Microsoft Windows SteadyState

Come è ampiamente noto in un'ambiente di rete a dominio è possibile implementare delle policy contenenti restrizioni e permessi tali da rendere fruibile e sicura una rete scolastica.

La disponibilità di un dominio è, tuttavia, ancora assente in moltissime realtà scolastiche, in particolare nella grande maggioranza delle scuole primarie, dove è, tuttavia, sentita la necessità di dotarsi di regole tali da permettere la limitazione di attività pericolose da parte degli utenti, quali ad esempio gli accessi ad Internet, la possibilità di installare applicazioni, di cancellare file.

Giova ricordare che tutte le configurazioni di sicurezza applicabili ad un computer nel quale è installata una versione recente di Windows, ad esempio la possibilità di mascherare un disco, di evitare la modifica del desktop, sono residenti in specifiche chiavi del registro.

Conoscendo tali chiavi ed i valori da assegnare si possono applicare tali configurazioni di sicurezza. Ciò, in pratica, è quanto avviene in un ambiente di dominio dove, all'accensione della macchina vengono dapprima caricate dal server le chiavi di registro relative alle configurazioni del computer, o della sua Unità Organizzativa di Active Directory, e, al logon dell'utente, le chiavi relative alla configurazione dell'utente stesso o della sua OU.

E se non si ha un dominio ? Beh, la risposta è semplice: o si agisce manualmente sulle chiavi di registro, cosa di fatto macchinosa ed impraticabile, o si utilizza un software commerciale che lo fa in maniera guidata.

Ad evitare tale complicazione Microsoft ha messo in distribuzione gratuita un tool che permette di fare in modo agevole le cose di cui sopra. Anzi: qualcuna di più. Il tool si chiama SteadyState.

Windows SteadyState è una evoluzione di Microsoft Shared Computer Toolkit ed è scaricabile, anche in versione italiana, a questo indirizzo.

SteadyState è specifico per tutte le versioni di Windows XP ma non per le versioni precedenti di Windows nè, almeno per ora, per Windows Vista. Le risorse di installazione sono minimali, ma è necessario che il filesystem sia NTFS e che siano funzionanti Windows Script e Strumentazione gestione Windows (WMI).

Come utilizzare SteadyState ?

Il progetto è quello di creare un ambiente condiviso ove vi sia un account amministrativo e uno o più account con diritti limitati. Tali diritti possono essere diversi per i vari utenti o per gruppi degli stessi.

Prima di installare e configurare SteadyState è conveniente configurare ed aggiornare perfettamente il sistema operativo ed installare tutto il software necessario ed i relativi aggiornamenti.

Dopo una pulizia e deframmentazione del disco si può procedere all'installazione di SteadyState,


Al termine dell'installazione sarà visualizzabile la schermata principale del tool dalla quale iniziare nella configurazione

Tre sono le voci di impostazione sulle quali agire:

  • Impostazioni di restrizione del computer
  • Pianificazione degli aggiornamenti
  • Protezione del disco rigido

Oltre a queste voci nella schermata vi è la possibilità di creare nuovi utenti, assegnare ad essi una password, cancellarne di esistenti, esportare o importare gli account verso o da un altro computer, selezionare i profili utenti, configurarne le restrizioni, bloccare o sbloccare i profili, impostare un timer di sessione:

Vel la pena di chiarire che SteadyState consente di creare utenti con singolo profilo, account utilizzati da più utenti e profili utilizzati da più utenti. In tal modo tutte le esigenze possono essere soddisfatte.

Configurazione del profilo utente condiviso

Dopo aver creato l'account utente è possibile definire le restrizioni specifiche per il profilo legato a quell'utente. E' ovvio che è possibile creare quanti utenti si desidera, ma nella pratica ciò è sconsigliabile (in questo caso ci vuole un dominio....) ed è preferibile creare un account amministrativo, uno "docente" con poche restrizioni ed uno "alunno" con le restrizioni opportune.

Le restrizioni applicabili sono di quattro tipi:

  • generali
  • Restrizioni di Windows
  • restrizioni per le funzionalità
  • Blocco di applicazioni
Impostazioni generali

Comprendono il timer di sessione, utile per consentire l'accesso solo per determinati periodi di tempo, la visualizzazione del countdown del tempo rimasto, il blocco del profilo per impedire che l'utente applichi modifiche, con conseguente ripristino del profilo al successivo logon, l'impostazione della password.

