Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa pagina
Introduzione
Operazioni preliminari
Aggiunta degli aggiornamenti rapidi alle workstation di gestione e a Windows Small Business Server 2003
Aggiornamento degli oggetti Criteri di gruppo esistenti
Configurazione delle impostazioni del Centro sicurezza PC
Configurazione delle impostazioni di Windows Firewall
Configurazione delle impostazioni di protezione di Internet Explorer
Configurazione delle impostazioni di Gestione comunicazioni Internet
Configurazione delle impostazioni di accesso DCOM
Configurazione delle impostazioni di RPC
Informazioni correlate
Introduzione
Le impostazioni di Criteri di gruppo vengono applicate in base all'implementazione di Microsoft Active Directory decisa dall'azienda e aiutano a proteggere l'ambiente informatico con impostazioni di configurazione standard per le varie categorie di utenti e di computer. Le nuove impostazioni di Criteri di gruppo di Microsoft Windows XP Service Pack 2 (SP2) per la protezione della rete includono:
Windows Firewall. Configurare queste impostazioni di criterio per attivare e disattivare il firewall, gestire le eccezioni relative a porte e programmi e definire le eccezioni per scenari specifici, ad esempio per consentire l'amministrazione remota dei computer di destinazione.
Internet Explorer. Grazie alle nuove impostazioni di criterio, è possibile configurare la protezione di Microsoft Internet Explorer. Inoltre, è possibile attivare o disattivare le funzionalità di protezione di Internet Explorer per diversi processi.
Gestione comunicazioni Internet. È possibile configurare queste impostazioni per controllare la modalità di comunicazione su Internet dei vari componenti di Windows XP SP2, relativamente alle attività che comportano lo scambio di informazioni tra i computer aziendali e Internet.
Protezione DCOM. È possibile configurare queste impostazioni per controllare le impostazioni di protezione per DCOM (Distributed Component Object Model). L'infrastruttura DCOM include nuove restrizioni per il controllo di accesso. Queste restrizioni contribuiscono a minimizzare i rischi di protezione derivanti dagli attacchi provenienti dalla rete.
Centro sicurezza PC. È possibile configurare queste impostazioni per amministrare in modo centralizzato il Centro sicurezza PC Windows. Il Centro sicurezza PC è una nuova funzionalità di Windows XP SP2 che consente di monitorare i computer dell'azienda per assicurarsi che siano conformi agli ultimi aggiornamenti del sistema di protezione e per avvisare gli utenti nel caso che un computer rappresenti un rischio per la protezione.
RPC (Remote Procedure Call). È possibile configurare le impostazioni di criterio RPC per bloccare l'accesso remoto anonimo alle interfacce RPC del sistema e per impedire l'accesso anonimo all'interfaccia di mapping degli endpoint RPC.
In questo documento viene illustrato come distribuire le impostazioni di Criteri di gruppo per la protezione della rete, al fine di rendere sicuri i computer client di Windows XP SP2.
Per un elenco completo delle impostazioni consigliate, fare riferimento alle seguenti risorse:
- "Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2" sul sito Web Microsoft TechNet all'indirizzo http://go.microsoft.com/fwlink/?linkid=35465
Le attività relative agli oggetti Criteri di gruppo (GPO) vengono eseguite in un dominio Active Directory. Alcune di queste attività possono essere eseguite da un controller di dominio ma, solitamente, vengono effettuate su un computer client Windows XP SP2 che contiene gli strumenti di gestione Active Directory.
Nota: per ulteriori informazioni su come distribuire i GPO, fare riferimento alle seguenti risorse:
- "Designing a Managed Environment: Staging Group Policy Deployments" sul sito Web Microsoft Windows Server System all'indirizzo http://go.microsoft.com/fwlink/?linkid=35498
Per configurare la protezione della rete in un ambiente Active Directory, è necessario effettuare le seguenti attività:
Aggiungere gli aggiornamenti rapidi alle workstation di gestione
Aggiornare i GPO esistenti
Configurare le impostazioni del Centro sicurezza PC
Configurare le impostazioni di Windows Firewall
Configurare le impostazioni di Internet Explorer
Configurare le impostazioni di Gestione comunicazioni Internet
Configurare le impostazioni di Protezione DCOM
Configurare le impostazioni di RPC
IMPORTANTE: le istruzioni contenute in questo documento sono state sviluppate a partire dal menu Start che viene visualizzato per impostazione predefinita quando si installa il sistema operativo. Se il menu Start è stato modificato, la procedura potrebbe essere leggermente diversa.
Per le definizioni dei termini relativi alla protezione, fare riferimento alle seguenti risorse:
- "Microsoft Security Glossary" sul sito Web Microsoft all'indirizzo http://go.microsoft.com/fwlink/?LinkId=35468
Operazioni preliminari
Windows XP SP2 può essere utilizzato come client del dominio Windows in un dominio Active Directory con controller di dominio che eseguano qualsiasi edizione di:
Microsoft Windows Server 2003
Microsoft Windows Small Business Server 2003
Microsoft Windows 2000 Server SP3 o versione successiva
Prima di installare gli aggiornamenti rapidi, è necessario avere effettuato il backup del computer, incluso il Registro di sistema.
Per ulteriori informazioni su come eseguire il backup del Registro di sistema, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 322756 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=36365
Aggiunta degli aggiornamenti rapidi alle workstation di gestione e a Windows Small Business Server 2003
Se si gestiscono le impostazioni degli oggetti Criteri di gruppo su computer con versioni precedenti del sistema operativo o del service pack (ad esempio, Windows XP con SP1 o Windows Server 2003), è necessario installare l'aggiornamento rapido KB842933 per far sì che le impostazioni di criterio vengano visualizzate correttamente nell'Editor oggetti Criteri di gruppo.
Se si sta utilizzando Small Business Server 2003 (SBS 2003), è necessario applicare anche l'aggiornamento rapido KB872769 poiché SBS 2003 disattiva Windows Firewall per impostazione predefinita. L'aggiornamento rapido risolve questo problema.
Nota: gli aggiornamenti rapidi elencati non sono inclusi in Windows Update e devono essere installati a parte. Gli aggiornamenti rapidi devono essere applicati su ogni singolo sistema interessato.
L'aggiornamento KB842933 riguarda:
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows XP Professional SP1
Microsoft Windows Small Business Server 2003, Premium Edition
Microsoft Windows Small Business Server 2003, Standard Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
L'aggiornamento KB872769 riguarda:
Microsoft Windows Small Business Server 2003, Standard Edition
Microsoft Windows Small Business Server 2003, Premium Edition
Nota: per avere questi aggiornamenti rapidi e per ulteriori informazioni, fare riferimento alle seguenti risorse:
Microsoft Knowledge Base, articolo 842933 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35474
Microsoft Knowledge Base, articolo 872769 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35477
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere al computer client come membro del gruppo di protezione Amministratori di dominio o del gruppo di protezione Amministratori locali.
Strumenti: l'aggiornamento rapido scaricato, indicato per il sistema operativo in uso dalla Knowledge Base, articoli 842933 e 872769.
Aggiunta dell'aggiornamento rapido 842933 a Windows Small Business Server 2003, Windows 2000 Server SP3 o versione successiva, Windows XP SP1 o Windows Server 2003
Per aggiungere l'aggiornamento rapido
Dal desktop di Windows, fare clic su Start, scegliere Esegui, digitare il percorso e il nome file dell'aggiornamento rapido scaricato, quindi fare clic su OK.
Nella pagina Installazione guidata di KB842933, fare clic su Avanti.
Nella pagina Licenza, fare clic su Accetto, quindi scegliere Avanti.
Nella pagina Completamento installazione guidata di KB842933, per terminare l'installazione dell'aggiornamento rapido e riavviare il computer, fare clic su Fine.
Ripetere i passaggi sopra illustrati per tutti i sistemi per i quali l'aggiornamento è indicato (server e workstation di gestione).
