In questo capitolo vengono fornite ulteriori informazioni relative alle voci del Registro di sistema (anche chiamati valori del Registro di sistema) per il file del modello di protezione di base non definiti all'interno del file del modello amministrativo (.adm). Nel file .adm sono definiti i criteri di sistema e le restrizioni per il desktop, la shell e la protezione per Microsoft Windows Server 2003.
Editor di configurazione della protezione personalizzato
Quando si carica lo snap-in Modelli di protezione di Microsoft Management Console (MMC) e si visualizzano i modelli di protezione, le voci indicate nelle seguenti tabelle non sono rappresentate. Queste voci sono state aggiunte al file .inf utilizzando una versione personalizzata dell'Editor di configurazione della protezione (SCE, Security Configuration Editor). Possono essere visualizzate o modificate anche con un editor di testi come Blocco note. Saranno applicate ai computer quando si scaricano i criteri, a prescindere dal fatto che l'interfaccia utente di SCE sia stata modificata o meno.
Queste voci sono incluse nei modelli di protezione per l'automazione delle modifiche. Se il criterio viene rimosso, queste voci non vengono rimosse automaticamente insieme ad esso, ma devono essere modificate manualmente, utilizzando uno strumento di modifica del Registro di sistema, come Regedt32.exe. La cartella di lavoro di Microsoft Excel "Windows Default Security and Services Configuration" della presente guida, riporta le impostazioni predefinite.
Modifica dell'interfaccia utente dell'Editor di configurazione della protezione
L'Editor SCE viene utilizzato per definire i modelli di protezione che possono essere applicati a singoli computer o a un numero non definito di computer attraverso i Criteri di gruppo. I modelli di protezione possono contenere criteri password, criteri di blocco, criteri protocollo di autenticazione Kerberos, criteri di controllo, impostazioni del registro eventi, valori del Registro di sistema, modalità di avvio servizio, autorizzazioni per servizi, diritti utente, restrizioni per l'appartenenza ai gruppi, autorizzazioni del Registro di sistema e autorizzazioni del file system. L''Editor SCE viene visualizzato in molti snap-in di MMC e in Strumenti di amministrazione. È utilizzato dallo snap-in Modelli di protezione e dallo snap-in Configurazione e analisi della protezione. Lo snap-in Editor Criteri di gruppo lo utilizza per la porzione di Impostazioni di protezione della struttura Configurazione computer. Viene utilizzata inoltre per: Impostazioni protezione locale, Criterio di protezione del controller di dominio e anche per gli strumenti Criterio di protezione del dominio.
In questa guida sono comprese le voci supplementari aggiunte all'Editor SCE modificando il file seregvl.inf (nella cartella %systemroot%\inf) e registrando nuovamente il file scecli.dll. Le impostazioni di protezione originali e le impostazioni aggiuntive compaiono in Criteri locali\Protezione negli snap-in e negli strumenti menzionati in precedenza nella presente guida. È necessario aggiornare il file sceregvl.inf e ripetere la registrazione del file scecli.dll in tutti i computer in cui si modificano i modelli di protezione e i Criteri di gruppo forniti con questa guida e descritti nelle sezioni riportate di seguito. Tuttavia, le informazioni sulla personalizzazione del file sceregvl.inf utilizzano funzionalità disponibili soltanto in Microsoft Windows XP Professional con Service Pack 1 (SP1) e in Windows Server 2003: non tentare di installarlo in versioni precedenti di Windows.
Una volta modificato e registrato il file sceregvl.inf, i valori personalizzati del Registro di sistema vengono visualizzati nelle interfacce utente di SCE del computer. Le nuove impostazioni vengono visualizzate in fondo all'elenco di elementi nell'interfaccia utente di SCE e sono precedute dal testo "MSS": MSS sta per "Microsoft Solutions for Security", che è il nome del gruppo che ha creato questa guida. Sarà quindi possibile creare modelli o criteri di protezione per definire questi nuovi valori del Registro di sistema. Questi modelli o criteri possono essere quindi applicati a qualsiasi computer a prescindere dal fatto che il file Sceregvl.inf sia stato modificato sul computer di destinazione o meno. Nei successivi avvii dell'interfaccia utente di SCE vengono visualizzati i valori personalizzati del Registro di sistema.
