Guida per la protezione di Windows XP

Capitolo 6: Criteri di restrizione software per client Windows XP

In questa pagina

Panoramica Architettura dei criteri di restrizione software Opzioni dei criteri di restrizione software Configurazione e distribuzione dei criteri di restrizione software Riepilogo

Panoramica

I criteri di restrizione software consentono agli amministratori di identificare il software e di controllarne la possibilità di esecuzione sul computer locale. Questo strumento consente di proteggere i computer che eseguono Microsoft Windows XP Professional contro i conflitti noti e contro i programmi dannosi contenenti virus e cavalli di Troia. I criteri di restrizione software si integrano completamente con Active Directory e Criteri di gruppo e possono essere utilizzati anche sui computer autonomi.

Questo capitolo ha una struttura diversa rispetto ai capitoli precedenti di questa guida, a causa della modalità di funzionamento dei criteri di restrizione software. I capitoli precedenti hanno fornito raccomandazioni sulla configurazione delle opzioni di impostazione dei Criteri di gruppo. I criteri di restrizione software richiedono a un amministratore di definire le applicazioni a cui è consentita l'esecuzione sui computer client nel proprio ambiente, quindi di determinare le restrizioni che verranno applicate ai client dai criteri.

Quando si implementano i criteri di restrizione software, è necessario innanzitutto stabilire il livello di protezione predefinito, scegliendo tra Senza restrizioni e Non consentito. Se il livello di protezione predefinito è Senza restrizioni, verrà consentita l'esecuzione di tutto il software e sarà necessario configurare regole aggiuntive per bloccare specifiche applicazioni. L'approccio più sicuro consiste nell'impostare il livello di protezione predefinito su Non consentito, il che significa che non verrà consentita l'esecuzione di alcun software e sarà quindi possibile configurare regole aggiuntive per specifiche applicazioni. È possibile applicare i criteri di restrizione software a più computer attraverso i Criteri di gruppo basati su dominio o a computer individuali attraverso i Criteri di gruppo locali.

Importante: è opportuno verificare attentamente tutti le impostazioni di criterio trattate in questa guida, in particolare quelle relative ai criteri di restrizione software, prima di distribuirle ai sistemi di produzione. Errori nella progettazione o nell'implementazione di queste funzionalità possono causare considerevoli disagi per gli utenti.

I criteri di restrizione software consentono di identificare il software in diversi modi e assicurano un'infrastruttura basata sui criteri per applicare le regole in base alla modalità di esecuzione del software identificato. Gli utenti dei computer devono attenersi alle linee guida stabilite nei criteri di restrizione software dall'amministratore dell'ambiente.

È possibile utilizzare i criteri di restrizione software per eseguire le seguenti operazioni:

  • Controllare il tipo di software che può essere eseguito sui computer client nel proprio ambiente.

  • Limitare l'accesso utente a file specifici inclusi nei computer multiutente.

  • Decidere gli utenti che possono aggiungere autori attendibili ai computer client.

  • Definire se i criteri interesseranno tutti gli utenti o un sottoinsieme di utenti sui computer client.

  • Impedire l'esecuzione di file eseguibili su computer locali basati su criteri configurati a livello di computer, di OU, di sito o di dominio.

Inizio pagina

Architettura dei criteri di restrizione software

I criteri di restrizione software includono le seguenti caratteristiche avanzate:

  • Imposizione dei criteri basata su dominio o computer locale. Gli amministratori creano il criterio e quindi definiscono le applicazioni attendibili e quelle non attendibili. Il criterio viene applicato in fase di esecuzione e gli utenti non ricevono alcuna richiesta che consenta loro di scegliere se eseguire i file eseguibili.

  • Criteri applicati a file diversi dai file binari eseguibili. La definizione di ciò che costituisce il software è ambigua. I criteri di restrizione software garantiscono il controllo su Microsoft Visual Basic Scripting Edition (VBScript), JScript e su altri linguaggi di script. Inoltre, si integrano con la funzionalità di Windows Installer per garantire il controllo sui pacchetti che possono essere installati nei computer client. Questa funzionalità include un'API (Application Programming Interface) che è possibile utilizzare per coordinare l'esecuzione dei criteri con altre esecuzioni.

  • Criteri scalabili. Essendo implementati attraverso i Criteri di gruppo, i criteri di restrizione software possono essere applicati e gestiti efficacemente in domini costituiti da decine di migliaia di computer.

  • Criteri flessibili. Gli amministratori hanno la possibilità di impedire l'esecuzione di script non autorizzati, regolare i controlli Microsoft ActiveX o bloccare i computer client.

  • Criteri che attivano una forte crittografia per l'identificazione del software. I criteri di restrizione software possono identificare il software mediante l'utilizzo di hash o di firme digitali.

L'implementazione di criteri di restrizione software comprende tre fasi:

  1. L'amministratore o un'autorità delegata crea i criteri mediante lo snap-in MMC Criteri di gruppo per il sito contenitore di Active Directory, il dominio o l'unità organizzativa. Microsoft consiglia di creare un oggetto Criteri di Gruppo (GPO) separato per i criteri di restrizione software.

    Nota: per creare un nuovo criterio di restrizione software per un computer autonomo locale, è necessario essere membri del gruppo Amministratori sul computer locale. Per configurare le impostazioni, scegliere Impostazioni di Windows, quindi Impostazioni protezione e infine Criteri di restrizione software.

  2. Il criterio a livello di computer viene scaricato e ha effetto all'avvio. I criteri utente hanno effetto quando l'utente accede al sistema o al dominio. Per eseguire l'aggiornamento, utilizzare il comando gpupdate.exe /force.

  3. Quando un utente avvia un file eseguibile come un'applicazione o uno script, il criterio determina se è possibile procedere all'esecuzione in base alle regole di precedenza.

Impostazioni Senza restrizioni o Non consentito

I criteri di restrizione software sono costituiti da due parti:

  • Una regola predefinita in base alla quale è possibile eseguire i programmi.

  • Un inventario di eccezioni alla regola predefinita.

È possibile impostare la regola predefinita utilizzata per identificare il software su Senza restrizioni o Non consentito, in modo da eseguire o meno il software.

