Francesco
2006-03-09 09:59:46 UTC
Ho la seguente gatta da pelare:
In una configurazione di accesso remoto tramite VPN generata da
apparecchiature Hardware (Zyxel) data in accesso ad utente potenzialmente
insicuro vorrei poter limitare qualsiasi operazione al difuori della
connessione terminal su windows 2003 server senza sp1 (non sono ancora
autorizzato ad installarlo!).
La configurazione attuale vede un utente appartenente al gruppo domain users
ed al gruppo Utenti desktop remoto. Nella scheda ambiente è spuntato
all'accesso avvia il programma seguente: (programma x e percorso y).
Tuttavia il programma ha dei pulsanti che avviano una pagina di explorer da
cui si può navigare o inserire un percorso interno tipo c:\ e quindi fare
danni cancellando o copiarsi gli archivi del programma, o ancora
appropriarsi di documenti riservati. Vorrei evitare d'impazzire su diritti
alle cartelle ecc. (peraltro strada già intentata partendo con la negazione
di C: e abilitando la cartella del programma (peraltro mappata come unità
x:) ma al momento della cancellazione di un file viene negato l'accesso a
c:\ !!? ) Proverò a chiedere anche ai programmatori se si può fare qualche
cosa, magari poi c'è anche qualche scorciatoia da tastiera che non conosco e
riescono a lanciarla ugualmente!
- Mi chiedevo se è possibile disabilitare explorer dalle policy di dominio
(ho provato a personalizzare i pulsanti e limitare i menu, ok ..ma non è
sufficiente).
- L'utente ha anche la configurazione d'accesso al solo computer server
impostato nella scheda Account - Accedi a. Questo impedisce da remoto
d'accedere alle condivisioni ecc. del server cercando l'IP. -Ma è
un'impostazione valida oppure è un comportamento puramente casuale?
- Per bloccare snifer e malware ecc. ecc. provenienti dalla rete VPN posso o
"devo" mettere una scheda aggiuntiva sul server per poi abilitare il
firewall di windows e consentire solo il desktop remoto? E' quindi possibile
farlo sulla specifica interfaccia di rete o mi limita e blocca la rete
interna?
Grazie infinitamente per l'attenzione postami fin'ora e mi scuso per essere
stato tanto prolisso, ma altrimenti avrei corso il rischio di non farmi
capire adeguatamente.
In una configurazione di accesso remoto tramite VPN generata da
apparecchiature Hardware (Zyxel) data in accesso ad utente potenzialmente
insicuro vorrei poter limitare qualsiasi operazione al difuori della
connessione terminal su windows 2003 server senza sp1 (non sono ancora
autorizzato ad installarlo!).
La configurazione attuale vede un utente appartenente al gruppo domain users
ed al gruppo Utenti desktop remoto. Nella scheda ambiente è spuntato
all'accesso avvia il programma seguente: (programma x e percorso y).
Tuttavia il programma ha dei pulsanti che avviano una pagina di explorer da
cui si può navigare o inserire un percorso interno tipo c:\ e quindi fare
danni cancellando o copiarsi gli archivi del programma, o ancora
appropriarsi di documenti riservati. Vorrei evitare d'impazzire su diritti
alle cartelle ecc. (peraltro strada già intentata partendo con la negazione
di C: e abilitando la cartella del programma (peraltro mappata come unità
x:) ma al momento della cancellazione di un file viene negato l'accesso a
c:\ !!? ) Proverò a chiedere anche ai programmatori se si può fare qualche
cosa, magari poi c'è anche qualche scorciatoia da tastiera che non conosco e
riescono a lanciarla ugualmente!
- Mi chiedevo se è possibile disabilitare explorer dalle policy di dominio
(ho provato a personalizzare i pulsanti e limitare i menu, ok ..ma non è
sufficiente).
- L'utente ha anche la configurazione d'accesso al solo computer server
impostato nella scheda Account - Accedi a. Questo impedisce da remoto
d'accedere alle condivisioni ecc. del server cercando l'IP. -Ma è
un'impostazione valida oppure è un comportamento puramente casuale?
- Per bloccare snifer e malware ecc. ecc. provenienti dalla rete VPN posso o
"devo" mettere una scheda aggiuntiva sul server per poi abilitare il
firewall di windows e consentire solo il desktop remoto? E' quindi possibile
farlo sulla specifica interfaccia di rete o mi limita e blocca la rete
interna?
Grazie infinitamente per l'attenzione postami fin'ora e mi scuso per essere
stato tanto prolisso, ma altrimenti avrei corso il rischio di non farmi
capire adeguatamente.
--
Francesco
Francesco