Le istruzioni su come modificare l'interfaccia utente di SCE sono fornite nelle seguenti procedure. Se sono state già effettuate altre personalizzazioni all'Editor SCE, è necessario seguire alcune istruzioni manuali. Uno script viene fornito per consentire di aggiungere impostazioni con una minima interazione da parte dell'utente e anche se al suo interno ha funzioni che permettono di rilevare e correggere l'errore, queste potrebbero non funzionare. Se non vengono eseguite correttamente, è necessario stabilire la causa dell'errore e correggere il problema o seguire le istruzioni manuali. Un altro script è fornito per ripristinare l'interfaccia utente di SCE allo stato predefinito. Questo script rimuoverà tutte le impostazioni personalizzate e riporterà l'Editor SCE alla visualizzazione dell'installazione predefinita di Windows XP con SP2 o Windows Server 2003 con SP1.
Per aggiornare manualmente il file sceregvl.inf
Per aprire il file Values-sceregvl.txt dalla cartella di SCE Update contenuta nel download di questa guida, utilizzare un editor di testi, come ad esempio Blocco note.
Aprire un'altra finestra nell'editor di testi, quindi aprire il file %systemroot%\inf\sceregvl.inf.
Passare nella parte inferiore della sezione "[Register Registry Values]" nel file sceregvl.inf. Copiare e incollare il testo dal file Values-sceregvl.txt, senza interruzioni di pagina, in questa sezione del file sceregvl.inf.
Chiudere il file values-sceregvl.txt e aprire il file strings-sceregvl.txt dalla cartella SCE Update del download.
Passare nella parte inferiore della sezione "[Strings]" nel file sceregvl.inf. Copiare e incollare il testo dal file Strings-sceregvl.txt, senza interruzioni di pagina, in questa sezione del file sceregvl.inf.
Salvare il file sceregvl.inf e chiudere l'editor di testo.
Aprire una finestra del prompt dei comandi e immettere il comando regsvr32 scecli.dll per registrare di nuovo la DLL.
Nei successivi avvii dell'interfaccia utente di SCE vengono visualizzati i valori personalizzati del Registro di sistema.
Per aggiornare automaticamente il file sceregvl.inf
Per rendere effettivo il funzionamento dello script, i file Values-sceregvl.txt,Strings-sceregvl.txt, e Update_SCE_with_MSS_Regkeys.vbs situati nella cartella Aggiornamento SCE contenuta nel download di questa guida, devono trovarsi tutti nella stessa posizione.
Eseguire lo script Update_SCE_with_MSS_Regkeys.vbs sul computer da aggiornare.
Seguire i prompt su schermo
Questa procedura rimuoverà solamente le voci personalizzate realizzate con lo script descritto nella procedura precedente, Update_SCE_with_MSS_Regkeys.vbs. È inoltre possibile annullare le modifiche effettuate con lo script di aggiornamenti automatici.
Per annullare le modifiche effettuate dallo script Update_SCE_with_MSS_Regkeys.vbs
Eseguire lo script Rollback_SCE_for_MSS_Regkeys.vbs sul computer da aggiornare.
Seguire i prompt su schermo
Questa procedura rimuoverà qualsiasi voce personalizzata aggiunta all'interfaccia utente di SCE, tra cui quelle della presente guida e tutte le altre voci che possono esser state fornite nelle versioni precedenti della presente guida o di altre guide per la protezione.
Per ripristinare lo stato predefinito dell'Editor SCE per Windows XP con SP2 o Windows Server 2003 con SP1
Per rendere effettivo il funzionamento dello script, i file sceregvl_W2K3_SP1.inf.txt,sceregvl_XPSP2.inf.txt, e Restore_SCE_to_Default.vbs situati nella cartella di Aggiornamento SCE contenuta nel download di questa guida, devono trovarsi tutti nella stessa posizione.
Eseguire lo script Restore_SCE_to_Default.vbs sul computer da aggiornare.
