Discussione:
Limitazioni Utente e VPN Hardware
(troppo vecchio per rispondere)
Francesco
2006-03-09 09:59:46 UTC
Permalink
Ho la seguente gatta da pelare:
In una configurazione di accesso remoto tramite VPN generata da
apparecchiature Hardware (Zyxel) data in accesso ad utente potenzialmente
insicuro vorrei poter limitare qualsiasi operazione al difuori della
connessione terminal su windows 2003 server senza sp1 (non sono ancora
autorizzato ad installarlo!).
La configurazione attuale vede un utente appartenente al gruppo domain users
ed al gruppo Utenti desktop remoto. Nella scheda ambiente è spuntato
all'accesso avvia il programma seguente: (programma x e percorso y).
Tuttavia il programma ha dei pulsanti che avviano una pagina di explorer da
cui si può navigare o inserire un percorso interno tipo c:\ e quindi fare
danni cancellando o copiarsi gli archivi del programma, o ancora
appropriarsi di documenti riservati. Vorrei evitare d'impazzire su diritti
alle cartelle ecc. (peraltro strada già intentata partendo con la negazione
di C: e abilitando la cartella del programma (peraltro mappata come unità
x:) ma al momento della cancellazione di un file viene negato l'accesso a
c:\ !!? ) Proverò a chiedere anche ai programmatori se si può fare qualche
cosa, magari poi c'è anche qualche scorciatoia da tastiera che non conosco e
riescono a lanciarla ugualmente!
- Mi chiedevo se è possibile disabilitare explorer dalle policy di dominio
(ho provato a personalizzare i pulsanti e limitare i menu, ok ..ma non è
sufficiente).
- L'utente ha anche la configurazione d'accesso al solo computer server
impostato nella scheda Account - Accedi a. Questo impedisce da remoto
d'accedere alle condivisioni ecc. del server cercando l'IP. -Ma è
un'impostazione valida oppure è un comportamento puramente casuale?
- Per bloccare snifer e malware ecc. ecc. provenienti dalla rete VPN posso o
"devo" mettere una scheda aggiuntiva sul server per poi abilitare il
firewall di windows e consentire solo il desktop remoto? E' quindi possibile
farlo sulla specifica interfaccia di rete o mi limita e blocca la rete
interna?
Grazie infinitamente per l'attenzione postami fin'ora e mi scuso per essere
stato tanto prolisso, ma altrimenti avrei corso il rischio di non farmi
capire adeguatamente.
--
Francesco
Andrea Gallazzi [MVP]
2006-03-09 10:17:01 UTC
Permalink
Hai già scritto sotto, ti spiace dare tempo alla gente di rispondere?
Non è l'assistenza tecnica, rispetta la netiquette.
Post by Francesco
In una configurazione di accesso remoto tramite VPN generata da
apparecchiature Hardware (Zyxel) data in accesso ad utente
potenzialmente insicuro vorrei poter limitare qualsiasi operazione al
difuori della connessione terminal su windows 2003 server senza sp1
(non sono ancora autorizzato ad installarlo!).
Male... quando sarà pieno di virus e malaware, credi che riterranno
opportuno farlo?
Non si aspetta una settimana prima di istallare una patch, un service pack è
corretto testarlo, ma non così a lungo!
Post by Francesco
La configurazione attuale vede un utente appartenente al gruppo
domain users ed al gruppo Utenti desktop remoto. Nella scheda
(programma x e percorso y). Tuttavia il programma ha dei pulsanti che
avviano una pagina di explorer da cui si può navigare o inserire un
percorso interno tipo c:\ e quindi fare danni cancellando o copiarsi
gli archivi del programma, o ancora appropriarsi di documenti
riservati. Vorrei evitare d'impazzire su diritti alle cartelle ecc.