Aggiunta dell'aggiornamento rapido 872769 a Windows Small Business Server 2003
Per aggiungere l'aggiornamento rapido
Dal desktop di Windows, fare clic su Start, scegliere Esegui, digitare il percorso e il nome file dell'aggiornamento rapido 872769 scaricato, quindi fare clic su OK.
Nella pagina Installazione guidata di KB872769, fare clic su Avanti.
Nella pagina Licenza, fare clic su Accetto, quindi scegliere Avanti.
Nella pagina Completamento installazione guidata di KB872769, per terminare l'installazione dell'aggiornamento rapido e riavviare il computer, fare clic su Fine.
Aggiornamento degli oggetti Criteri di gruppo esistenti
I modelli amministrativi di Windows XP SP2 presentano nuove impostazioni. Per configurare queste nuove impostazioni, è necessario aggiornare ogni GPO con i nuovi modelli amministrativi di Windows XP SP2. Se i GPO non sono aggiornati, le impostazioni relative a Windows Firewall non saranno disponibili.
È possibile aggiornare i GPO con Microsoft Management Console (MMC) con lo snap-in Editor oggetti Criteri di gruppo installato, su un computer con Windows XP SP2.
Una volta che un GPO è stato aggiornato, è possibile configurare le impostazioni per la protezione della rete più adatte ai computer Windows XP SP2 in uso.
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere a un computer Windows XP SP2 che sia un client di dominio Active Directory come membro del gruppo di protezione Amministratori di dominio o del gruppo di protezione Proprietari autori criteri di gruppo.
Strumenti: Microsoft Management Console (MMC) con installato lo snap-in Editor oggetti Criteri di gruppo.
Aggiornamento degli oggetti Criteri di gruppo
Per aggiornare gli oggetti Criteri di gruppo
Dal desktop di Windows XP SP2, fare clic su Start, scegliere Esegui, digitare mmc, quindi fare clic su OK.
Nel menu File, fare clic su Aggiungi/Rimuovi snap-in.
Nella scheda Autonomo, fare clic su Aggiungi.
Nell'elenco Snap-in autonomi disponibili, fare clic su Editor oggetti Criteri di gruppo, quindi scegliere Aggiungi.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo, fare clic su Sfoglia.
.gif "Figura 1 Ricerca oggetto Criteri di gruppo")
Figura 1 Ricerca oggetto Criteri di gruppo
Nella finestra di dialogo Ricerca oggetto Criteri di gruppo, selezionare l'oggetto Criteri di gruppo da aggiornare con le nuove impostazioni di Windows Firewall.
Fare clic su OK, quindi scegliere Fine per chiudere la Procedura guidata Criteri di gruppo.
In questo modo il nuovo modello amministrativo viene applicato al GPO selezionato.
Nella finestra di dialogo Aggiungi snap-in autonomo, fare clic su Chiudi.
Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su OK.
Chiudere MMC. Se si fa clic su File, quindi si esce, non si salvano le modifiche alle impostazioni della console.
Nota: sebbene non salvi le modifiche nella console, la procedura sopra illustrata importa nel GPO i nuovi modelli amministrativi di Windows XP SP2. I modelli devono essere importati in ogni GPO definito.
Ripetere i passaggi per ogni GPO utilizzato per applicare i Criteri di gruppo ai computer su cui è installato Windows XP SP2.
**Nota: **per aggiornare i GPO per gli ambienti di rete che utilizzano Active Directory e Windows XP SP1, Microsoft consiglia la console Gestione criteri di gruppo, un download gratuito. Per ulteriori informazioni, fare riferimento alle seguenti risorse:
- "Enterprise Management with the Group Policy Management Console" sul sito Web Microsoft Windows Server System all'indirizzo http://go.microsoft.com/fwlink/?linkID=35479
Configurazione delle impostazioni del Centro sicurezza PC
Il Centro sicurezza PC è un nuovo servizio di Windows XP SP2 che offre una posizione centrale da cui modificare le impostazioni di protezione, ottenere informazioni sulla protezione e assicurare che i computer degli utenti siano aggiornati con le impostazioni di protezione consigliate da Microsoft.
Nei domini Windows, è possibile utilizzare i Criteri di gruppo per attivare il Centro sicurezza PC e monitorare i computer degli utenti per assicurare che dispongano degli ultimi aggiornamenti del sistema di protezione e per avvisare gli utenti se i loro computer sono esposti a un potenziale rischio.
Il servizio Centro sicurezza PC viene eseguito come processo in background e controlla, sui computer degli utenti, lo stato dei componenti riportati di seguito:
Firewall. Il Centro sicurezza PC controlla se Windows Firewall è attivo o meno e, inoltre, verifica se sono presenti altri firewall software. Per controllare la presenza di altri firewall, il Centro sicurezza PC ricerca specifici provider di Strumentazione gestione Windows (WMI), resi disponibili dai produttori partecipanti.
Protezione da virus. Il Centro sicurezza PC controlla la presenza di software antivirus. Per controllare la presenza di software antivirus, il Centro sicurezza PC ricerca specifici provider di WMI, resi disponibili dai produttori partecipanti. Se sono disponibili le informazioni necessarie, il servizio Centro sicurezza PC determina anche se il software è aggiornato e se è attiva la scansione in tempo reale.
Aggiornamenti automatici. Il Centro sicurezza PC assicura che l'impostazione per Aggiornamenti automatici sia quella consigliata, che prevede il download e l'installazione automatici degli aggiornamenti critici sui computer degli utenti. Se la funzione Aggiornamenti automatici non è attiva o se la sua impostazione non è quella consigliata, il Centro sicurezza PC fornisce le raccomandazioni appropriate.
Se un componente risulta mancante o non conforme ai Criteri di protezione, il Centro sicurezza PC visualizza un'icona rossa nell'area di notifica della barra delle applicazioni e visualizza un messaggio di avviso al momento dell'accesso. Questo messaggio contiene i collegamenti per aprire l'interfaccia utente del Centro sicurezza PC, che fornisce tutte le informazioni sul problema e le raccomandazioni per risolverlo.
Per eseguire un firewall o software antivirus che non deve essere rilevato dal Centro sicurezza PC, è possibile impostare il Centro sicurezza PC in modo che eviti di generare avvisi relativi a tale componente.
È possibile utilizzare un'impostazione di Criteri di gruppo per gestire in modo centralizzato la funzionalità Centro sicurezza PC per i computer di un dominio Windows.
Se si attiva l'impostazione di criterio Attiva Centro sicurezza PC (solo computer in un dominio), il Centro sicurezza PC monitora le principali impostazioni di protezione (firewall, antivirus e aggiornamenti automatici) e avvisa gli utenti se il loro computer può essere a rischio. Per impostazione predefinita, l'impostazione di criterio Attiva Centro sicurezza PC (solo computer in un dominio) non è attivata, il che significa che viene disattivata quando viene disattivato il Centro sicurezza PC e che non sono visualizzate né le notifiche né la sezione dedicata allo stato del Centro sicurezza PC.
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere a un computer Windows XP SP2 che sia un client di dominio Active Directory come membro del gruppo di protezione Amministratori di dominio e aprire un oggetto Criteri di gruppo.
Strumenti: Microsoft Management Console (MMC) con installato lo snap-in Editor oggetti Criteri di gruppo.
Configurazione delle impostazioni del Centro sicurezza PC
Questa impostazione permette agli utenti dei computer con Windows XP SP2 di utilizzare il Centro sicurezza PC per gli avvisi relativi a firewall, software antivirus e aggiornamenti automatici.
Per configurare le impostazioni del Centro sicurezza PC
Dal desktop di Windows XP SP2, fare clic su Start, scegliere Esegui, digitare mmc, quindi fare clic su OK.
Nel menu File, fare clic su Aggiungi/Rimuovi snap-in.
Nella scheda Autonomo, fare clic su Aggiungi.
Nell'elenco Snap-in autonomi disponibili, fare clic su Editor oggetti Criteri di gruppo, quindi scegliere Aggiungi.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo, fare clic su Sfoglia.
