovranno essere interrotte e ristabilite. Dopo aver modificato l'impostazione, è consigliabile che tutti gli utenti si disconnettano dal server.

I possibili valori dell'impostazione Consenti reindirizzamento fuso orario sono:

Attivato
Disattivato
Non configurato

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati dalla sessione di Terminal Server al computer locale senza alcuna interazione diretta da parte dell’utente.

Contromisura

Configurare questa importazione** **di criterio su Attivato.

Impatto potenziale

La stampante predefinita del client non verrà utilizzata come stampante predefinita durante le sessioni di Terminal Server.

Crittografia e protezione

È possibile configurare le impostazioni di Crittografia e protezione di Terminal Server all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Servizi terminal \Crittografia e protezione

Imposta livello di crittografia connessione client

Questa impostazione di criterio consente di applicare un livello di crittografia a tutti i dati trasferiti dal client al computer remoto e viceversa durante una sessione di Terminal Server.

Se si attiva l'impostazione Imposta livello di crittografia connessione client, sarà possibile specificare il livello di crittografia per tutte le connessioni al server. Per impostazione predefinita, il livello di crittografia è impostato su Livello principale. Disabilitando o non configurando l'impostazione, tramite i Criteri di gruppo non verrà applicato alcun livello di crittografia. Tuttavia, gli amministratori possono impostare il livello di crittografia sul server mediante l'utilizzo dello strumento Configurazione Servizi terminal.

I possibili valori dell'impostazione Imposta livello di crittografia connessione client sono:

Attivato con le seguenti opzioni di crittografia:
- Compatibile con client: Questo valore codifica i dati inviati fra client e server basandosi sulla forza massima della chiave supportata dal client. Utilizzare questo livello se il computer remoto è in esecuzione in un ambiente con client misti o legacy.
- Livello principale: Questo valore consente di crittografare i dati scambiati tra il client e il server mediante l'utilizzo della crittografia avanzata a 128 bit. Utilizzare questo livello quando il computer remoto è in esecuzione in un ambiente dove si trovano solo client a 128 bit (ad esempio client di Connessione desktop remoto). I client che non supportano questo livello di crittografia non possono stabilire la connessione.
- Livello basso: Questo valore codifica i dati inviati fra client e server con crittografia a 56 bit. Quando si specifica Livello basso, i dati inviati dal server al client non vengono crittografati.
Disattivato
Non configurato

Importante: se è già stata abilitata la compatibilità FIPS dal criterio di gruppo Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma, non sarà possibile modificare il livello di crittografia tramite l'impostazione di criterio né tramite lo strumento Configurazione Servizi terminal.

Vulnerabilità

Se sono consentite connessioni client di Terminal Server che utilizzano un livello di crittografia basso, un utente malintenzionato avrà maggiori possibilità di decrittografare il traffico di rete dei Servizi terminal.

Contromisura

Configurare l'impostazione Imposta livello di crittografia connessione client su Livello principale.

Impatto potenziale

I client che non supportano la crittografia avanzata a 128 bit non potranno stabilire sessioni di Terminal Server.

Richiedi sempre password del client alla connessione

Questa impostazione di criterio consente di specificare se verrà richiesta la password del client per la connessione ai Servizi terminal. È possibile utilizzare questa impostazione per applicare la richiesta di una password agli utenti che si connettono ai Servizi terminal anche nel caso in cui sia già stata specificata la password nel client di Connessione desktop remoto. Per impostazione predefinita, Servizi terminal consente all'utente di connettersi automaticamente mediante l'immissione della password nel client di Connessione desktop remoto.

Se si attiva l'impostazione Richiedi sempre password del client alla connessione, gli utenti non potranno accedere automaticamente ai Servizi terminal, anche nel caso in cui sia già stata specificata la password nel client di Connessione desktop remoto, ma verrà richiesta una password di accesso. Disabilitando l'impostazione, sarà possibile connettersi a Servizi terminal automaticamente mediante l'immissione della password nel client di Connessione desktop remoto. Non configurando l'impostazione, l'accesso automatico non verrà specificato a livello dei Criteri di gruppo. Tuttavia, l'amministratore può applicare la richiesta di una password mediante l'utilizzo dello strumento Configurazione Servizi terminal.

I possibili valori dell'impostazione Richiedi sempre password del client alla connessione sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Quando viene creato un collegamento di Connessione desktop remoto, gli utenti hanno la possibilità di memorizzare sia il nome che la password. Se il server su cui è in esecuzione Servizi terminal consente agli utenti che hanno utilizzato questa funzionalità di accedere al server senza dover immettere la password, è possibile che un utente malintenzionato che riesca ad accedere al computer dell'utente possa connettersi a un Terminal Server mediante il collegamento di Connessione desktop remoto, benché non ne conosca la password.

Contromisura

Configurare l'impostazione Richiedi sempre password del client alla connessione su Attivato.

Impatto potenziale

Gli utenti dovranno immettere la password ogniqualvolta stabiliscono una nuova sessione di Terminal Server.

Criteri di Protezione RPC

È possibile configurare l'impostazione Protezione RPC di Terminal Server all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizi terminal\Crittografia e protezione\Criteri di protezione RPC

Server protetto (Richiedi protezione)

Questa impostazione di criterio consente di specificare se un Terminal Server richiede comunicazioni RPC (Remote Procedure Call, chiamata a procedura remota) protette con tutti i client o accetta comunicazioni non protette. È possibile utilizzare questa impostazione per implementare la protezione delle comunicazioni RPC con i client accettando solo richieste autenticate e crittografate.

Se si attiva l'impostazione Server protetto (Richiedi protezione), accetterà solo le richieste provenienti da client RPC che supportano richieste protette. Non consentirà le comunicazioni non protette con client non attendibili. Disabilitando l'impostazione, il Terminal Server accetterà le richieste indipendentemente dal livello di protezione per tutto il traffico RPC. Le comunicazioni non protette sono tuttavia consentite per i client RPC che non rispondono alla richiesta. Non configurando questa impostazione di criterio, sarà consentita la comunicazione non protetta.

I possibili valori dell'impostazione Server protetto (Richiedi protezione) sono:

Attivato
Disattivato
Non configurato

Nota: per l'amministrazione e la configurazione dei Servizi terminal, è consigliabile utilizzare l'interfaccia RPC.

Vulnerabilità

Consentendo le comunicazioni RPC non protette, si espone il server ad attacchi man-in-the-middle e di divulgazione dati. Un attacco man-in-the-middle si verifica quando un intruso acquisisce pacchetti di informazioni scambiati tra client e server e li modifica prima del trasferimento. L'intruso, in genere, modifica le informazioni nei pacchetti nel tentativo di decodificare informazioni riservate presenti sul client o sul server.

Contromisura

Configurare l'impostazione Server protetto (Richiedi protezione) su Attivato.

Impatto potenziale

I client che non supportano le comunicazioni RPC protette, non saranno in grado di gestire il server in remoto.

Sessioni

È possibile configurare altre impostazioni di Protezione RPC di Terminal Server all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizi terminal Crittografia e protezione\Sessioni

Imposta limite di tempo per le sessioni disconnesse

Questa impostazione di criterio consente di specificare un limite di tempo per le sessioni di Servizi terminal disconnesse. È possibile utilizzare questa impostazione per specificare il periodo di tempo massimo in base al quale una sessione disconnessa resta attiva sul server. Per impostazione predefinita, in Servizi terminal gli utenti possono disconnettersi da una sessione remota senza dover disconnettersi e chiudere la sessione. Quando lo stato di una sessione è disconnesso, l'esecuzione dei programmi continua anche se l'utente non è più connesso attivamente. Per impostazione predefinita, le sessioni disconnesse vengono mantenute sul server per un periodo di tempo illimitato.

È possibile abilitare l'impostazione Imposta limite di tempo per le sessioni disconnesse per eliminare dal server le sessioni disconnesse dopo il periodo di tempo specificato. Per applicare il comportamento predefinito in base al quale le sessioni disconnesse vengono mantenute per un periodo di tempo illimitato, selezionare Mai. Disabilitando o non configurando l'impostazione, non vengono specificati limiti di tempo per le sessioni disconnesse a livello dei Criteri di gruppo.

I possibili valori dell'impostazione Imposta limite di tempo per le sessioni disconnesse sono:

Abilitato con i seguenti intervalli di tempo:
- Mai
- 1 minuto
- 5 minuti
- 10 minuti
- 15 minuti
- 30 minuti
- 1 ora
- 2 ore
- 3 ore
- 1 giorno
- 2 giorni
Disattivato
Non configurato

Nota: questa impostazione non è valida per le sessioni della console, ad esempio le sessioni di desktop remoti con computer su cui è in esecuzione Windows XP Professional. Questa impostazione è disponibile in entrambi i nodi Configurazione computer e Configurazione utente. Se l'impostazione è configurata sia in Configurazione computer che nel nodo di Configurazione utente, la prima assume la precedenza sulla seconda.

Vulnerabilità

Per le sessioni di Terminal Server vengono utilizzate le risorse del sistema. A meno che le sessioni disconnesse per un periodo di tempo prolungato non vengano terminate in modo forzato, è possibile che le risorse dei server non consentano di mantenere numerose sessioni disconnesse.

Contromisura

Configurare l'impostazione Imposta limite di tempo per le sessioni disconnesse su Attivato e selezionare l'opzione 1 giorno dalla casella di riepilogo Termina sessione disconnessa.

Impatto potenziale

Le sessioni di Terminal Server che non vengono disconnesse dopo 24 ore di inattività, verranno terminate in modo forzato.

Consenti la riconnessione solo dal client originale

Questa impostazione di criterio consente di impedire agli utenti di Servizi terminal di riconnettersi a una sessione disconnessa da computer diversi dal computer client dal quale era stata originariamente creata la sessione. Per impostazione predefinita, Servizi terminal consente agli utenti di riconnettersi alle sessioni disconnesse da qualsiasi computer client.

Se si attiva l'impostazione Consenti la riconnessione solo dal client originale, gli utenti potranno riconnettersi alle sessioni disconnesse solo dal computer client originale. Se un utente tenta di stabilire la connessione a una sessione disconnessa da un altro computer, verrà creata una nuova sessione. Disabilitando l'impostazione, gli utenti potranno riconnettersi alla sessione disconnessa da qualsiasi computer. Non configurando l'impostazione, nessuna regola di riconnessione della sessione verrà specificata a livello dei Criteri di gruppo.

I possibili valori dell'impostazione Consenti la riconnessione solo dal client originale sono:

Attivato
Disattivato
Non configurato

Importante: questa impostazione è supportata solo per i client Citrix ICA per i quali viene specificato un numero di serie alla connessione, mentre viene ignorata se viene stabilita la connessione da client Windows. Questa impostazione è disponibile in entrambi i nodi Configurazione computer e Configurazione utente. Se l'impostazione è configurata sia in Configurazione computer che nel nodo di Configurazione utente, la prima assume la precedenza sulla seconda.

Vulnerabilità

Per impostazione predefinita, gli utenti possono ristabilire sessioni di Terminal Server disconnesse da qualsiasi computer. L'abilitazione dell'impostazione consente agli utenti di riconnettersi solo dal computer originale utilizzato per stabilire la connessione. L'efficacia della contromisura è limitata, in quanto viene applicata solo dagli utenti che stabiliscono la connessione con client Citrix ICA.

Contromisura

Configurare l'impostazione Consenti la riconnessione solo dal client originale su Attivato.

Impatto potenziale

Gli utenti che stabiliscono la connessione tramite client Citrix ICA saranno in grado di ristabilire solo le sessioni disconnesse sul computer utilizzato per stabilire la sessione.

Esplora risorse.

È possibile configurare le seguenti impostazioni di Windows Explorer previste nella seguente posizione utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Internet Explorer

Disattiva la modalità protetta del protocollo Shell

Questa impostazione di criterio consente di configurare la serie di funzionalità per il protocollo Shell. La piena funzionalità di questo protocollo consente alle applicazioni di aprire le cartelle e di lanciare i file. La modalità protetta riduce la funzionalità e consente alle applicazioni di aprire solamente una serie limitata di cartelle. Le applicazioni non sono in grado di aprire i file quando questo protocollo è in modalità protetta.

Microsoft consiglia di lasciare questo protocollo nella modalità protetta al fine di aumentare la protezione di Windows. Se si attiva l'impostazione Disattiva la modalità protetta del protocollo Shell, il protocollo consente a qualsiasi applicazione di aprire qualunque cartella o file. Disattivando o non configurando questa impostazione di criterio, il protocollo è in modalità protetta e le applicazioni possono aprire soltanto una serie limitata di cartelle.

I possibili valori dell'impostazione Disattiva la modalità protetta del protocollo Shell sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

La piena funzionalità del protocollo Shell consente alle applicazioni di aprire le cartelle e i file. Questa funzionalità può provocare la chiamata di software dannoso o distruttivo e la divulgazione di informazioni non autorizzate. Potrebbe anche portare alla negazione del servizio.

Contromisura

Configurare l'impostazione Disattiva la modalità protetta del protocollo Shell su Attivato.

Impatto potenziale

Abilitando l'impostazione Disattiva la modalità protetta del protocollo Shell, le pagine Web che dipendono dall'uso del protocollo Shell non funzioneranno correttamente.

Windows Messenger

Windows Messenger è utilizzato per inviare messaggi istantanei ad altri utenti su una rete di computer. I messaggi possono contenere file e altri allegati.

È possibile configurare le seguenti impostazioni di Windows Messenger previste nella seguente posizione utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Windows Messenger

Non consentire l'esecuzione di Windows Messenger

L'impostazione Non consentire l'esecuzione di Windows Messenger consente di disattivare Windows Messenger. Per impedire l'utilizzo di Windows Messenger, è possibile configurare questa impostazione su Attivato.

Nota: se si configura questa impostazione su Attivato, Assistenza Remota non potrà utilizzare Windows Messenger e agli utenti sarà impedito di servirsi di MSN Messenger.

Windows Update

Windows Update viene utilizzato per il download di elementi quali correzioni rapide per la protezione, aggiornamenti critici, file della Guida recenti, driver e prodotti Internet. È possibile configurare le impostazioni di Windows Update all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\

Configura Aggiornamenti automatici

Questa impostazione di criterio consente di specificare se i computer riceveranno aggiornamenti per la protezione e altri download importanti mediante il servizio di aggiornamento automatico di Windows.