Quando si imposta la regola predefinita su Senza restrizioni, l'amministratore può definire alcune eccezioni o un gruppo di programmi che non possono essere eseguiti. Utilizzare l'impostazione predefinita Senza restrizioni in ambienti con computer client gestiti liberamente. È possibile, ad esempio, impedire agli utenti di installare programmi in conflitto con i programmi esistenti creando un regola che ne consenta il blocco.

Per un approccio ancora più sicuro, è possibile impostare la regola predefinita su Non consentito e consentire solo l'esecuzione di un gruppo di programmi specifici. Nell'impostazione predefinita Non consentito l'amministratore deve definire le regole per tutte le applicazioni e accertarsi che gli utenti dispongano sui rispettivi computer delle impostazioni di protezione corrette per accedere alle applicazioni che possono essere eseguite. L'impostazione predefinita Non consentito rappresenta l'approccio migliore per le organizzazioni che desiderano proteggere i computer client Windows XP.

Quattro regole per l'identificazione del software

Le regole in un criterio di restrizione software consentono di identificare una o più applicazioni e di specificare se possono essere eseguite. Il modulo di imposizione in Windows XP esegue una query sulle regole nel criterio prima di consentire l'esecuzione delle applicazioni. Per creare una regola, è necessario individuare le applicazioni e quindi identificarle come eccezioni nell'impostazione predefinita Non consentito. Ogni regola può includere commenti per la descrizione dello scopo.

Per identificare il software, i criteri di restrizione software utilizzano le quattro regole seguenti:

  • Regola hash. Viene utilizzata un'impronta digitale crittografica del file eseguibile.

  • Regola certificato. Viene utilizzato un certificato con firma digitale di un autore di software per il file .exe.

  • Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming Convention) locale o del Registro di sistema della posizione del file .exe.

  • Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file eseguibile (se scaricato mediante Microsoft Internet Explorer).

Regola hash

L'hash è un'impronta digitale che identifica in modo univoco un programma software o un file eseguibile anche se il programma o il file eseguibile viene spostato o rinominato. Gli amministratori possono utilizzare un hash per registrare una versione specifica di un programma o di un file eseguibile per il quale si intende impedire l'esecuzione all'utente.

Con una regola hash, i programmi software possono essere identificati in modo univoco in quanto la corrispondenza della regola si basa su un calcolo crittografico che interessa il contenuto del file. Gli unici tipi di file interessati dalle regole hash sono quelli elencati nella sezione Tipi di file designati nel riquadro dei dettagli relativi ai Criteri restrizione software.

Le regole hash risultano efficaci negli ambienti statici. Se il software dell'ambiente viene aggiornato, l'hash deve essere ricalcolato per ogni file eseguibile aggiornato. Le regole hash sono particolarmente efficaci negli ambienti in cui il software viene raramente modificato o aggiornato.

Una regola hash è costituita dai seguenti tre blocchi di dati separati da due punti:

  • Il valore hash MD5 o SHA-1

  • Lunghezza file

  • Numero di ID algoritmo hash

I file con firma digitale utilizzano il valore hash contenuto nella firma, ovvero MD5 o SHA-1. I file eseguibili che non presentano alcuna firma digitale utilizzano un valore hash MD5.

Le regole hash presentano il seguente formato:

[Valore hash MD5 o SHA1]:[lunghezza file]:[id algoritmo hash]

L'esempio seguente di regola hash è per un file da 126 byte con contenuto corrispondente al valore hash MD5 (7bc04acc0d6480af862d22d724c3b049) e all'algoritmo hash (indicato dall'identificativo dell'algoritmo hash 32771):

7bc04acc0d6480af862d22d724c3b049:126:32771

Tutti i file per i quali l'amministratore intende porre restrizioni o concedere autorizzazioni devono contenere una regola hash. Dopo l'aggiornamento del software, l'amministratore deve creare una nuova regola hash per ogni applicazione perché i valori hash relativi ai file eseguibili originali non corrispondono a quelli dei nuovi file.

Completare le fasi della procedura seguente per creare una regola hash per un file eseguibile.

Per creare una regola hash per file eseguibili esistenti

  1. Sulla barra degli strumenti Editor oggetti Criteri di gruppo scegliere Impostazioni di Windows, quindi Impostazioni protezione e Criteri di restrizione software e infine fare clic con il pulsante destro del mouse su Regole aggiuntive.

  2. Fare clic su Nuova regola hash nel menu di scelta rapida.

    Figura 6.1 Finestra di dialogo Nuova regola hash

  3. Fare clic su Sfoglia per selezionare il file per il quale si desidera creare una regola hash. In questo esempio, il file eseguibile è Excel.exe. Il nuovo valore hash del file viene visualizzato nella casella Hash del file: e la versione dell'applicazione nella casella Informazioni sul file:.

  4. Selezionare l'impostazione predefinita del livello di protezione per la regola. Le opzioni sono:

    • Non consentito

    • Senza restrizioni

Regola certificato

La regola certificato specifica la necessità di un certificato dell'autore del software (utilizzato per la firma del codice) per poter eseguire un programma. L'amministratore, ad esempio, può richiedere certificati firmati per tutti gli script e i controlli ActiveX. Tra le origini consentite conformi alla regola certificato sono incluse:

  • Autorità di certificazione commerciale (CA), ad esempio VeriSign.

  • Infrastruttura a chiave pubblica (PKI) di Microsoft Windows 2000 o Windows Server™ 2003.

  • Certificato autofirmato.

Le regole certificati rappresentano un metodo sicuro per identificare il software, perché per la corrispondenza dei file vengono utilizzati gli hash firmati contenuti nella firma del file firmato indipendentemente dal nome o dalla posizione. Sfortunatamente, pochi produttori di software utilizzano la tecnologia di firma del codice, e anche coloro che la utilizzano firmano di norma una ridotta percentuale dei file eseguibili che distribuiscono. Per tali ragioni, le regole certificati sono generalmente utilizzate per tipi specifici di applicazione come i controlli ActiveX o le applicazioni sviluppate internamente. Ad esempio, questa guida consiglia alle organizzazioni di apporre la firma digitale sugli script utilizzati per gestire i computer e gli utenti, in modo da poter bloccare tutti gli script privi di firma. Una regola hash può essere utilizzata per identificare le eccezioni di una regola certificato.

