DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 324036 - Ultima modifica: sabato 28 febbraio 2004 - Revisione: 5.1

In questa pagina

Sommario

In questo articolo viene illustrato come utilizzare i criteri di restrizione software in Windows Server 2003. Quando si utilizzano i criteri di restrizione software è possibile identificare e specificare i programmi di cui è autorizzata l'esecuzione, in modo da proteggere l'ambiente del computer da codici non attendibili. Quando si utilizzano i criteri di restrizione software è possibile definire un livello di protezione predefinito Senza restrizioni oppure Non consentito per un oggetto Criteri di gruppo in modo da consentire o vietare per impostazione predefinita l'esecuzione di un programma. Per creare eccezioni rispetto a questo livello di protezione predefinito è possibile creare regole per determinati programmi. È possibile creare i seguenti tipi di regole:
  • Regole hash
  • Regole certificato
  • Regole percorso
  • Regole area Internet
Un criterio è costituito da un livello di protezione predefinito e da tutte le regole applicate a un oggetto Criteri di gruppo. Questo criterio può essere valido per tutti i computer o per singoli utenti. I criteri di restrizione software consentono di identificare il software in molti modi e forniscono un'infrastruttura basata su criteri per imporre decisioni sull'esecuzione del software. Con i criteri di restrizione software, gli utenti devono seguire le regole stabilite dagli amministratori per l'esecuzione dei programmi.

Con i criteri di restrizione software è possibile effettuare le seguenti operazioni:
  • Controllare i programmi che possono essere eseguiti nel computer in uso. Ad esempio, è possibile applicare un criterio che non consente l'esecuzione di determinati tipi di file nella cartella degli allegati del programma di posta elettronica se si teme che gli utenti possano ricevere virus tramite posta elettronica.
  • Consentire agli utenti di eseguire solo determinati file sui computer multi-utente. Se il computer è utilizzato da più utenti, ad esempio, è possibile impostare criteri di restrizione software che impediscono agli utenti di accedere ai programmi ad eccezione di quelli necessari per i file di cui hanno bisogno per svolgere il proprio lavoro.
  • Decidere chi è autorizzato ad aggiungere autori attendibili al computer.
  • Controllare quali criteri di restrizione software sono validi per tutti gli utenti o solo per alcuni utenti del computer.
  • Impedire l'esecuzione di file nel computer locale, nell'unità organizzativa, nel sito o nel dominio. Ad esempio, in presenza di un virus noto è possibile utilizzare i criteri di restrizione software per impedire l'apertura del file che contiene il virus. IMPORTANTE: Microsoft consiglia di non utilizzare i criteri di restrizione software in sostituzione di un programma antivirus.

Avvio dei criteri di restrizione software

Solo per il computer locale

  1. Fare clic sul pulsante Start, scegliere Programmi, quindi Strumenti di amministrazione e fare clic su Criteri di protezione locali.
  2. Nella struttura della console espandere Impostazioni protezione, quindi espandere Criteri restrizione software.

Per un dominio, un sito o un'unità organizzativa in un server membro o in una workstation aggiunta a un dominio

  1. Aprire Microsoft Management Console (MMC). Per fare ciò, fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Dal menu File scegliere Aggiungi/Rimuovi snap-in, quindi fare clic su Aggiungi.
  3. Scegliere Editor oggetti Criteri di gruppo, quindi fare clic su Aggiungi.
  4. In Selezione oggetto Criteri di gruppo fare clic su Sfoglia.
  5. In Ricerca oggetto Criteri di gruppo selezionare un oggetto Criteri di gruppo nel dominio, sito o unità organizzativa appropriata, quindi scegliere Fine.

    In alternativa, è possibile creare un nuovo oggetto Criteri di gruppo e scegliere Fine.
  6. Fare clic su Chiudi, quindi scegliere OK.
  7. Nella struttura della console passare al percorso indicato di seguito:
    Oggetto Criteri di gruppo Nome_computer Criteri/Configurazione computer oppure Configurazione utente/Impostazioni di Windows/Impostazioni di protezione/Criteri restrizione software

Per un'unità organizzativa o un dominio in un controller di dominio o in una workstation in cui siano installati gli Strumenti di amministrazione

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Strumenti di amministrazione e fare clic su Utenti e computer di Active Directory.
  2. Nella struttura della console fare clic con il pulsante destro del mouse sul dominio o sull'unità amministrativa per cui si desidera impostare un criterio di gruppo.
  3. Scegliere Proprietà, quindi fare clic sulla scheda Criterio gruppo.
  4. Fare clic su una voce in Collegamenti Oggetti criteri di gruppo per selezionare un oggetto Criteri di gruppo esistente, quindi fare clic su Modifica.