Selezionare dall'elenco l'oggetto Criteri di gruppo da configurare. Fare clic su OK, quindi scegliere Fine per chiudere la Procedura guidata Criteri di gruppo.
Fare clic su Chiudi per uscire dalla finestra di dialogo Aggiungi snap-in autonomo, quindi scegliere OK per uscire dalla finestra di dialogo Aggiungi/Rimuovi snap-in e tornare alla console di gestione.
Nella struttura della console, aprire Configurazione computer, Modelli amministrativi, Componenti di Windows e, infine, Centro sicurezza PC.
.gif "Figura 2 Impostazioni del Centro sicurezza PC")
Figura 2 Impostazioni del Centro sicurezza PC
Fare doppio clic su Attiva Centro sicurezza PC (solo computer in un dominio), scegliere Attivato, quindi fare clic su OK.
.gif "Figura 2 Impostazioni del Centro sicurezza PC")
Applicazione della configurazione con GPUpdate
L'utilità GPUpdate aggiorna le impostazioni di Criteri di gruppo basate su Active Directory, che includono le impostazioni di protezione. Dopo avere configurato Criteri di gruppo, è possibile attendere che le impostazioni vengano applicate al computer client dai cicli di aggiornamento standard. Per impostazione predefinita, questi cicli hanno luogo ogni 90 minuti, con un offset casuale di più o meno 30 minuti.
L'utilità GPUpdate consente di aggiornare Criteri di gruppo tra un ciclo standard e l'altro.
Esecuzione di GPUpdate
Per eseguire GPUpdate
Dal desktop di Windows XP, fare clic su Start, quindi scegliere Esegui.
Nella casella Apri, digitare cmd, quindi fare clic su OK.
Nota: per una descrizione completa delle opzioni disponibili per GPUpdate, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 298444 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35504
Dal prompt dei comandi, digitare GPUpdate e premere INVIO.
.gif "Figura 3 GPUpdate dalla riga di comando")
Figura 3 GPUpdate dalla riga di comando
Per chiudere il prompt dei comandi, digitare Exit e premere INVIO.
.gif "Figura 3 GPUpdate dalla riga di comando")
Verifica dell'applicazione delle impostazioni del Centro sicurezza PC
Per verificare che le impostazioni del Centro sicurezza PC siano applicate
Dal desktop di Windows XP, fare clic su Start, quindi scegliere Pannello di controllo.
Sotto Scegliere una categoria, fare clic su Centro sicurezza PC.
Verificare che il Centro sicurezza PC venga avviato.
Nota: se le impostazioni di configurazione non sono applicate, è necessario cercare di risolvere gli eventuali problemi relativi all'applicazione Criteri di gruppo. Per risolvere i problemi relativi all'applicazione Criteri di gruppo, fare riferimento alle seguenti risorse:
- "Troubleshooting Group Policy in Windows Server 2003" sul sito Web dell'area di download di Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35481
Configurazione delle impostazioni di Windows Firewall
Le impostazioni di Windows Firewall da configurare sono suddivise in tre insiemi:
Consenti messaggi da computer con autenticazione IPSec. Questa impostazione viene utilizzata quando un'azienda si avvale dell'IPSec (Internet Protocol Security) per proteggere il traffico e deve attivare Windows Firewall.
Profilo di dominio. Queste impostazioni vengono utilizzate dai computer quando questi sono connessi a una rete in cui si trovano i controller di dominio per il dominio di cui tali computer sono membri.
Profilo standard. Queste impostazioni vengono utilizzate dai computer quando questi non sono connessi a una rete, come nel caso dei computer laptop di cui si avvalgono gli utenti in viaggio.
Se le impostazioni del profilo standard non vengono configurate, i valori predefiniti rimangono invariati. Microsoft consiglia di configurare sia le impostazioni del profilo di dominio sia le impostazioni del profilo standard e di attivare Windows Firewall per entrambi i profili. L'unica eccezione è costituita dall'uso di un firewall host di un altro produttore.
Se è già in uso un firewall host di un altro produttore, Microsoft consiglia di disattivare Windows Firewall.
Se si decide di disattivare Windows Firewall sull'intera rete aziendale, costituita da un insieme di computer con Windows XP SP2, Windows XP SP1 e Windows XP senza service pack installati, è necessario configurare le seguenti impostazioni di Criteri di gruppo:
Proibisci l'uso della Condivisione connessione Internet nella rete del dominio impostata su Attivata
Profilo di dominio – Windows Firewall: proteggi tutte le connessioni di rete impostata su Disattivata
Profilo standard – Windows Firewall: proteggi tutte le connessioni di rete impostata su Disattivata
Nota: questa impostazione del profilo standard assicura che Windows Firewall non venga utilizzato, indipendentemente dal fatto che i computer siano collegati o meno alla rete aziendale. Per assicurare che Windows Firewall non venga utilizzato nella rete aziendale, ma venga utilizzato quando i computer non sono collegati alla rete, cambiare l'impostazione in Attivata.
Le impostazioni del profilo standard sono generalmente più restrittive di quelle del profilo di dominio, poiché non includono le applicazioni e i servizi che vengono utilizzati solo in un ambiente di dominio gestito.
In un GPO, sia il profilo di dominio che il profilo standard contengono lo stesso insieme di impostazioni di Windows Firewall. Per applicare il profilo corretto, Windows XP SP2 si avvale del riconoscimento della rete.
Nota: per ulteriori informazioni sul riconoscimento della rete, fare riferimento alle seguenti risorse:
- "Network Determination Behavior for Network-Related Group Policy Settings" sul sito Web Microsoft TechNet all'indirizzo http://go.microsoft.com/fwlink/?linkid=35480
In questa sezione vengono descritte le possibili impostazioni di Windows Firewall in un GPO e le impostazioni consigliate per un ambiente Enterprise. Inoltre viene mostrato come attivare quattro tipi di impostazioni.
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere a un computer Windows XP SP2 che sia un client di dominio Active Directory come membro del gruppo di protezione Amministratori di dominio e aprire un oggetto Criteri di gruppo modificato nel corso dell'attività precedente.
Strumenti: Microsoft Management Console (MMC) con installato lo snap-in Editor oggetti Criteri di gruppo.
Nota: per aprire un GPO si utilizza MMC con lo snap-in Editor oggetti Criteri di gruppo incluso o la console Utenti e computer di Active Directory. Per utilizzare la console Utenti e computer di Active Directory su un computer client Windows XP, è necessario eseguire adminpak.msi dal CD di Windows Server 2003.
Configurazione delle impostazioni di Windows Firewall con Criteri di gruppo
Per modificare le impostazioni di Windows Firewall nei GPO appropriati si utilizza lo snap-in Editor oggetti Criteri di gruppo o Utenti e computer di Active Directory.
Una volta che sono state configurate le impostazioni di Windows Firewall, il successivo aggiornamento del Criterio di gruppo Configurazione computer scarica le nuove impostazioni di Windows Firewall e le applica ai computer con Windows XP SP2.
Per configurare le impostazioni di Windows Firewall
Dal desktop di Windows XP SP2, fare clic su Start, scegliere Esegui, digitare mmc, quindi fare clic su OK.
Nel menu File, fare clic su Aggiungi/Rimuovi snap-in.
Nella scheda Autonomo, fare clic su Aggiungi.
Nell'elenco Snap-in autonomi disponibili, fare clic su Editor oggetti Criteri di gruppo, quindi scegliere Aggiungi.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo, fare clic su Sfoglia.
Selezionare l'oggetto Criteri di gruppo da configurare e fare clic su OK, quindi scegliere Fine per** **uscire dalla Procedura guidata Criteri di gruppo.
Fare clic su Chiudi per uscire dalla finestra di dialogo Aggiungi snap-in autonomo, quindi scegliere OK per uscire dalla finestra di dialogo Aggiungi/Rimuovi snap-in e tornare alla console di gestione.