Attivazione delle regole certificati

Le regole certificati non vengono attivate per impostazione predefinita. Completare le fasi della procedura seguente per attivare le regole certificati.

Per attivare le regole certificati

  1. Aprire il GPO nell'Editor oggetti Criteri di gruppo.

  2. Nella struttura della console scegliere Opzioni di protezione.

  3. Nel riquadro dei dettagli, fare doppio clic su Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software.

  4. Fare clic su Attivata per rendere disponibili le regole certificati.

Per istruzioni dettagliate sulla firma digitale dei file, vedere la sezione "Step-by-Step Guide to Digitally Signing Files with Test Certificates" di "Using Software Restriction Policies to Protect Against Unauthorized Software" (in inglese) all'indirizzo www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.

La maggior parte dei siti Web commerciali dispone di un proprio codice software firmato da un'Autorità di certificazione commerciale. La validità di questi certificati in genere varia da uno a più anni. Quando si utilizzano le regole certificati, è consigliabile verificare che i certificati presentino la data di scadenza. Per ottenere ulteriori informazioni sul periodo di scadenza dei certificati pubblicati, è possibile contattare l'autore del software. Quando si riceve un certificato da un'Autorità di certificazione commerciale, è possibile esportarlo in un file per creare una regola certificato. Per esportare una regola certificato completare le fasi della procedura seguente.

Per esportare un certificato

  1. Selezionare l'autore attendibile da cui verrà rilasciato il certificato. Nell'esempio corrente l'autore del certificato è Microsoft MSN.

    Figura 6.2 Finestra di dialogo Avviso di protezione in cui viene visualizzato l'autore attendibile

  2. Fare clic sulla scheda Dettagli, quindi su Copia su file per copiare questo certificato in un file e utilizzarlo per creare una regola certificato.

    Figura 6.3 Scheda Dettagli della finestra di dialogo Certificato

  3. Viene visualizzata la schermata iniziale Esportazione guidata certificati. Scegliere Avanti per continuare.

    Figura 6.4 Schermata iniziale Esportazione guidata certificati

  4. Nella pagina Formato file di esportazione, selezionare X.509 binario codificato DER (.CER) e fare clic su Avanti per creare il file di certificato con estensione .cer.

    Figura 6.5 Pagina Esportazione guidata certificati, Formato file di esportazione in cui viene visualizzato il metodo di codifica selezionato

  5. Nella pagina File da esportare, specificare un nome file descrittivo per la regola certificato. Il certificato verrà salvato nella posizione e con il nome file selezionati.

    Figura 6.6 Pagina Esportazione guidata certificati, File da esportare in cui viene visualizzato un nome file di esempio

  6. Sulla pagina Completamento dell'Esportazione guidata certificati vengono visualizzate le impostazioni specificate per il file di certificato. Controllare le impostazioni e scegliere Fine per esportare il file.

    Figura 6.7 Pagina Completamento dell'Esportazione guidata certificati in cui vengono visualizzate le impostazioni specificate

Regola percorso

Le regole di percorso specificano una cartella o un percorso completo in un programma. Quando una regola di percorso specifica una cartella, tale regola risulta corrispondente ai programmi contenuti nella cartella e ai programmi inclusi nelle relative sottocartelle. Le regole di percorso supportano sia percorsi UNC che locali.

Per avviare un'applicazione specifica nella regola di percorso, l'amministratore deve definire tutte le directory. Ad esempio, se per avviare un'applicazione viene utilizzato un collegamento sul desktop, per eseguire tale applicazione la regola di percorso deve specificare sia il file eseguibile sia i percorsi del collegamento. Se un utente tenta di eseguire un'applicazione con una regola di percorso parziale, verrà visualizzato l'avviso che il software è bloccato da restrizioni.

Molte applicazioni utilizzano la variabile %ProgramFiles% per installare i file sul disco rigido dei computer che eseguono Windows XP. Purtroppo alcune applicazioni dispongono di valori prefissati che consentono di copiare i file solo nella sottodirectory C:\Programmi, anche quando questa variabile viene impostata su un'altra directory in un'unità differente. Tenere presente questa limitazione quando si creano e si verificano regole di percorso.

Utilizzo delle variabili di ambiente nelle regole di percorso

Per utilizzare le variabili di ambiente, è possibile definire una regola di percorso. Poiché le regole di percorso vengono valutate in ambiente client, l'utilizzo delle variabili di ambiente consente agli amministratori di adattare le regole a un ambiente utente specifico.

Gli esempi seguenti mostrano come applicare le variabili di ambiente a una regola di percorso.

  • "%UserProfile%" corrisponde a C:\Documents and Settings\<Utente>* *e a tutte le sottocartelle nella directory.

  • "%ProgramFiles%\<Application>"* corrisponde a **C:\Programmi\<Applicazione>*** e a tutte le sottocartelle nella directory.

    Nota: le variabili di ambiente non sono protette dagli elenchi di controllo di accesso (ACL). Esistono due tipi di variabili di ambiente, Utente e Sistema. Gli utenti in grado di avviare il prompt dei comandi possono ridefinire la variabile di ambiente Utenti in un percorso diverso. Solo gli utenti nel gruppo Amministratori possono modificare la variabile di ambiente Sistema.

Sebbene i due esempi precedenti siano molto utili, è consigliabile considerare altre variabili di ambiente disponibili. Per un elenco completo, vedere "Command shell overview" (in inglese) all'indirizzo www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/ntcmds_shelloverview.mspx.

Utilizzo dei caratteri jolly nelle regole di percorso

Le regole di percorso possono includere i caratteri jolly "?" e "*". Negli esempi seguenti vengono indicati i caratteri jolly applicati a diverse regole di percorso:

  • \\DC – ??\login$ corrisponde a \\DC – 01\login$, \\DC – 02\login$ e così via.