    In alternativa è possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo, quindi fare clic su Modifica.
  5. Nella struttura della console passare al percorso indicato di seguito:
    Oggetto Criteri di gruppo Nome_computer Criteri/Configurazione computer oppure Configurazione utente/Impostazioni di Windows/Impostazioni di protezione/Criteri restrizione software

Per il sito e un controller di dominio o una workstation in cui siano installati gli Strumenti di amministrazione

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Strumenti di amministrazione e fare clic su Siti e servizi di Active Directory.
  2. Nella struttura della console fare clic con il pulsante destro del mouse sul sito per cui si desidera impostare un criterio di gruppo:
    • Siti e servizi di Active Directory [ Nome_Controller_Dominio. Nome_Dominio]
    • Siti
    • Sito

  3. Scegliere Proprietà, quindi fare clic sulla scheda Criterio gruppo.
  4. Fare clic su una voce in Collegamenti Oggetti criteri di gruppo per selezionare un oggetto Criteri di gruppo esistente, quindi fare clic su Modifica.

    In alternativa, scegliere Nuovo per creare un nuovo oggetto Criteri di gruppo, quindi fare clic su Modifica.
  5. Nella struttura della console passare al percorso indicato di seguito:
    Oggetto Criteri di gruppo Nome_computer Criteri/Configurazione computer oppure Configurazione utente/Impostazioni di Windows/Impostazioni di protezione/Criteri restrizione software
    IMPORTANTE: fare clic su Configurazione utente per impostare i criteri che verranno applicati agli utenti a prescindere dal computer a cui accedono. Fare clic su Configurazione computer per impostare i criteri che verranno applicati ai computer a prescindere dall'utente che vi accede.

    È anche possibile applicare criteri di restrizione software a specifici utenti quando accedono a un determinato computer utilizzando un'impostazione avanzata per i criteri di gruppo denominata loopback.

Configurazione dei criteri di restrizione software in modo che non vengano applicati agli amministratori locali

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nel riquadro dei dettagli fare doppio clic su Imposizione.
  4. In Applica criteri restrizione software a fare clic su Tutti gli utenti, esclusi gli amministratori locali.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • In genere gli utenti sono membri del gruppo degli amministratori locali nel proprio computer all'interno dell'organizzazione, quindi non è necessario attivare questa impostazione. I criteri di restrizione software non sono validi per gli utenti che fanno parte del gruppo degli amministratori locali.
  • Se si definisce un'impostazione relativa ai criteri di restrizione software per il computer locale, utilizzare questa procedura per impedire che tali criteri vengano applicati agli amministratori locali. Se si definisce un'impostazione relativa ai criteri di restrizione software per la rete, filtrare le impostazioni dei criteri utente in base all'appartenenza a gruppi di protezione utilizzando Criteri gruppo.

Creazione di una regola certificato

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nella struttura della console o nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Regole aggiuntive e scegliere Nuova regola certificato.
  4. Fare clic su Sfoglia e selezionare un certificato.
  5. Selezionare un livello di protezione.
  6. Nella casella Descrizione digitare una descrizione per la regola, quindi scegliere OK.
NOTE:
  • Per informazioni sull'avvio dei criteri di restrizione software in MMC, consultare "Aprire Criteri restrizione software" negli argomenti correlati della Guida in linea di Windows Server 2003.
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • Per impostazione predefinita, le regole certificato non sono attivate. Per attivare le regole certificato:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e scegliere OK.
    2. Individuare e fare clic sulla chiave di registro seguente:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. Nel riquadro dei dettagli fare doppio clic su AuthenticodeEnabled e modificare i dati valore da 0 a 1.
  • Gli unici tipi di file sui quali incidono le regole certificato sono quelli inclusi nell'elenco Tipi di file designati. È presente un elenco dei tipi di file designati condivisi da tutte le regole.
  • Per applicare i criteri di restrizione software è necessario che gli utenti aggiornino le impostazioni dei criteri effettuando la disconnessione e accedendo nuovamente al proprio computer.
  • Quando si applica più di una regola alle impostazioni dei criteri, i conflitti vengono gestiti mediante la precedenza delle regole.