(peraltro strada già intentata partendo con la negazione di C: e
abilitando la cartella del programma (peraltro mappata come unità x:)
ma al momento della cancellazione di un file viene negato l'accesso a
c:\ !!? ) Proverò a chiedere anche ai programmatori se si può fare
qualche cosa, magari poi c'è anche qualche scorciatoia da tastiera
che non conosco e riescono a lanciarla ugualmente! - Mi chiedevo se è
possibile disabilitare explorer dalle policy di dominio (ho provato a
personalizzare i pulsanti e limitare i menu, ok ..ma non è
sufficiente). - L'utente ha anche la configurazione d'accesso al solo
computer server impostato nella scheda Account - Accedi a. Questo
impedisce da remoto d'accedere alle condivisioni ecc. del server
cercando l'IP. -Ma è un'impostazione valida oppure è un comportamento
puramente casuale? - Per bloccare snifer e malware ecc. ecc.
provenienti dalla rete VPN posso o "devo" mettere una scheda
aggiuntiva sul server per poi abilitare il firewall di windows e
consentire solo il desktop remoto? E' quindi possibile farlo sulla
specifica interfaccia di rete o mi limita e blocca la rete interna?
Grazie infinitamente per l'attenzione postami fin'ora e mi scuso per
essere stato tanto prolisso, ma altrimenti avrei corso il rischio di
non farmi capire adeguatamente.
Scusa... mi spiace se ti offendo.
Ma che diavolo stai dicendo? La sintesi non è il tuo forte.
Io non ho capito nulla.
Chiarisciti le idee e vedi di formulare una semplice domanda composta al
massimo 30 parole.
Esponi solo il problema, saremo noi ad indicarti la strada...
Grazie.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-09 11:13:30 UTC
Permalink
Domande sintetizzate:
1) Come dare accesso ad un server attraverso vpn alla sola porta necessaria
alla connessione terminal server! (da firewall hardware non si può)
2) Impedire l'esecuzione di programmi al difuori di quello in esecuzione
automatica del profilo terminal (win server 2003). In primis Explorer.
Grazie,
Francesco
Post by Andrea Gallazzi [MVP]
Hai già scritto sotto, ti spiace dare tempo alla gente di rispondere?
Non è l'assistenza tecnica, rispetta la netiquette.
Post by Francesco
In una configurazione di accesso remoto tramite VPN generata da
apparecchiature Hardware (Zyxel) data in accesso ad utente
potenzialmente insicuro vorrei poter limitare qualsiasi operazione al
difuori della connessione terminal su windows 2003 server senza sp1
(non sono ancora autorizzato ad installarlo!).
Male... quando sarà pieno di virus e malaware, credi che riterranno
opportuno farlo?
Non si aspetta una settimana prima di istallare una patch, un service pack è
corretto testarlo, ma non così a lungo!
Post by Francesco
La configurazione attuale vede un utente appartenente al gruppo
domain users ed al gruppo Utenti desktop remoto. Nella scheda
(programma x e percorso y). Tuttavia il programma ha dei pulsanti che
avviano una pagina di explorer da cui si può navigare o inserire un
percorso interno tipo c:\ e quindi fare danni cancellando o copiarsi
gli archivi del programma, o ancora appropriarsi di documenti
riservati. Vorrei evitare d'impazzire su diritti alle cartelle ecc.
(peraltro strada già intentata partendo con la negazione di C: e
abilitando la cartella del programma (peraltro mappata come unità x:)
ma al momento della cancellazione di un file viene negato l'accesso a
c:\ !!? ) Proverò a chiedere anche ai programmatori se si può fare
qualche cosa, magari poi c'è anche qualche scorciatoia da tastiera
che non conosco e riescono a lanciarla ugualmente! - Mi chiedevo se è
possibile disabilitare explorer dalle policy di dominio (ho provato a
personalizzare i pulsanti e limitare i menu, ok ..ma non è
sufficiente). - L'utente ha anche la configurazione d'accesso al solo
computer server impostato nella scheda Account - Accedi a. Questo
impedisce da remoto d'accedere alle condivisioni ecc. del server
cercando l'IP. -Ma è un'impostazione valida oppure è un comportamento
puramente casuale? - Per bloccare snifer e malware ecc. ecc.
provenienti dalla rete VPN posso o "devo" mettere una scheda
aggiuntiva sul server per poi abilitare il firewall di windows e
consentire solo il desktop remoto? E' quindi possibile farlo sulla
specifica interfaccia di rete o mi limita e blocca la rete interna?
