Politiche di protezione
Come installo PolEdit ?
Per installare PolEdit, dal Pannello di controllo
- seleziona Installazione applicazioni
- scegli la scheda Installazione di Windows 95,
- fai clic sul pulsante Disco driver ed esegui l'installazione
dalla directory \Admin\Apptools\Poledit del CD di installzaione
di Win95.
Se hai la versione su dischetti puoi reperire i file sui siti internet
dedicati a Win95.
Come posso proteggere il sistema da usi impopri ?
Nota: Il seguente testo è la traduzione da una lettera di Richard
Turner di Augusta, Georgia, pubblicata su PC Magazine (americano)
nel numero di luglio 1996 e reperita su Frank
Condron's Windows 95 Page, uno dei migliori siti dedicati a Win95.
Va inoltre tenuto in considerazione che Win95 non è un sistema
operativo che garantisce sicurezza a livello di accesso locale. Se volete
effettivamente proteggere il vostro PC dovete utilizzare programmi appositi
od un altro sistema operativo come WinNT, od un sistema di tipo
Unix.
Tutti il lavoro descritto a seguito viene vanificato (per quanto riguarda
l'accesso alle risorse locali) dalla seguente procedura:
- avvia Windows oppure chiudi la sessione selezionando Chiudi sessione
e riaccedi come altro utente
- inserisci il nome dell'utente con cui vuoi accedere
- inserisci una password a caso
- premi il bottone OK, un pannellino ti avviserà che l'accesso
è negato
- chiudi il pannellino, ti si ripresenterà la richiesta di nome
e password
- premi Escape o clicca su Annulla
in questo modo hai ottenuto l'accesso al PC con l'utente desiderato,
anche se non hai accesso alle risorse di rete trmite esso. In questo modo
un qualsiasi utente può accedere a Windows aggirando qualsiasi limitazione
imposta utilizzando la procedura descritta più avanti.
Calcolatori pubblicamente accessibili, come quelli delle scuole, richiedono
un significativo grado di sicurezza per prevenire abusi. Sul CD di Win95
si trova lo strumento necessari per implementare delle politiche restrittive
per l'utilizzo di tali macchine; tale strumento è il PolEdit,
conosciuto in italiano come l'applicazione per la Modifica
dei criteri di protezione. Sfortunatamente nella documentazione
fornita (guida in linea, file aggiuntivi e Resouce Kit) non viene spiegato
come utilizzare PolEdit su calcolatori isolati.
Un metodo utilizzabile è descritto a seguito:
- Prepara del sistema:
- efettua delle copie di salvataggio di USER.DAT e SYSTEM.DAT, i file
database del registro di configurazione; potrebbero esserti necessari in
caso di emergenza
- assicurati di avere almeno 10MB di spazio libero sul disco per poter
contenere le informzioni dei profili utente.
- Abilita i profili utente:
- dal Pannello di controllo seleziona Password.
- vai sulla pagina Profili utente
- seleziona Gli utenti possono personalizzare...
- nel riquadro Impostazioni profili utente metti un segno di spunta
in entrambe le caselle
- premi il bottone OK, Win95 si riavvierà
- Crea i profili
- quando Windows è riavviato, collegati come User
e permetti a Windows di creare le cartelle per contenere le informazioni
del tuo profilo
- chiudi la sessione e rocollegati come Administrator,
con una opportuna password segreta, Windows creerà le cartelle per
il profilo. Ricordati questa password!
- Restringi gli accessi ai programmi per l'utente
- Mentre sei colegato come Administrator, usa Explorer
per navigare in C:\Windows\Profiles\User\Menu Avvio
- in questa cartella e quelle sottostanti cancella qualsiasi collegamento
a programmi che l'utente non dovrebbe essere autorizzato ad utilizzare,
incluso qualsiasi collegamento al menu Dati recenti
- assicurati di eliminare qualsiasi collegamento a PolEdit, RegEdit
ed Explorer
- Installa l'utilità per la Modifica dei crieri di protezione
- dal pannello di controllo seleziona Installazione applicazioni
- vai sulla pagina Installazione di Windows 95
- premi il bottone Disco driver...
- seleziona la directory Admin\Apptools\Poledit del CD di Win95
- installa Poledit.inf
- questo installerà PolEdit e lo copierà nella cartella
Accessori\Utilità di sistema del menu di avvio
- installerà anche il file critico col modello dei criteri Admin.adm
nella cartella C:\Windows\Inf
- Definisci i criteri per l'utente predefinito
- lancia PolEdit e crea un nuovo file
- aggiungi due nuovi utenti chiamati User e Administrator
- fai un doppio clic sull'icona Utente predefinito
- seleziona Shell/Restrizioni
- spunta le quattro caselle che iniziano con Rimuovi...