Creazione di una regola hash

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nella struttura della console o nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Regole aggiuntive e fare clic su Nuova regola hash.
  4. Fare clic su Sfoglia per cercare un file oppure incollare un hash precalcolato nella casella Hash del file.
  5. Nella casella Livello di protezione selezionare Non consentito oppure Senza restrizioni.
  6. Nella casella Descrizione digitare una descrizione per la regola, quindi scegliere OK.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • È possibile creare una regola hash per un virus o un Cavallo di Troia, per impedire l'esecuzione di programmi dannosi.
  • Se si desidera che una regola hash venga utilizzata da altri utenti per impedire l'esecuzione di un virus, calcolare l'hash del virus utilizzando i criteri di restrizione software e inviare il valore hash agli altri utenti tramite posta elettronica. Non inviare il virus vero e proprio tramite posta elettronica.
  • Se un virus è stato inviato tramite posta elettronica, è possibile creare anche una regola percorso per impedire agli utenti di eseguire gli allegati di posta elettronica.
  • Da un file rinominato o spostato in un'altra cartella si ottiene comunque lo stesso hash.
  • Qualsiasi modifica a un file comporta un hash differente.
  • Gli unici tipi di file sui quali incidono le regole hash sono quelli inclusi nell'elenco Tipi di file designati. È presente un elenco dei tipi di file designati condivisi da tutte le regole.
  • Per applicare i criteri di restrizione software è necessario che gli utenti aggiornino le impostazioni dei criteri effettuando la disconnessione e accedendo nuovamente al proprio computer.
  • Quando si applica più di una regola alle impostazioni dei criteri, i conflitti vengono gestiti mediante la precedenza delle regole.

Creazione di una regola area Internet

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nella struttura della console fare clic su Criteri restrizione software.
  4. Nella struttura della console o nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Regole aggiuntive e fare clic su Nuova regola area Internet.
  5. In Area Internet fare clic su un'area Internet.
  6. Nella casella Livello di protezione selezionare Non consentito oppure Senza restrizioni e scegliere OK.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • Le regole relative alla aree sono valide solo per i pacchetti di Windows Installer.
  • Gli unici tipi di file sui quali incidono le regole relative alle aree sono quelli inclusi nell'elenco Tipi di file designati. È presente un elenco dei tipi di file designati condivisi da tutte le regole.
  • Per applicare i criteri di restrizione software è necessario che gli utenti aggiornino le impostazioni dei criteri effettuando la disconnessione e accedendo nuovamente al proprio computer.
  • Quando si applica più di una regola alle impostazioni dei criteri, i conflitti vengono gestiti mediante la precedenza delle regole.

Creazione di una regola percorso

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nella struttura della console o nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Regole aggiuntive e fare clic su Nuova regola percorso.
  4. Nella casella Percorso digitare un percorso e fare clic su Sfoglia per cercare un file o una cartella.
  5. Nella casella Livello di protezione selezionare Non consentito oppure Senza restrizioni.
  6. Nella casella Descrizione digitare una descrizione per la regola, quindi scegliere OK. IMPORTANTE: in alcune cartelle, come la cartella Windows, l'impostazione del livello di protezione su Non consentito può compromettere il funzionamento del sistema operativo. Assicurarsi di non disattivare un componente fondamentale del sistema operativo o uno dei programmi che dipendono da esso.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • Se si crea una regola percorso per un programma con il livello di protezione Non consentito è comunque possibile eseguire il software copiandolo in un'altro percorso.
  • I caratteri jolly supportati dalla regola percorso sono l'asterisco (*) e il punto interrogativo (?).
  • Nella regola percorso è possibile utilizzare variabili di ambiente quali %programfiles% o %systemroot%.
  • Per creare una regola percorso per il software quando non se ne conosce la posizione di memorizzazione nel computer ma si dispone della relativa chiave di registro, è possibile creare una regola percorso di registro.
  • Per impedire agli utenti di eseguire gli allegati di posta elettronica è possibile creare una regola percorso per la cartella degli allegati del programma di posta elettronica.
  • Gli unici tipi di file sui quali incidono le regole percorso sono quelli inclusi nell'elenco Tipi di file designati. È presente un elenco dei tipi di file designati condivisi da tutte le regole.
  • Per applicare i criteri di restrizione software è necessario che gli utenti aggiornino le impostazioni dei criteri effettuando la disconnessione e accedendo nuovamente al proprio computer.
  • Quando si applica più di una regola alle impostazioni dei criteri, i conflitti vengono gestiti mediante la precedenza delle regole.

