33164 Letture

Come impedire la visita di siti web specifici in Windows

Windows, anche nelle versioni più recenti, non mette a disposizione degli utenti uno strumento per stabilire quali siti web possono essere visitati e su quali non deve essere permessa la connessione. Su IlSoftware.it abbiamo presentato numerosi strumenti che sono impiegabili per bloccare i tentativi di connessione verso determinate tipologie di siti Internet. E' ovvio che il metodo più "professionale" ed affidabile, il cui utilizzo è caldamente consigliato all'interno delle realtà aziendali, consiste nell'uso di un software proxy quale Squid. In questo articolo abbiamo spiegato come installare e configurare Squid su una macchina Ubuntu Server in modo da filtrare tutte le richieste di connessione provenienti dai sistemi collegati in rete locale. Non appena Squid rileverà un tentativo di collegamento verso uno dei siti web non permessi dall'amministratore, provvederà a bloccare l'operazione mostrando un messaggio d'avviso all'utente.

In alternativa, è possibile impostare l'uso di speciali server DNS (ad esempio, OpenDNS) che consentono di bloccare la consultazione di siti web "sconvenienti" o noti per la distribuzione di malware (ved. questo nostro articolo). Oppure, ancora, si può pensare di adottare software quali K9 Web Protection, applicazione nata per offrire, a costo zero, funzionalità di "web filtering" (ved. questa pagina).


Ci sono però degli ulteriori meccanismi che sono utilizzabili per impedire la visualizzazione di pagine web specifiche da un qualunque sistema Windows.

Iniziamo, in primis, con un espediente che è solitamente piuttosto noto tra gli esperti ma che potrebbe non essere conosciuto da parte di tutti i nostri lettori. Windows permette l'utilizzo di un particolare file, detto file HOSTS, che consente di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP. Il suo funzionamento ed il suo scopo ricorda da vicino il funzionamento del server DNS del provider Internet. Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica - prima di tutto - se vi sia un'associazione corrispondente all'interno del file HOSTS. Solo quando questa non viene trovata si passa all'interrogazione del server DNS del provider. La modifica del file HOSTS è abbastanza diffusa tra i malware: su un sistema infetto, potrebbe quindi capitare che digitando l'URL del motore di ricerca preferito, di un famoso portale e così via, si venga "proiettati" verso siti web che non si sono assolutamente richiesti o, peggio ancora, che mettono in atto attacchi phishing od ospitano ulteriori malware.
Il file HOSTS è però molto utile quando si desidera raggiungere un sito web appena creato il cui nome mnemonico non si è ancora "propagato" sui vari server DNS gestiti dai provider Internet. L'amministratore di un sito web, inoltre, potrebbe creare – a livello server web – un dominio di terzo livello admin.nomedelsito.it. Senza aggiungere l'indirizzo mnemonico admin.nomedelsito.it ai record conservati sul DNS, egli potrebbe raggiungere tale sito da qualunque postazione di lavoro connessa alla rete Internet semplicemente agendo sul contenuto del file HOSTS: basterà specificare l'indirizzo IP del server ed, accanto, apporre l'indirizzo mnemonico admin.nomedelsito.it.

Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista e Windows 7 è in genere presente nella cartella \windows\system32\drivers\etc e si presenta come un file senza estensione.

Se nel file HOSTS si aggiunge una riga 127.0.0.1 www.nomedelsitodabloccare.it, utilizzando un qualunque browser web non si riuscirà più a visitare il sito web indicato dal momento che tutte le richieste "cadranno del vuoto".
127.0.0.1, come noto, è un indirizzo che fa riferimento alla cosiddetta interfaccia di loopback: nel caso in cui venga usato tale IP, tutti i pacchetti dati non lasciano mai la macchina in uso perché sono sempre diretti verso essa stessa. L'indirizzo di loopback è spesso usato da alcune applicazioni per stabilire connessioni tra di loro.