 

Una particolare opportunità è quella di reindirizzare i dati degli utenti, ovvero la cartella Documenti, su una partizione diversa o anche su una penna USB.

Restrizioni di Windows

Con questa voce è possibile definire i livelli di restrizione per ciascun utente. Esistono tre livelli preconfigurati, Alto, Medio e Basso, ma anche la possibilità di agire in modo più granulare:

Le restrizioni sono relative al Menu Start (ad es. eliminazione del prompt dei comandi, del comando Esegui, del pannello di controllo) alla rimozione di icone dal desktop, alla possibilità di nascondere unità disco. Questa è un'ottima opportunità, per nascondere il disco di sistema ed evitare che qualcuno cancelli, dolosamente o colposamente, file importanti.

Restrizioni per funzionalità

Sono restrizioni relative a Internet Explorer, Microsoft Office (es. disabilitazione delle macro o della raccolta multimediale), definizione di una pagina iniziale per IE, definizione di siti web consentiti al di fuori dei quali non si può accedere ad altri.

Blocco di applicazioni

Con questa configurazione è possibile bloccare a scelta alcune applicazioni che si decide l'utente non possa utilizzare.

Pianificazione degli aggiornamenti software

SteadyState consente una pianificazione degli aggiornamenti critici Microsoft (sistema operativo ed Office) e dei più diffusi antivirus.

Tali aggiornamenti possono essere pianificati in modo automatico o manuale. La pianificazione interagisce con la Protezione disco, disconnettendo qualsiasi utente attivo, riavviando il computer, attivazione dell'opzione di mantenimento delle modifiche, download ed installazione degli aggiornamenti, riavvio e reimpostazione dell'opzione di rimozione delle modifiche.

Tutto ciò, anche se sembra un po' complesso, avviene in modo automatico. La logica di tutto ciò è che un account con profilo bloccato non può effettuare aggiornamenti, in quanto verrebbero persi al riavvio a causa dell'impostazione di rimozione delle modifiche.

Protezione del disco rigido

Si tratta di una delle funzioni più interessanti. La sua funzione è quella di proteggere le impostazioni di ssitema ed i dati della partizione ove è installato Windows XP. Con questa funzione attivata tutte le modifiche effettuate dall'attività di un utente al momento del logoff vengono cancellate ed il computer, alla successiva sessione, sarà perfettamente nello stesso stato.

 

Il sistema funziona attraverso la creazione di un file di cache, riservandogli uno spazio nel disco, ed in questo vengono salvate tutte le modifiche apportate al sistema operativo o ai file dei vari programmi. Ad intervalli predefiniti viene eliminato il contenuto della cache e ripristinato, quindi, lo stato iniziale.

Il file di cache può essere dimensionato a piacere, ovviamente nei limiti fisici della partizione.

La protezione del disco può avvenire su tre livelli:

  • Rimozione di tutte le modifiche al riavvio.
  • Mantenimento temporaneo, per un tempo a scelta, delle modifiche.
  • Mantenimento definitivo delle modifiche.

Esportazione ed importazione dei profili utenti

Questa funzionalità consente di esportare o importare profili utenti configurati verso o da altri computer nei quali sia installato SteadyState. LA funzionalità assume una notevole importanza quando si debba configurare una rete paritetica con un buon numero di computer.

Conclusioni

Windows SteadyState, pur non consentendo la granularità di configurazione di impostazioni di sicurezze proprie dei Criteri di gruppo dell'ambiente a dominio Windows 2000/2003, si rivela un ottimo alleato nella gestione della sicurezza di una rete paritetica scolastica.

In più.. è del tutto gratuito e con un manuale davvero semplice ed esaustivo.

 

Aggiornato il: 24/07/2007 18.02.49

Istituto e Liceo Tecnico Statale di Chiavari - Dipartimento di ICT
 Via Castagnola 15A - Chiavari (Genova - Italia) 
tel. +390185324590  fax. +390185370106

 Informazioni legali