Seguire i prompt su schermo
Per ripristinare manualmente l'interfaccia utente di SCE allo stato predefinito
Fare clic su Start, Esegui, digitare regedit.exe e premere INVIO per aprire l'Editor del Registro di sistema.
Passare a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values.
Ciascuna sottochiave presente in questa posizione rappresenta un elemento nella sezione di Opzioni di Protezione dell'Editor SCE. Prestare la massima attenzione nell'eliminazione di tutte le sottochiavi. Non eliminare la chiave principale (Reg Values), ma soltanto le sottochiavi contenute al suo interno.
Aprire un prompt dei comandi e immettere il comando regsvr32 scecli.dll per registrare di nuovo la DLL dell'interfaccia utente di SCE.
Gli avvii successivi di SCE consentiranno di visualizzare esclusivamente i valori originali del Registro di sistema contenuti nella versione di Windows
Per prevenire gli attacchi di tipo Denial of Service (DoS), è necessario mantenere aggiornato il computer con le correzioni per la protezione più recenti e proteggere con particolare attenzione lo stack dei protocolli TCP/IP nei computer Windows Server 2003 esposti a possibili attacchi. La configurazione dello stack TCP/IP è ottimizzata per gestire il traffico standard delle reti Intranet. Se si connette un computer direttamente a Internet, è consigliabile rafforzare la protezione dello stack TCP/IP contro agli attacchi DoS.
Gli attacchi DoS diretti allo stack TCP/IP di solito appartengono a due classi: attacchi che utilizzano una quantità eccessiva di risorse del sistema aprendo, ad esempio, numerose connessioni TCP; o attacchi che inviano pacchetti appositamente congegnati per causare un errore nello stack di rete o nell'intero sistema operativo. Queste impostazioni del Registro di sistema consentono di proteggersi dagli attacchi diretti allo stack TCP/IP.
Tabella 10.1 Voci del Registro relative a TCP/IP in Windows Server 2003 con SP1 e Windows XP con SP2
Voce di registro
Formato
Predefinito XP SP2
Predefinito 2003 SP1
Valore di massima protezione (decimale)
DisableIPSourceRouting
DWORD
1
1
2
EnableDeadGWDetect
DWORD
1
1
0
EnableICMPRedirect
DWORD
1
1
0
KeepAliveTime
DWORD
7200000
7200000
300.000
PerformRouterDiscovery
DWORD
2
2
0
SynAttackProtect
DWORD
0
1
1
TcpMaxConnectResponseRetransmissions
DWORD
2
2
2
TcpMaxDataRetransmissions
DWORD
5
5
3
#### DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)
Questa voce è presente come **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** nell'interfaccia utente di SCE. Il source routing IP è un meccanismo che consente al mittente di determinare il routing IP che un datagramma deve seguire sulla rete.
##### Vulnerabilità
L'autore di un attacco potrebbe utilizzare dei pacchetti con origine routing per nascondere la propria identità e posizione. L'origine routing consente a un computer che invia un pacchetto di specificare la route da seguire.
##### Contromisura
Configurare la voce **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** su un valore **Highest protection,** **source routing is completely disabled**.
I possibili valori del Registro di sistema sono:
- 0, 1, o 2. La configurazione predefinita è 1 (i pacchetti con origine di routing non sono inoltrati).
Nell'interfaccia utente di SCE viene visualizzato il seguente elenco di opzioni:
- No additional protection, source routed packets are allowed.
- Medium, source routed packets ignored when IP forwarding is enabled.
- Highest protection, source routing is completely disabled.
- Non definito.
##### Impatto potenziale
Se si imposta questo valore su **2**, tutti i pacchetti in ingresso con origine routing verranno scartati.
#### EnableDeadGWDetect consente il rilevamento automatico di gateway di rete inattivi (potrebbe provocare DoS)
Questa voce è presente come **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** nell'interfaccia utente di SCE. Quando si attiva il rilevamento dei gateway inattivi, se si evidenziano delle difficoltà per un certo numero di connessioni, l'IP potrebbe spostarsi su un gateway di backup.