Il contenuto del file HOSTS di Windows può essere modificato da parte di un account utente dotato dei diritti di amministratore. Per fare in modo che gli utenti autorizzati ad utilizzare il personal computer non possano visitare determinati siti web, è possibile sfruttare il semplice espediente che consiste nell'aggiunta di alcune righe al contenuto del file HOSTS di Windows.

Prima di agire sul file HOSTS è indispensabile verificare che gli utenti autorizzati ad usare il personal computer facciano uso esclusivamente di account normali, non dotati di diritti amministrativi. E' sufficiente accertarsi, accedendo alla sezione Account utente del Pannello di controllo, che gli account delle persone non aventi titolo a modificare il file HOSTS siano indicati con la dizione "Utente standard".

Nel caso di Windows 7, è necessario accedere al Pannello di controllo, cliccare su Account utente quindi su Gestisci un altro account: in questo modo si otterrà la lista degli account creati sul personal computer in uso:

Per ciascun account è chiaramente riportata la rispettiva tipologia (esempio: Administrator o Utente standard). In alternativa, per ottenere la lista completa degli account, è possibile accedere al Pannello di controllo, cliccare su Strumenti di amministrazione, fare clic sulla sezione Utenti e gruppi locali quindi su Utenti.

A questo punto, si dovrà digitare notepad nella casella Cerca programmi e file quindi fare clic col tasto destro del mouse sulla voce notepad.exe e selezionare il comando Esegui come amministratore.

Per aprire il file HOSTS, si potrà quindi usare il menù File, Apri digitando %systemroot%\System32\drivers\etc\hosts nella casella Nome file.

Per bloccare la consultazione, ad esempio, di un sito qual è Facebook, è possibile aggiungere le due seguenti righe al contenuto del file HOSTS:
127.0.0.1 www.facebook.com
127.0.0.1 facebook.com

Dopo aver salvato il file HOSTS, tutti i tentativi di connessione verso Facebook non andranno in porto, sia che si stia usando un account di tipo amministrativo, sia che si impieghi un account normale. La differenza, però, è che gli utenti normali non potranno modificare il contenuto del file HOSTS.


In Windows 7 c'è poi uno strumento aggiuntivo, denominato Controllo genitori, che si occupa di imporre delle restrizioni sui vari account utente:

Dalla finestra principale, è necessario selezionare l'account utente da "limitare" quindi scegliere le restrizioni da abilitare:

Una volta selezionata l'opzione Attivato, applica le impostazioni correnti, si può fare in modo che l'utente possa usare il personal computer solo in determinati giorni ed orari (Restrizioni di orario) nonché stabilire i programmi ed i videogiochi che possono essere avviati.

Ciò che manca è però un controllo sui siti web visitati dagli utenti, un sistema di filtraggio che permette di impedire la visita di siti specifici o di pagine web che rispondono a determinate caratteristiche. In Windows 7 non è necessario orientarsi su un software di terze parti ma è possibile usufruire di Windows Live Family Safety, programma parte integrante del pacchetto Windows Live che si interfaccia direttamente con la funzionalità Controllo genitori.
Dopo aver scaricato questo software (un clic sul pulsante "Scarica ora"), si potrà avviarne l'installazione facendo attenzione ad installare il solo componente Family Safety (pulsante Seleziona i programmi da installare):

L'installazione richiederà qualche minuto per poter essere completata.

A questo punto, accedendo alla finestra Controllo genitori, in corrispondenza di Controlli aggiuntivi, apparirà la dizione Windows Live Family Safety. Facendo clic su uno degli account da gestire, Windows richiederà di introdurre le credenziali d'accesso ad un account Hotmail (va creato nel caso in cui non se ne possegga alcuno). A questo punto, a login effettuato, verrà richiesto di indicare gli account da gestire:

Come ultimo passo, si potrà effettuare l'accesso al sito web di Windows Live Safety per definire le restrizioni da abilitare ed ottenere report aggiornati circa le attività espletate dai "proprietari" di ogni singolo account.


Come impedire la visita di siti web specifici in Windows - IlSoftware.it