Windows/XP/InternetPoint

Windows XP come internet point

Se mai qualcuno fosse cosi` folle da mettere un PC con Windows XP disponibile al pubblico, questo e` un tentativo di renderlo protetto al meglio. Sono sicuro che non sia un sistema affidabile, e che sia "cosi` tenero che si cracca con un grissino", tuttavia...

• Installare XP pro
• Aggiornare tutti i programmi
• Installare l'antivirus
• Installare il software aggiuntivo che volete usare

• Installare lo "Shared Computer Toolkit" di MS, da qui: http://www.microsoft.com/windowsxp/sharedaccess/

Configurazione dello shared computer toolkit

Lo shared computer toolkit consente di modificare le policy in modo da provare a proteggere il PC dall'uso scorretto. Dal momento che in realta` e` una protezione all'acqua di rose, che qualsiasi programma di terza parte (non MS) puo` scavalcare senza il minimo problema, hanno pensato bene di metterci una cosa intelligente: uno strumento di protezione del disco (veramente della sola partizione di Windows, quindi tipicamente C:) che ad ogni reboot riporta il disco allo stato iniziale. annullando qualsiasi modifica apportata al disco. Per essere precisi, questo sistema scrive tutte le modifiche in una partizione speciale, e al boot le dimentica. Se si vuole ricordarle, l'amministratore ha modo di dire "ricorda le modifiche al prossimo boot", nel qual caso queste vengono "committed" sul disco C: al reboot.

Il toolkit contiene un tutorial abbastanza ben fatto, basta seguire quello per ottenere un risultato decente. Tuttavia, ci sono alcune cose da tenere presenti:

• Occorre lasciare almeno 2 GB di disco non partizionati per fare funzionare la protezione del disco che e` parte del toolkit.
• L'utente creato per l'uso "pubblico" deve essere un utente normale, NON amministratore
• Il toolkit fa casino (e` rognoso) se il PC e` parte di un dominio (ma secondo me non ha senso che lo sia)
• Certi giochi o programmi protetti devono girare come administrator, e qui e` un bel casino farli girare sotto il toolkit
• Il toolkit di default (non so perche`) elimina il collegamento alla cartella documenti dell'utente e leva l'icona di IE dal desktop, inoltre nasconde tutte le icone della tray. Questo puo` essere un problema per esempio per chi usa una flashpen e poi non puo` rimuoverla in modo sicuro perche` non puo` cliccare sull'apposita icona della tray. E` possibile visualizzare le icone della tray disattivando alcune opzioni nel programma "restrizioni utente". Queste sono: (una sola!)
  • Sotto "restizioni consigliate per utenti condivisi"/"restrizioni generali di windows XP", la voce "Impedisci l'accesso ad alcune funzionalita` di esplora risorse, ad esempio Cerca"
• La protezione disco si applica SOLO al disco di boot di Windows e non puo` essere applicata ad altri dischi/partizioni.
• I programmi di terze parti (Mozilla, Nero) permettono l'accesso ai dischi "nascosti" dal toolkit senza alcuna difficolta`!!!!
• E` meglio impostare le configurazioni dell'account pubblico per fare un reboot ad ogni logout, in modo da "pulire" il disco C:. Per evitare il reboot, tenere premuto SHIFT durante il logout!
• Occorre prevedere la pianificazione di windows update e dell'update dell' AV a un orario nel quale nessuno usi il PC, perche` questo forzera` il logout degli utenti. Nel caso in cui l'accesso a internet sia limitato da un firewall esterno (captive portal con autenticazione, come "NSA" per esempio) occorre che il firewall preveda un meccanismo per scavalcare l'autenticazione per l'update (vedasi piu` sotto)
• Se si usa un firewall per l'accesso a internet, il client NTP di Windows non potra` comunicare con server NTP pubblici. E` possibile installare un server NTP sul firewall e configurare il client NTP di Windows per usare questo server, cosi`:

  net time /setsntp:192.168.1.1

Configurazione dell' update di windows e dell' AV

Per aggirare l'autenticazione forzata dal captive portal, ho adottato una soluzione basata sull'accesso tramite proxy.

Sul firewall ho installato Squid, impostandolo in modo da consentire l'accesso a internet (tramite proxy) solo nell'orario nel quale viene effettuato l'update di windows e AV, solo ai pc dell'internet point, e solo verso i domini utili (microsoft.com, windowsupdate.com, e quello dell'update dell' AV).

Sul PC dell' internet point, usando il comando "proxycfg" ho impostato windows update per usare il proxy.

• proxycfg -p 192.168.1.1:8080 

Sul PC dell'internet point occorre inoltre impostare anche l' AV per usare il proxy. L' AV che ho usato nella mia configurazione e` Kaspersky, il quale consente di impostare un proxy per l'update. Occorre ricordare che l'update dell' AV deve essere programmato alla stessa ora inserita nella configurazione del toolkit per gli aggiornamenti di Windows Uodate, perche` solo in quel momento le modifiche al disco C: vengono salvate. In qualsiasi altro momento le modifiche andrebbero perse a causa del blocco imposto dalla "protezione del disco di Windows".

Consigli per paranoici

Io non mi fiderei troppo del sistema di protezione del disco, e terrei anche un'altra copia (fatta con Ghost o con Acronis TrueImage) del disco da parte, ed ogni tanto farei una operazione di "riverginizzazione", tipo:

• ricaricare l'immagine
• loggarsi come administrator
• windows e AV update
• salvare le modifiche al disco (protezione disco di Windows)
• reboot
• rifare l'immagine e metterla da parte

Occorre specificare bene agli utenti che eventuali files che salvano sul disco saranno persi al boot, e tuttavia di tenere in considerazione che e` possibile che questi files non vengano correttamente eliminati, e siano leggibili da altri utenti, quindi i files riservati non vanno salvati sul disco ma solo sulle loro flashpen.

E` FONDAMENTALE impedire dal BIOS il boot dai dischi removibili/flashpen/eccetera, e mettere una password al setup del bios in modo che questa configurazione non possa essere alterata.