Proteggi la configurazione di Windows e ripristina il PC automaticamente: Guida Completa

Mantenere un sistema Windows stabile e coerente è una sfida continua, soprattutto in ambienti condivisi come scuole, uffici o laboratori. Anche piccole modifiche accidentali — come la rinomina di icone, l’installazione di software non autorizzato o la modifica di impostazioni critiche — possono compromettere test, flussi aziendali e attività didattiche.

In questo articolo vediamo come proteggere la configurazione di Windows in modo efficace, combinando strumenti nativi del sistema operativo, script PowerShell e soluzioni avanzate come la modalità kiosk o il ripristino automatico delle impostazioni. Vogliamo fornire spunti efficaci per bloccare le modifiche indesiderate, mantenere intatte le configurazioni essenziali e ripristinare automaticamente lo stato originale del PC ad ogni avvio o sessione.

Il concetto di Windows immutabile

Un sistema immutabile è un PC che, indipendentemente dalle operazioni eseguite dagli utenti, ritorna automaticamente a uno stato predefinito. Ciò non significa bloccare completamente il computer, ma garantire che le modifiche al sistema operativo e alle applicazioni critiche siano temporanee, i dati importanti siano salvati in aree controllate e isolate, il ripristino sia automatico senza la necessità di interventi manuali prolungati.

Criteri di gruppo e registro di sistema

Prima di passare a strumenti avanzati, è possibile proteggere le configurazioni principali avvalendosi di metodi nativi di Windows.

Il sistema operativo Microsoft mette a disposizione uno stuolo di policy di gruppo, applicabili mediante GPO ed Active Directory, tramite l’utilizzo dell’Editor Criteri di gruppo locali, mediante l’intervento diretto sulla configurazione del registro di sistema.

Alcune impostazioni chiave impediscono che le modifiche del desktop siano registrate, disabilitano l’accesso alle impostazioni, bloccano le modifiche al registro per gli utenti standard. Gli utenti con account standard non possono modificare configurazioni di sistema (installazioni software, modifiche registro, driver). Limitare i privilegi riduce significativamente il rischio di modifiche non autorizzate.

Ci sono poi modifiche che hanno impatto sul singolo utente (chiave HKEY_CURRENT_USER del registro di sistema) che Microsoft non permette di bloccare. Ci diceva un lettore, ad esempio, di non riuscire a ripristinare automaticamente i nomi delle icone di sistema (Questo PC, Cestino,…) visualizzate sul desktop di Windows perché continuamente modificate da studenti o da qualche “buontempone”.

In questi casi ci si può organizzare con uno script PowerShell che all’avvio del sistema ripristina automaticamente le icone sul desktop di Windows 10 e Windows 11. Lo script che abbiamo realizzato ripristina le icone Questo PC, Cestino,… sul desktop con il loro nome corretto.

Per usarlo, lo script va rinominato in .ps1 e la sua esecuzione pianificata a ogni avvio tramite l’Utilità di pianificazione Windows (non servono i diritti di amministratore dal momento che lo script opera sul ramo HKEY_CURRENT_USER).

Le policy di gruppo locali

Windows, a partire da Windows 10 Pro e superiori, supporta GPO locali per utenti o gruppi specifici.

Premendo Windows+R quindi digitando mmc, è possibile definire delle regole restrittive, ad esempio, per i soli account utente normali, lasciando invariata la configurazione degli account amministrativi.

Basta cliccare su File, Aggiungi/Rimuovi snap-in, selezionare Editor oggetti Criteri di gruppo e cliccare Aggiungi. Nella finestra che si apre, si deve scegliere Sfoglia, scheda Utenti e poi la voce Utenti non amministratori.

Congelare lo stato del sistema

Non sono disponibili policy per ripristinare qualsiasi configurazione del sistema perché Microsoft invita ad usare strumenti software “ad hoc” per queste esigenze. Per garantire un ripristino totale e automatico, è necessario utilizzare tecniche che “congelano” il sistema.

Purtroppo, Microsoft ha abbandonato SteadyState, uno strumento che consentiva di proteggere i computer condivisi contro le modifiche di utenti non attendibili e le installazioni di software non autorizzato. Al suo posto c’è Unified Write Filter (UWF), funzionalità opzionale che permette di rendere immutabile Windows 10 e Windows 11.

Con UWF tutte le modifiche, installazioni di software o salvataggi sono redirette a un overlay virtuale temporaneo cancellato al riavvio, garantendo che il sistema ritorni al suo stato originale.

