Distribuzione dei criteri di sicurezza
.gif "Nota importante") Importante |
|---|
In .NET Framework versione 4, Common Language Runtime non fornisce più criteri di sicurezza per i computer.È consigliabile l'utilizzo di criteri di restrizione software Windows in sostituzione dei criteri di sicurezza CLR.Le informazioni incluse in questo argomento si applicano a .NET Framework 3.5 e versioni precedenti e non alle versioni 4 e successive.Per ulteriori informazioni su questa e altre modifiche, vedere Modifiche della sicurezza in .NET Framework 4. |
I criteri di sicurezza possono essere agevolmente distribuiti in un file di Windows Installer (MSI). Un file MSI è un package di installazione autonomo che può essere distribuito, installato e disinstallato più volte. Un file MSI può essere distribuito, ad esempio, in uno dei seguenti modi:
Eseguendo il file MSI sul computer in cui si intendono distribuire i criteri, dal disco locale o da una condivisione.
Utilizzando Criteri di gruppo in server Microsoft Windows.
Utilizzando Microsoft Systems Management Server (SMS).
Creazione dei file di Windows Installer
Lo Mscorcfg.msc (strumento .NET Framework Configuration) include una procedura guidata per la creazione di file di Windows Installer. Mediante questa procedura è possibile creare un file di Windows Installer corrispondente a uno dei tre livelli configurabili di criteri, ma non a tutti nel loro complesso. Se si desidera amministrare i criteri di sicurezza di tutti e tre i livelli configurabili, è necessario creare tre file di Windows Installer distinti e distribuirli separatamente.
Attraverso la procedura guidata, il file MSI viene creato utilizzando le impostazioni dei criteri correnti del computer in cui viene eseguita la procedura. Per creare dei criteri utente da distribuire a un gruppo di utenti, ad esempio, sarà necessario configurare i criteri utente sul computer corrente, creare il file MSI per mezzo della procedura guidata, quindi riportare i criteri utente del computer corrente allo stato originario.
Per creare un file di Windows Installer:
Eseguire lo strumento .NET Framework Configuration (Mscorcfg.msc).
Nelle versioni 1.0 e 1.1 di .NET Framework digitare quanto segue al prompt dei comandi: %Systemroot%\Microsoft.NET\Framework\Numeroversione\Mscorcfg.msc.
In .NET Framework 2.0 e versioni successive avviare il Visual Studio (Prompt dei comandi) e digitare mscorcfg.msc. Il prompt dei comandi SDK, che consente di impostare automaticamente le variabili di ambiente SDK che permettono di utilizzare in modo semplice gli strumenti di .NET Framework, è incluso in .NET Framework versione 2.0 Software Development Kit (SDK). Le versioni successive di .NET Framework si basano in modo incrementale su .NET Framework versione 2.0. Di conseguenza, il prompt dei comandi SDK di .NET Framework 2.0 SDK è il più recente disponibile in modalità autonoma. In alternativa, è possibile utilizzare i prompt dei comandi di Visual Studio inclusi in Visual Studio 2005 e versioni successive.
Nel riquadro di sinistra fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza runtime.
Scegliere Create Deployment Package dal menu di scelta rapida.
Per creare il file MSI attenersi alle istruzioni della Creazione guidata Package di distribuzione.
Se si distribuiscono i criteri utilizzando un file di Windows Installer creato dallo Mscorcfg.msc (strumento .NET Framework Configuration), prendere in considerazione quanto segue:
L'installazione di criteri viene eseguita solo per la versione del runtime indicata come destinazione durante la creazione del file di installazione. Se ad esempio si utilizza lo strumento .NET Framework Configuration versione 2.0, con il file di installazione verranno modificati solo i criteri di .NET Framework versione 2.0.
In alcuni casi non viene generato un errore se l'installazione di nuovi criteri ha esito negativo. Per verificare che i criteri siano stati installati, controllarli utilizzando lo strumento .NET Framework Configuration o lo Caspol.exe (strumento per i criteri di sicurezza dall'accesso di codice) oppure controllando manualmente i file dei criteri in un editor di testo dopo la distribuzione.
Per aggiornare i criteri visualizzati dallo strumento .NET Framework Configuration è necessario chiudere lo strumento e riavviarlo.
Distribuzione personalizzata
I file di Windows Installer possono essere distribuiti con vari mezzi, tra cui uno script di avvio, messaggi di posta elettronica o un'unità condivisa. Il metodo più semplice per distribuire criteri di sicurezza da un file di Windows Installer consiste nell'eseguire il file dal computer in cui si desiderano aggiornare i criteri di sicurezza. A questo scopo è sufficiente fare doppio clic sul file MSI. Per annullare l'installazione, fare clic sul file MSI e scegliere Disinstalla.
Assicurarsi che l'account utente utilizzato per l'installazione dei criteri disponga dei privilegi opportuni per accedere ai file di configurazione che ci si accinge a modificare. Se, ad esempio, si è connessi con un account che non dispone delle autorizzazioni necessarie a modificare il file di configurazione aziendale e il file MSI che si sta distribuendo richiede la modifica proprio tale file, l'installazione non verrà eseguita. Si noti che il package di Windows Installer non genera alcun errore nel caso in cui l'account corrente non disponga delle autorizzazioni sufficienti per la modifica del file di configurazione.
Distribuzione mediante Criteri di gruppo
Se si utilizza un server Windows per l'amministrazione dei criteri, è possibile utilizzare Criteri di gruppo con un file di Windows Installer per distribuire i criteri di sicurezza alle workstation presenti nella rete. È sufficiente importare il file MSI utilizzando lo snap-in MMC relativo ai criteri di gruppo o posizionarlo in una directory preesistente da utilizzare come cartella di installazione. Una volta configurati i criteri di gruppo per pubblicare il file MSI, i criteri di sicurezza verranno aggiornati al successivo accesso degli utenti alla rete. Per distribuire i criteri di gruppo mediante il relativo snap-in, è necessario che nella rete sia presente un controller di dominio. Per ulteriori informazioni sull'utilizzo di Criteri di gruppo, vedere la Guida di Microsoft Windows Server.
Distribuzione mediante Microsoft Systems Management Server (SMS)
È possibile utilizzare Microsoft Systems Management Server (SMS) per pubblicare criteri di sicurezza nei computer in una rete. System Management Server è un prodotto server autonomo per la gestione dell'installazione e della configurazione di software in aziende di grandi dimensioni. System Management Server risulta particolarmente utile in reti basate su Windows Server in quanto offre la funzionalità di Criteri di gruppo propria delle reti basate su Windows Server. È possibile utilizzare uno dei metodi compatibili per convertire il file MSI in un package SMS, quindi utilizzare SMS per installare il package come qualsiasi altro package. Per ulteriori informazioni sulla creazione e la distribuzione di package SMS, vedere la documentazione relativa a Microsoft Systems Management Server (SMS).