Abilitando l'impostazione Configura Aggiornamenti automatici, Windows stabilisce se i computer sono connessi alla rete e utilizza la connessione a Internet per eseguire la ricerca degli aggiornamenti necessari sul sito Web Windows Update. Se si disattiva questa impostazione di criterio, sarà necessario scaricare e installare manualmente gli aggiornamenti disponibili dal sito Web Windows Update all'indirizzo http://windowsupdate.microsoft.com. Non configurando l'impostazione, l'utilizzo degli Aggiornamenti automatici non verrà specificato a livello dei Criteri di gruppo. Tuttavia, l'amministratore può configurare gli Aggiornamenti automatici mediante il Pannello di controllo.

I possibili valori dell'impostazione Configura Aggiornamenti automatici sono:

Attivato, con le seguenti opzioni della casella di riepilogo Configura Aggiornamenti automatici:
- Avvisa prima di scaricare gli aggiornamenti e prima di installarli nel computer in uso.
  
  Quando Windows trova aggiornamenti validi per il computer in uso, nell'area di stato viene visualizzata un'icona con un messaggio in cui viene indicato che gli aggiornamenti sono pronti per il download. Quando l'icona o il messaggio vengono selezionati, è possibile selezionare gli aggiornamenti specifici. Il download degli aggiornamenti selezionati viene eseguito in background. Al termine del download, l'icona viene visualizzata di nuovo nell'area di stato, con un messaggio in cui viene indicato che gli aggiornamenti sono pronti per l'installazione. Quando l'icona o il messaggio vengono selezionati, è possibile selezionare gli aggiornamenti da installare.
- Scarica automaticamente gli aggiornamenti e avvisa quando sono pronti per l'installazione.
  
  Si tratta della configurazione predefinita. Quando Windows trova aggiornamenti validi per il computer in uso, li scarica in background senza avvisare né interrompere l'utente. Al termine del download, nell'area di stato viene visualizzata un'icona con un messaggio in cui viene indicato che gli aggiornamenti sono pronti per l'installazione. Quando l'icona o il messaggio vengono selezionati, è possibile selezionare gli aggiornamenti da installare.
- Scarica automaticamente gli aggiornamenti ed esegui l'installazione in base alla pianificazione specificata.
  
  Specificare la pianificazione mediante le opzioni disponibili in Impostazione Criteri di gruppo. Se non viene specificata alcuna pianificazione, per impostazione predefinita la pianificazione delle installazioni verrà eseguita ogni giorno alle 3.00. Se per completare l'installazione di un aggiornamento è necessario riavviare il computer, il computer verrà riavviato automaticamente. Se al momento del riavvio un utente è connesso al computer, l'utente verrà avvisato e avrà la possibilità di posticipare il riavvio.
Disattivato
Non configurato

Per abilitare l'impostazione, scegliere Attivato, quindi selezionare una delle seguenti opzioni (2, 3 o 4). Se si seleziona 4, è possibile impostare una pianificazione ricorrente. Se non si specifica alcuna pianificazione, le installazioni verranno eseguite ogni giorno alle 3.00.

Vulnerabilità

Benché Windows Server 2003 e Windows XP siano stati sottoposti a test completi prima del rilascio, è possibile che alcuni problemi vengano individuati solo dopo la distribuzione dei prodotti. Abilitando l'impostazione Configura Aggiornamenti automatici, nei computer in uso verranno installati i service pack e gli aggiornamenti critici più recenti del sistema operativo.

Contromisura

Configurare l'impostazione Configura Aggiornamenti automatici su Attivato e selezionare 4. Scarica automaticamente gli aggiornamenti ed esegui l'installazione in base alla pianificazione specificata dalla casella di riepilogo Configura aggiornamento automatico.

Impatto potenziale

I service pack e gli aggiornamenti critici del sistema operativo verranno scaricati e installati automaticamente ogni giorno alle 3.00.

Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici

Questa impostazione di criterio consente di specificare che per il completamento di un'installazione pianificata, Aggiornamenti automatici dovrà attendere il riavvio del computer da parte di un utente che esegue l'accesso.

Se si attiva l'impostazione Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici, gli Aggiornamenti automatici potranno riavviare automaticamente i computer nel corso di un'installazione pianificata. Aggiornamenti automatici inoltrerà invece un avviso che invita gli utenti a riavviare il computer per completare l'installazione. È importante tenere presente che Aggiornamenti automatici non sarà in grado di rilevare nuovi aggiornamenti finché non vengono riavviati i computer interessati. Disabilitando o non configurando l'impostazione, Aggiornamenti automatici invierà all'utente un messaggio di notifica in cui viene indicato che il computer verrà riavviato automaticamente dopo 5 minuti per completare le installazioni.

I possibili valori dell'impostazione Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici sono:

Attivato
Disattivato
Non configurato

Nota: questa impostazione ha valore solo se l'impostazione Aggiornamenti automatici è stata configurata per eseguire l'installazione pianificata degli aggiornamenti. Se l'opzione Configura Aggiornamenti automatici è impostata su Disattivato, l'impostazione non avrà alcun effetto.

Vulnerabilità

È possibile che per completare l'installazione degli aggiornamenti sia richiesto il riavvio dei computer aggiornati. Se il sistema non può essere riavviato automaticamente, l'installazione dell'aggiornamento più recente non verrà completata e, finché non viene riavviato il computer, non saranno scaricati nuovi aggiornamenti.

Contromisura

Configurare l'impostazione Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici su Disattivato.

Impatto potenziale

Se si attiva questa impostazione di criterio, i sistemi operativi dei server in uso nel proprio ambiente verranno riavviati automaticamente. È quindi possibile che nei server critici si verifichi una condizione DoS temporanea inattesa.

Nuova pianificazione installazioni pianificate Aggiornamenti automatici

Questa impostazione di criterio consente di specificare l'intervallo di attesa in Aggiornamenti automatici successivo all'avvio del sistema, prima che venga eseguita un'installazione pianificata non effettuata in precedenza. Abilitando l'impostazione, le installazioni non effettuate in precedenza verranno eseguite in base ai minuti specificati a partire dall'avvio del computer. Disabilitando o non configurando l'impostazione, verrà eseguita un'installazione non effettuata in precedenza alla successiva installazione pianificata.

I possibili valori dell'impostazione Nuova pianificazione installazioni pianificate Aggiornamenti automatici sono:

Attivato, con la possibilità di specificare un intervallo di tempo compreso tra 1 e 60 minuti.
Disattivato
Non configurato

Nota: questa impostazione ha valore solo se l'impostazione Aggiornamenti automatici è stata configurata per eseguire l'installazione pianificata degli aggiornamenti. Se l'opzione Configura Aggiornamenti automatici è disabilitata, l'impostazione non avrà alcun effetto.

Vulnerabilità

Se in Aggiornamenti automatici non viene impostato un intervallo di attesa dopo il riavvio del sistema, è possibile che il tempo necessario per avviare tutte le applicazioni e i servizi in esecuzione nei computer in uso nel proprio ambiente non sia sufficiente. Specificando un intervallo di tempo sufficiente dopo il riavvio del sistema, sarà possibile evitare conflitti tra le installazioni di nuovi aggiornamenti e le procedure di avvio del computer.

Contromisura

Configurare l'impostazione Nuova pianificazione installazioni pianificate Aggiornamenti automatici su Attivato e specificare 10 minuti.

Impatto potenziale

L'esecuzione di Aggiornamenti automatici verrà avviata dopo 10 minuti dall'avvio del sistema.

Specificare la posizione del servizio di aggiornamento Microsoft nella rete Intranet

Questa impostazione consente di specificare il server della rete Intranet che ospiterà gli aggiornamenti provenienti dai siti Web Microsoft Update. Questa posizione del servizio di aggiornamento potrà essere utilizzata per eseguire l'aggiornamento automatico dei computer della rete. Il client Aggiornamenti automatici utilizzerà questo servizio per la ricerca di aggiornamenti validi per i computer della rete.

Per utilizzare l'impostazione Specificare la posizione del servizio di aggiornamento Microsoft nella rete Intranet, è necessario impostare due valori: il server da cui il client Aggiornamenti automatici scaricherà gli aggiornamenti e il server in cui le workstation aggiornate caricheranno le informazioni statistiche. Per entrambi i valori è possibile impostare lo stesso server.

Se si attiva l'impostazione Specificare la posizione del servizio di aggiornamento Microsoft nella rete Intranet, il client Aggiornamenti automatici si connetterà al servizio di aggiornamento Microsoft della rete Intranet specificato anziché a Windows Update per eseguire la ricerca e il download degli aggiornamenti. Questa configurazione consente agli utenti finali dell'organizzazione di evitare problemi di firewall e offre l'opportunità di verificare gli aggiornamenti prima di distribuirli. Disabilitando o non configurando l'impostazione, il client Aggiornamenti automatici, se non viene disabilitato tramite i Criteri di gruppo o altre preferenze dell'utente, verrà connesso direttamente al sito Windows Update.

I possibili valori dell'impostazione Specificare la posizione del servizio di aggiornamento Microsoft nella rete Intranet sono:

Attivato. Dopo aver selezionato questo valore, specificare il nome del server per gli aggiornamenti della rete Intranet e il nome del server per le statistiche nella finestra di dialogo Proprietà.
Disattivato
Non configurato

Nota: se l'opzione Configura Aggiornamenti automatici è configurata su Disattivato, l'impostazione non avrà alcun effetto.

Vulnerabilità

Per impostazione predefinita, Aggiornamenti automatici eseguirà un tentativo di download degli aggiornamenti dal sito Web Microsoft Windows Update. Alcune organizzazioni desiderano verificare che i nuovi aggiornamenti siano compatibili con l'ambiente prima di eseguirne la distribuzione. Inoltre, quando si configura un server SUS (Software Update Services) interno, verrà ridotto il carico di traffico su firewall perimetrali, router e server proxy nonché sui collegamenti di rete esterni.

Contromisura

Configurare l'impostazione Specificare la posizione del servizio di aggiornamento Microsoft nella rete Intranet su Attivato. Quindi specificare il nome del server per gli aggiornamenti della rete Intranet e il nome del server per le statistiche nella finestra di dialogo Proprietà.

Impatto potenziale

I service pack e gli aggiornamenti critici dovranno essere gestiti in modo attivo dallo staff IT dell'organizzazione.

System

È possibile configurare le impostazioni previste del computer del sistema nella seguente posizione utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione computer\Modelli amministrativi\Sistema

Disattiva riproduzione automatica

La riproduzione automatica inizia a leggere da un'unità non appena vi si inserisce un supporto multimediale, avviando immediatamente il file di installazione dei programmi o dei supporti audio. È possibile attivare l'impostazione Disattiva riproduzione automatica per impedire la riproduzione automatica. La riproduzione automatica è disattivata per impostazione predefinita su alcuni tipi di unità removibili, come i dischi floppy e le unità di rete, ma non sulle unità CD-ROM.

Nota: non è possibile utilizzare questa impostazione di criterio per attivare la riproduzione automatica sulle unità del computer in cui è disabilitata per impostazione predefinita, come i dischi floppy e le unità di rete.

Vulnerabilità

Un pirata informatico potrebbe utilizzare questa funzionalità per lanciare un programma con lo scopo di danneggiare il computer o i dati su di esso.

Contromisura

Configurare l'impostazione Disattiva riproduzione automatica su Attivato.

Impatto potenziale

L'utente dovrà lanciare manualmente i programmi di configurazione o installazione forniti sui supporti rimovibili.

Accesso

È possibile configurare le impostazioni di accesso previste nella seguente posizione all'interno dell'Editor oggetti Criteri di gruppo:

Configurazione computer\Modelli amministrativi\Sistema\Accesso

Non visualizzare la schermata iniziale della Guida introduttiva all'accesso

Questa impostazione di criterio consente di nascondere la schermata iniziale visualizzata ogni volta che l'utente accede a Windows 2000 Professional e Windows XP Professional. È possibile visualizzare questa schermata selezionandola dal menu di avvio.

L'impostazione Non visualizzare la schermata iniziale della Guida introduttiva all'accesso si applica solo a Windows 2000 Professional e a Windows XP Professional. Non ha effetto sull'impostazione Configurazione server di una schermata di Windows 2000 Server o Windows Server 2003

I possibili valori dell'impostazione Non visualizzare la schermata iniziale della Guida introduttiva all'accesso sono:

Attivato
Disattivato
Non configurato

Nota: questa impostazione è disponibile in entrambi i nodi Configurazione computer e Configurazione utente. Se sono configurate entrambe le impostazioni, l'impostazione Configurazione computer assume la priorità rispetto a quella di Configurazione utente.

Vulnerabilità

La schermata iniziale della Guida introduttiva invita gli utenti a esplorare il desktop Windows XP. Oltre a fornire training relativi a particolari attività di ruoli e processi, alcune organizzazioni intendono distogliere gli utenti da altre fonti di informazioni.

Contromisura

Configurare l'impostazione Non visualizzare la schermata iniziale della Guida introduttiva all'accesso su Attivato.

Impatto potenziale

Quando l'utente accede al sistema, non verrà visualizzata la schermata iniziale della Guida introduttiva.

Non elaborare l'elenco di esecuzione precedente

L'impostazione Non elaborare l'elenco di esecuzione precedente consente di ignorare l'elenco di esecuzione, che è un elenco di programmi che Windows XP esegue automaticamente all'avvio. Gli elenchi di esecuzione personalizzati per Windows XP sono memorizzati nel Registro di sistema nei percorsi seguenti:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

I possibili valori dell'impostazione Non elaborare l'elenco di esecuzione precedente sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Un utente malintenzionato potrebbe eseguire un programma ogni volta che Windows viene avviato, compromettendo così i dati sul computer o causando altri danni.

Contromisura

Configurare l'impostazione Non elaborare l'elenco di esecuzione precedente su Attivato.

Impatto potenziale

Se si attiva questa impostazione, non sarà possibile eseguire alcuni programmi del computer come il software antivirus e i programmi di distribuzione e monitoraggio del software. È necessario valutare il livello di pericolo per l'ambiente contro il quale l'impostazione dovrà offrire protezione prima di configurare una strategia di utilizzo dell'impostazione nell'organizzazione.

Non elaborare l'elenco di esecuzione unica

Questa impostazione di criterio consente di ignorare l'elenco di esecuzione unica, che è l'elenco di programmi che Windows XP esegue automaticamente all'avvio. È diversa dall'impostazione Non elaborare l'elenco di esecuzione precedente in quanto i programmi di questo elenco vengono eseguiti una sola volta al successivo riavvio del computer client. I programmi di installazione vengono a volte aggiunti a questo elenco per completare le installazioni dopo il riavvio del computer client. Se si attiva questa impostazione, i pirati informatici non saranno in grado di utilizzare l'elenco di esecuzione unica per lanciare applicazioni illegali, metodo di attacco comune nel passato.