Grazie infinitamente per l'attenzione postami fin'ora e mi scuso per
essere stato tanto prolisso, ma altrimenti avrei corso il rischio di
non farmi capire adeguatamente.
Scusa... mi spiace se ti offendo.
Ma che diavolo stai dicendo? La sintesi non è il tuo forte.
Io non ho capito nulla.
Chiarisciti le idee e vedi di formulare una semplice domanda composta al
massimo 30 parole.
Esponi solo il problema, saremo noi ad indicarti la strada...
Grazie.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2006-03-09 11:28:25 UTC
Permalink
Post by Francesco
1) Come dare accesso ad un server attraverso vpn alla sola porta
necessaria alla connessione terminal server! (da firewall hardware
non si può)
2 modi.
1) Fai una VPN pass-through e la fai gestire dal server in modo tale da
poter usare RRAS e programmare le connessioni.
2) Lato client usi l'IP Security e stabilisci determinate regole.
La prima è complicata, mentre la seconda è aggirabile utilizzando un
computer differente o nel caso l'utente fosse amministratore della propria
macchina.
Post by Francesco
2) Impedire l'esecuzione di programmi al difuori di
quello in esecuzione automatica del profilo terminal (win server
2003). In primis Explorer. Grazie,
Non puoi ritagliare Windows fino a questo punto (questo genere di lavori si
fanno tramite XP embedded), forse c'è un trucco per farlo, ma non lo
conosco.
Quello che ti consiglio è di utilizzare in modo esaustivo le policy che hai
a disposizione e rimuovere tutto quello che puoi da menù e interfacce varie.
Se ritieni opportuno imponi anche che non possa eseguire altro che
l'eseguibile che scegli tu, quindi una software restriction policy del tipo
"non eseguire nulla eccetto...".
Buon lavoro!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2006-03-09 11:39:08 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Non puoi ritagliare Windows fino a questo punto (questo genere di
lavori si fanno tramite XP embedded), forse c'è un trucco per farlo,
ma non lo conosco.
Ho dimenticato di precisare. Explorer è tutto ciò che vedi, si trova sempre
in esecuzione, altrimenti non vedresti neanche la barra.
Per questo ti sconsiglio di rimuoverlo interamente.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-09 11:49:07 UTC
Permalink
Purtroppo lo so che explorer è troppo generico per poterlo bloccare, il
fatto è che avrei voluto impedire che potesse digitare c:\programma_x per
copiarsi gli archivi. Cartella alla quale deve necessariamente avere accesso
per poter far girare il programma stesso!

Domanda:
Come mai non mi permette di eseguire un link (file programma generale) con
un utente diverso? mi dice chenon trova la destinazione, falso perché esiste
esattamente nel percorso indicato dal messaggio d'errore.
Grazie.
Post by Andrea Gallazzi [MVP]
Post by Andrea Gallazzi [MVP]
Non puoi ritagliare Windows fino a questo punto (questo genere di
lavori si fanno tramite XP embedded), forse c'è un trucco per farlo,
ma non lo conosco.
Ho dimenticato di precisare. Explorer è tutto ciò che vedi, si trova sempre
in esecuzione, altrimenti non vedresti neanche la barra.
Per questo ti sconsiglio di rimuoverlo interamente.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2006-03-09 13:54:17 UTC
Permalink
Post by Francesco
Purtroppo lo so che explorer è troppo generico per poterlo bloccare,
il fatto è che avrei voluto impedire che potesse digitare
c:\programma_x per copiarsi gli archivi. Cartella alla quale deve
necessariamente avere accesso per poter far girare il programma
stesso!
Nascondi dai template il drive C.
Post by Francesco
Come mai non mi permette di eseguire un link (file programma
generale) con un utente diverso? mi dice chenon trova la
destinazione, falso perché esiste esattamente nel percorso indicato
dal messaggio d'errore.
Non ho capito, spiega i passi.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 10:23:39 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Francesco
Purtroppo lo so che explorer è troppo generico per poterlo bloccare,
il fatto è che avrei voluto impedire che potesse digitare
c:\programma_x per copiarsi gli archivi. Cartella alla quale deve
necessariamente avere accesso per poter far girare il programma
stesso!
