In Windows 3.1 avevamo inventato delle strategie
per evitare che utenti non autorizzati all'utilizzo del PC combinassero guai.
Adesso, in Windows95, dobbiamo ricominciare tutto daccapo. Come fare?. Ecco
qui qualche soluzione.
Come proteggere Windows95 limitando
gli accessi?
Sicuramente molti lettori hanno la necessità di gestire più
di un unico utente sullo stesso computer standalone. Si pone inevitabilmente
il problema di dover restringere l'accesso alle impostazioni hardware/software
ai vari utenti tenendo per sé la possibilità di configurare
a piacimento il sistema come Administrator. Sebbene
la protezione di Windows95 da mani ed occhi indiscreti, o semplicemente da
utenti un po' pasticcioni, non sia direttamente attivabile, è possibile
utilizzare uno strumento che consente di modificare tutti i criteri di protezione
dell'intero sistema. Tale strumento si chiama Policy
Editor (in italiano è conosciuto come Modifica
dei criteri di protezione) ed è già presente nel CD-ROM
di Windows95. Vedremo fra poco come installarlo e come utilizzarlo.
Modifica dei criteri di protezione viene utilizzato
per impostare dei profili personalizzati per ciascun utente in modo da impedire
interventi avventati o illeciti da parte di questi utenti sul sistema. E'
facile comprendere i vantaggi di una simile organizzazione del sistema.
Per prima cosa non sarà più necessario spendere tempo per spiegare
ai vari utenti cosa fare e cosa non fare, per secondo ciascun utente, in
base alle opportunità concessegli dall'amministratore di sistema (tu),
potrà personalizzare in base alle proprie esigenze l'aspetto del sistema
senza danneggiare gli altri.
Utilizzare il Policy Editor può sembrare a prima vista molto semplice,
in realtà non lo è. Non è possibile (come invece si
fa solitamente col Registro di sistema) fare un backup dei file per poi
ripristinarli in caso di difficoltà. Qui modifiche avventate potrebbero
veramente mettere in crisi il tuo sistema nervoso....
Policy Editor non viene installato automaticamente perciò sarà
l'utente a doverlo fare se desidera utilizzarlo. Provvediamo subito.
Dal Pannello di Controllo di Windows95 scegliamo
Installazione applicazioni.
Facciamo clic sul pulsante Disco driver....
Selezioniamo la directory \ADMIN\APPTOOLS\POLEDIT
del CD di installazione di Windows95 e confermiamo l'installazione premendo
OK.
La nostra utility verrà automaticamente installata sul disco rigido.
Sarà quindi possibile lanciare Policy Editor scegliendo la voce
Modifica dei criteri di protezione dalla sottocartella
Utilità di sistema contenuta nella cartella
Accessori del menù
Avvio.
Prima di tutto salviamo il registro di sistema magari utilizzando
ERU (Emergency Recovery Utility). Si tratta di una
utility di cui ho parlato più volte e che consente un salvataggio
rapido di tutti i file di configurazione del sistema.
Assicuriamoci poi di avere almeno una decina di megabyte disponibili sul
disco rigido.
A questo punto apriamo il Pannello di Controllo
e scegliamo Password.
Portiamoci su Profili utente e selezioniamo la voce:
Gli utenti possono personalizzare le impostazioni del
desktop....
Così facendo ogni utente che accederà al sistema avrà
un profilo personale, indipendente dagli altri.
In Impostazioni profili utente abilitiamo entrambe
le caselle Consenti personalizzazione....
Confermiamo premendo OK e
riavviamo quindi Windows95 rispondendo Sì
alla domanda.
Nella finestra che comparirà all'avvio di Windows95 scriviamo come
nome utente: User
Non specifichiamo alcuna password.
Chiudiamo quindi la sessione di lavoro e riaccediamo a Windows95 come altro
utente.
Questa volta entriamo in Windows95 inserendo come nome utente Administrator e specifichiamo una opportuna password di accesso.
Annota la password da qualche parte in modo da potertela
ricordare più facilmente e mettila al sicuro....
Noterai che le cose sono un po' cambiate....