##### Vulnerabilità
L'autore di un attacco potrebbe forzare il server a cambiare gateway, attivandone magari uno non desiderato. Potrebbe essere un'operazione particolarmente difficile, per questo il valore di questa voce è ridotto.
##### Contromisura
Configurare la voce **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** su **Disabilitato.**
I possibili valori del Registro di sistema sono:
- 1 o 0. La configurazione predefinita è 1 (abilitato) su Windows Server 2003.
Nell'interfaccia utente di SCE vengono visualizzate le seguenti opzioni:
- Attivato
- Disabilitato
- Non definito
##### Impatto potenziale
Configurando questo valore su **0**, Windows non rileva più i gateway inattivi e attiva automaticamente un gateway alternativo.
#### EnableICMPRedirect consente ai reindirizzamenti di ICMP di sostituire le route generate con OSPF
Questa voce è presente come **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** nell'interfaccia utente di SCE. I reindirizzamenti del protocollo ICMP (Internet Control Message Protocol) provocano la canalizzazione delle route dell'host da parte dello stack. Tali route sostituiscono quelle generate da OSPF (Open Shortest Path First).
##### Vulnerabilità
Questo comportamento è normale. Il problema è che il periodo di timeout di 10 minuti per le route canalizzate e reindirizzate ICMP crea una situazione della rete durante la quale il traffico non viene più instradato in modo corretto verso l'host interessato.
##### Contromisura
Configurare la voce **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** su **Disabilitato.**
I possibili valori del Registro di sistema sono:
- 1 o 0. La configurazione predefinita è 1 (attivato).
Nell'interfaccia utente di SCE vengono visualizzate le seguenti opzioni:
- Attivato
- Disattivato
- Non definito
##### Impatto potenziale
Quando è configurato come router di confine sistema autonomo (ASBR, Autonomous System Boundary Router), il servizio Routing e Accesso remoto (RRAS, Routing Remote Access Service) non importa in modo corretto le route di subnet di interfaccia collegate. Invece il router inserisce le route host nelle route OSPF. Poiché non è possibile utilizzare il router OSPF come router ASBR, l'importazione delle route di subnet di interfaccia collegate in OSPF produce delle tabelle di routing confuse con percorsi di routing inverosimili.
#### KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)
Questa voce è presente come **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)** nell'interfaccia utente di SCE. Con questo valore è possibile controllare la frequenza dei tentativi da parte del TCP di verificare se una connessione inattiva è ancora intatta, tramite l'invio di un pacchetto keep-alive. Se il computer remoto è ancora raggiungibile, il pacchetto keep-alive verrà riconosciuto.
##### Vulnerabilità
L'autore di un attacco che riesca a connettersi ad applicazioni di rete potrebbe provocare una condizione di DoS attivando molte connessioni.
##### Contromisura
Configurare la voce **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300.000 is recommended)** su **300000** **o 5 minuti**.
I possibili valori del Registro di sistema sono:
- Da 1 a 0xFFFFFFFF. Il valore predefinito è 7.200.000 (due ore).
Nell'interfaccia utente di SCE viene visualizzato il seguente elenco di opzioni:
- 150000 o 2,5 minuti
- 300000 o 5 minuti **(consigliato)**
- 600000 o 10 minuti
- 1200000 o 20 minuti
- 2400000 o 40 minuti
- 3600000 o 1 ora
- 7200000 o 2 ore **(valore predefinito)**
- Non definito
##### Impatto potenziale
I pacchetti keep-alive non vengono inviati da Windows per impostazione predefinita. Tuttavia, alcune applicazioni possono configurare il flag dello stack TCP che richiede pacchetti keep-alive. Per tali configurazioni, è possibile ridurre il valore dalle 2 ore predefinite a 5 minuti in modo da disconnettere più rapidamente le sessioni inattive.
#### PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)
Questa voce è presente come **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** nell'interfaccia utente di SCE. Questa impostazione viene utilizzata per abilitare o disabilitare l'IRDP (Internet Router Discovery Protocol). L'IRDP consente al computer di rilevare e configurare automaticamente gli indirizzi di gateway predefiniti in base all'interfaccia secondo quanto descritto in RFC 1256.
