Windows 10: bloccare installazione app inutili con i GPO

• Business
• Windows 10

Windows 10 ha la brutta abitudine di suggerire e installare app indesiderate. Da tempo abbiamo stigmatizzato questo tipo di comportamento: nella configurazione predefinita di Windows 10 non è infrequente trovarsi con tante app inutili installate automaticamente dal sistema operativo ed elencate nella finestra App e funzionalità.

Provate a digitare App e funzionalità nella casella di ricerca di Windows 10 quindi a fare clic su Ordina per Data di installazione: troverete tanti programmi che risultano presenti sul sistema e che voi non avete mai richiesto.
Non solo. Nel menu Start di Windows, all’interno della colonna di sinistra, compare il riferimento alle app Consigliate: si tratta di applicazioni che vengono segnalate come potenzialmente d’interesse e che in molti casi vengono caricate sul sistema in uso senza richiedere alcuna conferma all’utente.

La domanda è: perché l’installazione automatica delle app avviene anche sulle edizioni di Windows 10 diverse dalla Home e perché ciò accade anche sui sistemi collegati a un dominio Active Directory?

In passato abbiamo pubblicato uno script per ottimizzare e velocizzare Windows 10: tra le varie possibilità che offre c’è proprio quella che permette di bloccare l’installazione delle app inutili.

Negli ambienti aziendali quando sono tante le macchine Windows 10 da amministrare non è pensabile applicare manualmente le modifiche su ogni singolo client e su ciascuna workstation.

Come bloccare le app inutili in Windows 10 con Active Directory e i GPO

Le policy di gruppo (group policy) sono un insieme di regole che aiutano a controllare l’ambiente di lavoro di utenti e computer.
Un Group Policy Object (GPO) è un contenitore di regole che possono rappresentare le impostazioni in Active Directory e a livello di file system.

Per i sistemi Windows 10 che sono collegati con un dominio Active Directory è possibile usare GPO che consentono di bloccare l’installazione di applicazioni inutili ed evitare la comparsa dei programmi consigliati nel menu Start.

In un altro articolo abbiamo visto brevemente come installare e configurare Active Directory come controller di dominio.
Questa volta vediamo come sfruttare Active Directory per distribuire le policy che permettono di impedire l’installazione di programmi indesiderati in Windows 10.

Una specifica cartella contenuta nel registro di sistema ovvero HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager permette di stabilire se Windows 10 può o non può installare app automaticamente. Trattandosi di una chiave HKEY_CURRENT_USER significa che le impostazioni valgono per ogni singolo account utente e non a livello dell’intera macchina.
Active Directory aiuta molto perché è possibile specificare gli account per i quali deve valere la personalizzazione di Windows 10 che blocca l’installazione dei programmi inutili.

Provate da un client Windows 10 ad aprire il prompt dei comandi e a digitare quanto segue:

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager

Si potranno verificare le impostazioni predefinite per tutti i valori d’interesse.

Portandosi sulla macchina Windows Server con Active Directory correttamente installato e configurato bisogna innanzi tutto aprire la finestra Gestione Criteri di gruppo premendo Windows+R quindi digitando gpmc.msc.

Cliccando sul nome del dominio Active Directory con il tasto destro del mouse quindi su Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento, si può creare le policy per bloccare l’installazione delle app nei client Windows 10 collegati alla LAN.

Come nome del Nuovo oggetto Criteri di gruppo si può ad esempio specificare no-consumer: in questo modo ci si ricorderà che le policy servono per disattivare le funzionalità tipicamente abilitate sui sistemi destinati agli utenti privati.

Con un clic con il tasto destro sulla voce no-consumer appena aggiunta quindi su Modifica si aprirà la finestra dell’Editor Gestione Criteri di gruppo.
Dal momento che dobbiamo impostare una serie di policy che, come spiegato in precedenza, valgono a livello di singolo account utente (chiave HKEY_CURRENT_USER del registro di sistema), si deve cliccare su Configurazione utente, Preferenze, Impostazioni di Windows, Registro di sistema. Apparirà un riquadro sulla destra con il titolo Registro di sistema.

Cliccando con il tasto destro su Registro di sistema nella colonna di sinistra quindi su Nuovo, Elemento Registro di sistema si possono aggiungere manualmente tutte le voci per impedire l’installazione automatica di app indesiderate in Windows 10 e bloccare la visualizzazione dei programmi consigliati nel menu Start.
Per semplificare la procedura abbiamo preparato un file XML che contiene tutto il necessario: fare clic qui per scaricare le policy che permettono di bloccare l’installazione di app inutili in Windows 10.

Dopo aver salvato il file XML su Windows Server basta cliccarvi con il tasto destro del mouse in Esplora file e scegliere Copia oppure premere CTRL+V.

A questo punto nella schermata Registro di sistema dell’Editor Gestione Criteri di gruppo basta premere cliccare con il tasto destro e selezionare Incolla. Alla comparsa della finestra di dialogo Importare il documento incollato si deve fare clic su Sì.

Nella finestra Registro di sistema comparirà una lista composta da 22 modifiche a livello di chiavi HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE che verranno distribuite da Active Directory sui sistemi client.

Le policy così impostate verranno distribuite ai client e sui sistemi Windows 10 si eviterà l’installazione automatica di programmi indesiderati. Verranno altresì disattivati alcuni comportamenti che sui sistemi degli utenti privati possono essere graditi ma che sulle macchine aziendali non sono consigliabili.

L’aggiornamento delle policy o criteri di gruppo di norma avviene automaticamente sui singoli sistemi client ma è comunque possibile forzarlo usando il comando gpupdate /force.

Digitando al prompt su un client Windows 10 il comando reg query HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager presentato in apertura si noteranno come siano state applicate tutte le personalizzazioni configurate usando i GPO.

Per chi volesse personalizzare ulteriormente i GPO per Active Directory segnaliamo che secondo noi il miglior modo per esportare le regole configurate è aprire una finestra PowerShell su Windows Server quindi digitare quanto segue:

md c:\temp
Backup-GPO -Name no-consumer -Path c:\temp

Nell’esempio indicando no-consumer vengono esportate le policy omonime che abbiamo precedentemente aggiunto ma è ovviamente possibile specificare qualunque altra denominazione.