Nascondi dai template il drive C.
Cosa intendi esattamente? Quali template e dove?
Post by Andrea Gallazzi [MVP]
Post by Francesco
Come mai non mi permette di eseguire un link (file programma
generale) con un utente diverso? mi dice chenon trova la
destinazione, falso perché esiste esattamente nel percorso indicato
dal messaggio d'errore.
Non ho capito, spiega i passi.
Lasciamo perdere, non mi sembra una strada percorribile. si dovrebbe
perlomeno poter memorizzare la password per l'esecuzione con altre
credenziali.
Andrea Gallazzi [MVP]
2006-03-10 11:34:44 UTC
Permalink
Post by Francesco
Cosa intendi esattamente? Quali template e dove?
Nelle policy ci sono gli administrative template.
Post by Francesco
Lasciamo perdere, non mi sembra una strada percorribile. si dovrebbe
perlomeno poter memorizzare la password per l'esecuzione con altre
credenziali.
Continuo a non capire... stai parlando di permessi di accesso ai file?
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 14:48:00 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Francesco
Cosa intendi esattamente? Quali template e dove?
Nelle policy ci sono gli administrative template.
Si ok, quelli sto usando già da tempo, ho creato un modello appositamente
per l'occasione applicato all'utente in questione. Però non riesco a trovare
dove inibire le unità disco. Ed al momento neppure lo sfoglio della rete.
Infatti quale utente del dominio partendo da una stampa su file può andare
un po' ovunque :(( ..Ho l'impressione che non riuscirò mai a pensarle
tutte! Ma per caso non c'è un archivio a cui attingere a template
preconfigurate ad-oc?
Francesco
2006-03-10 15:02:17 UTC
Permalink
OK, ho trovato dove escludere le risorse della rete locale, ed anche il menu
file. Mi mancano ancora le unità disco (sempre che sia possibile senza
impedirne l'uso del programma in esecuzione!) Ma com'è che ho visto su altre
discussioni che son riusciti ad impedire l'uso di iesplorer.exe... da dove?
ed è effettivamente utile o consigliabile?
Grazie.
Post by Francesco
Post by Andrea Gallazzi [MVP]
Post by Francesco
Cosa intendi esattamente? Quali template e dove?
Nelle policy ci sono gli administrative template.
Si ok, quelli sto usando già da tempo, ho creato un modello appositamente
per l'occasione applicato all'utente in questione. Però non riesco a trovare
dove inibire le unità disco. Ed al momento neppure lo sfoglio della rete.
Infatti quale utente del dominio partendo da una stampa su file può andare
un po' ovunque :(( ..Ho l'impressione che non riuscirò mai a pensarle
tutte! Ma per caso non c'è un archivio a cui attingere a template
preconfigurate ad-oc?
Andrea Gallazzi [MVP]
2006-03-10 15:19:32 UTC
Permalink
Post by Francesco
OK, ho trovato dove escludere le risorse della rete locale, ed anche
il menu file. Mi mancano ancora le unità disco (sempre che sia
possibile senza impedirne l'uso del programma in esecuzione!)
User Configuration\Admin Template\Windows comp\Windows Explorer
Qui trovi "Hide these specified drivers in My Computer".
Ricorda che questo maschererà alcuni drive, ma certo non impedirà ad altri
programmi di andarci.
Infatti il template è solo riferito ad Explorer.
Post by Francesco
Ma
com'è che ho visto su altre discussioni che son riusciti ad impedire
l'uso di iesplorer.exe... da dove? ed è effettivamente utile o
consigliabile?
Non ne ho idea... quali discussioni?

Guardati anche questo:
http://www.microsoft.com/italy/windowsxp/sharedaccess/default.mspx
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2006-03-10 15:25:54 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Qui trovi "Hide these specified drivers in My Computer".
Dimenticavo, subito sotto trovi anche il "Prevent...".
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 16:49:28 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Andrea Gallazzi [MVP]
Qui trovi "Hide these specified drivers in My Computer".
Ok, l'avevo appena trovata e provata!