Nota: gli elenchi di esecuzione unica personalizzati sono memorizzati nel Registro di sistema nel percorso seguente: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

I possibili valori dell'impostazione Non elaborare l'elenco di esecuzione unica sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Un utente malintenzionato può utilizzare l'elenco di esecuzione unica per installare un programma che potrebbe compromettere la protezione dei computer client Windows XP.

Contromisura

Configurare l'impostazione Non elaborare l'elenco di esecuzione unica su Attivato.

Impatto potenziale

L'impostazione Non elaborare l'elenco di esecuzione unica dovrebbe causare una perdita di funzionalità minima agli utenti dell'ambiente, specialmente se i computer client sono stati configurati con il software standard aziendale completo prima che questa impostazione fosse applicata attraverso i Criteri di gruppo. Tuttavia, questa configurazione può causare problemi di funzionamento per alcuni programmi di installazione, come ad esempio Internet Explorer.

Criteri di gruppo

È possibile modificare l'elaborazione dei Criteri di gruppo configurando le impostazioni all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo

Elaborazione criterio Manutenzione di Internet Explorer

Questa impostazione di criterio consente di determinare il momento in cui i criteri di Manutenzione di Internet Explorer verranno aggiornati. Si applica a tutti i criteri che utilizzano il componente Manutenzione di Internet Explorer dei Criteri di gruppo, ad esempio i criteri in Impostazioni di Windows\Manutenzione di Internet Explorer. Questa impostazione assume la priorità rispetto alle impostazioni personalizzate che il programma Manutenzione di Internet Explorer ha implementato al momento dell'installazione.

Se si attiva l'impostazione Elaborazione criterio Manutenzione di Internet Explorer, sarà possibile modificare le opzioni nelle apposite caselle di controllo. La disabilitazione o non configurazione di questa impostazione non ha alcun effetto sul computer.

I possibili valori dell'impostazione Elaborazione criterio Manutenzione di Internet Explorer sono:

Attivato con le seguenti opzioni:
- Consenti elaborazione attraverso una connessione di rete lenta. Questa opzione consente di aggiornare i criteri anche nel caso in cui l'aggiornamento venga trasmesso attraverso una connessione di rete lenta quale quella di una linea telefonica. Gli aggiornamenti trasmessi attraverso connessioni lente possono provocare ritardi significativi.
- Non applicare durante l'elaborazione periodica in background. Questa opzione non consente al computer di aggiornare i criteri interessati in background mentre è in uso. Gli aggiornamenti in background possono creare problemi agli utenti, causare l'interruzione di un programma, alterarne il funzionamento e, raramente, danneggiare i dati.
- Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati. Questa opzione consente di aggiornare e applicare nuovamente i criteri anche se non sono stati modificati. Molte implementazioni specificano l'aggiornamento dei criteri solo in caso di modifica. Tuttavia, è possibile aggiornare i criteri non modificati riapplicando, ad esempio, un'impostazione che è stata cambiata da un utente.
Disattivato
Non configurato

Vulnerabilità

È possibile abilitare questa impostazione e selezionare l'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati, per garantire che i criteri vengano rielaborati, anche se non hanno subito modifiche. Questo approccio applicherà i criteri stabiliti basati sul dominio, anche se sono state apportate modifiche a livello locale.

Contromisura

Configurare l'impostazione Elaborazione criterio Manutenzione di Internet Explorer su Attivato. Quindi deselezionare entrambe le caselle di controllo Consenti elaborazione attraverso una connessione di rete lenta e Non applicare durante l'elaborazione periodica in background e infine selezionare la casella di controllo Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati.

Impatto potenziale

I Criteri di gruppo verranno applicati di nuovo a ogni aggiornamento. Ciò potrebbe comportare un leggero calo delle prestazioni.

Elaborazione del criterio di protezione IP

Questa impostazione di criterio consente di determinare il momento in cui i criteri di protezione IP (IPsec) verranno aggiornati. Si applica a tutti i criteri che utilizzano il componente IPsec dei Criteri di gruppo. Questa impostazione assume la priorità rispetto alle impostazioni personalizzate che il programma implementato ha configurato al momento dell'installazione.

Se si attiva l'impostazione Elaborazione del criterio di protezione IP, sarà possibile modificare le opzioni nelle apposite caselle di controllo. La disabilitazione o non configurazione di questa impostazione non ha alcun effetto sul computer.

I possibili valori dell'impostazione Elaborazione del criterio di protezione IP sono:

Abilitato con le seguenti opzioni:
- Consenti elaborazione attraverso una connessione di rete lenta.
- Non applicare durante l'elaborazione periodica in background
- Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati
Disattivato
Non configurato

L'impostazione Consenti elaborazione attraverso una connessione di rete lenta consente di aggiornare i criteri anche nel caso in cui l'aggiornamento venga trasmesso attraverso una connessione di rete lenta quale quella di una linea telefonica o di un collegamento WAN. Gli aggiornamenti trasmessi attraverso connessioni lente possono provocare ritardi significativi. L'opzione Non applicare durante l'elaborazione periodica in background consente di impedire l'aggiornamento dei criteri in background mentre il computer è in uso. Gli aggiornamenti in background possono creare problemi agli utenti, causare l'interruzione di un programma, alterarne il funzionamento e, raramente, danneggiare i dati. L'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati consente di aggiornare e riapplicare i criteri anche in assenza di modifiche. Molte implementazioni specificano l'aggiornamento dei criteri solo in caso di modifica. Tuttavia, è possibile aggiornare periodicamente i criteri non modificati in modo da applicare nuovamente le impostazioni desiderate in seguito a eventuali modifiche da parte dell'utente.

Vulnerabilità

È possibile abilitare questa impostazione e selezionare l'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati, per garantire che i criteri vengano rielaborati, anche se non hanno subito modifiche. In questo modo, eventuali modiche non autorizzate, configurate a livello locale, corrisponderanno sempre alle impostazioni dei Criteri di gruppo basate sul dominio.

Contromisura

Configurare l'impostazione Elaborazione del criterio di protezione IP su Attivato. Quindi deselezionare la casella di controllo Non applicare durante l'elaborazione periodica in background e selezionare la casella di controllo Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati.

Impatto potenziale

I Criteri di gruppo di protezione IP saranno applicati nuovamente ogni volta che verranno aggiornati. Ciò potrebbe comportare un leggero calo delle prestazioni e interferire con la connettività di rete esistente.

Elaborazione del criterio di Registro di sistema

Questa impostazione consente di definire il momento in cui i criteri del Registro di sistema verranno aggiornati. Si applica a tutti i criteri contenuti nella cartella Modelli amministrativi e a tutti gli altri criteri che memorizzano i valori nel Registro di sistema. Questa impostazione assume la priorità rispetto alle impostazioni personalizzate che il programma dei criteri del Registro di sistema implementato ha configurato al momento dell'installazione.

Se si attiva l'impostazione Elaborazione del criterio di Registro di sistema, sarà possibile modificare le opzioni nelle apposite caselle di controllo. La disabilitazione o non configurazione di questa impostazione non ha alcun effetto sul computer.

L'opzione Non applicare durante l'elaborazione periodica in background può essere utilizzata per assicurare che il computer non effettui l'aggiornamento in background dei criteri interessati mentre è in uso. Gli aggiornamenti in background possono interrompere le regolari attività degli utenti, provocare l'interruzione dei programmi o il funzionamento anomalo degli stessi, e, in rari casi, danneggiare dati. L'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati consente di aggiornare e applicare di nuovo i criteri anche in assenza di modifiche. Molte implementazioni specificano l'aggiornamento dei criteri solo in caso di modifica. Tuttavia, è possibile aggiornare i criteri non modificati applicando di nuovo un'impostazione cambiata da un utente.

I possibili valori dell'impostazione Elaborazione del criterio di Registro di sistema sono:

Abilitato con le seguenti opzioni:
- Non applicare durante l'elaborazione periodica in background
- Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati
Disattivato
Non configurato

Vulnerabilità

È possibile abilitare questa impostazione e selezionare l'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati, per garantire che i criteri vengano rielaborati, anche se non hanno subito modifiche. In questo modo, eventuali modiche non autorizzate, configurate a livello locale, corrisponderanno sempre alle impostazioni dei Criteri di gruppo basate sul dominio.

Contromisura

Configurare l'impostazione Elaborazione del criterio di Registro di sistema su Attivato. Quindi deselezionare la casella di controllo Non applicare durante l'elaborazione periodica in background e selezionare la casella di controllo Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati.

Impatto potenziale

I Criteri di gruppo verranno applicati di nuovo a ogni aggiornamento. Ciò potrebbe comportare un leggero calo delle prestazioni.

Elaborazione del criterio di protezione

Questa impostazione consente di definire il momento in cui i criteri di protezione verranno aggiornati. Questa impostazione assume la priorità rispetto alle impostazioni personalizzate che il programma del criterio di protezione implementato ha configurato al momento dell'installazione.

Se si attiva l'impostazione Elaborazione del criterio di protezione, sarà possibile modificare le opzioni nelle apposite caselle di controllo. La disabilitazione o non configurazione di questa impostazione non ha alcun effetto sul computer.

I possibili valori dell'impostazione Elaborazione del criterio di protezione sono:

Abilitato con le seguenti opzioni:
- Non applicare durante l'elaborazione periodica in background
- Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati
Disattivato
Non configurato

Vulnerabilità

È possibile abilitare questa impostazione e selezionare l'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati, per garantire che i criteri vengano rielaborati, anche se non hanno subito modifiche. In questo modo, eventuali modiche non autorizzate, configurate a livello locale, corrisponderanno sempre alle impostazioni dei Criteri di gruppo basate sul dominio.

Contromisura

Configurare l'impostazione Elaborazione del criterio di protezione su Attivato. Quindi deselezionare la casella di controllo Non applicare durante l'elaborazione periodica in background e selezionare la casella di controllo Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati.

Impatto potenziale

I Criteri di gruppo verranno applicati di nuovo a ogni aggiornamento. Ciò potrebbe comportare un leggero calo delle prestazioni.

Assistenza remota

È possibile configurare le impostazioni del computer di assistenza remota previste nella seguente posizione all'interno dell'Editor oggetti Criteri di gruppo:

Configurazione computer\Modelli amministrativi\Sistema\Assistenza remota

Offri Assistenza Remota

Questa impostazione di criterio determina se un addetto all'assistenza o un amministratore di sistema (un "esperto") possa offrire assistenza remota agli utenti dei computer dell'ambiente senza che l'utente ne faccia richiesta esplicita tramite posta elettronica, messaggistica immediata o altro canale di trasmissione.

Nota: un esperto non potrà collegarsi a un computer senza essere identificato oppure controllarlo senza l'opportuna autorizzazione dell'utente. Quando l'esperto tenta di connettersi, l'utente può comunque scegliere di rifiutare la connessione o di fornire privilegi di sola lettura alla workstation. L'utente deve esplicitamente fare clic sul pulsante Sì per consentire all'esperto di controllare la workstation in modalità remota dopo che l'impostazione Offri Assistenza Remota è stata configurata su Attivato.

Se si attiva l'impostazione Offri Assistenza Remota, sono disponibili le seguenti opzioni:

Consenti solo di visualizzare il computer
Consenti controllo remoto del computer

Quando si configura questa impostazione di criterio, è inoltre possibile specificare l'elenco degli utenti o dei gruppi di utenti a cui è consentita l'offerta di assistenza remota, denominati "assistenti".

Per configurare l'elenco degli assistenti

Nel finestra di configurazione dell'impostazione Offri Assistenza Remota, fare clic su Mostra. Si aprirà una nuova finestra nella quale è possibile inserire i nomi degli assistenti.
Aggiungere ciascun utente o gruppo all'elenco degli assistenti in uno dei formati seguenti:
- <Nome dominio>\<Nome utente>
- <Nome dominio>\<Nome gruppo>

Disattivando o non configurando l'impostazione Offri Assistenza Remota, né gli utenti né i gruppi potranno offrire assistenza remota non richiesta agli utenti dei computer dell'ambiente.

Vulnerabilità

Un utente potrebbe essere indotto ad accettare un'offerta di assistenza remota non richiesta da un utente malintenzionato.

Contromisura

Configurare l'impostazione Offri Assistenza Remota su Disattivato.

Impatto potenziale

Il personale addetto all'assistenza e all'help desk non sarà in grado di offrire assistenza preventivamente, sebbene possa comunque rispondere alle richieste di assistenza da parte degli utenti.

Richiedi assistenza remota

Questa impostazione** **di criterio determina se i computer client Windows XP dell'ambiente possono richiedere assistenza remota. È possibile attivare questa impostazione per consentire agli utenti di richiedere assistenza remota da parte degli amministratori di sistema ("esperti").

Se si attiva l'impostazione Richiedi assistenza remota, per consentire il controllo remoto del computer dell'utente, sono disponibili le seguenti opzioni:

Consenti controllo remoto del computer
Consenti solo di visualizzare il computer

Inoltre, sono disponibili le seguenti opzioni di configurazione dell'intervallo di tempo in cui la richiesta di assistenza di un utente rimane attiva:

Tempo massimo del ticket (valore):
Tempo massimo del ticket (unità): ore, minuti o giorni

Quando scade il ticket (richiesta di assistenza), l'utente deve inviare un'altra richiesta prima che un esperto possa connettersi al computer. Se l'impostazione Richiedi assistenza remota non è configurata, gli utenti non potranno inviare le richieste di assistenza e gli esperti non potranno connettersi ai loro computer.

Quando l'impostazione Richiedi assistenza remota non è configurata, gli utenti potranno configurare l'assistenza remota richiesta mediante il Pannello di controllo. Per impostazione predefinita, le seguenti impostazioni sono attivate mediante il Pannello di controllo: Richiedi assistenza remota, Supporto buddy e Controllo remoto. Il valore Durata massima del ticket è impostato su 30 giorni. Se si disattiva questa impostazione, non sarà possibile accedere a Windows XP mediante la rete.

Vulnerabilità

Quando si attiva l'impostazione Richiedi assistenza remota, gli utenti possono inviare le richieste di assistenza remota al personale non autorizzato.

Contromisura

Configurare l'impostazione Richiedi assistenza remota su Disattivato.

Impatto potenziale

Se l'impostazione Richiedi assistenza remota viene configurata su Disattivato, gli utenti non potranno richiedere assistenza remota all'help desk o al personale addetto al supporto tecnico.

