A volte creare delle policy e impostare gli utenti come user, non è una cosa che impedisce loro di bypassare le regole da voi create.
Dopo aver disinstallato i giochi da Windows XP, facendo un giro tra i client vi accorgete che, in una cartella imboscata ci sono proprio gli stessi giochi che avete cancellato tanto tempo fa. Il perchè è semplice: i giochi di windows sono facilmente "trasportabili", infatti basta copiare il file exe da un computer all'altro ed il gioco sarà utilizzabile.
Quindi? Quindi per evitare questo, si possono utilizzare le GPO....o per meglio dire una
Software Restriction Policies (o come la chiamo io, una regola di
hash 
)
In cosa consiste? Questa regola serve per confrontare un file che deve essere bloccato con un file sorgente (o di verifica)
Andiamo a vedere come realizzare una regola che impedisca agli utenti di eseguire i giochi di Windows XP....
Strumenti:- Windows Server 2003 R2
- GPMC
Procedimento: per prima cosa, prendiamo gli exe dei giochi di windows xp. possiamo prenderli da un client qualunque. questi file li copiamo in una cartella di rete con accesso limitato solo agli amministratori di dominio
Creazione regola: Apriamo GPMC - figura 1 - e creaiamo una nuova regola all'interno di una
OU contenente i computer dell'azienda che chiameremo
Software Restrictions.
figura 1 - Group Policy Management Console
Fatto questo clicchiamo il tasto destro su
Software Restrictions Policies, e scegliamo
New Software Restriction Policies nel menù contestuale - figura 2; verranno creati un serie di oggetti - figura 3.
figura 2
figura 3 - come creare una regola di Hash
A questo punto andiamo sulla categoria
Additional Rules e scegliamo
New Hash Rule, verrà visualizzata la finestra di configurazione - figura 4.
figura 4 - Regola di Hash
Premendo su
Browse si aprirà la finestra per selezionare quale file andare a bloccare - figura 5
figura 5 - selezioniamo che file andare a bloccare
Selezioniamo il file che ci interessa e premiamo su OK, come potete notare dalla figura 6, il file viene analizzato e "scomposto"; la stringa relativa al hash, serve per fare il confronto con tutti i file aperti dai computer interessati dalla policy, appena viene trovato il file con lo stesso hash della policy, scatta il blocco all'esecuzione.
figura 6 - analisi del file ed eventuale vostro commento
Premendo su OK, viene creato il blocco per il file.
Si possono aggiungere altri file alla lista, sempre uno alla volta però.
Chiudiamo la finestra della policy e testiamo che la regola sia stata creata correttamente.
Andiamo su un client XP e lanciamo un
gpupdate /force, attendiamo un paio di secondi e proviamo a lanciare il file che abbiamo bloccato via GPO.
Se avete fatto tutto correttamente, dovrebbe apparire il messaggio di errore - come da figura 7
Fatto!
Questo un modo per impedire di utilizzare file indesiderati, ci sono modi per bloccare l'esecuzione di intere cartelle o di estensioni di file....ma magari lo vedremo la prossima volta.
NB: gli utenti non devono essere admin della macchina, anche se la policy è a livello computer è sempre meglio evitare di dare troppi "poteri" agli utenti.Ciao ciao
S