Post by Andrea Gallazzi [MVP]
Dimenticavo, subito sotto trovi anche il "Prevent...".
Ritieni sia necessaria? A me sempra sufficiente la prima, ho aggiunto per
ogni evenienza la disabilitazione alla connessione unità di rete!

Invece ho trovato il modo d'escludere i programmi in esecuzione come
iesplorer.exe che viene correttamente inibito, ma se cerco di disabilitare
alcune procedure nella cartella del programma in questione non funzionano.
Può essere perché la cartella viene rimappata come unità di rete?
Andrea Gallazzi [MVP]
2006-03-10 17:03:08 UTC
Permalink
Post by Francesco
Ritieni sia necessaria? A me sempra sufficiente la prima, ho aggiunto
per ogni evenienza la disabilitazione alla connessione unità di rete!
Scrivi nella barra indirizzo "c:\" e poi dimmi.
Post by Francesco
Invece ho trovato il modo d'escludere i programmi in esecuzione come
iesplorer.exe che viene correttamente inibito, ma se cerco di
disabilitare alcune procedure nella cartella del programma in
questione non funzionano. Può essere perché la cartella viene
rimappata come unità di rete?
Perchè continui a scrivere iesplorer.exe?
ieXplorer.exe piuttosto.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 17:10:10 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Scrivi nella barra indirizzo "c:\" e poi dimmi.
L'avevo disabilitata dalla finestra e poi inibito la personalizzazione, ma
visto che la rimozione di "iexplore.exe" (per l'essattezza.. l'avevo visto
scritto male e non ci avevo fatto caso, scusa..) Cmq mi sembra che non sia
possibile inserirlo manualmente in altri posti, cmq ora provo anche quella.

Poi aiutarmi al riguardo degli eseguibili? Non capisco come possano andare
in esecuzione anche se nella "lista nera"! Può essere perché la cartella
superiore viene rimappata come unità di rete?
Andrea Gallazzi [MVP]
2006-03-10 17:36:59 UTC
Permalink
Post by Francesco
Poi aiutarmi al riguardo degli eseguibili? Non capisco come possano
andare in esecuzione anche se nella "lista nera"! Può essere perché
la cartella superiore viene rimappata come unità di rete?
Come ti dicevo, iexplorer e explorer sono molto legati.
Puoi richiamare uno dall'altro... quindi ti è impossibile bloccarli, un
eseguibile può farne andare un altro a piacere e non c'è regola che tenga.
La soluzione che cerchi è sicuramente sbagliata.
Ti consiglio di capire bene cosa vuoi ottenere e spiegarmelo, troviamo
un'altra soluzione, migliore di questa.
Non è bloccando un componente fondamentale di Windows che impedisci alla
gente di navigare... se è questo che cerchi.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 17:43:20 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Come ti dicevo, iexplorer e explorer sono molto legati.
Puoi richiamare uno dall'altro... quindi ti è impossibile bloccarli, un
eseguibile può farne andare un altro a piacere e non c'è regola che tenga.
La soluzione che cerchi è sicuramente sbagliata.
Ti consiglio di capire bene cosa vuoi ottenere e spiegarmelo, troviamo
un'altra soluzione, migliore di questa.
Non è bloccando un componente fondamentale di Windows che impedisci alla
gente di navigare... se è questo che cerchi.
Questi dal mio punto di vista sono problemi già risolti, perché con un
terminal che esegue il solo programma desiderato all'avvio, ed i link del
programma a siti web che ora non si aprono più (cmq ho anche impostato un
proxy fittizio!), con anche il blocco dello sfoglio delle risosre locali e
ri rete rimangono solo belle belle le unità del client che si collega, e
quindi l'utente può farsi delle stampe pdf direttamente sul suo disco senza
pericolo d'intrusione!
-Diciamo che ora volevo strafare ed impedire l'esecuzione di alcuni
eseguibili lincati ad alcuni pulsanti del programma, che per ora a detta dei
programmatori si possono togliere solamente per tutti gli utenti!