Segnalazione errori

Segnalazione errori a server interno Windows consente agli amministratori di gestire i file CAB creati tramite DW.exe e di reindirizzare un report di errori di interruzione a un file server locale. Questa funzionalità offre un'alternativa all'invio diretto di informazioni a Microsoft attraverso Internet. Dopo aver raccolto un numero di errori di interruzione sufficiente, gli amministratori possono verificare le informazioni e inviare solo i dati relativi agli errori di interruzione ritenuti più utili per Microsoft.

Con Segnalazione errori a server interno Windows, gli amministratori possono stabilire gli errori di interruzione che si verificano con maggiore frequenza. Le informazioni ottenute possono essere fornite agli utenti per consentire loro di evitare le situazioni in cui è possibile che si verifichino nuovi errori di interruzione.

È possibile configurare le impostazioni di segnalazione errori all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Sistema\Segnalazione errori

Visualizza notifica errori

È possibile utilizzare questa impostazione per specificare se gli errori verranno segnalati o meno. Quando l'impostazione è abilitata, l'utente viene avvisato che si è verificato un errore e può accedere ai dettagli dell'errore. Se l'impostazione Segnala errori è a sua volta attivata, l'utente avrà anche la possibilità di segnalare l'errore.

Se non si attiva l'impostazione Visualizza notifica errori, l'utente non avrà la possibilità di segnalare l'errore. Se si attiva l'impostazione Segnala errori, gli errori verranno segnalati automaticamente, ma l'utente non riceverà alcuna notifica relativa all'errore che si è verificato.

La disattivazione di questa impostazione è utile per computer server che non dispongono di utenti interattivi. Se l'impostazione non viene configurata, l'utente avrà la possibilità di modificare le impostazioni predefinite del Pannello di controllo, rispettivamente Attiva notifica in Windows XP e Disattiva notifica in Windows Server 2003.

I possibili valori dell'impostazione Visualizza notifica errori sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Se si ha la possibilità di segnalare gli errori, gli utenti potrebbero non osservare le linee guida dell'organizzazione relative alla segnalazione degli errori. Se si configura l'impostazione di criterio su Disattivato, gli utenti non riceveranno i messaggi di segnalazione errori.

Contromisura

Configurare l'impostazione Visualizza notifica errori su Disattivato.

Impatto potenziale

Gli utenti non riceveranno i messaggi di segnalazione errori generati.

Segnala errori

Questa impostazione consente di determinare se gli errori verranno segnalati o meno. Se si configura l'impostazione Segnala errori su Attivato, gli utenti avranno la possibilità di segnalare gli errori. Gli errori possono essere segnalati a Microsoft tramite Internet oppure alle condivisioni di file locali presenti nelle organizzazioni degli utenti.

I possibili valori dell'impostazione Segnala errori sono:

Attivato con le seguenti opzioni:
- Non visualizzare collegamenti a siti Microsoft con ulteriori informazioni sugli errori. Se si seleziona questa opzione, non saranno visualizzati collegamenti per i siti Web di Microsoft che possano avere maggiori informazioni sul messaggio di errore.
- Non includere file aggiuntivi. Se si seleziona questa opzione, nelle segnalazioni di errore non verranno raccolti file aggiuntivi.
- Non includere informazioni aggiuntive sul computer. Se si seleziona questa opzione, nelle segnalazioni di errore non verranno raccolte né incluse informazioni aggiuntive sul computer.
- Forza modalità di accodamento per gli errori dell'applicazione. Se si seleziona questa opzione, gli utenti non disporranno di opzioni di invio di una segnalazione di errore. L'errore viene invece accodato in una directory e, quando l'amministratore accede al sistema, potrà decidere se segnalarlo o meno.
- Percorso file caricamento aziendale. Se si seleziona questa opzione, sarà possibile specificare il percorso UNC (Universal Naming Convention) di una condivisione file in cui verranno caricati gli errori. Questa opzione attiva anche lo strumento Segnalazione errori a server interno.
- Sostituisci le occorrenze della parola Microsoft con. Se si seleziona questa opzione, sarà possibile personalizzare le finestre di dialogo di segnalazione errori con il nome della propria società.
Disattivato
Non configurato

Se l'impostazione non viene configurata, l'utente non avrà la possibilità di modificare le impostazioni del Pannello di controllo. La configurazione predefinita è Attivato in Windows XP Professional e Disattivato in Windows Server 2003.

Abilitando l'impostazione Segnala errori, sarà possibile sostituire qualsiasi impostazione di segnalazione degli errori definita mediante il Pannello di controllo. L'abilitazione dell'impostazione, inoltre, consente di applicare i valori predefiniti per tutti i criteri di segnalazione errori che non vengono configurati.

Vulnerabilità

Per impostazione predefinita, l'utilizzo della funzionalità Segnalazione errori a server interno Windows di Windows XP, Windows Server 2003 e Office comporta l'invio a Microsoft di dati che alcune organizzazioni preferirebbero non venissero divulgati. L'informativa sulla privacy Microsoft garantisce all'utente che i dati raccolti tramite Segnalazione errori a server interno Windows, non verranno utilizzati da Microsoft in modo improprio. Ciononostante, le organizzazioni hanno la possibilità di configurare questa funzionalità in modo da non trasmettere informazioni all'esterno dell'organizzazione che non siano state precedentemente controllate da un membro affidabile del team IT.

Tuttavia, se la segnalazione errori è completamente disattivata, rende più complessa per Microsoft l'identificazione e l'analisi di nuovi errori. Le organizzazioni che sviluppano applicazioni aziendali interne personalizzate, possono ottimizzare l'utilizzo di Segnalazione errori a server interno Windows per registrare i problemi all'interno del proprio codice.

Una soluzione adeguata, che consente di rispettare la privacy e sfruttare l'efficacia di Segnalazione errori a server interno Windows, è quella di configurare un proprio server CER (Corporate Error Reporting, segnalazione errori a server interno). Di conseguenza, è necessario configurare i computer client in modo che facciano riferimento al server per l'invio delle segnalazioni di errori. L'amministratore può quindi verificare le segnalazioni sul server CER e generare un report aggregato che non contenga informazioni riservate da inoltrare a Microsoft.

Contromisura

Configurare l'impostazione Segnala errori su Attivato, quindi selezionare l'opzione Percorso file caricamento aziendale in modo che faccia riferimento al percorso UNC del server CER dell'organizzazione.

Nota: per ulteriori informazioni sulla creazione di un server CER per l'organizzazione, vedere il sito Web sulla Segnalazione errori a server interno all'indirizzo www.microsoft.com/resources/satech/cer/.

Impatto potenziale

La segnalazione errori verrà abilitata e le nuove segnalazioni di errori verranno inviate al server CER.

Gestione comunicazioni Internet

I prodotti della famiglia Windows Server 2003 e Windows XP contengono una vasta gamma di tecnologie che comunicano con Internet per migliorarne la facilità di utilizzo. Le tecnologie relative al browser e alla posta elettronica sono alcuni esempi, ma esistono anche tecnologie quali Aggiornamenti automatici che consentono di ottenere il software e le informazioni sul prodotto più recenti, comprese le correzioni dei bug e le patch di protezione. Queste tecnologie offrono molti vantaggi, ma riguardano anche la comunicazione con i siti Internet, che potrebbe essere controllata dagli amministratori.

È possibile controllare questa comunicazione attraverso una vasta gamma di opzioni integrate nei singoli componenti, in tutto il sistema operativo e nei componenti server indicati per la gestione delle configurazioni nell'organizzazione. Ad esempio, l'amministratore può utilizzare i Criteri di gruppo per controllare la modalità di comunicazione di alcuni componenti. Per alcuni componenti, è possibile indirizzare tutta la comunicazione al sito Web interno dell'organizzazione invece che a un sito Internet esterno. Inoltre, in Windows Server 2003 con Service Pack 1 (SP1) è possibile utilizzare Windows Firewall e la Configurazione guidata impostazioni di sicurezza (SCW) per facilitare il controllo di aspetti dell'organizzazione, come ad esempio i servizi in esecuzione e le porte aperte.

Microsoft ha realizzato due guide dettagliate per la Gestione comunicazioni Internet:

Introduction to Controlling Communication with the Internet for Windows Server 2003 with SP1 (in inglese) all'indirizzo www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ W2K3InternetMgmt/55f681e2-de6f-4d76-81d2-af7f889d66f6.mspx) descrive la modalità di controllo delle comunicazioni Internet sui computer che eseguono Windows Server 2003 con SP1.
La guida* *Using Windows XP Professional with Service Pack 1 in a Managed Environment (in inglese) all'indirizzo www.microsoft.com/technet/prodtechnol/winxppro/maintain/intmgmt/01\_xpint.mspx descrive la modalità di controllo delle comunicazioni Internet sui computer che eseguono Windows XP con SP2.

Distributed COM

COM fornisce ACL (computer-wide access control list) che regolano l'accesso a tutte le richieste di avvio, chiamata o attivazione sul computer. Questi controlli degli accessi possono essere considerati una chiamata di controllo degli accessi aggiuntiva effettuata in un ACL (computer-wide access control list) su ogni richiesta di avvio, chiamata, o attivazione di qualsiasi server COM presente sul computer. Questo controllo viene aggiunto a qualsiasi controllo degli accessi eseguito su ACL specifici dei server. Se il controllo degli accessi fallisce, la richiesta di avvio, attivazione o chiamata non verrà eseguita. Questo controllo fornisce infatti uno standard di autorizzazione minimo che deve essere superato per poter accedere a qualsiasi server COM presente sul computer. Per maggiori informazioni su DCOM, vedere "Component Object Model" all'indirizzo http://go.microsoft.com/fwlink/?LinkId=20922 (in inglese). Per ulteriori informazioni sulle nuove funzionalità di protezione DCOM, vedere "DCOM: limitazioni di accesso al computer in SDDL (Security Descriptor Definition language)" al Capitolo 5, "Opzioni di protezione" nella presente guida.

In Windows XP SP2 e in Windows Server 2003 SP1 è possibile gestire le nuove funzionalità di protezione DCOM all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Modelli amministrativi\Componenti di Windows\ Sistema\Distributed COM\Impostazioni di compatibilità di applicazione

Problemi comuni

Le due impostazioni in questa sezione condividono una vulnerabilità comune, una contromisura e informazioni di impatto potenziale.

Vulnerabilità

I componenti COM scritti in modo non adeguato possono essere soggetti ad attacchi in rete, che potrebbero causare la divulgazione delle informazioni, la negazione del servizio o attacchi mirati all'incremento dei privilegi.

Contromisura

Per imporre i controlli di accesso e di esecuzione ai componenti DCOM, utilizzare le impostazioni Consenti esenzioni controllo sicurezza attivazione locale e Definisci esenzioni controllo sicurezza attivazione insieme ai meccanismi di controllo dell'accesso DCOM.

Impatto potenziale

Se alle applicazioni esistenti vengono aggiunti i controlli dell'accesso DCOM, tali applicazioni potrebbero non funzionare correttamente.

Consenti esenzioni controllo sicurezza attivazione locale

Questa impostazione di criterio consente di specificare che gli amministratori di computer locali possono integrare l'elenco Definisci esenzioni controllo sicurezza attivazione (vedere l'impostazione riportata di seguito) con i controlli di sicurezza di attivazione eseguiti sul computer locale. Se si attiva questa impostazione di criterio e DCOM non trova una voce esplicita per un ID applicazione server DCOM (AppID) nel criterio Definisci esenzioni controllo sicurezza attivazione, DCOM ricerca una voce nell'elenco configurato localmente.

Definisci esenzioni controllo sicurezza attivazione

Questa impostazione di criterio consente di visualizzare e modificare un elenco di ID applicazione server DCOM (AppID) esentati dal Controllo sicurezza attivazione DCOM (per ulteriori informazioni sulla chiave AppID e COM, vedere "COM Registry Entries" nella Documentazione SDK COM su MSDN all'indirizzo http://go.microsoft.com/fwlink/?LinkId=32831).

Per prendere decisioni relative alla protezione, DCOM utilizza due elenchi di AppID server DCOM. Un elenco è configurato mediante l'impostazione dei Criteri di gruppo Definisci esenzioni controllo sicurezza attivazione, mentre l'altro è realizzato dagli amministratori del computer locale. La chiave AppID è una delle chiavi del Registro di sistema utilizzate da COM; raggruppa le opzioni di configurazione per uno o più oggetti distributed COM in una posizione centrale nel Registro di sistema. Questa chiave contiene il valore denominato AppID, che identifica l'AppID GUID corrispondente all'eseguibile denominato.

Se si configura l'impostazione Definisci esenzioni controllo sicurezza attivazione, DCOM ignora il secondo elenco a meno che non sia abilitata anche l'impostazione Consenti esenzioni controllo sicurezza attivazione locale. È necessario racchiudere tra parentesi graffe qualsiasi AppID server DCOM aggiunto all'elenco di AppID server DCOM, ad esempio, {b5dcb061-cefb-42e0-a1be-e6a6438133fe} (questo valore AppID viene fornito solo a scopo illustrativo). Se si immette un AppID inesistente o formattato non correttamente, DCOM lo aggiunge all'elenco senza verificare la presenza di eventuali errori.

Se si attiva questa impostazione di criterio, è possibile visualizzare e modificare l'elenco di esenzioni controllo sicurezza attivazione DCOM definite dalle impostazioni dei Criteri di gruppo.

È possibile utilizzare uno dei seguenti valori:

Se si aggiunge un AppID all'elenco e si imposta il suo valore su 1, DCOM non applica il controllo sicurezza attivazione al server DCOM.
Se si aggiunge un AppID all'elenco e si imposta il suo valore su 0, DCOM applicherà sempre il controllo sicurezza attivazione al server DCOM, indipendentemente dalle impostazioni locali.

Nota: i server DCOM aggiunti a questo elenco di esenzioni vengono esentati solo se le loro autorizzazioni di avvio personalizzate non contengono autorizzazioni specifiche di Avvio locale, Avvio remoto, Attivazione locale o Attivazione remota impostate su Consenti e Nega per ciascun utente o gruppo. Le esenzioni di AppID server DCOM aggiunte a questo elenco sono applicate alla versione a 32 bit e (se disponibile) alla versione a 64 bit di Windows Server 2003.

Inizio pagina

Impostazioni configurazione utente

Le impostazioni definite in precedenza nel presente capitolo sono applicate ai computer membri di un dominio Active Directory. Le impostazioni nelle seguenti sezioni sono applicate ai singoli utenti.