Portandoti nella directory di Windows troverai una nuova cartella chiamata
Profiles. All'interno di essa vi saranno due ulteriori
sottocartelle col nome Administrator ed
User: si tratta dei profili utente che hai appena
creato. All'interno di ciascuna di queste sottocartelle troverai altre tre
cartelle: Desktop, Dati
recenti e Sincronia file. Dentro queste cartelle
sono salvati i collegamenti ad applicazioni e documenti per ciascun utente
(in questo caso i profili utente sono due:
Administrator ed User).
Dopo essere entrato in Windows95 come Administrator
apri Gestione Risorse e portati all'interno della
directory \WINDOWS\Profiles\User\Menu Avvio.
Dall'interno di questa cartella provvedi a cancellare qualunque
programma che un normale utente che accede
a Windows95 non deve essere autorizzato ad avviare.
Assicurati di eliminare qualsiasi collegamento a Policy
Editor (ovvero Modifica dei criteri di protezione
in italiano) al Registry Editor e al
Gestione Risorse presente all'interno della cartella
Menu Avvio.
Cancella quindi tutti i collegamenti presenti all'interno della cartella
\WINDOWS\Profiles\User\Dati Recenti in modo che
l'utente non possa aprire i tuoi documenti personali che hai modificato
recentemente.
Sempre con Gestione Risorse crea la cartella
C:\WINDOWS\Profiles\Dummy
La prima cosa da fare adesso è "comunicare"
al Registro di sistema il fatto che non solo abbiamo
diversi utenti ovvero differenti profili utente (lo abbiamo già fatto
portandoci su Pannello di Controllo | Password e
scegliendo la voce "Gli utenti possono personalizzare le
impostazioni del desktop") ma anche che devono essere impostate delle
restrizioni per quanto riguarda ciascun utente.
L'Administrator dovrà poter modificare a
suo piacimento il sistema (nessuna restrizione applicata), mentre
all'User o a qualsiasi altro utente non sarà
permesso fare modifiche alle impostazioni software/hardware. Windows dovrà
quindi ricercare all'avvio un particolare file che contenga tutte le restrizioni
che devono essere applicate ai vari utenti. Il nostro obiettivo sarà
quindi quello di creare tale file (che chiameremo
CONFIG.POL) specificando le impostazioni per ciascun
utente.
A questo punto avvia il programma Modifica dei criteri
di protezione facendo clic sulla sua icona (all'interno del menù
Avvio, cartella Accessori,
sottocartella Utilità di sistema).
Scegli quindi dal menù File la voce
Nuovo file. Comparirà la finestra in figura.
Aggiungi due nuovi utenti e chiamali
User e Administrator, come
i profili che hai poco fa creato. Per creare questi due nuovi utenti fai
clic sul menù Modifica e scegli la voce
Aggiungi utente.
Nella finestra che comparirà inserisci User
e conferma premendo OK.
Ripeti l'operazione per aggiungere l'utente
Administrator.
La finestra dovrebbe comparire, alla fine, in questo modo:
Fai adesso doppio clic su Utente
predefinito. Comparirà una finestra nella quale sarà
possibile specificare tutti i criteri d'accesso e le restrizioni da applicare
al profilo corrispondente.
Vedrai infatti cinque "libri" (Pannello di controllo,
Desktop, Rete,
Shell e Sistema) facendo
clic sui quali compariranno una serie di caselle. Tali caselle possono assumere
tre stati:
) significa
che tale impostazione è attualmente in uso o, se non lo è,
lo sarà la prossima volta che l'utente selezionato accederà
al sistema.
Niente verrà aggiunto o rimosso dal Registro.
Generalmente è meglio lasciare le caselle grigie piuttosto che
deselezionarle. Deselezionandole, infatti, potresti rimuovere impostazioni
che non vorresti eliminare. In secondo luogo, dato che le caselle grigie
vengono ignorate la lettura del registro da parte di Windows risulta essere
più veloce.
Apri quindi Shell e poi Restrizioni
e abilita le caselle mostrate in figura:
Così facendo l'utente che risponderà
premendo il pulsante Annulla o il tasto
ESC all'avvio di Windows95 si troverà davanti
un desktop vuoto, non avrà a disposizione il comando
Esegui contenuto nella barra delle applicazioni,
non potrà apportare cambiamenti al sistema, non potrà eseguire
alcuna operazione di ricerca. Chi non è autorizzato
non potrà quindi usare Windows95.