Francesco
2006-03-10 18:08:30 UTC
Permalink
Ho scoperto che con certezza l'unità mappata interferisce in qualche modo:
I pulsanti incriminati sono editabili da un file.ini al quale normalmente vi
è indicato un percorso del tipo: cartella2\prog.exe

N.B. L'applicativo viene lanciato in automatico con un percorso del tipo:
F:\cartella\cartella2\applica.exe Da: F:\cartella
Con la relativa esclusione l'effetto finale NON è quello voluto.

Mentre invece se nel file.ini imposto il percorso reale:
C:\cartella_condivisa\cartella\cartella2\prog.exe
Con la relativa esclusione l'effetto è quello voluto.

Morale della favola... il giochino a mio avviso ha un buco da rattoppare.

Dal momento che non posso lasciare il file.ini con collegamenti che puntano
a C:\... perché ovviamente non funzionerebbero in rete, mi limiterò ad
assegnare dei diritti di negazione per l'utente in questione direttamente ai
files .exe indesiderati; sperando in una futura benedizione. Naturalmente
qualsiasi suggerimento è ben gradito.
Grazie mille per il tempo concessomi.
Saluti e buona domenica, Francesco.
Francesco
2006-03-10 18:49:56 UTC
Permalink
Ho scoperto che inserendo il nome dell'eseguibile senza il percorso funziona
tutto correttamente come ci si dovrebbe aspettare!

Mi rimarrebbe di eliminare il messaggio d'esecuzione di software pericoloso
che non ricordo da dove si toglie. La casellina da spuntare nel messaggio è
grigietta...
Grazie ancora infinitamente :)
Post by Francesco
I pulsanti incriminati sono editabili da un file.ini al quale normalmente vi
è indicato un percorso del tipo: cartella2\prog.exe
F:\cartella\cartella2\applica.exe Da: F:\cartella
Con la relativa esclusione l'effetto finale NON è quello voluto.
C:\cartella_condivisa\cartella\cartella2\prog.exe
Con la relativa esclusione l'effetto è quello voluto.
Morale della favola... il giochino a mio avviso ha un buco da rattoppare.
Dal momento che non posso lasciare il file.ini con collegamenti che puntano
a C:\... perché ovviamente non funzionerebbero in rete, mi limiterò ad
assegnare dei diritti di negazione per l'utente in questione direttamente ai
files .exe indesiderati; sperando in una futura benedizione. Naturalmente
qualsiasi suggerimento è ben gradito.
Grazie mille per il tempo concessomi.
Saluti e buona domenica, Francesco.
Andrea Gallazzi [MVP]
2006-03-13 14:17:00 UTC
Permalink
Post by Francesco
Mi rimarrebbe di eliminare il messaggio d'esecuzione di software
pericoloso che non ricordo da dove si toglie. La casellina da
spuntare nel messaggio è grigietta...
Grazie ancora infinitamente :)
Tasto destro, proprietà, pulsante Unblock.
Di nulla, ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-13 16:56:58 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Francesco
Mi rimarrebbe di eliminare il messaggio d'esecuzione di software
pericoloso che non ricordo da dove si toglie. La casellina da
spuntare nel messaggio è grigietta...
Grazie ancora infinitamente :)
Tasto destro, proprietà, pulsante Unblock.
Di nulla, ciao!
Questa la devo ancora capire e provare!

Cmq, passando al secondo dei miei problemi: Ho provato ad attivare e
configurare Routing ed accesso remoto. Ho impostato dei filtri per la quale
il traffico è tutto bloccato tranne la rete locale (accesso sia in uscita
che entrata con qualsiasi porta/protocollo) E la rete remota con acceso alla
sola porta 3389 in ingresso ed in uscita. OK Funziona! Però ho notato che il
server dhcp locale non risponde più! Quale può essere il problema?
Grazie.
Andrea Gallazzi [MVP]
2006-03-14 15:15:03 UTC
Permalink
Post by Francesco
Cmq, passando al secondo dei miei problemi: Ho provato ad attivare e
configurare Routing ed accesso remoto. Ho impostato dei filtri per la
quale il traffico è tutto bloccato tranne la rete locale (accesso sia
in uscita che entrata con qualsiasi porta/protocollo) E la rete
remota con acceso alla sola porta 3389 in ingresso ed in uscita. OK
Funziona! Però ho notato che il server dhcp locale non risponde più!