Impostazioni utente di Internet Explorer

Internet Explorer è il browser Web contenuto in Windows XP e Windows Server 2003. È possibile gestire molte delle funzionalità del browser mediante i Criteri di gruppo nella seguente posizione all'interno dell'Editor oggetti Criteri di gruppo:

Configurazione utente\Modelli amministrativi\Componenti di Windows\ Internet Explorer

Configura Outlook Express

Questa impostazione di criterio consente agli amministratori di abilitare e disabilitare il salvataggio o l'apertura in Microsoft Outlook Express di allegati che potrebbero contenere virus. Se si seleziona la casella di controllo di Blocca gli allegati che potrebbero contenere virus,** **gli utenti non saranno in grado di aprire o salvare gli allegati che potrebbero contenere virus. Inoltre, se si attiva questa impostazione di criterio, gli utenti possono specificare nella finestra di dialogo Opzioni Internet se bloccare o accettare gli allegati di posta elettronica.

I possibili valori dell'impostazione Configura Outlook Express sono:

Abilitato con la seguente opzione:
- Blocca gli allegati che potrebbero contenere virus
Disattivato
Non configurato

Vulnerabilità

Gli utenti che scelgono di aprire gli allegati di posta elettronica potrebbero eseguire codice dannoso inconsapevolmente, ad esempio virus o cavalli di Troia contenuti negli allegati.

Contromisura

Configurare l'impostazione Configura Outlook Express su Attivato e selezionare la casella di controllo Blocca gli allegati che potrebbero contenere virus.

Impatto potenziale

Gli utenti non saranno in grado di aprire o eseguire alcuni tipi di allegati di messaggi in Outlook Express.

Impedisci la modifica delle impostazioni della scheda Avanzate

Questa impostazione di criterio non consente agli utenti di modificare le impostazioni nella scheda Avanzate della finestra di dialogo Opzioni Internet. Se si abilita questa impostazione di criterio, gli utenti non potranno modificare le impostazioni avanzate di Internet, come ad esempio le opzioni relative a protezione, multimedia e stampa e non potranno selezionare o deselezionare le caselle di controllo sulla scheda Avanzate. Disattivando o non configurando questa impostazione di criterio, gli utenti saranno in grado di selezionare o di deselezionare le opzioni sulla scheda Avanzate.

Se si configura l'impostazione Disattiva la scheda Avanzate, non è necessario configurare questa impostazione di criterio, in quanto tale impostazione rimuove dall'interfaccia la scheda Avanzate.

I possibili valori dell'impostazione Impedisci la modifica delle impostazioni della scheda Avanzate sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti possono modificare alcune impostazioni di protezione di Internet Explorer che potrebbero consentire l'esplorazione di siti Web non sicuri nonché il download e l'esecuzione di codice dannoso.

Contromisura

Configurare Impedisci la modifica delle impostazioni della scheda Avanzate su Attivato.

Impatto potenziale

Gli utenti non potranno modificare le impostazioni nella scheda Avanzate della finestra di dialogo Opzioni Internet.

Impedisci la modifica delle impostazioni di Configurazione automatica

Questa impostazione di criterio non consente agli utenti di modificare le impostazioni di configurazione automatica, ovvero il processo utilizzato dagli amministratori per aggiornare periodicamente le impostazioni del browser. Abilitando l'impostazione, le impostazioni di configurazione automatica diventeranno inattive e non saranno disponibili. Le impostazioni si trovano nell'area Configurazione automatica della finestra di dialogo Impostazioni rete locale (LAN). Disabilitando o non configurando l'impostazione, gli utenti potranno modificare le impostazioni di configurazione automatica.

Abilitando l'impostazione Disattiva la scheda connessioni, la scheda Connessioni è rimossa dal Pannello di controllo di Internet Explorer e le sue impostazioni assumono la precedenza rispetto a questa impostazione di criterio (Impedisci la modifica delle impostazioni di Configurazione automatica).

I possibili valori dell'impostazione Impedisci la modifica delle impostazioni di Configurazione automatica sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Contromisura

Configurare Impedisci la modifica delle impostazioni di Configurazione automatica su Attivato.

Impatto potenziale

Gli utenti non potranno modificare le impostazioni di configurazione automatica.

Impedisci la modifica delle impostazioni dei certificati

Questa impostazione di criterio non consente agli utenti di modificare le impostazioni dei certificati in Internet Explorer. I certificati vengono utilizzati per verificare l'identità di autori o distributori di software. Abilitando questo criterio, le impostazioni dell'area Certificati incluse nella scheda Contenuto della finestra di dialogo Opzioni Internet diventeranno inattive e non saranno disponibili. Disabilitando o non configurando l'impostazione, gli utenti potranno importare nuovi certificati, rimuovere autori o distributori di software approvati nonché modificare le impostazioni di certificati già accettati.

L'impostazione Disattiva la scheda Contenuto, disponibile in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet, comporta la rimozione della scheda Contenuto dal Pannello di controllo di Internet Explorer e assume la precedenza rispetto a Impedisci la modifica delle impostazioni dei certificati.

I possibili valori dell'impostazione Impedisci la modifica delle impostazioni dei certificati sono:

Attivato
Disattivato
Non configurato

Avviso: abilitando questo criterio, è comunque possibile eseguire l'Importazione guidata gestione certificati facendo doppio clic su un file spc (Software Publishing Certificate). Questa procedura guidata consente di importare e configurare le impostazioni dei certificati di autori o distributori di software non ancora configurati per Internet Explorer.

Vulnerabilità

Gli utenti possono importare nuovi certificati, rimuovere i certificati approvati o modificare le impostazioni di certificati configurati in precedenza. Tali occorrenze possono provocare errori nelle applicazioni, o l'esecuzione di software non autorizzato.

Contromisura

Configurare Impedisci la modifica delle impostazioni dei certificati su Attivato.

Impatto potenziale

Gli utenti non potranno modificare le impostazioni dei certificati.

Impedisci la modifica delle impostazioni di connessione

Questa impostazione di criterio non consente agli utenti di modificare le impostazioni di connessione. Abilitando questo criterio, il pulsante Impostazioni nella scheda Connessioni della finestra di dialogo Opzioni Internet non sarà più disponibile. Disabilitando o non configurando l'impostazione, gli utenti potranno modificare le impostazioni delle connessioni remote.

Se si attiva l'impostazione Disattiva la scheda connessioni (in \Configurazione utente\ Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet), la scheda Connessioni è rimossa dalla finestra di dialogo Opzioni Internet e non è necessario configurare l'impostazione di criterio Impedisci la modifica delle impostazioni di connessione.

I possibili valori dell'impostazione Impedisci la modifica delle impostazioni di connessione sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti possono modificare le connessioni esistenti in modo da poter utilizzare Internet Explorer per l'esplorazione di alcuni o tutti i siti Web a cui sono interessati.

Contromisura

Configurare Impedisci la modifica delle impostazioni di connessione su Attivato.

Impatto potenziale

Gli utenti non potranno modificare le impostazioni di connessione.

Impedisci la modifica delle impostazioni del server proxy

Questa impostazione di criterio non consente agli utenti di modificare le impostazioni del server proxy. Abilitando l'impostazione, le impostazioni del server proxy diventeranno inattive e non saranno disponibili. Le impostazioni si trovano nell'area Server proxy della finestra di dialogo Impostazioni rete locale (LAN). Per visualizzare la finestra, è necessario fare clic sulla scheda Connessioni e scegliere Impostazioni LAN nella finestra di dialogo Opzioni Internet.

Se si attiva l'impostazione Disattiva la scheda Connessioni (in \Configurazione utente\ Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet) non è necessario configurare l'impostazione Impedisci la modifica delle impostazioni del server proxy perché l'impostazione Disattiva la scheda Connessioni comporta la rimozione della scheda Connessioni dalla finestra di dialogo Opzioni Internet.

I possibili valori dell'impostazione Impedisci la modifica delle impostazioni del server proxy sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti possono modificare le impostazioni esistenti del server proxy rendendo impossibile l'utilizzo di Internet Explorer per l'esplorazione di alcuni o tutti i siti Web a cui sono interessati.

Contromisura

Configurare Impedisci la modifica delle impostazioni del server proxy su Attivato.

Impatto potenziale

Gli utenti non potranno modificare le impostazioni del server proxy.

Disattiva Connessione guidata Internet

Questa impostazione di criterio controlla la capacità di esecuzione della Connessione guidata Internet (ICW) da parte degli utenti. Abilitando questo criterio, il pulsante Impostazioni nella scheda Connessioni della finestra di dialogo Opzioni Internet non sarà più disponibile. Questa impostazione di criterio impedisce l'esecuzione della procedura guidata in altri modi; ad esempio, gli utenti non saranno in grado di fare clic sull'icona Connessione a Internet presente sul desktop o di fare clic su Start, Programmi, Accessori, Comunicazioni, quindi Connessione guidata Internet. Disabilitando o non configurando l'impostazione, gli utenti potranno modificare le impostazioni delle connessioni tramite la Connessione guidata Internet.

I possibili valori dell'impostazione Disattiva Connessione guidata Internet sono:

Attivato
Disattivato
Non configurato

Nota: questo criterio corrisponde all'impostazione Disattiva la scheda Connessioni, disponibile in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet, che comporta la rimozione della scheda Connessioni dalla finestra di dialogo Opzioni Internet. Tuttavia, se si utilizza questa impostazione, gli utenti potranno ancora eseguire la Connessione guidata Internet dal desktop o dal menu Start.

Vulnerabilità

Gli utenti possono utilizzare la Connessione guidata Internet per creare una nuova connessione remota o di rete che potrebbe esporre la rete dell'organizzazione all'accesso di utenti non autorizzati tramite la nuova connessione non gestita.

Contromisura

Configurare l'impostazione Disattiva Connessione guidata Internet su Attivato.

Impatto potenziale

Gli utenti non potranno utilizzare la Connessione guidata Internet.

Non consentire il salvataggio di password in modalità completamento automatico

Questa impostazione di criterio consente di disattivare il completamento automatico del nome utente e della password sui moduli delle pagine Web evitando la visualizzazione dei messaggi che richiedono il salvataggio della password. Abilitando questo criterio, le caselle di controllo Nome utente e password sui moduli e Richiedi salvataggio password diventeranno inattive e non saranno disponibili (per visualizzare le caselle di controllo, è sufficiente aprire la finestra di dialogo Opzioni Internet, quindi fare clic sulla scheda Contenuto e infine scegliere Completamento automatico). Disabilitando o non configurando l'impostazione, gli utenti potranno stabilire se eseguire il completamento automatico di nome e password utente sui moduli e richiedere il salvataggio delle password su Internet Explorer.

L'impostazione Disattiva la scheda Contenuto, disponibile in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet, comporta la rimozione della scheda Contenuto dal Pannello di controllo di Internet Explorer e assume la precedenza rispetto a Non consentire il salvataggio di password in modalità completamento automatico.

I possibili valori dell'impostazione Non consentire il salvataggio di password in modalità completamento automatico sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Benché la funzionalità di completamento automatico sia molto utile, consente il caricamento di password in Archiviazione protetta. L'Archiviazione protetta è un meccanismo molto sicuro, tuttavia è necessario che le informazioni archiviate siano accessibili all'utente che ne ha eseguito il salvataggio. Su Internet sono disponibili strumenti in grado di consentire la visualizzazione del contenuto di un'archiviazione protetta. Questi strumenti consentono di visualizzare solo l'Archiviazione protetta dell'utente da cui vengono utilizzati e non possono essere impiegati per visualizzare l'Archiviazione protetta o la password di un altro utente. L'esecuzione inconsapevole di uno di questi strumenti potrebbe esporre la password dell'utente agli attacchi di utenti malintenzionati.

Contromisura

Configurare l'impostazione Non consentire il salvataggio di password in modalità completamento automatico su Attivato.

Impatto potenziale

Gli utenti non potranno utilizzare la funzionalità di completamento automatico per il salvataggio delle password.

Pannello di controllo Internet

Utilizzando l'applet Pannello di controllo Internet, è possibile gestire le impostazioni relative a Internet. La disponibilità delle funzionalità dell'applet può essere controllata tramite il nodo Pannello di controllo Internet all'interno dei Criteri di gruppo. Le impostazioni del criterio possono essere configurate dall'Editor oggetti di Criteri di gruppo in:

Configurazione utente\Modelli amministrativi\Componenti di Windows\ Internet Explorer\Pannello di controllo Internet

Disattiva la scheda Avanzate

Questa impostazione di criterio consente la rimozione della scheda Avanzate dalla finestra di dialogo Opzioni Internet. Se si abilita questa impostazione di criterio, gli utenti non potranno visualizzare o modificare le impostazioni avanzate di Internet, come ad esempio le opzioni relative a protezione, multimedia e stampa. Disabilitando o non configurando l'impostazione, gli utenti potranno visualizzare o modificare le impostazioni.

Quando l'impostazione è abilitata, non è necessario abilitare l'impostazione Impedisci la modifica delle impostazioni della scheda Avanzate, disponibile in \Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\, perché comporta la rimozione della scheda Avanzate dall'interfaccia della finestra di dialogo Opzioni Internet.

I possibili valori dell'impostazione Disattiva la scheda Avanzate sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Contromisura

Configurare l'impostazione Disattiva la scheda Avanzate su Attivato.

Impatto potenziale

Non sarà possibile visualizzare la finestra di dialogo Avanzate.

Disattiva la scheda Protezione

Questa impostazione di criterio consente la rimozione della scheda Protezione dalla finestra di dialogo Opzioni Internet. Abilitando l'impostazione, non sarà possibile visualizzare né modificare le impostazioni delle aree di protezione relative a script, download e autenticazione utenti. Disabilitando o non configurando l'impostazione, gli utenti potranno visualizzare o modificare le impostazioni.

I possibili valori dell'impostazione Disattiva la scheda Protezione sono:

Attivato
Disattivato
Non configurato

Quando si configura questa impostazione, non è necessario definire le seguenti impostazioni di Internet Explorer perché viene rimossa la scheda Protezione dall'interfaccia della finestra di dialogo Opzioni Internet:

Aree di protezione: impedisci la modifica del criterio
Aree di protezione: impedisci l'aggiunta e l'eliminazione di siti

Vulnerabilità

Contromisura

Configurare l'impostazione Disattiva la scheda Protezione su Attivato.

Impatto potenziale

Non sarà possibile visualizzare la scheda Protezione.