##### Vulnerabilità
L'autore di un attacco che avesse acquisito il controllo di un computer che insiste sul medesimo segmento della rete potrebbe configurare un computer della rete in modo da simulare un router. Gli altri computer con l'IRDP attivato tenterebbero quindi di instradare il traffico verso il computer già compromesso.
##### Contromisura
Configurare la voce **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** su **Disabilitato.**
I possibili valori del Registro di sistema sono:
- 0, 1, o 2. La configurazione predefinita è 2 (attivare solo se DHCP invia l'opzione PerformRouterDiscovery).
Nell'interfaccia utente di SCE vengono visualizzate le seguenti opzioni:
- 0 (disabilitato)
- 1 (abilitato)
- 2 (abilitare solo se DHCP invia l'opzione PerformRouterDiscovery)
- Non definito
##### Impatto potenziale
Disabilitando questa voce si impedisce a Windows Server 2003 (che supporta l'IRDP) di rilevare e configurare automaticamente gli indirizzi di gateway predefiniti sul computer.
#### SynAttackProtect livello di protezione Syn (protezione contro DoS)
Questa voce è presente come **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** nell'interfaccia utente di SCE. Questa voce comporta l'adeguamento da parte del TCP della ritrasmissione di SYN-ACK. Configurando questa voce, si riduce il sovraccarico di trasmissioni incomplete in caso di attacco di tipo richiesta di connessione (SYN).
Questa voce può consentire di configurare Windows per l'invio di messaggi di scoperta router come broadcast e non multicast, come descritto in RFC 1256. Per impostazione predefinita, se la scoperta router è attivata, le richieste di scoperta router sono inviate al gruppo multicast di tutti i router (224.0.0.2).
##### Vulnerabilità
Nel caso di un attacco SYN flood, il pirata informatico invia un flusso costante di pacchetti SYN al server. Il server lascia parzialmente aperte le connessioni fino alla saturazione, rendendo impossibile la risposta alle richieste legittime.
##### Contromisura
Configurare la voce **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** su **Connections time out sooner if a SYN attack is detected**.
I possibili valori del Registro di sistema sono:
- 1 o 0. La configurazione predefinita è 1 (abilitato) per Windows Server 2003 SP1 e 0 (disabilitato) per Windows XP SP2.
Nell'interfaccia utente di SCE vengono visualizzate le seguenti opzioni:
- Connections time-out more quickly if a SYN attack is detected
- No additional protection, use default settings
- Non definito
##### Impatto potenziale
Questo valore aggiunge un ulteriore ritardo alle indicazioni della connessione, mentre le richieste di connessione TCP subiscono un rapido timeout quando è in corso un attacco SYN. Se si configura questa voce del Registro di sistema, le finestre scalabili e i parametri TCP configurati per ciascuna scheda, compresi RTT (Round Trip Time) iniziale e dimensioni della finestra, non funzioneranno più. Quando il computer è attaccato, le opzioni delle finestre scalabili (RFC 1323) e dei parametri TCP configurati per ciascuna scheda, RTT iniziale e dimensioni della finestra, su qualsiasi socket non saranno più abilitati. Queste opzioni non possono essere abilitate perché la protezione è attiva, la voce di cache route non è interrogata prima dell'invio del SYN-ACK e le opzioni Winsock non sono disponibili in questa fase di connessione.
#### (TCPMaxConnectResponseRetransmissions) ritrasmissione di SYN-ACK quando una richiesta di connessione non viene riconosciuta
Questa voce è presente come **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** nell'interfaccia utente di SCE. Questa voce determina il numero di volte che TCP ritrasmette un SYN prima di annullare il tentativo. Il timeout di ritrasmissione viene raddoppiato a ogni ritrasmissione successiva in una determinata connessione. Il valore iniziale di timeout è tre secondi.
##### Vulnerabilità
Nel caso di un attacco SYN flood, il pirata informatico invia un flusso costante di pacchetti SYN al server. Il server lascia parzialmente aperte le connessioni fino alla saturazione, rendendo impossibile la risposta alle richieste legittime.