Quale può essere il problema?
In che senso? Non funziona per le VPN?
Hai configurato il relay agent?
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Francesco
2006-03-10 16:51:47 UTC
Permalink
Dimenticavo...
Il processo (.exe) messo in esclusione risulta cmq in esecuzione dall'utente
in questione a cui vengono applicate le policy di restrizione! Come può
essere stato avviato?
Michele Betelli
2006-03-09 20:19:50 UTC
Permalink
Ciao Andrea Gallazzi [MVP],
Post by Andrea Gallazzi [MVP]
mentre la seconda è aggirabile utilizzando un
computer differente o nel caso l'utente fosse amministratore della propria
macchina.
grazie come sempre.
ciao ciao.
--
Mitch - ***@gmail.com
My Blog: http://blogs.dotnethell.it/mitch
WindowServer.it: la Community italiana dei Sistemisti Windows
http://www.windowserver.it
http://www.microsoft.com/italy/technet
Andrea Gallazzi [MVP]
2006-03-10 11:34:40 UTC
Permalink
Post by Michele Betelli
Post by Andrea Gallazzi [MVP]
mentre la seconda è aggirabile utilizzando un
computer differente o nel caso l'utente fosse amministratore della propria
macchina.
grazie come sempre.
Le policy IP Security le imponi a livello macchina, da queste puoi
autorizzare o negare determinate comunicazioni di rete... ovviamente se lui
fa VPN da un'altra macchina o mi rimuove queste policy... il gioco è fatto.
Per questo non è corretto agire così.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Michele Betelli
2006-03-10 17:43:04 UTC
Permalink
Ciao Andrea Gallazzi [MVP],
Post by Andrea Gallazzi [MVP]
Le policy IP Security le imponi a livello macchina, da queste puoi
autorizzare o negare determinate comunicazioni di rete... ovviamente
se lui fa VPN da un'altra macchina o mi rimuove queste policy... il
gioco è fatto. Per questo non è corretto agire così.
scusa, ma mi sono perso ancora...
se lui configura una policy sul server che nega tutto il traffico da questi
client, permette solo il traffico su questa porta
richiedendo l'autenticazione (request security), non può andare bene?

--
Mitch - ***@gmail.com
My Blog: http://blogs.dotnethell.it/mitch
WindowServer.it: la Community italiana dei Sistemisti Windows
http://www.windowserver.it
http://www.microsoft.com/italy/techne
Andrea Gallazzi [MVP]
2006-03-13 14:19:22 UTC
Permalink
Post by Michele Betelli
scusa, ma mi sono perso ancora...
se lui configura una policy sul server che nega tutto il traffico da
questi client, permette solo il traffico su questa porta
richiedendo l'autenticazione (request security), non può andare bene?
Non credo sia possibile fare una regola di transizione su IPSecurity, non ho
mai provato.
Tu vuoi dire con origine e destinazione entrambi differenti dal server? Sei
sicuro che si possa fare?
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Michele Betelli
2006-03-14 23:02:11 UTC
Permalink
Ciao Andrea Gallazzi [MVP],
Post by Andrea Gallazzi [MVP]
Non credo sia possibile fare una regola di transizione su IPSecurity, non ho
mai provato.
Tu vuoi dire con origine e destinazione entrambi differenti dal
server?
no, intendevo una regola come destination il server stesso e come source
i client vpn
l'esigenza non è quella di chiudere tutto verso il server tranne una sola
porta?
--
Mitch - ***@gmail.com
My Blog: http://blogs.dotnethell.it/mitch
WindowServer.it: la Community italiana dei Sistemisti Windows
http://www.windowserver.it
http://www.microsoft.com/italy/technet
Andrea Gallazzi [MVP]
2006-03-15 08:37:27 UTC
Permalink
Post by Michele Betelli
no, intendevo una regola come destination il server stesso e come
source i client vpn
l'esigenza non è quella di chiudere tutto verso il server tranne una
sola porta?
Io avevo capito che volesse impedire ai VPN client di contattare server
differenti da quelli da lui scelti...
Non so! :-)
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Loading...