Nella struttura della console, aprire Configurazione computer, Modelli amministrativi, Rete, Connessioni di rete e, infine, Windows Firewall.
.gif "Figura 4 Opzioni di Windows Firewall in un Criterio di gruppo")
Figura 4 Opzioni di Windows Firewall in un Criterio di gruppo
Fare doppio clic su Windows Firewall: consenti messaggi da computer con autenticazione IPSec.
.gif "Figura 5 Consenti messaggi da computer con autenticazione IPSec")
Figura 5 Consenti messaggi da computer con autenticazione IPSec
Nella Tabella 1 sono riepilogate le opzioni di Consenti messaggi da computer con autenticazione IPSec.
Tabella 1 Impostazioni di Consenti messaggi da computer con autenticazione IPSec per un ambiente Enterprise
Impostazione Descrizione Note Non configurata Il GPO non cambia la configurazione corrente di Windows Firewall Attivata Windows Firewall non elabora il traffico protetto da IPSec salvo quello proveniente dagli utenti o dai gruppi elencati nel criterio. La sintassi per elencare gli utenti e i gruppi segue il linguaggio SDDL standard. Per ulteriori informazioni, fare riferimento alle seguenti risorse: "Security Descriptor Definition Language" sul sito Web MSDN all'indirizzo http://go.microsoft.com/fwlink/?linkid=35503 Disattivata Windows Firewall elabora il traffico protetto da IPSec. In base alle informazioni riportate nella Tabella 1, fare clic su Attivata o Disattivata.
Nota: se si fa clic su Attivata, è possibile creare l'elenco degli utenti o dei gruppi autorizzati a inviare traffico protetto da IPSec al computer in uso.
Fare clic su OK.
Selezionare Profilo di dominio o Profilo standard.
.gif "Figura 6 Impostazioni di Windows Firewall in un Criterio di gruppo")
Figura 6 Impostazioni di Windows Firewall in un Criterio di gruppo
Nella Tabella 2 sono riepilogate le impostazioni del Criterio di gruppo Windows Firewall consigliate per il profilo di dominio e per il profilo standard.
Tabella 2 Impostazioni di Windows Firewall consigliate per un ambiente Enterprise
Impostazione Descrizione Profilo di dominio Profilo standard Proteggi tutte le connessioni di rete Specifica che in tutte le connessioni di rete deve essere attivato Windows Firewall Attivata Attivata Non consentire eccezioni Specifica che tutto il traffico non richiesto deve essere ignorato, incluso il traffico elencato nelle eccezioni Non configurata Attivata, a meno che non sia necessario configurare eccezioni relative ai programmi Definisci eccezioni programmi Definisce il traffico incluso nelle eccezioni in termini di nome file di programma Attivata e configurata per i programmi (applicazioni e servizi) utilizzati dai computer che eseguono Windows XP SP2 sulla rete Attivata e configurata per i programmi (applicazioni e servizi) utilizzati dai computer che eseguono Windows XP SP2 sulla rete Consenti eccezioni programmi locali Consente la configurazione locale delle eccezioni relative ai programmi Disattivata, a meno che non sia necessario che gli amministratori locali configurino localmente le eccezioni relative ai programmi Disattivata Consenti eccezione per amministrazione remota Consente la configurazione remota per mezzo degli appositi strumenti Disattivata, a meno che non si desideri attivare l'amministrazione remota dei computer con gli snap-in di MMC Disattivata Consenti eccezione per condivisione file e stampanti Specifica se è consentito il traffico di condivisione di file e stampanti Disattivata, a meno che i computer con Windows XP SP2 non condividano risorse locali Disattivata Consenti eccezioni ICMP Specifica i tipi di messaggi ICMP consentiti Disattivata, a meno che non si desideri utilizzare il comando ping per la risoluzione dei problemi Disattivata Consenti eccezione per Desktop remoto Specifica se il computer può accettare una richiesta di connessione basata su Desktop remoto Attivata Attivata Consenti eccezione per framework UPnP Specifica se il computer può ricevere messaggi UPnP non richiesti Disattivata Disattivata Proibisci notifiche Disattiva le notifiche Disattivata Disattivata Consenti registrazione Consente di registrare il traffico e configurare le impostazioni del file registro Non configurata Non configurata Impedisci risposte unicast a richieste multicast o broadcast Elimina i pacchetti unicast ricevuti in risposta a messaggi di richieste multicast o broadcast Attivata Attivata Definisci eccezioni porte Specifica il traffico incluso nelle eccezioni in termini di TCP e UDP Disattivata Disattivata Consenti eccezioni porte locali Consente la configurazione locale delle eccezioni relative alle porte Disattivata Disattivata
.gif "Figura 4 Opzioni di Windows Firewall in un Criterio di gruppo")
.gif "Figura 6 Impostazioni di Windows Firewall in un Criterio di gruppo")
Attivazione delle eccezioni per le porte
Per attivare le eccezioni per le porte
Nell'area delle impostazioni di Profilo di dominio o Profilo standard, fare doppio clic su Windows Firewall: definisci eccezioni porte.
.gif "Figura 7 Proprietà di Windows Firewall: definisci eccezioni porte")
Figura 7 Proprietà di Windows Firewall: definisci eccezioni porte
Fare clic su Attivata, quindi scegliere Mostra.
.gif "Figura 8 Mostra contenuti")
Figura 8 Mostra contenuti
Fare clic su Aggiungi.
.gif "Figura 9 Aggiungi elemento")
Figura 9 Aggiungi elemento
Digitare le informazioni sulle porte da bloccare o attivare utilizzando la seguente sintassi:
porta:trasporto:ambito:stato:nome
Dove porta è il numero di porta, trasporto è TCP o UDP, ambito è * (per tutti i sistemi) o un elenco dei computer autorizzati ad accedere alla porta, stato è enabled o disabled e nome è la stringa di testo utilizzata come etichetta per questa voce.
Per l'ambito non sono supportati nomi host, nomi DNS (Domain Name System) o suffissi DNS. Per gli intervalli di indirizzi IPv4 è possibile specificare l'intervallo utilizzando una subnet mask decimale con punti o una lunghezza di prefisso. Se si utilizza una subnet mask decimale con punti, è possibile specificare l'intervallo come ID di rete IPv4 (ad esempio, 10.47.81.0/255.255.255.0) oppure utilizzare un indirizzo IPv4 compreso nell'intervallo (ad esempio, 10.47.81.231/255.255.255.0). Se si utilizza una lunghezza di prefisso di rete, è possibile specificare l'intervallo come ID di rete IPv4 (ad esempio, 10.47.81.0/24) oppure utilizzare un indirizzo IPv4 compreso nell'intervallo (ad esempio, 10.47.81.231/24).
Per ulteriori informazioni sulle subnet e sugli indirizzi TCP/IP, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 164015 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=36370
Nota: se sono presenti spazi tra le voci dell'elenco delle origini o altri caratteri non validi, l'ambito viene ignorato e l'impostazione si comporta come se fosse disattivata. Controllare con cura la sintassi dell'ambito prima di salvare le modifiche.
In questo esempio viene utilizzata un'eccezione chiamata WebTest che attiva la porta TCP 80 per tutte le connessioni.
Fare clic su OK per chiudere Aggiungi elemento.
.gif "Figura 10 Mostra contenuti")
Figura 10 Mostra contenuti
Fare clic su OK per chiudere Mostra contenuti.
Fare clic su Chiudi per chiudere Proprietà di Windows Firewall: definisci eccezioni porte.
Nota: se è selezionato Non consentire eccezioni, tutte le eccezioni relative alle porte vengono ignorate.
.gif "Figura 8 Mostra contenuti")
.gif "Figura 10 Mostra contenuti")
Attivazione delle eccezioni per i programmi
Per attivare le eccezioni per i programmi
Nell'area delle impostazioni di Profilo di dominio o Profilo standard, fare doppio clic su Windows Firewall: definisci eccezioni programmi.