  • *\Windows corrisponde a C:\Windows, D:\Windows, E:\Windows e a tutte le sottocartelle di ogni directory.

  • C:\win* corrisponde a C:\winnt, C:\windows, C:\windir e a tutte le sottocartelle di ogni directory.

  • *.vbs corrisponde alle applicazioni che presentano tale estensione in Windows XP Professional.

  • C:\Application Files\*.* corrisponde ai file dell'applicazione nella sottodirectory specifica.

Regole di percorso del Registro di sistema

Per molte applicazioni, i percorsi delle cartelle di installazione o delle directory vengono memorizzati nel Registro di sistema di Windows. Alcune applicazioni possono essere installate in una qualunque posizione nel file system. Per individuarle, è possibile creare una regola di percorso per cercare le chiavi del Registro di sistema.

Le posizioni potrebbero non essere facilmente identificate utilizzando percorsi di cartella specifici, ad esempio C:\Programmi\Microsoft Platform SDK, o variabili di ambiente, ad esempio %ProgramFiles%\Microsoft Platform SDK. Tuttavia, se il programma memorizza le directory dell'applicazione nel Registro di sistema, sarà possibile creare una regola di percorso che utilizza il valore memorizzato nel Registro di sistema, ad esempio:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\ Install Dir%

Questo tipo di regola di percorso, denominata regola di percorso del Registro di sistema, presenta il seguente formato:

%<Hive Registro di sistema>\<Nome chiave Registro di sistema>\<Nome valore>%

Nota: i suffissi delle regole di percorso del Registro di sistema non devono contenere il carattere \ subito dopo l'ultimo segno % della regola. Il nome dell'hive del Registro di sistema deve essere scritto per esteso. L'utilizzo di abbreviazioni non è consentito.

Quando la regola predefinita è configurata su Non consentito, vengono impostate quattro regole di percorso del Registro di sistema in modo che il sistema operativo abbia accesso ai file di sistema. Queste regole di percorso del Registro di sistema vengono create come misura di protezione contro il blocco del sistema per uno o più utenti e sono configurate su Senza restrizioni. Queste regole possono essere modificate o eliminate solo da utenti avanzati. Le impostazioni delle regole di percorso del Registro di sistema sono:

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%\*.exe

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%\System32\*.exe

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ProgramFilesDir%

Precedenza delle regole di percorso

Se esistono più regole di percorso corrispondenti, la regola più specifica assumerà la precedenza sulle altre. Di seguito è indicato un gruppo di percorsi ordinati dalla precedenza più alta (corrispondenza più specifica) alla precedenza più bassa (corrispondenza più generica):

  • Unità:\Cartella1\Cartella2\NomeFile.Estensione

  • Unità:\Cartella1\Cartella2\*.Estensione

  • *.Estensione

  • Unità:\Cartella1\Cartella2\

  • Unità:\Cartella1\

Regola area

È possibile utilizzare le regole di area per identificare il software scaricato da una delle seguenti aree definite in Internet Explorer:

  • Internet

  • Intranet

  • Siti con restrizioni

  • Siti attendibili

  • Computer locale

La versione corrente della regola area Internet viene applicata solo ai pacchetti di Windows Installer (*.msi). Inoltre, questa regola non viene applicata al software scaricato tramite Internet Explorer. Tutti gli altri tipi di file interessati dalle regole di area sono elencati nella tabella Tipi di file designati riportata in seguito all'interno del capitolo. È disponibile un elenco dei tipi di file designati che viene condiviso da tutte le regole di area.

Consigli relativi alle regole

Utilizzare le informazioni nella tabella seguente per determinare il tipo di regola che meglio si adatta all'ambiente e agli utenti dell'applicazione.

Tabella 6.1 Identificazione della regola più adatta per un'applicazione specifica

Operazione Regola consigliata
Consentire o non consentire una versione di programma specifica. Regola hash
Individuare il file per creare una regola hash.
Identificare un programma installato sempre nella stessa posizione. Regola di percorso con variabili di ambiente
%ProgramFiles%\Internet Explorer\iexplore.exe
Identificare un programma che può essere installato in qualunque posizione nei computer client. Registry path rule
%HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%
Identificare un set di script in un server centrale. Path rule
\\SERVER_NAME\Share
Identificare un set di script in un gruppo di server. Ad esempio, DC01, DC02 e DC03. Regola di percorso con carattere jolly
\\DC??\Share
Non consentire l'esecuzione dei file .vbs a meno che non siano inclusi nella directory dello script di accesso. Regola di percorso con carattere jolly *.VBS impostato su Non consentito \\LOGIN_SRV\Share\*.VBS impostato su Senza restrizioni
Non consentire l'esecuzione dei file installati da un virus denominato sempre Flcss.exe. Regola di percorso Flcss.exe impostato su Non consentito
Identificare un set di script che possa essere eseguito in qualunque posizione. Regola certificato Utilizzare un certificato per firmare gli script digitalmente.
Consentire l'installazione del software da siti attendibili dell'area Internet. Regola area Impostare Siti attendibili su Senza restrizioni.
Regole di precedenza per i criteri di restrizione software

Le regole vengono valutate in un ordine specifico. Le regole che corrispondono a un programma in modo più specifico hanno la precedenza rispetto alle regole che corrispondono allo stesso programma in modo più generico. Se per lo stesso software vengono stabilite due regole identiche con diversi livelli di protezione, la regola con il livello di protezione più alto assume la precedenza. Ad esempio, se due regole hash, una con livello di protezione Non consentito e una con livello di protezione Senza restrizioni, vengono applicate allo stesso programma software, la regola con il livello di protezione Non consentito avrà la precedenza e il programma non verrà eseguito. Nell'elenco seguente viene definito l'ordine di precedenza delle regole, da quelle più specifiche a quelle meno specifiche:

  1. Regola hash

  2. Regola certificato

  3. Regola di percorso

  4. Regola area

  5. Regola predefinita

Inizio pagina

Opzioni dei criteri di restrizione software

Nella presente sezione vengono descritte le diverse opzioni di imposizione che influenzano il funzionamento dei criteri di restrizione software. Queste opzioni modificano la modalità di imposizione delle impostazioni di trust Microsoft Authenticode per i file firmati digitalmente. Sono disponibili due opzioni di imposizione: è possibile controllare le DLL e ignorare gli amministratori.