##### Contromisura
Configurare la voce **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** su **3 seconds,** **half-open connections dropped after nine seconds**.
I possibili valori del Registro di sistema sono:
- 0-0xFFFFFFFF. La configurazione predefinita è 2.
Nell'interfaccia utente di SCE, viene visualizzato il seguente elenco di opzioni, corrispondenti rispettivamente a un valore di 0, 1, 2 e 3:
- No retransmission, half-open connections dropped after 3 seconds
- 3 seconds, half-open connections dropped after 9 seconds
- 3 e 6 secondi, connessioni parziali interrotte dopo 21 secondi
- 3, 6 e 9 secondi, connessioni parziali interrotte dopo 45 secondi
- Non definito
##### Impatto potenziale
Se questo valore è maggiore o uguale a **2**, lo stack impiega internamente la protezione SYN-ATTACK. Se il valore è minore di **2**, lo stack non legge alcun valore nel Registro di sistema per la protezione SYN-ATTACK. Con questa voce è possibile ridurre il periodo di tempo predefinito necessario per la pulitura di una connessione TCP parzialmente aperta. Un sito oggetto di un pesante attacco può ricorrere anche a valori molto bassi, fino a **1**. Anche **0** è un valore valido. Tuttavia, se il parametro viene impostato su **0**, non verrà più ritrasmesso alcun SYN-ACK e si verificherà un timeout dopo 3 secondi. Con valori così bassi, è possibile che le richieste di connessione legittime provenienti da client distanti non vengano accettate.
#### TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)
Questa voce è presente come **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,** **5 is default)** nell'interfaccia utente di SCE. Questa voce determina il numero di volte che TCP ritrasmette un singolo segmento di dati (non di connessione) prima di annullare la connessione. Il timeout di ritrasmissione viene raddoppiato a ogni ritrasmissione successiva in una determinata connessione. Viene reimpostato in caso di risposta. Il valore di timeout di base viene determinato dinamicamente dalla durata del percorso misurata nella connessione.
##### Vulnerabilità
Un utente malintenzionato potrebbe esaurire le risorse di un computer di destinazione se non sono mai stati inviati messaggi di riconoscimento dei dati trasmessi dal computer di destinazione.
##### Contromisura
Configurare la voce **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended;** **5 is default)** su **3.** I possibili valori del Registro di sistema sono:
- Da 0 a 0xFFFFFFFF. La configurazione predefinita è 5.
Nell'interfaccia utente di SCE questa impostazione può essere modificata mediante una casella di testo:
- Un numero definito dall'utente
- Non definito
##### Impatto potenziale
Il TCP avvia un timer di ritrasmissione quando ciascun segmento in uscita viene passato all'IP. Se non viene ricevuto alcun riconoscimento per i dati di un determinato segmento prima della scadenza del timer, il segmento verrà ritrasmesso fino a tre volte.
[](#mainsection)[Inizio pagina](#mainsection)
### Varie voci del Registro di sistema
Sono consigliate anche le voci del Registro di sistema riportate nella seguente tabella. Nelle sottosezioni che seguono la tabella sono fornite ulteriori informazioni su ciascuna voce, compresa la posizione di ogni impostazione della chiave del Registro di sistema.
**Tabella 10.2 Voci del Registro di sistema non relative a TCP/IP in Windows Server 2003**
MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)
Stringa
0
MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
DWORD
0
#### Disattivare l'accesso automatico: disattivare l'accesso automatico
Questa voce è presente come **MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)** nell'interfaccia utente di SCE. Questa voce consente di stabilire se attivare o meno la funzione di accesso automatico (questa voce è separata dalla funzionalità della schermata Welcome in Windows XP; disabilitando tale funzionalità, non si verificheranno conseguenze sulla voce). Per impostazione predefinita, la voce non è abilitata. L'accesso automatico utilizza il dominio, il nome utente e la password memorizzati nel Registro di sistema, in modo da consentire l'accesso degli utenti al computer quando questo viene avviato. La finestra di dialogo di accesso non viene visualizzata.
Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base "[Come attivare l'accesso automatico in Windows](http://support.microsoft.com/kb/315231/it)", all'indirizzo