.gif "Figura 11 Proprietà di Windows Firewall: definisci eccezioni programmi")
Figura 11 Proprietà di Windows Firewall: definisci eccezioni programmi
Fare clic su Attivata, quindi scegliere Mostra.
.gif "Figura 12 Mostra contenuti")
Figura 12 Mostra contenuti
Fare clic su Aggiungi.
.gif "Figura 13 Aggiungi elemento")
Figura 13 Aggiungi elemento
Digitare le informazioni sui programmi da bloccare o attivare utilizzando la seguente sintassi:
percorso:ambito:stato:nome
Dove percorso è il percorso e nome file del programma, ambito è * (per tutti i sistemi) o un elenco dei computer autorizzati ad accedere al programma, stato è enabled o disabled e nome è la stringa di testo utilizzata come etichetta per questa voce.
In questo esempio si attiva Windows Messenger per tutte le connessioni.
Per ulteriori informazioni sulle subnet e sugli indirizzi TCP/IP, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 164015 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=36370
Fare clic su OK per chiudere Aggiungi elemento.
.gif "Figura 14 Mostra contenuti")
Figura 14 Mostra contenuti
Fare clic su OK per chiudere Mostra contenuti.
Fare clic su Chiudi per chiudere Proprietà di Windows Firewall: definisci eccezioni programmi.
.gif "Figura 12 Mostra contenuti")
.gif "Figura 14 Mostra contenuti")
Configurazione delle opzioni ICMP di base
Per informazioni su ICMP, fare riferimento alle seguenti risorse:
- "Internet Control Message Protocol (ICMP)" sul sito Web Microsoft Windows XP all'indirizzo http://go.microsoft.com/fwlink/?linkid=35499
Per configurare le opzioni ICMP di base
Nell'area delle impostazioni di Profilo di dominio o Profilo standard, fare doppio clic su Windows Firewall: consenti eccezioni ICMP.
Fare clic su Attivata.
.gif "Figura 15 Proprietà di Windows Firewall: consenti eccezioni ICMP")
Figura 15 Proprietà di Windows Firewall: consenti eccezioni ICMP
Selezionare le eccezioni ICMP da attivare. In questo esempio viene selezionata Consenti richiesta echo in ingresso.
Fare clic su OK per chiudere Proprietà di Windows Firewall: consenti eccezioni ICMP.
Registrazione dei pacchetti ignorati e delle connessioni riuscite
Per registrare i pacchetti ignorati e le connessioni riuscite
Nell'area delle impostazioni di Profilo di dominio o Profilo standard, fare doppio clic su Windows Firewall: consenti registrazione.
.gif "Figura 16 Proprietà di Windows Firewall: consenti registrazione")
Figura 16 Proprietà di Windows Firewall: consenti registrazione
Fare clic su Attivata, selezionare Registra pacchetti ignorati e Registra connessioni riuscite, digitare un percorso e un nome per il file registro, quindi scegliere OK.
Nota: il percorso in cui viene salvato il file registro deve essere protetto al fine di impedire l'eliminazione o la manomissione del file.
Chiudere l'Editor criteri di gruppo.
Alla richiesta di salvataggio delle impostazioni della console, fare clic su No.
Applicazione della configurazione con GPUpdate
L'utilità GPUpdate aggiorna le impostazioni di Criteri di gruppo basate su Active Directory, che includono le impostazioni di protezione. Dopo avere configurato Criteri di gruppo, è possibile attendere che le impostazioni vengano applicate al computer client dai cicli di aggiornamento standard. Per impostazione predefinita, questi cicli hanno luogo ogni 90 minuti, con un offset casuale di più o meno 30 minuti.
L'utilità GPUpdate consente di aggiornare Criteri di gruppo tra un ciclo standard e l'altro.
Esecuzione di GPUpdate
Per eseguire GPUpdate
Dal desktop di Windows XP, fare clic su Start, quindi scegliere Esegui.
Nella casella Apri, digitare cmd, quindi fare clic su OK.
Nota: per una descrizione completa delle opzioni disponibili per GPUpdate, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 298444 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35504
Dal prompt dei comandi, digitare GPUpdate e premere INVIO.
.gif "Figura 17 GPUpdate dalla riga di comando")
Figura 17 GPUpdate dalla riga di comando
Per chiudere il prompt dei comandi, digitare Exit e premere INVIO.
.gif "Figura 17 GPUpdate dalla riga di comando")
Verifica dell'applicazione delle impostazioni di Windows Firewall
Nota: se si utilizza Criteri di gruppo per configurare Windows Firewall, è possibile che le impostazioni non consentano agli amministratori locali di modificare alcuni elementi della configurazione. Alcune schede e alcune opzioni della finestra di dialogo Windows Firewall non sono disponibili sui computer locali degli utenti.
Per verificare che le impostazioni di Windows Firewall siano applicate
Dal Centro sicurezza PC, sotto Gestione impostazioni di protezione per, fare clic su Windows Firewall.
Fare clic sulle schede Generale, Eccezioni e Avanzate e verificare che la configurazione desiderata sia applicata a Windows Firewall sul computer, quindi scegliere OK per chiudere Windows Firewall.
Nota: se le impostazioni di configurazione non sono applicate, è necessario cercare di risolvere gli eventuali problemi relativi all'applicazione Criteri di gruppo. Per risolvere i problemi relativi all'applicazione Criteri di gruppo, fare riferimento alle seguenti risorse:
- "Troubleshooting Group Policy in Windows Server 2003" sul sito Web dell'area di download di Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35481
Configurazione delle impostazioni di protezione di Internet Explorer
Per Windows XP SP2, è possibile gestire tutte le impostazioni di protezione di Internet Explorer sia per la configurazione computer che per la configurazione utente con le nuove impostazioni di Criteri di gruppo.
Windows XP SP2 utilizza due aree principali di impostazioni di criterio:
Funzionalità di protezione
Azioni URL
Le impostazioni di criterio Funzionalità di protezione consentono di gestire scenari specifici che potrebbero influire sulla protezione di Internet Explorer. Nella maggior parte dei casi, è importante impedire un comportamento specifico; per questo motivo, è necessario assicurare che la funzionalità di protezione sia attivata. Ad esempio, è possibile che un codice dannoso in esecuzione nell'area Computer locale anziché nell'area Internet tenti di aumentare il livello delle proprie autorizzazioni. Per cercare di impedire un attacco di questo tipo, è possibile utilizzare l'impostazione di criterio Protezione da promozione di area.
Per ognuna delle impostazioni di criterio Funzionalità di protezione, è possibile specificare le impostazioni per controllare il comportamento delle funzionalità di protezione, in base a quanto segue:
Processi di Internet Explorer
Un elenco di processi definiti
Tutti i processi, indipendentemente dalla loro origine
Per azione URL (Uniform Resource Locator) si intende un'azione che il browser può intraprendere e che può comportare rischi di protezione per il computer locale, ad esempio il tentativo di eseguire un applet Java o un controllo ActiveX. Le azioni URL corrispondono a quelle impostazioni di protezione del Registro di sistema che identificano l'azione da intraprendere per tale funzionalità nell'area di protezione in cui risiede l'URL. Le impostazioni delle azioni URL includono attivazione, disattivazione, richiesta e così via, a seconda dei casi.
Per la gestione della protezione delle azioni URL in Internet Explorer, è necessario utilizzare le nuove impostazioni del Criterio di gruppo Pagina protezione sotto Pannello di controllo Internet. Utilizzando Criteri di gruppo per controllare la protezione per le azioni URL, è possibile creare configurazioni standard di Internet Explorer per tutti gli utenti e i computer dell'azienda.
Per garantire la protezione, è possibile attivare criteri per tutte le aree URL con le impostazioni di criterio del modello dell'area di protezione. Per ognuna delle impostazioni di criterio delle azioni URL, è possibile specificare uno dei seguenti livelli di protezione:
Bassa. Generalmente utilizzato per le aree di protezione URL che contengono siti Web considerati assolutamente attendibili dagli utenti. È il livello di protezione predefinito per l'area Siti attendibili.
