Così, state lavorando da casa a causa di COVID-19 e state usando Remote Desktop per connettervi al vostro computer d’ufficio Windows 10 tramite Remote Desktop Protocol (RDP). Selezionate accidentalmente (o forse intenzionalmente) Shutdown quando cliccate il pulsante Start nella vostra sessione RDP, e come risultato, il vostro computer d’ufficio si spegne.
E adesso? Come si fa a far funzionare il computer dell’ufficio quando non c’è nessuno in ufficio che possa premere il pulsante di accensione del computer per riavviarlo? E, ancora più importante, c’è un modo per evitare che questo tipo di cose accada se sei la persona IT incaricata di gestire i computer dei dipendenti nella tua azienda?
Utilizzando i Criteri di gruppo
È complicato. Un approccio spesso utilizzato è quello di abilitare la seguente impostazione dei Criteri di gruppo:
Questa impostazione può essere trovata sotto:
Configurazione utente ■ Modelli amministrativi ■ Menu di avvio e barra delle applicazioni
Quello che fa è impedire agli utenti di selezionare Spegnimento, Riavvio, Sospensione e Ibernazione dal menu di avvio o dalla schermata di sicurezza di Windows. Potreste abilitare questa policy nel GPO collegato alla OU dove si trovano gli account utente dei lavoratori remoti.
Nota che questo potrebbe non impedire agli utenti di spegnere i loro computer remoti usando altri mezzi, come invocando il comando di spegnimento da un prompt dei comandi. Ma rimuove il modo più ovvio per un utente di spegnere inconsapevolmente il suo PC in ufficio quando finisce il suo lavoro per il giorno.
Modificare il Registro di sistema
Che cosa succede se si vuole nascondere l’opzione di spegnimento nel menu Start ma lasciare tutte le altre opzioni presenti come Riavvio, Sleep, Ibernazione, e anche l’opzione Disconnessione per una sessione RDP? Si scopre che è possibile farlo modificando un’impostazione del registro di sistema, ma l’impostazione che è necessario utilizzare dipenderà dalla versione di Windows 10 che il vostro PC sta eseguendo. In particolare, su Windows 10 v.1803 o precedente impostate il seguente valore di registro su 1:
HKLMSOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown
Ma su Windows 10 v.1809 o successivo impostare questo valore di registro su 1:
HKLMSOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown\value
Ecco come appare su Windows 10 v.1909
In un ambiente gestito è possibile, naturalmente, utilizzare le preferenze dei criteri di gruppo (GPP) per distribuire le impostazioni del Registro di sistema come questa ai computer degli utenti.
Rimuovere i privilegi di spegnimento
E se si vuole davvero impedire agli utenti di spegnere i loro computer? Voglio dire, non solo nascondere loro i modi più ovvi per farlo, ma effettivamente rimuovere i loro privilegi di spegnimento?
Group Policy ti permette di farlo modificando i diritti degli utenti sui computer interessati dal GPO che stai modificando. La particolare impostazione coinvolta può essere trovata sotto il seguente percorso nell’Editor dei criteri di gruppo:
Configurazione del computer \Impostazioni di Windows \Impostazioni di sicurezza \Politiche locali \Diritti utente Assegnazione spegnimento del sistema
Per impostazione predefinita, gli account utente che sono membri dei gruppi amministratori locali, operatori di backup e utenti hanno il diritto di spegnere il computer. Il modo più semplice per impedire all’utente di spegnere la sua macchina è semplicemente rimuovere il gruppo utenti dalla lista di cui sopra. Ma prima di usare questo approccio “estremo” consultate la sezione intitolata Attenzione ai danni collaterali più avanti in questo articolo.
Altri approcci all’accesso desktop remoto
Rendere difficile per gli utenti spegnere i loro PC in ufficio attraverso una connessione desktop remoto è a volte più problematico di quanto valga, come vedremo tra poco. A causa di questo, alcuni amministratori evitano di cercare di implementare tali soluzioni e invece accettano l’inevitabile che alcuni PC dei dipendenti finiranno per essere spenti alla fine della giornata lavorativa – e poi cercano di implementare un approccio per farli riavviare automaticamente prima che arrivi il mattino. Uno dei metodi più comunemente tentati per fare questo è quello di utilizzare Wake On Lan (WOL), una tecnologia di rete supportata da molti adattatori di rete che permettono al computer di essere acceso da remoto quando è addormentato o in ibernazione o in alcuni casi completamente spento. WOL funziona permettendo ad un “pacchetto magico” (un pacchetto Ethernet appositamente creato) di avviare la scheda madre causando il lancio del sistema operativo.
Implementare WOL può essere difficile. In primo luogo, richiede che abbiate abilitato la funzionalità WOL nel BIOS di sistema del computer, quindi la scheda madre del vostro sistema deve supportare questa funzionalità. In secondo luogo, richiede la modifica delle impostazioni della scheda di rete della macchina. Per fare questo apri Gestione periferiche, espandi il nodo Adattatori di rete e fai clic con il tasto destro del mouse sul tuo adattatore Ethernet per selezionare Proprietà. Ora, nella scheda Avanzate assicurati che Wake on Magic Packet sia abilitato in questo modo:
Poi passa alla scheda Power Management e assicurati che l’impostazione “Only allow a magic packet to wake the computer” sia abilitata:
Ora che hai abilitato WOL sulla macchina hai bisogno di qualche programma che possa inviare un pacchetto magico ad essa quando vuoi avviarla quando la macchina è stata spenta. Il software di gestione dei sistemi che la vostra azienda sta usando probabilmente ha già questa funzionalità; altrimenti, ci sono molti programmi in giro tra cui potete scegliere, molti dei quali gratuiti. TeamViewer è uno di questi strumenti ed è spesso usato in ambienti di helpdesk. Una cosa da tenere a mente: Si chiama Wake On Lan per un motivo. Alcuni router bloccheranno il Magic Packet se proviene dall’esterno della rete – per esempio, inviandolo via Internet.
Un altro approccio è se i vostri PC hanno processori Intel che supportano la tecnologia Intel Active Management Technology (AMT) della piattaforma Intel vPro che permette di controllare in remoto i PC anche quando si bloccano o sono spenti.
Banning remote desktop access: Attenzione ai danni collaterali
Qualunque cosa facciate, assicuratevi di conoscere prima tutte le difficoltà o i problemi che possono sorgere quando implementate una soluzione che rende difficile o impossibile per gli utenti remoti spegnere i loro computer in ufficio via RDP. La considerazione più grande qui è come questo può influenzare il supporto dell’helpdesk per questi lavoratori remoti. Per esempio, a volte un utente che lavora da casa e usa Remote Desktop per accedere al suo computer d’ufficio incontrerà un problema di qualche tipo con il suo computer d’ufficio. L’utente telefona all’helpdesk e il tecnico di supporto lo guida attraverso alcuni passi di risoluzione dei problemi. L’utente segue questi passi ma il problema non viene risolto, così il tecnico di supporto passa al livello successivo e dice all’utente di provare a eseguire la vecchia soluzione del riavvio del computer dell’ufficio. “Come posso farlo? L’IT ha tolto quell’opzione di menu dalla mia macchina”. Le teste si grattano mentre la chiamata di supporto si trascina e l’utente rimane indietro nel suo lavoro.
Un altro giorno nelle trincee dell’IT.
Immagine in evidenza:
0 commenti