Pagine non in linea

Internet Explorer può scaricare e memorizzare nella cache le pagine per renderle disponibili non in linea. Questa funzionalità può essere controllata tramite il nodo Pagine non in linea nei Criteri di gruppo. Le impostazioni del criterio possono essere configurate dall'Editor oggetti di Criteri di gruppo in:

Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pagine non in linea

Impedisci l'aggiunta di canali

Questa impostazione di criterio può impedire l'aggiunta di canali a Internet Explorer da parte degli utenti. I canali sono siti Web che vengono aggiornati automaticamente sul computer tramite una pianificazione specificata dal provider dei canali.

Abilitando questa impostazione di criterio, verrà disattivato il pulsante Add Active Channel utilizzato dall'utente per la sottoscrizione ai canali. Inoltre, non è possibile aggiungere al desktop contenuti basati su un canale, ad esempio elementi di Active Desktop della Galleria Active Desktop Microsoft. Disabilitando o non configurando l'impostazione, sarà possibile aggiungere canali alla barra degli strumenti Canale sul desktop.

I possibili valori dell'impostazione Impedisci l'aggiunta di canali sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Impedisci l'aggiunta di canali su Attivato.

Impatto potenziale

Gli utenti non potranno aggiungere canali.

Non consentire l'aggiunta di pianificazioni per le pagine non in linea

Questa impostazione è concepita per organizzazioni che intendono limitare il carico del server. Può essere utilizzata per controllare la capacità degli utenti di specificare le pagine Web che possono essere scaricate e visualizzate non in linea quando i loro computer non sono connessi a Internet.

Abilitando questa impostazione, gli utenti non potranno aggiungere nuove pianificazioni per effettuare il download di contenuti non in linea. La casella di controllo Disponibile in modalità non in linea nella finestra di dialogo Aggiungi a Preferiti diventerà inattiva e non sarà disponibile. Disabilitando o non configurando l'impostazione, sarà possibile aggiungere nuove pianificazioni per il contenuto non in linea. L'impostazione Nascondi menu Preferiti, disponibile in Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer, assume la priorità rispetto al criterio descritto.

I valori che Impedisci l'aggiunta di canali può assumere sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Non consentire l'aggiunta di pianificazioni per le pagine non in linea su Attivato.

Impatto potenziale

Gli utenti non potranno aggiungere pianificazioni per le pagine non in linea.

Disattiva tutte le pagine non in linea pianificate

Questa impostazione è concepita per organizzazioni che intendono limitare il carico del server. È possibile utilizzarla per disabilitare le pianificazioni in atto per il download di pagine Web da visualizzare in modalità non in linea. Le pagine Web abilitate per questo tipo di visualizzazione possono essere visualizzate senza collegare il computer a Internet.

Abilitando questo criterio, le caselle di controllo relative alle pianificazioni nella scheda Pianificazione della finestra di dialogo delle proprietà delle pagine Web verranno deselezionate e non potranno essere selezionate (per visualizzare la scheda, è sufficiente fare clic sul menu Strumenti, quindi scegliere Sincronizza, selezionare una pagina Web, scegliere Proprietà e infine fare clic sulla scheda Pianificazione). Disabilitando l'impostazione, le pagine Web potranno essere aggiornate in base alle pianificazioni specificate nella scheda Pianificazione. L'impostazione Nascondi menu Preferiti, disponibile in Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer, assume la priorità rispetto all'impostazione descritta.

I possibili valori dell'impostazione Impedisci l'aggiunta di canali sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Vale a dire che il browser può scaricare contenuti Web non direttamente richiesti dall’utente.

Contromisura

Configurare l'impostazione Disattiva tutte le pagine non in linea pianificate su Attivato.

Impatto potenziale

Non sarà possibile visualizzare le pagine non in linea pianificate.

Disattiva completamente interfaccia utente canali

Questa impostazione di criterio consente di controllare se gli utenti possono visualizzare l'interfaccia Canale. I canali sono siti Web che vengono aggiornati automaticamente sul computer mediante una pianificazione specificata dal provider dei canali.

Abilitando questa impostazione, l'interfaccia utente Canale diventerà inattiva e non sarà possibile selezionare la casella di controllo Barra dei canali di Internet Explorer nella scheda Web della finestra di dialogo Proprietà dello schermo. Disabilitando o non configurando l'impostazione, sarà possibile visualizzare i canali ed eseguire la sottoscrizione dall'interfaccia Canale.

I possibili valori dell'impostazione Disattiva completamente interfaccia utente canali sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Vale a dire che il browser può scaricare contenuti Web non direttamente richiesti dall’utente.

Contromisura

Configurare l'impostazione Disattiva completamente interfaccia utente canali su Attivato.

Impatto potenziale

Gli utenti non potranno accedere all'interfaccia utente canali.

Disattiva il download dei file di dati della sottoscrizione al sito

Questa impostazione consente di controllare se è possibile scaricare il contenuto dei siti Web per i quali è stata eseguita la sottoscrizione. Questa funzionalità consente di visualizzare le pagine Web in modalità non in linea, senza collegare il computer a Internet.

Abilitando l'impostazione, non sarà possibile scaricare il contenuto dei siti Web per i quali è stata eseguita la sottoscrizione. Tuttavia, la sincronizzazione con le pagine Web verrà eseguita comunque per determinare se il contenuto è stato aggiornato dall'ultima sincronizzazione o visita al sito. Disabilitando o non configurando l'impostazione, gli utenti potranno scaricare il contenuto.

Le impostazioni Disattiva il download dei file di dati della sottoscrizione al sito e Nascondi menu Preferiti, disponibili in Configurazione utente\Modelli amministrativi\Componenti di Windows\ Internet Explorer, assumono la priorità rispetto a questa impostazione.

I possibili valori dell'impostazione Disattiva il download dei file di dati della sottoscrizione al sito sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Disattiva il download dei file di dati della sottoscrizione al sito su Attivato.

Impatto potenziale

Gli utenti non potranno eseguire il download automatico del contenuto tramite sottoscrizioni al sito.

Impedisci la modifica e la creazione di gruppi di pianificazioni

Questa impostazione di criterio consente di controllare l'aggiunta, la modifica o l'eliminazione delle pianificazioni di download del contenuto per la visualizzazione in modalità non in linea delle pagine Web o dei gruppi di pagine Web per i quali è stata eseguita la sottoscrizione. Un gruppo di sottoscrizioni è costituito da una pagina Web preferita e dalle pagine Web ad essa collegate.

Abilitando questo criterio, i pulsanti Aggiungi, Rimuovi e Modifica nella scheda Pianificazione della finestra di dialogo delle proprietà della pagina Web diventano inattivi e non saranno disponibili (per visualizzare la scheda, è sufficiente fare clic sul menu Strumenti, quindi scegliere Sincronizza, selezionare una pagina Web, scegliere Proprietà e infine fare clic sulla scheda Pianificazione).Disabilitando o non configurando l'impostazione, sarà possibile aggiungere, rimuovere e modificare le pianificazioni per siti Web e gruppi di siti Web.

Le impostazioni Non consentire la modifica delle pianificazioni per le pagine non in linea e Nascondi menu Preferiti, disponibili in Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer, assumono la priorità rispetto a questo criterio.

I possibili valori dell'impostazione Impedisci la modifica e la creazione di gruppi di pianificazioni sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Impedisci la modifica e la creazione di gruppi di pianificazioni su Attivato.

Impatto potenziale

Gli utenti non saranno in grado di aggiungere, modificare o rimuovere le pianificazioni per il download del contenuto di pagine Web da visualizzare in modalità non in linea.

Non consentire la modifica delle pianificazioni per le pagine non in linea

Questa impostazione è concepita per organizzazioni che intendono limitare il carico del server. Consente di controllare se gli utenti possono modificare le pianificazioni già esistenti per il download di pagine Web da poter visualizzare in modalità non in linea, quando il computer non è collegato a Internet.

Abilitando questa impostazione di criterio, gli utenti non saranno in grado di visualizzare le proprietà di pianificazione delle pagine configurate per essere visualizzate in modalità non in linea. Se si fa clic sul menu Strumenti, quindi si sceglie Sincronizza, si seleziona una pagina Web e infine di sceglie il pulsante Proprietà, le proprietà non vengono visualizzate e non appare alcun avviso indicante che il comando non è disponibile. Disabilitando o non configurando questa impostazione di criterio, gli utenti potranno modificare le pianificazioni esistenti per effettuare il download del contenuto Web che si desidera visualizzare in modalità non in linea.

L'impostazione Nascondi menu Preferiti, disponibile in Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer, assume la priorità rispetto al criterio descritto.

I possibili valori dell'impostazione Non consentire la modifica delle pianificazioni per le pagine non in linea sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Non consentire l'aggiunta di pianificazioni per le pagine non in linea su Attivato.

Impatto potenziale

Gli utenti non saranno in grado di modificare le pianificazioni che stabiliscono quando scaricare il contenuto della pagina Web in modo da poterlo visualizzare in modalità non in linea.

Disattiva la registrazione del numero di accessi alle pagine non in linea

Questa impostazione consente di stabilire se i provider dei canali potranno registrare le informazioni in cui viene indicato quando le pagine dei canali vengono visualizzate dagli utenti connessi in modalità non in linea.

Abilitando questa impostazione di criterio, verranno disabilitate le impostazioni di accesso definite dai provider dei canali nel file cdf (Channel Definition Format). Il file cdf determina la pianificazione e altre impostazioni per il download di contenuto Web. Disabilitando o non configurando questa impostazione di criterio, i provider dei canali potranno registrare informazioni relative alla visualizzazione delle pagine dei canali da parte di utenti connessi in modalità non in linea.

I possibili valori dell'impostazione Disattiva la registrazione del numero di accessi alle pagine non in linea sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Disattiva la registrazione del numero di accessi alle pagine non in linea su Attivato.

Impatto potenziale

Il numero di accessi dell'utente al contenuto non in linea non verrà inoltrato al sito Web alla successiva connessione in linea.

Impedisci la rimozione di canali

Questo criterio consente agli amministratori di garantire l'uniformità degli aggiornamenti per i computer dell'organizzazione. Stabilisce se gli utenti possono disattivare la sincronizzazione del canale in Internet Explorer. I canali sono siti Web che vengono aggiornati automaticamente sul computer in base a una pianificazione specificata dal provider dei canali.

Se si abilita questa impostazione di criterio, gli utenti non potranno interferire con la sincronizzazione del canale. Disabilitando o non configurando l'impostazione, sarà possibile disabilitare la sincronizzazione dei canali.

I possibili valori dell'impostazione Impedisci la rimozione di canali sono:

Attivato
Disattivato
Non configurato

Nota: questo criterio non impedisce la rimozione del contenuto attivo dall'interfaccia del desktop.

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Impedisci la rimozione di canali su Attivato.

Impatto potenziale

Gli utenti non potranno rimuovere i canali né disabilitarne la sincronizzazione.

Non consentire la rimozione di pianificazioni per le pagine non in linea

Questa impostazione è concepita per organizzazioni che intendono limitare il carico del server. Consente di controllare se gli utenti possono deselezionare le restrizioni per le impostazioni preconfigurate per il download di pagine Web da poter visualizzare in modalità non in linea, quando il computer non è collegato a Internet.

Abilitando l'impostazione, la casella di controllo Disponibile in modalità non in linea della finestra di dialogo Organizza Preferiti e la casella di controllo Rendi la pagina disponibile in modalità non in linea diventeranno inattive, resteranno selezionate e non saranno disponibili (per visualizzare la casella di controllo Rendi la pagina disponibile in modalità non in linea, fare clic sul menu Strumenti, quindi scegliere Sincronizza e Proprietà). Disabilitando o non configurando questa impostazione di criterio, gli utenti potranno rimuovere le restrizioni per le impostazioni preconfigurate sulle pagine, per poterle scaricare e visualizzare in modalità non in linea.

L'impostazione Nascondi menu Preferiti, disponibile in Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer, assume la priorità rispetto all'impostazione descritta.

I possibili valori dell'impostazione Non consentire la rimozione di pianificazioni per le pagine non in linea sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I dati possono essere inviati al browser senza alcuna interazione diretta da parte dell’utente. Il browser può scaricare contenuti Web non richiesti direttamente dall’utente.

Contromisura

Configurare l'impostazione Non consentire la rimozione di pianificazioni per le pagine non in linea su Attivato.

Impatto potenziale

Gli utenti non potranno rimuovere le pianificazioni per le pagine non in linea.

Tramite il nodo Menu Browser nei Criteri di gruppo è possibile abilitare e disabilitare le singole funzionalità nel sistema di menu Internet Explorer. Le impostazioni del criterio possono essere configurate dall'Editor oggetti di Criteri di gruppo in:

Configurazione utente\Modelli amministrativi\Componenti di Windows\ Internet Explorer\Menu Browser

Disattiva l'opzione Salva l'applicazione su disco

Abilitando questa impostazione di criterio, gli utenti non potranno fare clic sul pulsante Disattiva l'opzione Salva l'applicazione su disco per scaricare i file di programmi. Verrà visualizzato un messaggio in cui viene indicato che il comando non è disponibile. Disabilitando o non configurando l'impostazione, sarà possibile scaricare i programmi dal browser.

I possibili valori dell'impostazione Menu Browser: disattiva l'opzione Salva l'applicazione su disco sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti possono scaricare ed eseguire codice dannoso dai siti Web.

Contromisura

Configurare l'impostazione Disattiva l'opzione Salva l'applicazione su disco su Attivato.

Impatto potenziale

Gli utenti non potranno fare clic sul pulsante Salva l'applicazione su disco per scaricare i file di programmi.

Comportamento di persistenza

Internet Explorer consente di salvare le impostazioni o i dati degli oggetti HTML (DHTML) su disco; questa funzionalità viene definita persistenza. Le variabili degli script, i dati di moduli, gli stili e lo stato possono essere persistenti nel flusso di memoria della sessione corrente, nell'elenco di preferiti, in HTML o in XML. I quattro comportamenti di persistenza DHTML sono saveFavorite, saveHistory, saveSnapshot, and userData. Internet Explorer, in base all'area di protezione, consente di applicare i controlli alla quantità di dati che le applicazioni possono salvare utilizzando questo meccanismo.

I possibili valori dell'impostazione Comportamento di persistenza sono:

Attivato
- Per dominio (in kilobyte). Questa configurazione stabilisce la quantità dei dati in totale che è possibile salvare da script associati a un determinato dominio.
- Per documento (in kilobyte). Questa configurazione stabilisce la quantità dei dati in totale che è possibile salvare da costrutti DHTML in una pagina Web specifica.
Disattivato
Non configurato

Vulnerabilità

Una pagina Web dannosa può salvare su un computer di destinazione dati pericolosi, o quantità eccessive di dati.