Medio-bassa. Può essere utilizzato per le aree di protezione URL che contengono siti Web che difficilmente potrebbero danneggiare computer o dati. È il livello di protezione predefinito per l'area Intranet.
Media. Può essere utilizzato per le aree di protezione URL che contengono siti Web che non sono né attendibili ne inattendibili. È il livello di protezione predefinito per l'area Internet.
Alta. Utilizzato per le aree di protezione URL che contengono siti Web che potrebbero potenzialmente danneggiare computer o dati. È il livello di protezione predefinito per l'area Siti con restrizioni.
Per ulteriori informazioni sui controlli di Funzionalità di protezione, fare riferimento alle seguenti risorse:
- "Changes in Functionality in Microsoft Windows XP Service Pack 2" sul sito Web Microsoft TechNet all'indirizzo http://go.microsoft.com/fwlink/?linkid=35487
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere a un computer Windows XP SP2 che sia un client di dominio Active Directory come membro del gruppo di protezione Amministratori di dominio e aprire un oggetto Criteri di gruppo.
Strumenti: Microsoft Management Console (MMC) con installato lo snap-in Editor oggetti Criteri di gruppo.
Configurazione delle impostazioni di protezione di Internet Explorer
Per configurare le impostazioni di Internet Explorer
Dal desktop di Windows XP SP2, fare clic su Start, scegliere Esegui, digitare mmc, quindi fare clic su OK.
Nel menu File, fare clic su Aggiungi/Rimuovi snap-in.
Nella scheda Autonomo, fare clic su Aggiungi.
Nell'elenco Snap-in autonomi disponibili, fare clic su Editor oggetti Criteri di gruppo, quindi scegliere Aggiungi.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo, fare clic su Sfoglia.
Selezionare l'oggetto Criteri di gruppo da configurare e fare clic su OK, quindi scegliere Fine per** **uscire dalla Procedura guidata Criteri di gruppo.
Fare clic su Chiudi per uscire dalla finestra di dialogo Aggiungi snap-in autonomo, quindi scegliere OK per uscire dalla finestra di dialogo Aggiungi/Rimuovi snap-in e tornare alla console di gestione.
Nella struttura della console, aprire Configurazione computer, Modelli amministrativi, Componenti di Windows, Internet Explorer e, infine, Funzionalità di protezione.
.gif "Figura 18 Impostazioni di protezione del Criterio di gruppo Internet Explorer")
Figura 18 Impostazioni di protezione del Criterio di gruppo Internet Explorer
In base alle informazioni riportate nella Tabella 3, configurare le impostazioni di protezione di Internet Explorer.
Tabella 3 Impostazioni delle funzionalità di protezione di Internet Explorer
Impostazione Descrizione Configurazione predefinita Configurazione consigliata per un ambiente Enterprise Restrizione di protezione comportamenti binari Controlla se l'impostazione Restrizione di protezione comportamenti binari è negata o consentita Non configurata Aggiungere i comportamenti approvati dall'azienda all'elenco Comportamenti approvati da amministratori nella notazione #pacchetto#comportamento Limitazione protocollo di protezione MK Riduce i rischi di sicurezza non consentendo il protocollo MK Non configurata Attivata per tutti i processi Blocco protezione area computer locale Aiuta a limitare gli attacchi che utilizzano l'area Computer locale per caricare codice HTML dannoso Non configurata Attivata per tutti i processi Gestione MIME coerente Determina se Internet Explorer richiede che tutte le informazioni sul tipo file fornite dai server Web siano coerenti Non configurata Attivata per tutti i processi Funzionalità di protezione analisi MIME Determina se l'analisi MIME di Internet Explorer deve impedire che un file di un certo tipo sia promosso a un tipo di file più pericoloso Non configurata Attivata per tutti i processi Protezione cache oggetti Definisce se un riferimento a un oggetto è accessibile quando l'esplorazione dell'utente si limita all'interno di un dominio o raggiunge un nuovo dominio Non configurata Attivata per tutti i processi Restrizioni di protezione finestre impostate da script Limita le finestre popup e impedisce agli script di visualizzare finestre in cui la barra del titolo e la barra di stato non sono visibili o coprono la barra del titolo o la barra di stato di altre finestre Non configurata Attivata per tutti i processi Protezione da promozione di area Aiuta a proteggere l'area di protezione Computer locale Non configurata Attivata per tutti i processi Barra informazioni Indica se deve essere visualizzata la barra informazioni per i processi di Internet Explorer quando le installazioni di file o di codice sono sottoposte a restrizioni Non configurata Attivata per tutti i processi Limita installazione ActiveX Consente di bloccare la richiesta di conferma dell'installazione di controlli ActiveX® per i processi di Internet Explorer Non configurata Attivata per tutti i processi Limita download file Consente di bloccare le richieste di conferma di download di file non originate dall'utente Non configurata Attivata per tutti i processi Gestione componenti aggiuntivi Consente di assicurare che i componenti aggiuntivi di Internet Explorer non presenti nell'Elenco componenti aggiuntivi non siano consentiti Non configurata Attivata per tutti i componenti aggiuntivi a meno che non sia specificato diversamente nell'Elenco componenti aggiuntivi Blocco protocollo di rete Specifica un elenco di protocolli con restrizioni per le seguenti aree di protezione: Internet, intranet, siti attendibili, siti con restrizioni e computer locale Non configurata Attiva protocolli specifici per ogni area di protezione Espandere il Pannello di controllo Internet
.gif "Figura 19 Impostazioni del Pannello di controllo Internet")
Figura 19 Impostazioni del Pannello di controllo Internet
Attivare ogni impostazione per impedire che gli utenti possano accedere alle pagine di configurazione di Internet Explorer elencate. A tale scopo, fare doppio clic su ogni impostazione, fare clic su Attivata, quindi scegliere OK.
Espandere la Pagina protezione.
.gif "Figura 20 Impostazioni della Pagina protezione del Pannello di controllo Internet")
Figura 20 Impostazioni della Pagina protezione del Pannello di controllo Internet
Esistono due modi per configurare le aree di protezione: utilizzare i modelli o scegliere ogni singola impostazione per le varie aree.
Effettuare una delle seguenti operazioni:In base alle informazioni riportate nella Tabella 4, utilizzare i modelli di area per configurare ogni area di protezione. Fare doppio clic su ogni opzione di modello, quindi selezionare Attivata.
Oppure
In base alle informazioni riportate nella Tabella 5, configurare ogni area di protezione separatamente.