Sempre all'interno di questa finestra portati su
Shell e quindi su Cartelle
personalizzate.
Abilita tutte le caselle presenti all'interno di questa sezione (come in
figura). Per quelle che richiedono di specificare un percorso provvedi ad
inserire:
C:\Windows\Profiles\Dummy
Conferma il tutto facendo clic sul pulsante
OK. Salva poi il file col nome
CONFIG.POL ponendolo nella directory
\WINDOWS.
Apri il file MAXIMUM.POL con
Modifica dei criteri di protezione. Tale file si
trova all'interno della directory
\ADMIN\RESKIT\SAMPLES\POLICIES del tuo CD di
installazione di Windows95.
Seleziona l'icona Utente predefinito e seleziona
Copia dal menù
Modifica.
Riapri il file CONFIG.POL salvato precedentemente
in \WINDOWS.
Fai clic sull'icona User e scegli
Incolla dal menù
Modifica.
Fai doppio clic sull'icona User. Portati su
Shell e quindi su Cartelle
personalizzate. Abilita tutte le caselle. Quelle che richiedono un
percorso specifica C:\Windows\Profiles\User
Sempre all'interno di questa finestra seleziona Pannello di Controllo e quindi
Password.
Abilita la casella Restringi l'accesso alle impostazioni
delle password e abilita tutte le caselle che appaiono nel riquadro
inferiore del pannello come in figura.
L'utente che accederà a Windows95 come
User non potrà quindi modificare le password
o i profili utente, compito che spetta
all'Administrator.
Sempre all'interno di questa finestra cerca Shell
e quindi Restrizioni. Abilita le caselle in figura.
Chiaramente puoi personalizzare come vuoi l'accesso
come User in base alle tue esigenze.
A questo punto portati su Shell e quindi su
Restrizioni. Modifica ogni casella di colore grigio
in una casella vuota. Per far questo fai clic ripetutamente su ciascuna casella
in modo da ottenere una casella bianca.
Comportati allo stesso modo anche per la sezione
Sistema/Restrizioni. Tale sezione dovrebbe così
apparire:
Conferma con OK.
Adesso fai doppio clic sull'icona Administrator.
Tutte le caselle di qualunque sezione dovrebbero comparire col colore grigio.
Provvedi con un po' di pazienza a farle diventare tutte di colore bianco.
Per far questo è sufficiente, come abbiamo già visto poco fa,
che tu faccia clic ripetutamente su ciascuna casella in modo da ottenere
una casella bianca. Così facendo i criteri per l'amministratore
(Administrator) saranno protetti in modo tale che
non vengano influenzati da quelli previsti per i vari utenti. Conferma con
OK e riavvia Windows95.
Quando Windows95 ti chiederà nome utente e password questa volta premi
ESC oppure fai clic sul pulsante
Annulla. Lancia di nuovo Modifica
dei criteri di protezione e scegli Apri registro
di configurazione dal menù File. Fai
doppio clic su Utente locale e applica tutte le
restrizioni poco fa impostate per l'utente
predefinito. Te le ricordo nuovamente.
Apri Shell e poi
Restrizioni e abilita le caselle mostrate in figura:
Sempre all'interno di questa finestra portati su
Shell e quindi su Cartelle
personalizzate.
Abilita tutte le caselle presenti all'interno di questa sezione e per quelle
che richiedono di specificare un percorso provvedi ad inserire:
C:\Windows\Profiles\Dummy
Conferma premendo OK.
Ricarica il file CONFIG.POL e fai doppio clic sull'icona
Computer predefinito.
Seleziona Sistema e abilita la casella
Attiva i profili utente.
Portati quindi su Rete e poi su
Aggiorna. Abilita la casella
Aggiornamento remoto e nella casella
Modalità di aggiornamento specifica
Manuale.
Nella casella Percorso per l'aggiornamento manuale
imposta C:\Windows\Config.POL
Salva il file CONFIG.POL scegliendo
Salva dal menù File.
Adesso dal menù File seleziona
Apri registro di configurazione.
Fai doppio clic sull'icona Computer locale.
Portati quindi su Rete e poi su
Aggiorna. Abilita la casella
Aggiornamento remoto e nella casella
Modalità di aggiornamento specifica
Manuale.