Controllare le DLL

La maggior parte dei programmi è costituita da un file eseguibile e da molte DLL di supporto. Per impostazione predefinita, le regole dei criteri di restrizione software non vengono applicate alle DLL. Questa impostazione predefinita è consigliata alla maggior parte dei clienti per i tre motivi seguenti:

  • Scegliendo l'opzione Non consentito per il file eseguibile principale si impedisce l'esecuzione del programma, per cui non esiste alcuna necessità di non consentire le DLL costituenti.

  • Il controllo delle DLL riduce le prestazioni del sistema perché prevede il controllo di tutte le librerie collegate all'applicazione. Ad esempio, se un utente esegue 10 programmi durante una sessione di accesso, tutti questi programmi verranno valutati dai criteri di restrizione software. Quando è attivato il controllo delle DLL, i criteri di restrizione software valutano tutti i caricamenti di DLL all'interno dei programmi. Se ogni programma utilizza 20 DLL, questa configurazione comporta l'esecuzione di 10 controlli di programmi eseguibili più 200 controlli di DLL, pertanto i criteri di restrizione software dovranno eseguire 210 valutazioni.

    Un programma come Internet Explorer è costituito da un file eseguibile, iexplore.exe, e da molte DLL di supporto.

  • Quando si imposta il livello di protezione predefinito su Non consentito, il sistema non solo identifica il file eseguibile principale prima che ne venga consentita l'esecuzione ma anche tutte le DLL costituenti del file .exe, il che comporta un ulteriore carico per il sistema.

Mentre alcuni virus hanno come obiettivo principale i file eseguibili, altri puntano in modo specifico alle DLL. Di conseguenza, il controllo delle DLL è l'opzione consigliata se si desidera ottenere il maggiore controllo possibile per i programmi in esecuzione nel proprio ambiente.

Per accertarsi che i programmi non contengano virus, è possibile utilizzare un set di regole hash che identificano il file eseguibile e tutte le relative DLL costituenti.

Per disattivare l'opzione per il controllo delle DLL

  • Quando si modifica un criterio di restrizione software, nella finestra di dialogo Proprietà - Imposizione selezionare Tutti i file nel software tranne le librerie (ad esempio, le DLL) come mostrato nella figura seguente:

    Figura 6.8 Finestra di dialogo Proprietà - Imposizione in cui vengono visualizzate le opzioni di imposizione per file e utenti

Ignorare gli amministratori

È possibile impedire l'esecuzione dei programmi alla maggior parte degli utenti e consentire invece l'esecuzione di tutti i programmi agli amministratori. Un amministratore, ad esempio, può disporre di un computer condiviso a cui si connettono più utenti mediante l'utilizzo di Terminal Server. L'amministratore può consentire agli utenti solo l'esecuzione di alcune applicazioni specifiche sul computer, tuttavia i membri del gruppo Amministratori locale possono eseguire tutte le applicazioni. Per ottenere questo risultato, è necessario utilizzare l'opzione di imposizione che consente di ignorare gli amministratori.

Se il criterio di restrizione software viene creato in un GPO collegato a un oggetto in Active Directory, Microsoft consiglia di negare l'autorizzazione Applica criteri di gruppo nel GPO al gruppo Amministratori e di non utilizzare l'opzione per ignorare gli amministratori. In questo modo si riduce la larghezza di banda della rete, perché le impostazioni del GPO non applicate agli amministratori non vengono scaricate.

Nota: i criteri di restrizione software definiti negli oggetti dei criteri di protezione locali non possono filtrare i gruppi utenti ed è quindi necessaria l'opzione per ignorare gli amministratori.

Per attivare l'opzione per ignorare gli amministratori

  • Nella finestra di dialogo Proprietà - Imposizione, mostrata nella figura 6.8, selezionare Tutti gli utenti, esclusi gli amministratori locali.
Definizione dei file eseguibili

Nella finestra di dialogo Proprietà - Tipi di file designati, mostrata nella figura seguente, sono elencati i tipi di file controllati dai criteri di restrizione software. Questi tipi di file sono considerati file eseguibili. I file dello screen saver (.scr), ad esempio, sono considerati file eseguibili perché, quando si fa doppio clic su questi file in Windows Explorer, vengono caricati come programmi.

Le regole dei criteri di restrizione software vengono applicate solo ai tipi di file elencati nella finestra di dialogo Proprietà - Tipi di file designati. Se nel proprio ambiente vengono utilizzati tipi di file a cui si desidera applicare alcune regole, è sufficiente aggiungerli all'elenco. Per i file di script Perl, ad esempio, si può scegliere di aggiungere i file .pl e altri tipi di file associati al modulo Perl all'elenco Tipi di file designati: nella scheda Generale della finestra di dialogo Proprietà - Tipi di file designati.

Figura 6.9 Finestra di dialogo Proprietà - Tipi di file designati

Per la configurazione del GPO definita nella presente guida, sono stati rimossi i tipi di file .mdb e .lnk e aggiunto il tipo di file .ocx. Nella tabella seguente sono elencati i tipi di file designati.

