Servizi
| Servizio | Impostazione | Note |
| Guida in linea imposta | Manuale | |
| Helper NetBIOS di TCP/IP | Disabilitato | se non è necessario accedere alla rete o non viene utilizzato il NetBIOS |
| Manutenzione collegamenti distribuiti client | Disabilitato | |
| Registro di sistema remoto | Disabilitato | Se non è necessaria tale amministrazione remota |
| Servizio di segnalazione errori | Disabilitato | |
| Servizio di rilevamento SSDP | Disabilitato | |
| Servizio Gateway di livello applicazione | Disabilitato | |
| Servizio di indicizzazione | Disabilitato | Se la funzionalità non è richiesta |
| Temi | Disabilitato | |
| Zero Configuration reti senza fili | Disabilitato | Se la funzionalità non è necessaria |
Impostazioni di sistema
- Disattivazione Ripristino configurazione di sistema
- Effetti visivi configurati per prestazioni migliori
- Pagefile fisso
Impostazioni di rete
- Disabilitata condivisione file (se non necessaria)
- Disabilitato client Microsoft (se non necessaria)
Altre impostazioni
- Disabiltazione dei performance counters se non utilizzati tramite l’aggiunta del valore DWORD DisablePerformanceCounters = 1 nella registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
- Se è installato Acrobat Reader 9.x disabilitazione dell’Update Acrobat tramite l’aggiunta del valore DWORD bUpdater = 0 nella registry key HKEY_LOCAL_MACHINE\Software\Policies\Adobe\Acrobat Reader\9.0\FeatureLockdown (occorerà gestire manualmente gli update).
- Disabilitazione Autoplay su tutte le unità tramite l’impostazione della policy Administrative Templates -> System -> Turn Off Autoplay mediante gpedit.msc.
<---------------------->
Una soluzione può essere utilizzare Windows SteadyState disponibile per Windows XP e Windows Vista a riguardo si vedano anche i seguenti link:
- File leggimi di Windows SteadyState
- Domande tecniche frequenti relative a Windows SteadyState
- Manuale di Windows SteadyState
Se invece si desidera configurare manualmente il PC è possibile seguire la seguente procedura:
- Installare il sistema operativo XP PRO
- Specificare una password per l’utente Administrator
- Disabilitazi0ne dei servizi non necessari
- Acquisizione di immagini di Windows (WIA)
- Audio Windows
- Guida in linea e supporto tecnico
- Servizio di segnalazione errori
- Servizio Ripristino configurazione di sistema
- Spooler di stampa
- Temi
- Utilità di pianificazione (se non utilizzata)
- WebClient
- Zero configuration reti senza fili
- Configurare il sistema
- Disabilitare il Ripristino configurazione di sistema (mediante l’applet Sistema)
- Disabilitare gli aggiornamenti automatici (gli aggiornamenti in computer dedicati a queste finalità è meglio che vengano eseguiti manualmente per evitare riavvi indesiderati o comunque possibili incompatibilità con le hotfix che determinerebbero disservizi)
- Configurare le Opzioni risparmio energia sulla combinazione Sempre attivo disabilitando l’opzione per spegnere il monitor e impostando se possibile compatibilmente con l’attività la disattivazione dei dischi
- Messa in sicurezza il sistema
- Eseguire gli aggiornamenti critici e di sicurezza
- Abilitare il firewall senza consentire eccezioni
- Disabilitare l’autoplay per tutte le unità (CD, DVD, periferiche USB) tramite il criterio di gruppo locale a livello computer Modelli amministrativi \ Sistema \Disattiva riproduzione automatica
- Disabilitare il task manager tramite il criterio di gruppo locale a livello utente Modelli amministrativi \ Sistema \ Opzioni CTRL+ALT+CANC \ Rimuovi Task Manager
- Disabilitare l’utilizzo di periferiche USB (se possibile) negando i diritti di controllo completo per il gruppo Users ai file %SystemRoot%\Inf\Usbstor.pnf e %SystemRoot%\Inf\Usbstor.inf. A riguardo si veda How can I prevent users from connecting to a USB storage device?
- Installare un antivirus nel caso i requisiti Hardware lo consentano in caso contrario dal momento che si opererà con privilegi di solo utente, autoplay disabilitato, periferiche USB disabilitate, firewall attivo senza eccezioni e shell ridotta alla sola applicazione necessaria è anche possibile eseguire lo strumento antimalware di Microsoft quando si esegue Windows Update.
- Configurazione degli utenti
- Configurare il sistema per avere l’account Administrator (creato durante l’installazione) con password che verrà utilizzato per l’amministrazione del sistema e un account limitato Pubblico senza password
- Aggiungere l’account Administrator al Welcome Screen aggiungendo alla chiave di registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList un valore DWORD Administrator di valore 1
- Configurazione dell’utente pubblico per esempio per avviare Interne Explorer in modalità Kiosk (a riguardo si veda How to use Kiosk Mode in Microsoft Internet Explorer)
- Creare una directory C:\Scripts
- Creare un file batch StartIEKioskMode.cmd in C:\Scripts con le seguenti istruzioni:
@echo off
start /wait iexplore –k “path html file”
logoff - Creare un file Shell.vbs in C:\Scripts con le seguenti istruzioni:
Dim shell
Set shell = CreateObject(“WScript.Shell”)
shell.run “C:\Scripts\StartIEKioskMode.cmd”, vbHide, True
Set shell = Nothing - Connettersi con l’account Pubblico ed eseguire le seguenti impostazioni:
- Disabilitare lo screen saver
- Impostare come shell lo script Shell.vbs creando nella chiave HKCU\Software\Microsoft\Windows NT\Current
Version\Winlogon un valore Shell di tipo REG_Sz impostato al valore WScript C:\Scripts\Shell.vbs
Per rimettere temporaneamente la shell explorer all’utente pubblico basterà connetersi come Administrator e modificare come segue il file StartIEKioskMode.cmd:
explorer.exe
rem @echo off
rem start /wait iexplore –k “path html file”
rem logoff
explorer.exe
rem @echo off
rem start /wait iexplore –k “path html file”
rem logoff
Si noti che a causa del fatto che la shell è stata sostituita con uno script l’evento ShellReady non viene generato quindi l’accesso con l’account Pubblico avverrà allo scadere del timeout di circa 30 secondi.