Nella casella Percorso per l'aggiornamento manuale
imposta C:\Windows\Config.POL
Salva le modifiche apportate ed esci dal programma.
Adesso prova a riavviare Windows95 e ad accedere al sistema inserendo
User come nome utente. Verifica che le restrizioni
che hai selezionato abbiano avuto effetto. Vado a riassumerle per completezza:
Pannello di
controllo
Password
Restringi
l'accesso alle impostazioni delle password
Stampanti
Restringi
l'accesso alle impostazioni delle stampanti
Sistema
Restringi
l'accesso alle impostazioni del sistema
Shell
Cartelle
personalizzate
Cartella
Programmi personalizzata
Icone
desktop personalizzate
Nascondi
le cartelle del menu Avvio
Cartella
Esecuzione automatica personalizzata
Risorse
di rete personalizzate
Menu
Avvio personalizzato
Restrizioni
Rimuovi
il comando Esegui
Rimuovi
il comando Trova
Nascondi
le unità in Risorse del computer
Non
salvare le impostazioni all'uscita
Sistema
Restrizioni
Disattiva
i programmi di modifica del Registro di configurazione
Disattiva
il prompt di MS-DOS
Riavvia Windows95 e riaccedi col nome Administrator
specificando la password corretta. Verifica che non ci siano restrizioni
nell'utilizzo di Windows95.
Se avevi impostato uno sfondo per il desktop e questo non compare prova a
riavviare di nuovo il programma Modifica
dei criteri di protezione, apri il solito file
CONFIG.POL, fai doppio clic sull'icona
Administrator e cerca la voce
Desktop, quindi Sfondo.
Molto probabilmente lo sfondo è stato memorizzato nella directory
relativa al profilo Administrator (ovvero:
\WINDOWS\PROFILES\ADMINISTRATOR). Abilita quindi
la casella Sfondo e come nome sfondo specifica il
percorso completo ed il nome del file bitmap di sfondo.
Per esempio, nel caso tu abbia scelto uno sfondo di Microsoft
Plus!, il percorso completo, nel caso dell'Administrator sarà:
C:\WINDOWS\PROFILES\ADMINISTRATOR\Plus!.bmp
Prova ora a riavviare Windows95 e ad
entrare con un altro nome, diverso da User
e da Administrator. Non dovresti trovare icone sul
desktop, né programmi nel menù Avvio.
L'unica possibilità consentita dovrebbe essere quella di chiudere
la sessione di lavoro.
Prova adesso a riavviare Windows95 e ad accedere al sistema premendo
ESC o il pulsante Annulla.
Anche in questo caso non dovresti trovare icone sul desktop, né programmi
nel menù Avvio. L'unica possibilità consentita dovrebbe essere
quella di chiudere la sessione di lavoro.
A questo punto prendi le ultime precauzioni. Riavvia Windows95 e accedi al
sistema come User. Controlla ancora una volta che
non ci sia modo collegandosi come User di avviare Policy Editor. Per maggiore
sicurezza rinomina il file ADMIN.ADM contenuto nella
directory \WINDOWS\INF.
Adesso portati nella directory radice (C:\) e utilizza il comando DOS (vai
al prompt di MS-DOS):
CD\
ATTRIB -S -H -R MSDOS.SYS
Apri il file MSDOS.SYS con un normale editor di
testo. Utilizza il comando EDIT:
EDIT MSDOS.SYS
Nella sezione [Options] modifica il parametro
BootKeys in BootKeys=0
Se tale parametro non esiste aggiungilo nella sezione
[Options] del file
MSDOS.SYS
Salva il file MSDOS.SYS e digita:
ATTRIB +S +H +R MSDOS.SYS
Questa modifica al file MSDOS.SYS consente, in pratica,
di disabilitare la possibilità d'uso dei tasti F4,
F5, F8. Per accedere ai tuoi dati memorizzati sul disco rigido qualche
utente potrebbe utilizzare in fase di avvio, l'apposito tasto funzione
F8 entrando indisturbato - per esempio - in
modalità MS-DOS.
Ti suggerisco, inoltre, se il BIOS del tuo computer
lo consente di disabilitare l'avvio da floppy. Generalmente tutti i BIOS
più recenti hanno questa funzione, molto comune e semplice da individuare.