Tabella 6.2 Tipi di file designati

Estensione file Descrizione Estensione file Descrizione
.ade Estensione progetto di Microsoft Access .msc Documento console comune Microsoft
.adp Progetto di Microsoft Access .msi Pacchetto di Windows Installer
.bas Modulo di classe di Visual Basic .msp Patch di Windows Installer
.bat File batch .mst File di origine test visivo
.chm File della Guida HTML compilata .ocx Controllo ActiveX
.cmd Script di comandi Windows NT .pcd Immagine Photo CD
.com Applicazione M-DOS .pif Collegamento a un programma per MS–DOS
.cpl Estensione del Pannello di controllo .reg Voce di registro
.crt Certificato di protezione .scr Screen saver
.exe Applicazione .sct Componente di script Windows
.hlp File della Guida di Windows .shs Ritaglio di Shell
.hta Applicazione HTML .url Collegamento Internet (URL, Uniform Resource Locator)
.inf File di informazioni per l'installazione .vb File Visual Basic
.ins Impostazioni di comunicazione Internet .vbe File di script codificato in VBScript
.isp Impostazioni di comunicazione Internet .vbs File di script VBScript
.js File JScript .wsc Componente di script Windows
.jse File di script codificato in JScript .wsf File di script Windows
.mde Database MDE di Microsoft Access .wsh File di impostazioni host di scripting Windows
##### Autori attendibili Per configurare gli utenti che possono selezionare autori attendibili, è possibile utilizzare la finestra di dialogo **Proprietà - Autori attendibili**. Prima di rendere attendibile un autore, se necessario, è possibile stabilire l'esecuzione di alcuni controlli di revoca dei certificati. Con le regole certificati attivate, i criteri di restrizione software controlleranno l'elenco delle revoche dei certificati per garantire che la firma e il certificato del software siano validi. Tuttavia, una volta che i programmi firmati vengono avviati, questo processo può influire negativamente sulle prestazioni. Le opzioni incluse nella scheda **Generale** della finestra di dialogo **Proprietà - Autori attendibili**, indicata nella figura seguente, consentono di configurare le impostazioni relative ai controlli ActiveX e ad altro contenuto firmato. [![](/security-updates/images/Cc163080.XPSG0610(it-it,TechNet.10).jpg "Figura 6.10 Finestra di dialogo Proprietà - Autori attendibili")](https://technet.microsoft.com/it-it/cc163080.xpsg0610_big(it-it,technet.10).jpg) **Figura 6.10 Finestra di dialogo Proprietà - Autori attendibili** Nella seguente tabella vengono indicate le opzioni per gli autori attendibili relative ai controlli ActiveX e ad altro contenuto firmato. **Tabella 6.3 Impostazioni e operazioni per gli autori attendibili**
Nome impostazione Operazione
Amministratori dell'organizzazione Consente solo agli amministratori dell'organizzazione di assumere decisioni relative al contenuto attivo firmato.
Amministratori del computer locale Consente solo agli amministratori del computer locale di assumere decisioni relative al contenuto attivo firmato.
Utenti finali Consente agli utenti di assumere decisioni relative al contenuto attivo firmato.
Publisher Consente di verificare che il certificato utilizzato dall'autore del software non sia stato revocato.
Timestamp Consente di verificare che il certificato utilizzato dall'organizzazione per indicare la data e l'ora del contenuto attivo non sia stato revocato.
[](#mainsection)[Inizio pagina](#mainsection) ### Configurazione e distribuzione dei criteri di restrizione software Nella presente sezione vengono trattati argomenti quali l'amministrazione dei criteri di restrizione software mediante l'utilizzo degli snap-in Criteri di gruppo, i fattori da tenere in considerazione quando si modifica un criterio per la prima volta e la modalità di applicazione di un criterio di restrizione software per un gruppo di utenti. Viene inoltre illustrata una serie di problemi relativi alla distribuzione dei criteri di restrizione software. #### Integrazione con Criteri di gruppo È possibile amministrare i criteri di restrizione software mediante l'utilizzo degli snap-in Criteri di gruppo per un set di computer client, nonché per tutti gli utenti che hanno accesso ai computer. Il criterio è applicato alla OU per desktop e alla OU per portatili definite in questa guida. ##### Dominio L'amministratore deve creare un GPO separato per i criteri di restrizione software. Questo metodo consente di disattivare i Criteri di gruppo senza alterare gli altri criteri applicati all'oggetto, nel caso si verifichino problemi imprevisti. ##### Locale È necessario configurare un criterio locale per i computer client autonomi dell'ambiente, come descritto nel Capitolo 5 di questa guida, "Protezione di client Windows XP autonomi". #### Configurazione dei criteri Nella presente sezione vengono indicate le procedure da seguire per la configurazione e la distribuzione dei criteri di restrizione software. Durante la fase di configurazione dei criteri è necessario adottare numerose decisioni, descritte nella tabella seguente. **Tabella 6.4 Importanti considerazioni sulla configurazione dei criteri**
Decisione Fattori da considerare
Portatili o workstation Esaminare le necessità degli utenti mobili nel proprio ambiente per determinare se per i portatili sono richiesti criteri diversi da quelli utilizzati per i desktop. I portatili in genere richiedono maggiore flessibilità dei desktop.
Condivisioni server, script di accesso e unità principali Per tutte le applicazioni avviate da condivisioni server o da home directory, sarà necessario definire una regola di percorso. Alla regola di percorso è possibile aggiungere file script di accesso. Se uno script chiama un altro script, è consigliabile aggiungere alla regola di percorso anche le posizioni dei file eseguibili.
GPO o criteri di protezione locali In questa guida viene utilizzato un GPO per la configurazione. Tuttavia, è consigliabile considerare gli effetti che i criteri locali avranno sulla configurazione.
Criteri utente o computer Questa configurazione viene applicata a tutte le impostazioni a livello di computer.
Livello di protezione predefinito È consigliabile configurare l'impostazione predefinita su Non consentito e il resto dei criteri in modo appropriato. È disponibile anche l'impostazione predefinita Senza restrizioni.
Regole aggiuntive Quando si utilizza il criterio predefinito Non consentito, sarà necessario applicare altre regole di percorso del sistema operativo. Nella configurazione Non consentito le quattro regole vengono create automaticamente.