Tabella 4 Impostazioni del Pannello di controllo Internet per area di protezione
Impostazione Configurazione consigliata Livello consigliato Modello area Internet Attivata Media Modello area Intranet Attivata Medio-bassa Modello area siti attendibili Attivata Bassa Modello area siti con restrizioni Attivata Alta Modello area computer locale Attivata Bassa Modello Area computer locale bloccata Attivata Alta Tabella 5 Impostazioni del Pannello di controllo Internet per area di protezione
Impostazione Descrizione Configurazione predefinita Scarica controlli ActiveX con firma elettronica Gestisce il download dei controlli ActiveX con firma elettronica dall'area URL della pagina HTML che contiene il controllo. Non configurata Scarica controlli ActiveX senza firma elettronica Gestisce il download dei controlli ActiveX senza firma elettronica dall'area URL della pagina HTML che contiene il controllo. Non configurata Inizializza e esegui script controlli ActiveX non contrassegnati come sicuri Gestisce l'esecuzione dei controlli e dei plug-in ActiveX dalle pagine HTML dell'area. Non configurata Esegui controlli e plug-in ActiveX Determina se la protezione dell'oggetto controllo ActiveX viene ignorata o applicata per le pagine dell'area di protezione dell'URL. La protezione dell'oggetto dovrebbe essere ignorata solo se si è sicuri che tutti i controlli ActiveX e gli script che potrebbero interagire con essi nelle pagine dell'area non costituiscono un pericolo per la protezione. Aggregato dei flag URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY e URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY. Non configurata Consenti esecuzione script attivo Determina se eseguire o meno il codice script nelle pagine dell'area di protezione URL. Non configurata Esecuzione script delle applet Java Determina se il codice script nelle pagine HTML dell'area di protezione URL può utilizzare le applet Java se le proprietà, i metodi e gli eventi delle applet sono accessibili da parte degli script. Non configurata Esegui script controllo ActiveX contrassegnati come sicuri Determina se è possibile utilizzare gli script per i controlli ActiveX sicuri. Non configurata Accesso all'origine dati a livello di dominio Determina se la risorsa è autorizzata ad accedere alle origini dati dei vari domini. Non configurata Consenti operazioni di copia tramite script Determina se gli script possono eseguire operazioni di copia e incolla. Non configurata Invia dati modulo non crittografati Determina se sono consentiti i moduli HTML contenuti nelle pagine dell'area di protezione URL o inviati ai server dell'area. Aggregato dei flag URLACTION_HTML_SUBMIT_FORMS_FROM e URLACTION_HTML_SUBMIT_FORMS_TO. Non configurata Consenti download dei caratteri Determina se sono consentiti i download dei caratteri HTML. Non configurata Persistenza dati utente Determina se la persistenza dei dati dell'utente è attivata. Non configurata Esplora sottoframe in domini diversi Determina se i sottoframe sono autorizzati a navigare nei vari domini. Non configurata
.gif "Figura 18 Impostazioni di protezione del Criterio di gruppo Internet Explorer")
.gif "Figura 19 Impostazioni del Pannello di controllo Internet")
.gif "Figura 20 Impostazioni della Pagina protezione del Pannello di controllo Internet")
Applicazione della configurazione con GPUpdate
L'utilità GPUpdate aggiorna le impostazioni di Criteri di gruppo basate su Active Directory, che includono le impostazioni di protezione. Dopo avere configurato Criteri di gruppo, è possibile attendere che le impostazioni vengano applicate al computer client dai cicli di aggiornamento standard. Per impostazione predefinita, questi cicli hanno luogo ogni 90 minuti, con un offset casuale di più o meno 30 minuti.
L'utilità GPUpdate consente di aggiornare Criteri di gruppo tra un ciclo standard e l'altro.
Esecuzione di GPUpdate
Per eseguire GPUpdate
Dal desktop di Windows XP, fare clic su Start, quindi scegliere Esegui.
Nella casella Apri, digitare cmd, quindi fare clic su OK.
Nota: per una descrizione completa delle opzioni disponibili per GPUpdate, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 298444 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35504
Dal prompt dei comandi, digitare GPUpdate e premere INVIO.
.gif "Figura 21 GPUpdate dalla riga di comando")
Figura 21 GPUpdate dalla riga di comando
Per chiudere il prompt dei comandi, digitare Exit e premere INVIO.
.gif "Figura 21 GPUpdate dalla riga di comando")
Verifica dell'applicazione delle impostazioni di protezione di Internet Explorer
Nota: se si utilizza Criteri di gruppo per configurare Internet Explorer, è possibile che le impostazioni non consentano agli amministratori locali di modificare alcuni elementi della configurazione. Alcune schede e alcune opzioni delle finestre di dialogo non sono disponibili sui computer locali degli utenti.
Verifica dell'applicazione delle impostazioni di protezione di Internet Explorer
Per verificare che le impostazioni di Internet Explorer siano applicate
Dal Centro sicurezza PC, sotto Gestione impostazioni di protezione per, fare clic su Opzioni Internet.
Fare clic sulle schede Protezione, Privacy e Avanzate e verificare che la configurazione desiderata sia applicata a Internet Explorer sul computer, quindi scegliere OK per chiudere Proprietà Internet.
Nota: se le impostazioni di configurazione non sono applicate, è necessario cercare di risolvere gli eventuali problemi relativi all'applicazione Criteri di gruppo. Per risolvere i problemi relativi all'applicazione Criteri di gruppo, fare riferimento alle seguenti risorse:
- "Troubleshooting Group Policy in Windows Server 2003" sul sito Web dell'area di download di Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35481
Configurazione delle impostazioni di Gestione comunicazioni Internet
Windows XP SP2 fornisce nuove impostazioni per Criteri di gruppo, progettate principalmente per controllare il modo in cui i componenti di Windows XP SP2 comunicano con Internet. Le impostazioni di Criteri di gruppo consentono di:
Ordinare stampe fotografiche su Internet
Utilizzare spazio di archiviazione su Internet
Pubblicare sul Web
In Windows XP SP2, gli utenti possono selezionare le attività di Windows Explorer per ordinare stampe fotografiche in linea (Ordinazione guidata di stampe via Internet), iscriversi a un servizio che offre spazio di archiviazione in linea (Aggiunta guidata risorse di rete) o pubblicare file che possono essere visualizzati in un browser (Pubblicazione guidata sul Web), nonché selezionare altre attività. L'attività o la procedura guidata selezionata richiama i nomi e gli URL di questi provider di servizi da due origini diverse: un elenco locale (archiviato nel Registro di sistema) e un elenco archiviato in un sito Web Microsoft. Per impostazione predefinita, Windows visualizza i provider dell'elenco del sito Web Microsoft in aggiunta a quelli elencati nel Registro di sistema.
È possibile utilizzare le seguenti impostazioni di Criteri di gruppo per controllare la modalità di funzionamento di queste procedure guidate e di queste attività e per controllare la modalità di comunicazione di questi componenti con Internet:
Disattiva l'operazione per file e cartelle Pubblica sul Web. Questa impostazione di criterio specifica se le attività necessarie per pubblicare gli elementi sul Web sono disponibili da Operazioni file e cartella nelle cartelle di Windows. Le attività sono: Pubblica file sul Web, Pubblica cartella sul Web e Pubblica elementi selezionati sul Web.
Disattiva download Internet per le procedure di pubblicazione guidata sul Web e ordinazione guidata via Internet. Questa impostazione di criterio specifica se Windows deve scaricare un elenco di provider da Pubblicazione guidata sul Web, Aggiunta guidata risorse di rete e Ordinazione guidata di stampe via Internet. Per impostazione predefinita, Windows visualizza i provider scaricati dal sito Web Microsoft in aggiunta a quelli elencati nel Registro di sistema.
Disattiva l'operazione immagine Ordina stampe. Questa impostazione di criterio specifica se l'attività Ordina stampe via Internet è disponibile da Operazioni immagine nelle cartelle di Windows. Questa impostazione disattiva l'Ordinazione guidata di stampe via Internet.
Queste impostazioni di criterio sono disponibili sia per Configurazione utente che per Configurazione computer.
Per ulteriori informazioni su come controllare l'uso dell'Aggiunta guidata risorse di rete e della Pubblicazione guidata sul Web, fare riferimento alle seguenti risorse:
- "Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet" sul sito Web Microsoft TechNet all'indirizzo http://go.microsoft.com/fwlink/?LinkId=35489
Requisiti per l'esecuzione di questa attività
Credenziali: è necessario accedere a un computer Windows XP SP2 che sia un client di dominio Active Directory come membro del gruppo di protezione Amministratori di dominio e aprire un oggetto Criteri di gruppo.
Strumenti: Microsoft Management Console (MMC) con installato lo snap-in Editor oggetti Criteri di gruppo.
Configurazione delle impostazioni di Gestione comunicazioni Internet
Per configurare le impostazioni di Gestione comunicazioni Internet
Dal desktop di Windows XP SP2, fare clic su Start, scegliere Esegui, digitare mmc, quindi fare clic su OK.
Nel menu File, fare clic su Aggiungi/Rimuovi snap-in.
Nella scheda Autonomo, fare clic su Aggiungi.
Nell'elenco Snap-in autonomi disponibili, fare clic su Editor oggetti Criteri di gruppo, quindi scegliere Aggiungi.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo, fare clic su Sfoglia.