- spunta la casella Nascondi tutti gli oggetti sul desktop
- spunta la casella Non salvare le impostazioni all'uscita
- assicurati di non mettere il segno di spunta su Disattiva il comando
chiudi sessione
- utilizando Explorer, crea una cartella C:\Windows\Profiles\Dummy
- di nuovo in PolEdit seleziona Shell/Cartelle personalizzate
- spunta tutte le caselle e per quelle che richiedono un percorso imposta
C:\Windows\Profiles\Dummy
- premi il pulsante OK e salva il file come CONFIG.POL
- Definisci i criteri per gli utenti
- seleziona dal menu File/Apri file e carica il file MAXIMUM.POL
(fornito con gli esempi)
- clicca sull'icona Utente predefinito e seleziona Copia
dal menu Modifica
- ricarica il file CONFIG.POL,
- clicca sulll'icona User e selezona Incolla dal
menu Modifica
- fai un doppio clic sull'icona User
- seleziona Shell/Cartelle personalizzate
- spunta le caselle e se viene rischiesto un percorso specifica, al posto
di C:\Windows, C:\Windows\Profiles\User
- assicurati che tutte le caselle abbiano il segno di spunta
- seleziona Pannello di controllo/Password
- spunta la casella Restringi l'accesso alle impostazioni delle password
- spunta le quattro caselle cha appaiono nel riquadro inferiore del pannello
- seleziona Shell/Restrizioni
- spunta la casella Rimuovi il comando Esegui
- spunta la casella Rimuovi il comando Trova
- spunta la casella Nascondi le unità in Risorse del computer
- spunta la casella Non salvare le impostazioni all'uscita
- consulta il Windows Resource
Kit per determinare quali altre restrizioni puoi impostare
- assicurati di non mettere il segno di spunta su Disattiva il comando
chiudi sessione
- seleziona Shell/Restrizioni e modifica ogni casella grigia in
vuota
- seleziona Sistema/Restrizioni e modifica ogni casella grigia
in vuota
- Definisci i criteri per l'amministratore
- fai un doppio clic sull'icona Administrator e scorri
l'intera lista di restrizioni, impostando ogni casella a vuoto, non grigio;
questo protegge i criteri per l'amministratore in modo che non siano influenzati
dai criteri predefiniti per gli utenti
- Definisci i criteri per "nessun utente"
- ricollegati, premendo ESC per chiudere il pannello di richiesta
nome utente
- lancia PolEdit
- seleziona Apri Registro di configurazione dal menu File
- fai doppio clic su Utente locale
- applica tutte le restrizioni impostate per l'utente predefinito
- Abilita il caricamento dei criteri
- carica CONFIG.POL in PolEdit
- apri l'icona Computer predefinito
- seleziona Sistema
- spunta Attiva i profili utente
- seleziona Rete/Aggiorna
- spunta la casella Aggiornamento remoto
- nella casella Modalità di aggiornamento seleziona Manuale
- nella casella Percorso per l'aggiornamento manuale imposta C:\Windows\CONFIG.POL
- salva CONFIG.POL
- seleziona Apri Registro di configurazione dal menu File
- apri Computer locale
- applica le stesse modifiche per la modalità di aggiornamento
remoto
- salva le modifiche ed esci da PolEdit
- Verifica i criteri
- collegati come User e verifica che le restrizioni che
hai specificato siano attive
- collegati come Administrator e verifica che non ci siano
restrizioni attive
- collegati utilizzando un altro nome, non dovresti trovare icone sul
desktop nè programmi dal menu Avvio, se non la posibilità
di chiudere la sessione
- collegati e premi ESC per chiudere il pannello di richiesta
nome utente, di nuovo non dovresti trovare icone sul desktop nè
programmi dal menu Avvio, se non la posibilità di chiudere
la sessione
- Proteggi i criteri
- collegati come User e ricontrolla che non ci sia modo
di avviare PolEdit
- per maggiore sicurezza, cambia il nome del file ADMIN.ADM (che
trovi nella cartella C:\Windows\Inf) in qualcosa di diverso
- usa il comando DOS ATTIRIB per rimuovere gli attributi di protezione
del file C:\MSDOS.SYS (attrib -s -h -r c:\msdos.sys)
- carica msdos.sys col tuo editor preferito (vanno bene l' EDIT od
il NOTEPAD)
- sotto la sezione [Options] modifica la chiave BootKeys=valore
in BootKeys=0; se la chiave non esiste aggiungila
- salva il file e ripristina le protezioni (attrib +s +h +r c:\msdos.sys);
questa modifica serve ad impedire l'aggiramento del processo di avvio di
Win95 e delle protezioni
- se il BIOS del tuo sistema lo permette, utilizza il SETUP
per disabilitare l'avvio da floppy