Opzioni dei criteri Se si utilizzano criteri di protezione locali e si desidera che i criteri non vengano applicati agli amministratori sui computer client nel proprio ambiente, selezionare l'opzione di imposizione dei criteri che consente di ignorare gli amministratori. Se si desidera controllare le DLL oltre ai file eseguibili e agli script, selezionare l'opzione di imposizione dei criteri che consente di controllare le DLL. Se si desidera stabilire alcune regole per i tipi di file non inclusi nell'elenco predefinito dei tipi di file designati, utilizzare l'opzione per eseguirne l'aggiunta nella finestra di dialogo Proprietà - Tipi di file designati. Se si desidera modificare l'utente che assume le decisioni sul download di controlli ActiveX e altro contenuto firmato, selezionare la casella di controllo relativa all'opzione Autore nella scheda Generale della finestra di dialogo Proprietà - Autori attendibili.
Applicazione dei criteri a siti, domini o unità organizzative I criteri risiedono nell'unità organizzativa in cui si trovano desktop e portatili.
**Nota**: sebbene questa guida consigli di imporre i criteri di restrizione software a livello di computer, esistono molti casi in cui è più opportuno imporli a livello di utente. Ad esempio, un'organizzazione in cui sono presenti computer condivisi quali i server applicazioni di Terminal Server o workstation call center dovrebbe consentire a determinati utenti di eseguire una suite di applicazioni e bloccare l'accesso per tutti gli altri utenti. ##### Procedure consigliate Microsoft consiglia di creare un GPO separato per i criteri di restrizione software in modo che, se dovesse essere necessario disattivarli in caso di emergenza, non vi sarebbe alcuna conseguenza sugli altri criteri locali o di dominio. Inoltre, se durante la fase di configurazione dell'unità organizzativa dovesse bloccarsi una workstation per errore, riavviare il computer in **Modalità provvisoria**, quindi accedere come amministratore locale e infine modificare i criteri. I criteri di restrizione software non vengono applicati all'avvio di Windows in **Modalità provvisoria**. Dopo aver avviato il computer in **Modalità provvisoria**, eseguire Gpupdate.exe e riavviare il computer. Per una protezione ottimale, utilizzare gli ACL insieme ai criteri di restrizione software e non fornire agli utenti i privilegi amministrativi. Gli utenti possono provare ad aggirare i criteri di restrizione software rinominando i file non consentiti o spostandoli oppure sovrascrivendo i file senza restrizioni. Utilizzare gli ACL per negare l'accesso agli utenti e impedire loro di eseguire una di queste operazioni. Gli utenti membri del gruppo **Amministratori** locale sono in grado di aggirare l'implementazione dei criteri di restrizione software; per questo motivo, Microsoft consiglia di non fornire agli utenti i privilegi amministrativi, se possibile. Gli script di accesso in genere si trovano nel controller di dominio di SYSVOL o in un server centralizzato. Spesso il controller di dominio può cambiare a ogni accesso. Se la regola predefinita è impostata su **Non consentito**, è necessario creare regole che identifichino le posizioni degli script di accesso. Se i server di accesso hanno nomi simili, è consigliabile utilizzare i caratteri jolly per individuarli o il nome dello script di accesso con impostazioni senza restrizioni. **Nota**: prima di applicare al dominio le nuove impostazioni dei criteri di restrizione software, verificarle attentamente in ambienti per il testing. Le nuove impostazioni dei criteri possono avere un effetto diverso da quello previsto inizialmente. Con l'esecuzione del testing verrà ridotta la possibilità che si verifichi un problema durante la distribuzione in rete delle impostazioni dei criteri di restrizione software. #### Analisi dei passaggi del processo Le seguenti informazioni consentono di semplificare il processo di configurazione dei criteri di restrizione software e di applicare tali criteri come GPO ai portatili e ai desktop presenti nel proprio ambiente. ##### Passaggio 1. Creare un GPO per l'unità organizzativa. Individuare l'unità organizzativa creata per i desktop o i portatili presenti nel proprio ambiente. Se si utilizza un computer client autonomo, le impostazioni di criterio verranno inserite nel criterio del computer locale. In questo criterio scegliere **Proprietà** e quindi creare un nuovo GPO. Assegnare un nome al criterio in base alla convenzione di denominazione dell'organizzazione tenendo presente che il criterio verrà utilizzato solo per applicare le restrizioni software. ##### Passaggio 2. Impostare i criteri di restrizione software Evidenziare il GPO e scegliere **Modifica**. Esplorare la struttura fino a individuare il nodo **Impostazioni di Windows\\Impostazioni protezione\\Criteri di restrizione software**. La prima volta che si modificano i criteri verrà visualizzato il seguente messaggio: Nessun criterio di protezione software definito. Questo messaggio avvisa l'utente che la creazione del criterio comporterà la definizione di valori predefiniti. Tali valori predefiniti possono ignorare le impostazioni di altri criteri di restrizione software. Poiché non è stata ancora configurata alcuna impostazione di restrizione software, utilizzare le impostazioni predefinite per iniziare. Fare clic con il pulsante destro del mouse sul menu **Azioni** e selezionare **Nuovi criteri restrizione software**. ##### Passaggio 3. Configurare le regole di percorso. Dopo aver determinato le applicazioni e gli script per le workstation, è possibile impostare le regole di percorso. Per l'esecuzione di alcune operazioni, alcuni programmi vengono avviati da altri programmi e le applicazioni software nel proprio ambiente possono dipendere da uno o più programmi di supporto. Per registrare le regole di percorso, è molto utile disporre della documentazione relativa all'installazione e all'inventario del software attualmente installato. Un esempio di configurazione di una workstation potrebbe includere le seguenti linee guida: - Applicazioni = \*\\Programmi - Applicazioni di gruppo condivise= g:\\Applicazioni gruppo - Script di accesso = Logon.bat - Collegamenti sul desktop = \*.lnk - Script VBS approvati =\*.vbs ##### Passaggio 4. Impostare le opzioni dei criteri Le opzioni seguenti includono le impostazioni di criterio consigliate per la configurazione definita in questa guida. Queste opzioni modificano l'ambito del comportamento di imposizione o le impostazioni di trust Authenticode per i file con firma digitale. - **Imposizione**. Se il computer fa parte del dominio, verificare che il gruppo **Domain Admins** venga aggiunto automaticamente al gruppo degli amministratori. - **Applica a tutti gli utenti**. Include tutti gli utenti tranne gli