Creazione di una regola percorso del Registro di sistema

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e scegliere OK.
  2. Nella struttura della console fare clic con il pulsante destro del mouse sulla chiave di registro per cui si desidera creare una regola, quindi fare clic su Copia nome chiave.
  3. Prendere nota del nome del valore nel riquadro dei dettagli.
  4. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  5. Aprire Criteri restrizione software.
  6. Nella struttura della console o nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Regole aggiuntive e fare clic su Nuova regola percorso.
  7. In Percorso incollare il nome della chiave di registro e il nome del valore.
  8. Racchiudere il percorso di registro tra simboli di percentuale (%), ad esempio:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Nella casella Livello di protezione selezionare Non consentito oppure Senza restrizioni.
  10. Nella casella Descrizione digitare una descrizione per la regola, quindi scegliere OK.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • Per effettuare la procedura è necessario far parte del gruppo Administrators.
  • Formattare il percorso di registro come segue:
    % Hive del Registro di sistema\ Nome della chiave del Registro di sistema\ Nome valore%
  • Il nome dell'hive del Registro di sistema deve essere scritto per esteso. Non è consentito l'utilizzo di abbreviazioni. Ad esempio non è possibile utilizzare l'abbreviazione HKCU per indicare HKEY_CURRENT_USER.
  • La regola percorso del Registro di sistema può contenere un suffisso dopo il simbolo di percentuale (%) di chiusura. Non utilizzare una barra rovesciata (\) nel suffisso. Ad esempio è possibile utilizzare la seguente regola percorso del Registro di sistema:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Gli unici tipi di file sui quali incidono le regole percorso sono quelli inclusi nell'elenco Tipi di file designati. È presente un elenco dei tipi di file designati condivisi da tutte le regole.
  • Per applicare i criteri di restrizione software è necessario che gli utenti aggiornino le impostazioni dei criteri effettuando la disconnessione e accedendo nuovamente al proprio computer.
  • Quando si applica più di una regola alle impostazioni dei criteri, i conflitti vengono gestiti mediante la precedenza delle regole.

Aggiunta o eliminazione di un determinato tipo di file

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nel riquadro dei dettagli fare doppio clic su Tipi di file designati.
  4. Effettuare una delle operazioni descritte di seguito:
    • Per aggiungere un tipo di file, digitare la relativa estensione nella casella Estensione file, quindi scegliere Aggiungi.
    • Per eliminare un tipo di file, selezionare il tipo di file nella casella Tipi di file designati, quindi scegliere Rimuovi.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • L'elenco dei tipi di file designati è condiviso da tutte le regole in ogni configurazione. L'elenco dei tipi di file designati per le impostazioni dei criteri per il computer è diverso da quello per le impostazioni dei criteri utente.

Modifica del livello di protezione predefinito dei criteri di restrizione software

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Nel riquadro dei dettagli fare doppio clic su Livelli di protezione.
  4. Fare clic con il pulsante destro del mouse sul livello di protezione che si desidera impostare come predefinito, quindi fare clic su Imposta come predefinito.

    ATTENZIONE: in alcune cartelle, l'impostazione del livello di protezione predefinito su Non consentito può compromettere il funzionamento del sistema operativo.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • Nel riquadro dei dettagli il livello di protezione predefinito è contrassegnato da un cerchio nero con un segno di spunta all'interno. Facendo clic con il pulsante destro del mouse sul livello di protezione predefinito corrente, il comando Imposta come predefinito non viene visualizzato nel menu.
  • La creazione di regole consente di specificare le eccezioni al livello di protezione predefinito. Quando il livello di protezione predefinito è impostato su Senza restrizioni, le regole specificano il software di cui non è consentita l'esecuzione. Quando il livello di protezione predefinito è impostato su Non consentito, le regole specificano il software di cui è consentita l'esecuzione.
  • La modifica del livello predefinito si ripercuote su tutti i file nei computer a cui sono applicati i criteri di restrizione software.
  • Al momento dell'installazione, il livello di protezione predefinito dei criteri di restrizione software per tutti i file nel computer è impostato su Senza restrizioni.

Impostazione delle opzioni Autore attendibile

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e scegliere OK.
  2. Aprire Criteri restrizione software.
  3. Fare doppio clic su Autori attendibili.
  4. Selezionare gli utenti per i quali si desidera decidere quali certificati saranno considerati attendibili, quindi scegliere OK.
NOTE:
  • Se questa operazione non è ancora stata effettuata, può essere necessario creare un nuovo criterio di restrizione software per questo oggetto Criteri di gruppo.
  • È possibile decidere chi è autorizzato ad aggiungere autori attendibili, utenti, amministratori o amministrazioni dell'organizzazione. Ad esempio, è possibile utilizzare questo strumento per impedire agli utenti di adottare decisioni sull'affidabilità riguardo gli autori di Controlli ActiveX.
  • Gli amministratori del computer locale sono autorizzati a specificare gli autori affidabili per il computer locale, mentre gli amministratori dell'organizzazione sono autorizzati a specificare gli autori affidabili a livello di unità organizzativa.

Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi: 
kbhowtomaster KB324036
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store