Article by Massimiliano Chini

Desktop Lockdown: metodo elaborato vs metodo ‘Agile’

Il Desktop Lockdown è un modo di semplificare l’uso di un computer dedicato ad un singolo compito. Potendo utilizzare solo programmi dedicati, sarà più difficile per l’utente compromettere il sistema, in maniera intenzionale o meno.

Questo tipo di configurazione è utile se si vuole creare un chiosco informativo, un punto vendita o altri sistemi utilizzabili dalle persone in un luogo pubblico. In ufficio, invece, può rendere più semplice l’uso di una postazione di accesso remoto di tipo thin client; si può configurare in questo modo anche un computer dedicato al controllo di una macchina. Con il Desktop Lockdown vogliamo che sul PC Windows sia presente un account in autologin che possa eseguire solo alcune applicazioni.

Ci sono vari modi per ottenere questo risultato, e variano a seconda del sistema operativo utilizzato. In questo articolo analizzeremo due diverse modalità di attivazione del desktop lockdown: impostando le chiavi nel registry Windows, e utilizzando la modalità Agile Mode Praim.

Utilizzando Windows

Windows 10 Enterprise ed Education propongono la feature AppLocker, per facilitare la configurazione di un computer dedicato. L’operazione prevede di dover impostare su ogni macchina una serie di regole tramite Local Sicurity Policy e Local Group Policy. Al seguente link potete vedere quali siano i passaggi necessari per portare il PC a funzionare come desiderato:

https://technet.microsoft.com/en-us/itpro/windows/manage/lock-down-windows-10-to-specific-apps

Genericamente è possibile ottenere una macchina specializzata per un’applicazione in questo modo:

  1. Creando un nuovo utente e mettendolo in autologin;
  2. Limitando le operazioni che possono essere effettuate con Ctrl-Alt-Canc al solo cambio utente;
  3. Facendo avviare un laucher o l’applicazione desiderata al posto della shell di default di Windows (explorer.exe).

 

Vediamo nel dettaglio queste operazioni:

  • Autologin

Creare un nuovo utente (Lockdown), impostarne la password (Lockdp$d) senza scadenza. Per metterlo in autologin all’avvio andranno aggiunte nel registry le seguenti chiavi:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="Lockdown"
"DefaultPassword"="Lockdp$d"

 

In questo modo l’utente non potrà cambiare la password o lanciare altri programmi tramite il task manager.

  •  Limitare Ctrl-Alt-Canc

Loggarsi con l’utente Lockdown, in questo modo il sistema crea tutte le directory di quell’utente.

Aggiungere le chiavi di registry per le restrizioni:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableChangePassword"=dword:00000001 "DisableTaskMgr"=dword:00000001
  • Cambiare shell

Per cambiare la shell dell’utente dovrete aggiungere un’altra chiave di registry di quell’utente:

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon] "Shell"="c:\...\launcher.exe -parameters"

L’utente avrà a disposizione solo il programma eseguito. Sarà compito dell’amministratore mettere a disposizione dell’utente tutte le funzioni di cui ha bisogno. Senza la shell explore.exe le possibilità del utente di interagire con il sistema sono ridotte al solo utilizzo del programma che l’amministratore ha messo a disposizione.

Un modo semplice per gestire più programmi all’avvio è utilizzare uno script .vbs.

 

In questo caso:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="wscript /b /nologo c:\Lockdown\Launch.vbs"
Ad esempio usando il seguente script, potete far si che quando l’utente chiude il programma il PC venga spento:
Set shell = CreateObject ("WScript.Shell") shell.Run "iexplore.exe -K www.praim.com", 1, true shell.Run "shutdown / s / t 0"

Utilizzando Praim Agile

Un’alternativa veloce e completa che presenta anche molte più possibilità si può trovare in Praim Agile.
Tramite questo software otterrete un desktop lockdown senza bisogno di effettuare tutte queste configurazioni sul dispositivo. Inoltre vi fornirà un launcher ben strutturato e la possibilità di cambiare la configurazione da remoto in modo centralizzato usando la console di management ThinMan.

 

Fig.1 Abilitazione di Praim Agile Mode (lato amministratore).

 

 

 

 

 

 

 

 

 

 

 

 

Fig. 2.Configurazione dei programmi che l’utente potrà utilizzare (lato amministratore).

 

 

 

 

 

 

 

 

 

 

 

 

 

Fig. 3 Pannello delle risorse utilizzabili dall’utente (lato utente).

 

 

 

 

 

 

 

 

 

 

 


Visita le pagine dei software per sapere cosa possono fare Agile e ThinMan per la tua azienda:

 

Rispondi

L'unione fa la forza

I nostri rivenditori sono in grado di sfruttare al meglio la nostra tecnologia e lavorano con noi per disegnare le soluzioni ottimali per te.

Clienti

Loro hanno scelto di utilizzare le soluzioni Praim