Contromisura

Abilitare i limiti di dimensione in base all'area di protezione per le aree Internet e Siti con restrizioni.

Impatto potenziale

Nessuno.

Gestione allegati

In Windows Server 2003 SP1 e Windows XP SP2, un nuovo servizio chiamato Gestione allegati offre un insieme coerente di comportamenti per i file allegati nei messaggi di posta elettronica e pagine Web. Il servizio Gestione allegati implementa una serie uniforme di istruzioni utilizzate per il download di file, gli allegati di posta, l'esecuzione del processo Shell e l'installazione del programma. Queste istruzioni sono state modificate in modo da essere più chiare e coerenti rispetto alle versioni precedenti di Windows. Le informazioni dell'autore saranno inoltre visualizzate prima di aprire un tipo di file a cui è possibile applicare la firma digitale e potrebbe danneggiare il computer (gli esempi comuni delle estensioni di file a cui è possibile applicare la firma digitale e che potrebbero danneggiare i computer sono .exe, .dll, .ocx, .msi e .cab). Il servizio Gestione allegati contiene una nuova interfaccia API (Application Programming Interface) che consente agli sviluppatori delle applicazioni di utilizzare questa nuova interfaccia utente.

Il servizio Gestione allegati classifica i file ricevuti o scaricati in base al tipo e all'estensione del nome dei file. Il servizio classifica i file in base a categorie di rischio alto, medio e basso. Se sul disco rigido vengono salvati file da un programma che utilizza il servizio Gestione allegati, insieme al file vengono salvate anche le informazioni dell'area di contenuto Web del file. Ad esempio, se si effettua il salvataggio di un file compresso (.zip) allegato a un messaggio di posta elettronica, saranno salvate anche le informazioni dell'area di contenuto Web e non sarà possibile estrarre il contenuto del file compresso.

Nota: le informazioni dell'area di contenuto Web sono salvate insieme ai file solamente se il computer utilizza il file system NTFS.

Il servizio Gestione allegati suddivide i file in tre categorie:

Rischio elevato. Se l'allegato è riportato nell'elenco di file a rischio elevato e proviene da un'area ristretta, Windows bloccherà l'accesso al file. Se il file proviene dall'area Internet, ne verrà richiesto il consenso all'accesso.
Rischio moderato. Se l'allegato è riportato nell'elenco di file a rischio moderato e proviene da un'area ristretta o da Internet, ne verrà richiesto il consenso all'accesso
Rischio basso. Se l'allegato è nell'elenco di file a basso rischio, non verrà richiesto alcun consenso all'accesso, a prescindere dalle informazioni sull'area del file.

Le impostazioni del criterio possono essere configurate dall'Editor oggetti di Criteri di gruppo in:

Configurazione utente\Modelli amministrativi\Componenti di Windows\ Gestione allegati

Livello di rischio predefinito per i file allegati

Questa impostazione di criterio consente di gestire il livello di rischio predefinito per i tipi di file. Al fine di personalizzare completamente il livello di rischio degli allegati, potrebbe essere inoltre necessario configurare la relativa logica di trust. Abilitando questa impostazione di criterio, è possibile specificare il livello di rischio predefinito per i tipi di file che non sono inclusi in modo esplicito negli elenchi dei tipi di rischio alto, medio o basso. Disabilitando o non configurando questa impostazione di criterio, Windows imposta il livello di rischio predefinito come moderato.

I possibili valori dell'impostazione Livello di rischio predefinito per i file allegati sono:

Attivato, con le seguenti opzioni di configurazione del livello di rischio predefinito
- Rischio elevato
- Rischio moderato
- Rischio basso
Disattivato
Non configurato

Vulnerabilità

Un pirata informatico potrebbe nascondere il codice dannoso per indurre gli utenti a eseguirlo.

Contromisura

Configurare l'impostazione Livello di rischio predefinito per i file allegati su Attivato: Rischio moderato.

Impatto potenziale

Prima di poter avere accesso ai file con estensioni non incluse in modo esplicito all'interno dell'elenco dei tipi di file a basso rischio, gli utenti dovranno rispondere alle richieste di protezione.

Elenco di inclusione per tipi di file a rischio elevato

Questa impostazione di criterio consente di configurare l'elenco dei tipi di file a rischio elevato. Se il file allegato è riportato nell'elenco di file a rischio elevato e proviene da un'area ristretta, Windows bloccherà l'accesso al file. Se il file proviene dall'area Internet, ne verrà richiesto il consenso all'accesso. Quando un'estensione è elencata in più elenchi di inclusione, questo elenco di inclusione assume la priorità rispetto agli elenchi di inclusione a medio e basso rischio. Abilitando questa impostazione di criterio, è possibile creare un elenco personalizzato di tipi di file a rischio elevato. Disabilitando o non configurando questa impostazione di criterio, Windows utilizza il proprio elenco incorporato dei tipi di file a rischio elevato.

I possibili valori dell'impostazione Elenco di inclusione per tipi di file a rischio elevato sono:

Attivato (consente di specificare un elenco di estensioni di file separate da virgola)
Disattivato
Non configurato

Vulnerabilità

Gli utenti potrebbero aprire accidentalmente un file ad alto rischio, che potrebbe compromettere il loro computer e anche gli altri in rete.

Contromisura

Configurare l'impostazione Elenco di inclusione per tipi di file a rischio elevato su Attivato e specificare gli altri tipi di file che si desidera controllare.

Impatto potenziale

Elenco di inclusione per tipi di file a rischio moderato

Questa impostazione di criterio consente di configurare l'elenco dei tipi di file a rischio moderato. Se l'allegato è riportato nell'elenco di file a rischio moderato e proviene da un'area ristretta o da Internet, ne verrà richiesto il consenso all'accesso Questo elenco di inclusione sovrascrive l'elenco incorporato dei tipi di file che possono essere considerati a rischio elevato e assume la priorità rispetto all'elenco di inclusione a rischio basso, pur avendo una priorità minore rispetto all'elenco di inclusione a rischio basso. Abilitando questa impostazione di criterio, è possibile specificare i tipi di file a rischio moderato. Se si disattiva o non si configura l'impostazione del criterio, verrà utilizzata la logica di trust predefinita.

I possibili valori dell'impostazione Elenco di inclusione per tipi di file a rischio moderato sono:

Attivato (consente di specificare un elenco di estensioni di file separate da virgola)
Disattivato
Non configurato

Vulnerabilità

Gli utenti potrebbero aprire accidentalmente un file ad alto rischio, che potrebbe compromettere il loro computer e anche gli altri in rete.

Contromisura

Configurare l'impostazione Elenco di inclusione per tipi di file a rischio moderato su Attivato e specificare gli altri tipi di file che si desidera controllare.

Impatto potenziale

Se un tipo di file viene riportato in più di un elenco di inclusione, si dovrà applicare l'elenco più restrittivo. Se per questa impostazione viene definito un valore, questo sovrascriverà l'elenco di inclusione dei tipi di file a rischio moderato incorporato in Windows. Prestare la massima attenzione nello spostare i tipi di file a rischio elevato come ad esempio i file .EXE nell'elenco di inclusione a rischio moderato, in quando in questo modo sarà più semplice l'esecuzione di file potenzialmente pericolosi.

Elenco di inclusione per tipi di file a rischio basso

Questa impostazione di criterio consente di configurare l'elenco dei tipi di file a rischio basso. Se l'allegato è nell'elenco di file a basso rischio, non verrà richiesto alcun consenso all'accesso, a prescindere dalle informazioni sull'area del file. Questo elenco di inclusione sovrascrive l'elenco incorporato di Windows dei tipi di file a rischio elevato e ha una priorità minore rispetto agli elenchi di inclusione a rischio elevato o medio. Abilitando questa impostazione di criterio, è possibile specificare i tipi di file a rischio basso. Se si disattiva o non si configura l'impostazione del criterio, verrà utilizzata la logica di trust predefinita.

I possibili valori dell'impostazione Elenco di inclusione per tipi di file a rischio basso sono:

Attivato (consente di specificare un elenco di estensioni di file separate da virgola)
Disattivato
Non configurato

Vulnerabilità

Gli utenti potrebbero aprire accidentalmente un file ad alto rischio, che potrebbe compromettere il loro computer e anche gli altri in rete.

Contromisura

Configurare l'impostazione Elenco di inclusione per tipi di file a rischio moderato su Attivato e specificare gli altri tipi di file che si desidera controllare.

Impatto potenziale

Se un tipo di file viene riportato in più di un elenco di inclusione, si dovrà applicare l'elenco più restrittivo. Se per questa impostazione viene definito un valore, questo valore sovrascriverà l'elenco di inclusione dei tipi di file a rischio basso incorporato in Windows. Prestare la massima attenzione nello spostare i tipi di file a rischio elevato come ad esempio i file .EXE nell'elenco di inclusione a rischio basso, in quando in questo modo sarà più semplice l'esecuzione di file potenzialmente pericolosi.

Logica di trust dei file allegati

Questa impostazione di criterio consente di configurare la logica che Windows utilizza per determinare il rischio dei file allegati. Abilitando questa impostazione di criterio, è possibile scegliere l'ordine di elaborazione dei dati per la valutazione dei rischi da parte di Windows. Disabilitando o non configurando questa impostazione di criterio, Windows utilizza la logica di trust predefinita, che predilige il nome del file rispetto al tipo di file.

I possibili valori dell'impostazione Logica di trust dei file allegati sono:

Attivato, con le seguenti opzioni:
- Considerare nome e tipo file. Abilitando questa opzione, Windows utilizzerà i dati che risultano più restrittivi tra quelli del nome file o del tipo file.
- Preferenza per il nome file. Abilitando questa opzione, Windows considererà sempre attendibile il nome file (ad esempio notepad.exe) indipendentemente dal tipo di file.
- Preferenza per il tipo di file. Abilitando questa opzione, Windows considererà sempre attendibile il tipo di file, indipendentemente dal nome file.
Disattivato
Non configurato

Vulnerabilità

Un pirata informatico potrebbe creare un file per sfruttare una vulnerabilità in un nome file specifico.

Contromisura

Configurare l'impostazione Logica di trust dei file allegati su Attivato: considerare nome e tipo file.

Impatto potenziale

Configurando l'impostazione Logica di trust dei file allegati in modo da utilizzare sia il nome sia il tipo del file, gli utenti visualizzeranno un numero maggiore di richieste di protezione relative all'allegato, in quanto per prendere le decisioni sulla protezione relativa all'allegato, Windows utilizzerà sempre l'ambito più restrittivo.

Non conservare le informazioni di area nei file allegati

Questa impostazione di criterio consente di configurare Windows in modo da contrassegnare i file allegati con informazioni relative all'area di origine (come limitato, Internet, Intranet o locale). Per un funzionamento corretto è necessario un file system NTFS, in quanto con un file system FAT32 è destinato a fallire senza alcun avviso. Se le informazioni di area non sono conservate, Windows non può valutare correttamente il rischio. Abilitando questa impostazione di criterio, i file allegati non vengono contrassegnati con le informazioni relative all'area di origine. Disabilitando o non configurando questa impostazione di criterio, i file allegati vengono contrassegnati con le informazioni relative all'area di origine.

I possibili valori dell'impostazione Non conservare le informazioni di area nei file allegati sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Un file scaricato da un computer nelle aree Internet o Siti con restrizioni può essere spostato in una posizione che lo fa sembrare sicuro, come ad esempio una condivisione dei file di Intranet, ed eseguito da un utente inconsapevole.

Contromisura

Configurare l'impostazione Non conservare le informazioni di area nei file allegati su Attivato.

Impatto potenziale

Nessuno.

Nascondi meccanismi di rimozione informazioni sull'area

Questa impostazione di criterio consente di scegliere se gli utenti possono rimuovere manualmente le informazioni sull'area dai file allegati salvati. Generalmente è possibile fare clic sul pulsante Annulla blocco nella finestra Proprietà del file o selezionare la casella di controllo nella finestra di dialogo Avviso di protezione. Se gli utenti sono in grado di spostare le informazioni sull'area, potrebbero aprire file allegati pericolosi già bloccati in precedenza da Windows. Abilitando questa impostazione, Windows nasconde la casella di controllo e il pulsante Annulla blocco. Disabilitando o non configurando questa impostazione di criterio, Windows consente di visualizzare la casella di controllo e il pulsante Annulla blocco.

I possibili valori dell'impostazione Nascondi meccanismi di rimozione informazioni sull'area sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Un utente potrebbe rimuovere le informazioni che indicano che un file proviene da una posizione non attendibile.

Contromisura

Configurare l'impostazione Nascondi meccanismi di rimozione informazioni sull'area su Attivato.

Impatto potenziale

Gli utenti che devono effettivamente poter rimuovere dai file le informazioni sull'area non avranno la possibilità di farlo.

Notifica programmi antivirus quando vengono aperti allegati

Questa impostazione di criterio consente di stabilire come notificare i programmi antivirus registrati all'apertura degli allegati. Se sono stati registrati più programmi, questi saranno tutti notificati. Se il programma antivirus registrato esegue già controlli all'accesso o scansiona già i file in arrivo sul server di posta elettronica del computer, le chiamate aggiuntive risulteranno ridondanti. Abilitando questa impostazione di criterio, Windows richiama i programmi antivirus registrati in modo da poter effettuare la scansione di qualsiasi file allegato aperto dall'utente. Se il programma antivirus non funziona, l'apertura dell'allegato non è consentita. Disabilitando o non configurando questa impostazione di criterio, Windows non richiama il programma antivirus registrato quando i file allegati vengono aperti.

I possibili valori dell'impostazione Notifica programmi antivirus quando vengono aperti allegati sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

I programmi antivirus che non eseguono controlli all'accesso potrebbero non essere in grado di effettuare la scansione dei file scaricati.

Contromisura

Configurare l'impostazione Notifica programmi antivirus quando vengono aperti allegati su Attivato.

Impatto potenziale

Quando l'impostazione Notifica programmi antivirus quando vengono aperti allegati è configurata su Attivato, sarà eseguita la scansione di ciascun allegato di posta elettronica o file scaricato.

Esplora risorse

Esplora risorse è utilizzato per individuare il file system dei client che eseguono Windows XP Professional.