amministratori locali. L'uso di questa opzione ritarda l'avvio di tutte le applicazioni. Per compensare questo ritardo, il criterio viene configurato in modo da non controllare le DLL. - **Applica ai file**. Include tutti i file nel software tranne le librerie (ad esempio, le DLL). L'uso di questa opzione ritarda l'avvio di tutte le applicazioni. Per compensare questo ritardo, il criterio viene configurato in modo da non controllare le DLL. - **Tipi di file designati**. Per la configurazione del GPO definita nella presente guida, sono stati rimossi dall'elenco i tipi di file .mdb e .lnk e aggiunti i file .ocx. È possibile aggiungere estensioni personalizzate dei tipi di file delle applicazioni in modo che diventino l'oggetto delle stesse regole. - **Autori attendibili**. Per la configurazione del GPO definita nella presente guida, è stato attivato il gruppo degli amministratori ed è stata selezionata l'opzione **Proprietà - Autori attendibili: Amministratori del computer locale**. Prima di rendere attendibile un autore, selezionare l'opzione **Controllare: Autore** quando si configura il GPO, per accertarsi che il criterio eseguirà la convalida dei certificati. ##### Passaggio 5. Applicare le impostazioni predefinite È consigliabile configurare i criteri sull'impostazione predefinita **Senza restrizioni**. In questo modo è possibile assicurarsi che i criteri vengano avviati correttamente prima che siano applicate le restrizioni software. Dopo aver verificato le impostazioni dei criteri, ripristinare le impostazioni predefinite su **Non consentito**. ##### Passaggio 6. Verificare i criteri Se il computer fa parte di un dominio, è necessario spostarlo nel contenitore dell'unità organizzativa in cui è stato applicato il criterio. Riavviare il computer per il testing ed eseguire l'accesso. I piani di testing devono includere le istruzioni sulla modalità di utilizzo di ogni applicazione quando viene applicato il criterio. Eseguire le applicazioni per verificare che il funzionamento sia corretto e che sia possibile accedere a tutte le caratteristiche disponibili. Dopo aver verificato il funzionamento delle applicazioni, è consigliabile simulare un attacco per accertarsi che il criterio non presenti vulnerabilità a livello di protezione. Se il computer è un client autonomo, accedere al computer per il testing e seguire il piano. Dopo aver verificato le applicazioni, avviare l'attacco simulato per accertarsi che il criterio non presenti vulnerabilità a livello di protezione. #### Distribuzione dei criteri di restrizione software Dopo aver eseguito il testing completo del criterio, è possibile applicarlo all'unità organizzativa per i desktop o i portatili presenti nel proprio ambiente. Se il computer è un client autonomo, applicare il criterio alle impostazioni del computer locale sul client. Aprire lo snap-in MMC Computer e utenti e sfogliare la directory finché non viene visualizzato il contenitore dell'unità organizzativa per i desktop o i portatili. Creare quindi il nuovo GPO mediante l'utilizzo dell'Editor oggetti Criteri di gruppo. Modificare le proprietà e applicare, in base alle informazioni contenute nelle seguenti tabelle, le impostazioni appropriate ai **Criteri di restrizione software** in **Impostazioni di Windows\\Impostazioni protezione**. **Tabella 6.5 Livelli di protezione**
Regola predefinita nell'interfaccia utente Descrizione Impostazione
Non consentito Il software non verrà eseguito indipendentemente dai diritti di accesso dell'utente. Utilizzare la regola predefinita
**Tabella 6.6 Regole aggiuntive**
Regola di percorso Impostazione
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot% Senza restrizioni
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\*.exe Senza restrizioni
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\System32\*.exe Senza restrizioni
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir% Senza restrizioni
*.vbs Non consentito
g:\Applicazioni gruppo Senza restrizioni
Logon.bat o script di accesso Senza restrizioni
*\Programmi Senza restrizioni
**Tabella 6.7 Imposizione su file e utenti**
Opzioni di imposizione Consiglio
Applica criteri restrizione software a: Tutti i file nel software tranne le DLL.
Applica criteri restrizione software a: Tutti gli utenti, esclusi gli amministratori locali.
**Tabella 6.8 Tipi di file designati**
Tipi di file Consiglio
Proprietà - Tipi di file designati Rimuovere i tipi di file .mdb e .lnk e aggiungere .ocx.
**Tabella 6.9 Autori attendibili**
Autori attendibili Consiglio
Consenti ai seguenti utenti di selezionare autori attendibili: Amministratori del computer locale
Determinare se il certificato è stato revocato. Selezionare l'opzione Autore.
[](#mainsection)[Inizio pagina](#mainsection) ### Riepilogo criteri di restrizione software consentono agli amministratori di identificare e controllare efficacemente il software sui computer che eseguono Windows XP Professional. È possibile creare criteri per bloccare gli script dannosi o i computer nel proprio ambiente oppure per impedire l'esecuzione delle applicazioni. In un'organizzazione, è consigliabile gestire i criteri di restrizione software mediante l'utilizzo dei GPO e personalizzare i criteri creati per soddisfare le esigenze dei diversi gruppi di utenti e dei computer. Microsoft consiglia di non gestire i gruppi di utenti in un ambiente autonomo. Se applicati in modo corretto, i criteri di restrizione software consentiranno non solo di migliorare l'integrità e la gestibilità dei computer dell'organizzazione, ma anche di ridurre i costi di proprietà e gestione relativi ai sistemi operativi di tali computer. #### Ulteriori informazioni I seguenti collegamenti forniscono ulteriori informazioni su argomenti relativi alla protezione di Windows XP Professional. - Per ulteriori informazioni sull'utilizzo dei criteri di restrizione software, vedere [Using Software Restriction Policies to Protect Against Unauthorized Software](http://technet.microsoft.com/en-us/library/bb457006.aspx) all'indirizzo www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx (in inglese). - Per ulteriori informazioni sui Criteri di gruppo, vedere "[Core Group Policy Technical Reference](http://technet.microsoft.com/en-us/library/cc758751.aspx)" all'indirizzo www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (in inglese). ##### Download [![](/security-updates/images/Cc163080.icon_exe(it-it,TechNet.10).gif)Scaricare la Guida per la protezione di Windows XP](http://www.microsoft.com/downloads/details.aspx?familyid=2d3e25bc-f434-4cc6-a5a7-09a8a229f118&displaylang=en) [](#mainsection)[Inizio pagina](#mainsection)
  • Last updated on