I vantaggi principali sono un’esperienza pulita per le postazioni condivise (scuole, biblioteche, hotel); maggiore sicurezza e affidabilità, riducendo rischi di modifiche indesiderate; possibilità di creare overlay persistenti per salvare dati selettivi tra un riavvio e l’altro.

Il rovescio della medaglia è che UWF è al momento disponibile solo sulle edizioni Enterprise ed Education di Windows 10 e Windows 11.

In alternativa si può ricorrere a software storici come Deep Freeze e Reboot Restore Rx che installano un driver in grado di intercettare tutte le modifiche a livello di file system. Al riavvio, entrambi i software si occupano di ripristinare automaticamente lo stato originale.

Sysprep e la cattura della configurazione di Windows 10 e Windows 11

Con Sysprep, utilità che abbiamo spesso presentato nei nostri articoli, è possibile creare un’immagine di sistema pulita (WIM) che rappresenta lo stato “golden” e ripristinarla quando necessario.

Dopo aver installato Windows 10 o Windows 11 sulla macchina di riferimento, è possibile configurarla a proprio piacimento installando gli aggiornamenti e tutti i software di base. Concluso il lavoro, si possono pulire i dati temporanei e generalizzare con Sysprep. Basta premere Windows+R quindi digitare quanto segue:

sysprep\sysprep /generalize /oobe /shutdown

Il passo seguente consiste nell’avviare il sistema dal supporto d’installazione di Windows, premere MAIUSC+F10 o MAIUSC+Fn+F10 per accedere al prompt dei comandi, infine digitare quanto segue:

dism /capture-image /imagefile:E:\Base.wim /capturedir:C:\ /name:"ImmagineBase"

Al posto di E: va indicata la lettera di unità corretta di un supporto di memorizzazione esterno, opportunamente collegato al sistema (accoglierà l’immagine di Windows).

Ripristino dell’ immagine

Nel caso in cui si volesse ripristinare l’immagine creata in precedenza, basta usare la sintassi seguente avviando sempre dal supporto d’installazione di Windows:

dism /apply-image /imagefile:E:\Images\Base.wim /index:1 /applydir:C:\

Kiosk Mode e Accesso assegnato

Windows 10 e Windows 11 possono essere avviati in modalità chiosco (Kiosk mode): in questo modo il sistema operativo è configurato per avviare un’unica applicazione, senza accesso a Start, Esplora file o altre funzionalità.

Per semplicità ci riferiamo a Windows 11 Pro versione 24H2. La procedura “canonica” consiste nel digitare Altri utenti nella casella di ricerca del sistema operativo, fare clic sul pulsante Inizia a destra di Chiosco quindi seguire i passaggi proposti.

Dopo aver assegnato un nome all’account utente per la modalità chiosco, Windows propone una lista di app che possono essere avviate. L’app che si seleziona è l’unica che può essere avviata in Kiosk mode.

L’elenco, tuttavia, è piuttosto limitato e contiene quasi esclusivamente applicazioni Microsoft Store, con l’esclusione di tutti i tradizionali programmi Win32. Selezionando Microsoft Edge, si può avviare il browser in modalità chiosco e specificare quale sito Web aprire per impostazione predefinita.

Per uscire dalla modalità kiosk, dopo il riavvio della macchina, basta premere CTRL+ALT+CANC o fare clic sulla “linguetta” in alto a destra.

Come aprire più applicazioni in modalità chiosco

C’è però un trucco davvero intelligente, e quasi sconosciuto, che permette di usare la modalità Kiosk di Windows per consentire l’avvio e l’utilizzo di un numero limitato di applicazioni.

Importante: se aveste già provato la modalità kiosk, disattivatela tornando nella finestra Altri utenti vista in precedenza.

Aprite una finestra PowerShell con i diritti di amministratore (Windows+X, Terminale Admin) quindi digitate quanto segue:

net use Z: \\live.sysinternals.com\tools

Z:\psexec -i -s powershell

Dopo alcuni istanti di attesa si apre una nuova finestra PowerShell con privilegi SYSTEM (potete verificarlo digitando whoami al prompt). In questa finestra va digitato ciò che segue:

irm https://bit.ly/kioskmultiapp | iex

Il comando non fa altro che creare un nuovo account kiosk e autorizzare l’utilizzo di alcune app:

• Microsoft Edge
• Google Chrome
• Calcolatrice
• Pannello di controllo moderno di Windows 11

Accesso in kiosk mode

Al successivo riavvio del sistema, la modalità chiosco si attiva automaticamente. È immediato notare che l’utente ha accesso solo ed esclusivamente alle applicazioni definite in precedenza, attraverso il file XML riportato qui. Per visualizzare il sorgente in un formato “umano”, basta premere CTRL+U.

La guida Microsoft “Create an Assigned Access configuration XML file” aiuta a personalizzare il file di configurazione della modalità kiosk definendo le app da rendere disponibili.

Per uscire dalla modalità kiosk e accedere al normale profilo utente (che deve essere adeguatamente protetto; si consiglia anche l’attivazione di BitLocker con PIN), basta premere la combinazione di tasti CTRL+ALT+CANC, scegliere Blocca quindi selezionare l’account da utilizzare.

Disattivare la modalità kiosk e rimuovere l’account

Per eliminare completamente l’utilizzo della modalità kiosk, basta premere Windows+X, scegliere Terminale Admin quindi introdurre i comandi seguenti:

net use Z: \\live.sysinternals.com\tools

Z:\psexec -i -s powershell

Nella finestra PowerShell aperta con i diritti SYSTEM, si deve incollare quanto segue per poi riavviare il sistema operativo:

obj = Get-CimInstance -Namespace "root\cimv2\mdm\dmmap" -ClassName "MDM_AssignedAccess"
$obj.Configuration = $NULL
Set-CimInstance -CimInstance $obj

Profilo temporaneo “usa e getta” e login automatico in modalità kiosk

Di default, la modalità chiosco non ripristina l’ambiente utente a ogni sessione. A partire da Windows 11 23H2 si può eventualmente attivare l’uso di un profilo temporaneo.

Basta aggiungere al blocco <Config> nel file di configurazione XML quanto segue:

<UseTemporaryProfile>true</UseTemporaryProfile/>

Basta specificarlo appena prima del tag di chiusura </Config>.

Per evitare, invece, che all’avvio del PC il sistema entri sempre automaticamente nella modalità kiosk, basta rimuovere <AutoLogonAccount/>.

Modificare la configurazione XML della modalità kiosk

Prima di effettuare nuovi test con una configurazione personalizzata della Kiosk mode, è importante disattivare la modalità e rimuovere l’account, come spiegato in precedenza.

A questo punto, si può aprire una finestra PowerShell con i diritti di amministratore (Windows+X, Terminale Admin) e digitare quanto segue:

curl https://bit.ly/kioskmultiapp -o "$env:USERPROFILE\kioskconfig.ps1"

notepad "$env:USERPROFILE\kioskconfig.ps1"

Il file di configurazione è pronto per essere personalizzato. Per applicarlo, basterà digitare:

net use Z: \\live.sysinternals.com\tools
Z:\psexec -i -s powershell
Set-ExecutionPolicy -scope Process RemoteSigned
"$env:USERPROFILE\kioskconfig.ps1"

Note finali

I percorsi indicati nel file di configurazione XML si riferiscono alla versione in italiano di Windows 11 24H2. Abbiamo comunque verificato piena compatibilità della procedura anche con Windows 11 25H2.

Per provare la Kiosk mode multi-app all’interno di una macchina virtuale Hyper-V è necessario premere Windows+R, digitare lusrmgr.msc, cliccare su Utenti quindi scegliere kioskUser0 e aggiungere, nella scheda Membro di, Utenti desktop remoto.

Da Hyper-V, per rientrare con l’account amministratore, si deve Bloccare la sessione dal pulsante Arresta della modalità chiosco quindi uscire dalla sessione di desktop remoto cliccando in basso a destra.

Se si volesse disattivare il login automatico in Kiosk mode, si può aprire il terminale con i diritti di amministratore e digitare quanto segue:

reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v AutoAdminLogon /t REG_DWORD /d 0 /f

Conclusioni

Mantenere postazioni Windows coerenti e affidabili in ambienti condivisi può richiedere diversi approcci: dalle policy native (GPO e registro) fino agli strumenti di “congelamento” come UWF o soluzioni commerciali, passando per processi di imaging con Sysprep e semplici automazioni PowerShell per problemi specifici (ad es. il ripristino dei nomi delle icone).

La scelta migliore dipende dall’edizione di Windows, dal livello di controllo richiesto e dall’esperienza utente che si vuole garantire. Sistemi immutabili ben progettati riducono gli interventi manuali, ma richiedono comunque governance e aggiornamenti regolari per rimanere sicuri ed efficienti nel tempo.