Selezionare l'oggetto Criteri di gruppo da configurare e fare clic su OK, quindi scegliere Fine per** **uscire dalla Procedura guidata Criteri di gruppo.
Fare clic su Chiudi per uscire dalla finestra di dialogo Aggiungi snap-in autonomo, quindi scegliere OK per uscire dalla finestra di dialogo Aggiungi/Rimuovi snap-in e tornare alla console di gestione.
Nella struttura della console, aprire Configurazione computer, Modelli amministrativi, Sistema e, infine, Gestione comunicazioni Internet.
.gif "Figura 22 Impostazioni di Gestione comunicazioni Internet")
Figura 22 Impostazioni di Gestione comunicazioni Internet
Configurare l'impostazione Limita comunicazioni Internet come Disattivata per disattivare tutte le impostazioni sotto Impostazioni di comunicazione Internet, oppure come Attivata per attivarle.
Per configurare ogni singola impostazione, espandere Impostazioni di comunicazione Internet, quindi basarsi sulle informazioni contenute nella Tabella 6 per configurare le impostazioni.
Tabella 6 Impostazioni di comunicazione Internet consigliate
Impostazione Descrizione Impostazione consigliata Disattiva l'operazione per file e cartelle Pubblica sul Web Specifica se le attività Pubblica file sul Web, Pubblica cartella sul Web e Pubblica elementi selezionati sul Web sono disponibili da Operazioni file e cartella nelle cartelle di Windows Attivata Disattiva download Internet per le procedure di pubblicazione guidata sul Web e ordinazione guidata via Internet Controlla se Windows scarica un elenco di provider nelle procedure guidate di pubblicazione sul Web e ordinazione via Internet Attivata Disattiva Analisi utilizzo software Windows Messenger Specifica se Windows Messenger raccoglie informazioni anonime sull'uso del software e del servizio Windows Messenger Attivata Disattiva aggiornamenti file contenuto Ricerca guidata Specifica se Ricerca guidata deve scaricare automaticamente gli aggiornamenti del contenuto durante le ricerche locali e in Internet Attivata Disattiva stampa su HTTP Consente di disattivare la stampa su HTTP dal client Attivata Disattiva download driver di stampa su HTTP Controlla se il computer può scaricare i pacchetti dei driver di stampa su HTTP Attivata Disattiva ricerca driver periferiche in Windows Update Specifica se Windows ricerca in Windows Update i driver di periferica se non sono presenti driver locali per una periferica Disattivata Nota: nella Tabella 6 sono riportate tutte le Impostazioni di comunicazione Internet consigliate.
.gif "Figura 22 Impostazioni di Gestione comunicazioni Internet")
Applicazione della configurazione con GPUpdate
L'utilità GPUpdate aggiorna le impostazioni di Criteri di gruppo basate su Active Directory, che includono le impostazioni di protezione. Dopo avere configurato Criteri di gruppo, è possibile attendere che le impostazioni vengano applicate al computer client dai cicli di aggiornamento standard. Per impostazione predefinita, questi cicli hanno luogo ogni 90 minuti, con un offset casuale di più o meno 30 minuti.
L'utilità GPUpdate consente di aggiornare Criteri di gruppo tra un ciclo standard e l'altro.
Esecuzione di GPUpdate
Per eseguire GPUpdate
Dal desktop di Windows XP, fare clic su Start, quindi scegliere Esegui.
Nella casella Apri, digitare cmd, quindi fare clic su OK.
Nota: per una descrizione completa delle opzioni disponibili per GPUpdate, fare riferimento alle seguenti risorse:
- Microsoft Knowledge Base, articolo 298444 sul sito Web Supporto tecnico Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35504
Dal prompt dei comandi, digitare GPUpdate e premere INVIO.
.gif "Figura 23 GPUpdate dalla riga di comando")
Figura 23 GPUpdate dalla riga di comando
Per chiudere il prompt dei comandi, digitare Exit e premere INVIO.
.gif "Figura 23 GPUpdate dalla riga di comando")
Verifica dell'applicazione delle impostazioni di Gestione comunicazioni Internet
Per verificare che le impostazioni di Gestione comunicazioni Internet siano applicate
Fare clic sul pulsante Start, quindi scegliere Immagini.
Verificare che sotto Operazioni immagine non sia visualizzato Ordina stampe via Internet.
Verificare che sotto Operazioni file e cartella non sia visualizzato Pubblica cartella sul Web.
Chiudere Immagini.
Nota: se le impostazioni di configurazione non sono applicate, è necessario cercare di risolvere gli eventuali problemi relativi all'applicazione Criteri di gruppo. Per risolvere i problemi relativi all'applicazione Criteri di gruppo, fare riferimento alle seguenti risorse:
- "Troubleshooting Group Policy in Windows Server 2003" sul sito Web dell'area di download di Microsoft all'indirizzo http://go.microsoft.com/fwlink/?linkid=35481
Configurazione delle impostazioni di accesso DCOM
Microsoft Component Object Model (COM) è un sistema per la creazione di applicazioni software in grado di interagire tra loro. DCOM consente la distribuzione di queste applicazioni. Il protocollo wire DCOM fornisce in modo trasparente il supporto per le comunicazioni tra i componenti COM.
Nota: per ulteriori informazioni sulla protezione DCOM, fare riferimento alle seguenti risorse:
- "Best Practices for Mitigating RPC and DCOM Vulnerabilities" sul sito Web Microsoft TechNet all'indirizzo http://go.microsoft.com/fwlink/?linkid=36371
Molte applicazioni COM includono codice specifico per la protezione ma utilizzano impostazioni deboli che spesso consentono l'accesso non autenticato ai componenti. In Windows XP SP2, è stata apportata una modifica a COM per fornire controlli di accesso a livello di intero computer, al fine di regolare l'accesso a tutte le richieste di richiamo, attivazione o avvio di quest'ultimo. Windows XP SP2 offre uno standard di autorizzazione minimo che deve essere superato per accedere a qualsiasi server COM sul computer.
Nota: per ulteriori informazioni sulle correzioni a COM in Windows XP SP2, fare riferimento alle seguenti risorse:
- "Com+ fixes in Windows XP Service Pack 2" all'indirizzo http://support.microsoft.com/default.aspx?scid=kb;en-us;838211
Gli elenchi di controllo di accesso (ACL) vengono controllati per ogni richiesta DCOM. Se il controllo non viene superato, la richiesta viene negata. Esiste un ACL a livello di intero computer per:
Autorizzazioni di esecuzione e attivazione. Queste autorizzazioni controllano il permesso di avviare un server COM durante l'attivazione COM se il server non è già in esecuzione e prevedono quattro diritti di accesso:
Avvio locale
Avvio remoto
Attivazione locale
Attivazione remota
Autorizzazioni di accesso. Queste autorizzazioni controllano il permesso di richiamare un server COM in esecuzione e prevedono due diritti di accesso:
Chiamate locali
Chiamate remote
**Nota: **un messaggio COM locale arriva tramite una chiamata locale, mentre un messaggio COM remoto arriva tramite una chiamata remota.
Le autorizzazioni possono essere configurate tramite Servizi componenti di Microsoft Management Console (MMC) e offrono uno standard di protezione minimo che deve essere superato, indipendentemente dalle impostazioni della specifica applicazione server COM.
Nota: per impostazione predefinita, Windows Firewall blocca questo snap-in di MMC su un computer con Windows XP SP2; se si riceve un avviso di protezione relativo a questa situazione, è necessario fare clic su Sblocca.
Le impostazioni di restrizione predefinite di Windows XP SP2 sono riportate nella Tabella 7.
Tabella 7 Restrizioni predefinite del controllo di accesso DCOM
| Autorizzazione | Amministratore | Tutti | Anonimo |
|---|---|---|---|
| Avvio e attivazione | Avvio locale Attivazione locale Avvio remoto Attivazione remota | Avvio locale Attivazione locale | Nessuna autorizzazione impostata |
| Accesso | Nessuna autorizzazione impostata | Chiamate locali Chiamate remote | Chiamate locali |