È possibile configurare le impostazioni utente previste di Windows Explorer all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione utente\Modelli amministrativi\Componenti di Windows\ Esplora risorse

Rimuovi le funzioni di masterizzazione CD

Questa impostazione di criterio rimuove le funzioni di masterizzazione CD incorporate in Windows XP. Windows XP consente la creazione e la modifica di CD riscrivibili se si dispone di un'unità di masterizzazione CD collegata al computer. Questa funzionalità può essere utilizzata per copiare grandi quantità di dati da un disco rigido a un CD, che può quindi essere rimosso dal computer.

Nota: questa impostazione di criterio non impedisce la creazione o la modifica di CD con un masterizzatore CD mediante applicazioni di terze parti. La presente guida consiglia di utilizzare i criteri di restrizione del software al fine di impedire la creazione o la modifica di CD da parte di applicazioni di terze parti. Per maggiori informazioni, vedere il Capitolo 6, "Criteri di restrizione software per i client Windows XP".

Un altro metodo che consente di impedire la masterizzazione CD è quello di rimuovere i masterizzatori CD dai computer client nell'ambiente e di sostituirli con unità CD di sola lettura, oppure di rimuovere entrambi.

Vulnerabilità

La funzione di masterizzazione CD incorporata può essere utilizzata per copiare clandestinamente le informazioni presenti nel computer o in rete.

Contromisura

Configurare l'impostazione Rimuovi le funzioni di masterizzazione CD su Attivato.

Impatto potenziale

Quando l'impostazione Rimuovi le funzioni di masterizzazione CD è configurata su Attivato, non è possibile masterizzare CD senza utilizzare applicazioni di terze parti.

Rimuovi la scheda Protezione

Questa impostazione di criterio consente di disabilitare la scheda Protezione nelle finestre di dialogo delle proprietà dei file e delle cartelle di Esplora risorse. Abilitando questa impostazione di criterio, gli utenti non potranno accedere alla scheda Protezione (dopo aver aperto la finestra di dialogo Proprietà) di tutti gli oggetti del file system, comprese cartelle, file, collegamenti e unità. Gli utenti non saranno in grado di modificare le impostazioni sulla scheda Protezione o di visualizzare l'elenco degli utenti.

Vulnerabilità

Gli utenti possono accedere alla scheda Protezione per determinare gli account che dispongono di autorizzazioni per qualsiasi oggetto del file system. I pirati informatici possono prendere di mira tali account per avere maggiore accesso.

Contromisura

Configurare l'impostazione Rimuovi la scheda Protezione su Attivato.

Impatto potenziale

Quando l'impostazione Rimuovi la scheda Protezione è configurata su Attivato, gli utenti non saranno in grado di visualizzare la scheda Protezione degli oggetti del file system, di analizzare le autorizzazioni, o di modificare le autorizzazioni mediante Esplora risorse.

System

È possibile configurare le impostazioni previste del sistema nella seguente posizione utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione utente\Modelli amministrativi\Sistema

Impedisci l'accesso agli strumenti di modifica del Registro di sistema

Questa impostazione di criterio consente di disabilitare gli editor del Registro di sistema Windows, Regedit.exe e Regedt32.exe. Abilitando questa impostazione di criterio, quando l'utente tenta di avviare un editor del Registro di sistema visualizzerà un messaggio che lo informa di non poter utilizzare entrambi gli editor. Questa impostazione di criterio impedisce agli utenti o agli intrusi di accedere al Registro di sistema mediante questi strumenti, ma non impedisce tuttavia l'accesso al Registro di sistema stesso.

Vulnerabilità

Gli utenti potrebbero cercare di utilizzare gli strumenti di modifica del Registro di sistema per aggirare altre restrizioni e criteri. Sebbene molte delle impostazioni applicate dai Criteri di gruppo non possano essere aggirate in questo modo, le impostazioni applicate direttamente al Registro di sistema possono essere modificate.

Contromisura

Configurare l'impostazione Impedisci l'accesso agli strumenti di modifica del Registro di sistema su Attivato.

Impatto potenziale

Quando l'impostazione Impedisci l'accesso agli strumenti di modifica del Registro di sistema è configurata su Attivato, per apportare modifiche al Registro di sistema, gli utenti non potranno avviare Regedit.exe o Regedt32.exe.

Sistema\Gestione dell'alimentazione

È possibile configurare le impostazioni utente Sistema\Gestione dell'alimentazione previste nella seguente posizione utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione utente\Modelli amministrativi\Sistema\Gestione dell'alimentazione

Richiedi password al ripristino dalla modalità di sospensione

Questa impostazione di criterio consente di stabilire se i computer client nell'ambiente sono bloccati al ripristino da uno stato di sospensione. Abilitando questa impostazione, quando vengono ripristinati, i computer client sono bloccati ed è necessario immettere la password per sbloccarli. Disabilitando o non configurando questa impostazione, si potrebbe verificare una violazione della protezione, in quanto chiunque potrebbe accedere ai computer client dopo il loro ripristino.

Impostazioni dello screen saver

Gli screen saver sono stati inizialmente progettati per evitare problemi di sovraccarico nei monitor dei computer basati su raggi catodici. Si sono successivamente sviluppati in un'altra direzione orientata verso la personalizzazione dell'aspetto e del comportamento del desktop virtuale del computer. Gli screen saver sono diventati anche uno strumento di protezione. Grazie al blocco automatico del desktop, infatti, rappresentano uno strumento utile in grado di garantire una maggiore protezione dei computer quando l'utente dimentica di bloccare la console e lascia il computer incustodito.

È possibile configurare le impostazioni dello screen saver previste nella seguente posizione all'interno dell'Editor oggetti Criteri di gruppo:

Configurazione utente\Modelli amministrativi\Pannello di controllo\Schermo

Nascondi scheda Screen saver

Questa impostazione di criterio consente di determinare se gli utenti possono aggiungere, configurare o modificare lo screen saver sul computer.

Abilitando questa impostazione di criterio, la scheda Screen saver è rimossa da Schermo nel Pannello di controllo e gli utenti non saranno in grado di apportare modifiche alle impostazioni dello screen saver. Disabilitando o non configurando questa impostazione di criterio, gli utenti potranno accedere a questa scheda.

I possibili valori dell'impostazione Nascondi scheda Screen saver sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Gli utenti possono modificare le impostazioni dello screen saver per rimuovere le password o per aumentare l'intervallo di tempo che precede il blocco del computer.

Contromisura

Configurare l'impostazione Nascondi scheda Screen saver su Attivato.

Impatto potenziale

Gli utenti non saranno in grado di modificare le impostazioni dello screen saver.

Proteggi screen saver con password

Questa impostazione di criterio consente di determinare se gli screen saver utilizzati sul computer verranno protetti da password.

Abilitando questa impostazione di criterio, tutti gli screen saver verranno protetti da password. Disattivando questa impostazione di criterio, gli screen saver non potranno essere protetti da password. Questa configurazione consente inoltre di disabilitare la casella di controllo Protetto da password nella scheda Screen saver della finestra di dialogo Schermo nel Pannello di controllo impedendo la modifica delle impostazioni di protezione tramite password.

Non configurando l'impostazione, sarà possibile scegliere se impostare o meno la protezione tramite password per ogni screen saver. Per accertarsi che il computer sia protetto da password, è consigliabile abilitare l'impostazione Screen saver e specificare un valore di timeout mediante l'impostazione Timeout dello screen saver.

I possibili valori dell'impostazione Proteggi screen saver con password sono:

Attivato
Disattivato
Non configurato

Nota: per rimuovere la scheda Screen saver, utilizzare l'impostazione Nascondi scheda Screen saver.

Vulnerabilità

Gli screen saver privi di protezione tramite password non eseguiranno il blocco della console quando i computer vengono lasciati incustoditi.

Contromisura

Configurare l'impostazione Proteggi screen saver con password su Attivato.

Impatto potenziale

Gli utenti dovranno sbloccare i computer dopo l'avvio dello screen saver.

Screen saver

Questa impostazione di criterio consente di abilitare gli screen saver del desktop. Disattivando questa impostazione di criterio, gli screen saver non potranno essere abilitati.

Non configurando questa impostazione di criterio non si avrà alcun effetto sul computer. Abilitando l'impostazione, gli screen saver potranno essere eseguiti a condizione che:

Venga specificato per il client uno screen saver valido mediante l'impostazione Nome del file eseguibile dello screen saver oppure mediante il Pannello di controllo del computer client.
Venga specificato, mediante l'impostazione o il Pannello di controllo, un valore diverso da 0 per il timeout dello screen saver.

I possibili valori dell'impostazione Screen saver sono:

Attivato
Disattivato
Non configurato

Vulnerabilità

Questa impostazione deve essere abilitata per poter utilizzare la funzionalità di blocco dello screen saver sopra riportata.

Contromisura

Configurare l'impostazione Screen saver su Attivato.

Impatto potenziale

L'impostazione abiliterà gli screen saver nei computer in uso.

Nome del file eseguibile dello screen saver

Questa impostazione di criterio consente di specificare lo screen saver visualizzato sul desktop dell'utente. Abilitando l'impostazione, verrà visualizzato lo screen saver specificato sul desktop dell'utente e Disattivato l'elenco a discesa degli screen saver nella scheda Screen saver della finestra di dialogo Schermo nel Pannello di controllo in modo da impedire eventuali modifiche da parte dell'utente. Disabilitando o non configurando l'impostazione, gli utenti potranno selezionare qualsiasi screen saver.

Per abilitare l'impostazione Nome del file eseguibile dello screen saver

Immettere il nome del file contenente lo screen saver. Inserire l'estensione del nome del file scr.
Se il file dello screen saver non si trova nella cartella %Systemroot%\System32, immettere il percorso completo del file.

Se lo screen saver specificato non è installato nel computer in cui viene applicata l'impostazione, questa verrà ignorata.

I possibili valori dell'impostazione Nome del file eseguibile dello screen saver sono:

Attivato. Dopo aver specificato questo valore, immettere il nome del file eseguibile dello screen saver.
Disattivato
Non configurato

Nota: questa impostazione può essere sostituita da Screen saver. Disabilitando l'impostazione Screen Saver, l'impostazione Nome del file eseguibile dello screen saver sarà ignorata e gli screen saver non verranno eseguiti.

Vulnerabilità

Per abilitare la funzionalità di blocco, è necessario specificare un file eseguibile valido per lo screen saver.

Contromisura

Configurare l'impostazione Nome del file eseguibile dello screen saver su scrnsave.scr, lo screen saver vuoto, o su un altro file eseguibile dello screen saver.

Impatto potenziale

Lo screen saver vuoto o un altro screen saver specificato verrà eseguito allo scadere del periodo di timeout.

Timeout dello screen saver

Questa impostazione consente di specificare il tempo di inattività prima dell'avvio dello screen saver. Se è configurata, è possibile impostare il tempo di inattività in base a un intervallo compreso tra 1 secondo e 86400 secondi, ovvero 24 ore. Quando l'impostazione è configurata su 0, lo screen saver non verrà avviato.

L'impostazione non ha effetto quando si verificano le seguenti circostanze:

Se l'impostazione di criterio è configurata su Disattivato o Non configurato.
Se il tempo di attesa è impostato su 0.
Se l'impostazione Nessuno screen saver è abilitata.
Se né l'impostazione Nome del file eseguibile dello screen saver né la scheda Screen saver della finestra di dialogo Proprietà dello schermo del computer client consentono di specificare un programma di screen saver valido, esistente sul client.

Se non è configurata, verrà utilizzato il tempo di attesa impostato sul client mediante la scheda Screen saver della finestra di dialogo Proprietà dello schermo. Il valore predefinito è 15 minuti.

I possibili valori dell'impostazione Timeout dello screen saver sono:

Attivato, con un intervallo di timeout dello screen saver compreso tra 1 e 86400 secondi.
Disattivato
Non configurato

Vulnerabilità

È necessario configurare un periodo di timeout dello screen saver valido per abilitare la funzionalità di blocco dello screen saver.

Contromisura

Configurare l'impostazione Timeout dello screen saver su un valore appropriato per i requisiti di protezione dell'organizzazione.

Impatto potenziale

Lo screen saver verrà eseguito dopo un periodo di tempo di inattività.

Inizio pagina

Ulteriori informazioni

I seguenti collegamenti forniscono ulteriori informazioni sui Modelli amministrativi in Windows XP Professional e Windows Server 2003:

Per un elenco completo di tutte le impostazioni dei Modelli amministrativi disponibili in Windows XP e in Windows Server 2003, eseguire il download del foglio di calcolo "Group Policy Settings Reference for Windows Server 2003 with Service Pack 1" (in inglese) all'indirizzo

www.microsoft.com/downloads/details.aspx?FamilyId= 7821C32F-DA15-438D-8E48-45915CD2BC14.
Per ulteriori informazioni sulla posizione dei file .adm, consultare l'articolo della Microsoft Knowledge Base "Posizione di file ADM (modello amministrativo) in Windows" all'indirizzo http://support.microsoft.com/kb/228460/it.
Per ulteriori informazioni sulla creazione di modelli amministrativi personalizzati in Windows, consultare l'articolo della Microsoft Knowledge Base “How to: Creare modelli amministrativi personalizzati in Windows 2000” all'indirizzo http://support.microsoft.com/kb/323639/it.
Per le informazioni su come creare i propri Modelli amministrativi, vedere il documento "Implementing Registry-Based Group Policy" (in inglese) all'indirizzo

www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.
Per ulteriori informazioni sulla segnalazione di errori, vedere il sito Web sulla Segnalazione errori a server interno all'indirizzo www.microsoft.com/resources/satech/cer/.
Per informazioni generali su Windows Server Update Services (WSUS), vedere Windows Server Update Services Product Overview (in inglese) all'indirizzo

www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx.
Per informazioni sul modo in cui distribuire WSUS, vedere Deploying Microsoft Windows Server Update Services (in inglese) all'indirizzo

www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/ WSUSDeploymentGuideTC/.
Per ulteriori informazioni sulla Gestione Criteri di gruppo, vedere Enterprise Management with the Group Policy Management Console (in inglese) all'indirizzo

www.microsoft.com/windowsserver2003/gpmc/.
Il sito principale di Office 2003 Security (in inglese) contiene collegamenti ad articoli che descrivono l'utilizzo di impostazioni e funzioni di protezione in Office 2003, all'indirizzo

http://office.microsoft.com/en-us/assistance/HA011403061033.aspx.
"Office 2003 Resource Kit toolset" contiene "Office 2003 Policy Template Files and Deployment Planning Tools" e altri strumenti utili per la distribuzione e la gestione di Office 2003, all'indirizzo

http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe.