Informatica
Le ShellBag – Il diario segreto di Windows
Un’ombra silenziosa si muove nei meandri del tuo sistema operativo, seguendo ogni tua mossa. Ogni cartella aperta, ogni dispositivo collegato, ogni angolo esplorato nel file system lascia una traccia indelebile. Invisibile all’occhio comune, ma impressa nella memoria profonda del registro di sistema: sono le ShellBag, un diario segreto che Windows scrive senza mai avvisarti.
Come in un thriller tecnologico, il nostro viaggio ci conduce nel cuore nascosto della macchina. Nessun nanorobot o astronave miniaturizzata, solo la consapevolezza, la prudenza e una buona dose di conoscenza tecnica per scoprire ciò che si cela dietro l’interfaccia.
Un argomento che abbiamo già trattato nel 2022, che torna ora in luce per essere esplorato più a fondo, arricchito da nuovi dettagli e spunti di riflessione, per accompagnarti in una comprensione più completa e aggiornata.
Tabella dei Contenuti
Cosa sono le ShellBag?
Le ShellBag non sono semplici cartelle, né file visibili: sono veri e propri frammenti di memoria comportamentale del sistema operativo. Ogni volta che apri una cartella con Esplora Risorse, Windows registra dettagli preziosi per ricordare come l’avevi impostata: la vista, la posizione, l’ordine degli elementi.
Ma non si ferma qui: memorizza anche dove si trovava quella cartella, che sia stata su una chiavetta USB ormai scollegata o su una cartella di rete non più accessibile. E lo fa in modo permanente, lasciando un’impronta che resiste nel tempo.… Continua a leggere
Agganciare il nuovo agente Datto RMM alla vecchia istanza nel cloud.
Installare e rimuovere programmi da un computer è un’operazione abbastanza ricorrente, può di conseguenza capitare la necessità di rimuovere l’agente di Datto RMM in modo completo per poi installarlo nuovamente subito dopo.
Le motivazioni di tale operazione possono essere molteplici, da un malfunzionamento dell’agente alla volontà di voler ripulire completamente i contenuti di anni di operazioni.
Rimuovere e installare l’agente di Datto RMM è un’operazione molto semplice, diverso è volerlo nuovamente installare senza perdere le informazioni già acquisite dal cloud.
Per quanto possa sembrare complesso, anche questo passaggio è molto semplice.
Tabella dei Contenuti
Per quale ragione abbiamo rimosso l’agente
Potremmo dire che sono affari nostri, ma a questo punto non avrebbe senso scrivere questo contenuto.
Le ultime due situazioni sono quelle più diverse tra loro e che ci hanno portato alla decisione di installare nuovamente l’agente in modo pulito, partendo già dall’idea di riagganciare l’istanza nel cloud.
Il primo caso è quello di un computer di sviluppo, dove vengono testati molti componenti di Datto RMM da noi realizzati. L’agente di quel computer aveva un’età di installazione di oltre quattro anni, con un contenuto del percorso c:\programData\Centrastage di circa 2,3 Giga Bytes, decisamente troppo. Negli anni trascorsi sono passati molti aggiornamenti dell’agente e molti test.
Quando hanno iniziato a presentarsi delle anomalie di aggiornamento nella dashboard la decisione è stata quella di pulire l’agente e non investire tempo nel trovare una soluzione meno drastica.
La password protegge la tua vita digitale come la cassaforte difende i tuoi oggetti importanti.
Le violazioni informatiche sono un elemento costante ed in continua attuazione nel corso del quotidiano, focalizzandosi in modo specifico sul punto più vulnerabile della catena di autenticazione: la Persona
A determinare la sicurezza di accesso ad un sistema informatico è l’essere umano, non la macchina; infatti, spetta ai soggetti biologici a base carbonio decidere quali tipi di password e meccanismi di protezione attuare.
Più la persona è debole nelle sue scelte, più gli accessi ai prodotti da lei usati sono deboli e raggirabili.
Il tema della sicurezza si perde oltre il XIX secolo, con la realizzazione di contenitori blindati dotati di un meccanismo a combinazione per aprirne la porta e dare accesso agli oggetti contenuti: stiamo parlando delle casseforti.
La volontà di proteggere le proprietà da furti era molto forte, tanto da spingere alla realizzazione di casseforti sempre più sicure, ancora prima dell’arrivo dei computer e delle password.
Apparentemente l’evoluzione umana nella tutela dei propri beni non si è evoluta di pari passo, quanto meno quando si parla di strumenti informatici.
Tabella dei Contenuti
Casseforti e password
Le password per sistemi informatici e le casseforti con combinazione numerica sono concepite per scopi diversi. Le password proteggono l’accesso ai dati digitali, mentre le casseforti proteggono gli oggetti fisici. Entrambe richiedono una sequenza corretta per l’accesso, ma sono applicate in contesti molto diversi. La gestione sicura… Continua a leggere
Centrare i registri di Windows per bloccare i dispositivi esterni.
Spesso le policy di controllo dei sistemi operativi Microsoft Windows salvano le loro configurazioni direttamente nei registri di sistema.
Conoscere i registri di sistema coinvolti permette di:
- Implementare monitor di controllo per verificare la corretta applicazione delle regole.
- Implementare i controlli senza coinvolgere Active Directory.
Una delle ricerche che abbiamo svolto si è concentrata sul controllo di accesso ai dispositivi esterni, un argomento ampiamente trattato nei vari motori di ricerca.
Con l’avvento di USB-C, è necessaria maggiore cautela nella configurazione delle policy. I dischi esterni collegati tramite questo bus vengono inizializzati come se fossero dischi di sistema, ovvero collegati al bus interno del computer.
Se la configurazione del disco non è adeguata, la policy può risultare inefficace, permettendo qualsiasi tipo di azione sul dispositivo. È quindi sempre consigliabile applicare le policy per controllare i dischi e i dispositivi portatili in generale.
I registri e le relative chiavi
Elementi dei registri per la gestione degli accessi ai dispositivi esterni.
Le policy per il blocco delle azioni sui file che coinvolgono i dispositivi esterni si articolano su sei chiavi.
Queste chiavi si trovano nella sezione HKEY_LOCAL_MACHINE dei registri di sistema, precisamente nel percorso:
HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices
La sezione RemovableStorageDevices non esiste se la policy non è stata attivata; infatti, il modo più semplice per rimuovere questo tipo di protezione è cancellarla con tutto il suo contenuto.
All’interno del percorso possono essere presenti sei chiavi. Esistono… Continua a leggere
Il tempo dei contenuti del disco è un concetto relativo.
Esistono degli elementi del sistema operativo che consideriamo inalterabili, come ad esempio le date di creazione, accesso e modifica di file e cartelle. La realtà è ben diversa, infatti anche questi elementi possono essere modificati a proprio piacimento.
La domanda è perché dovrei modificare queste date, nel nostro caso la risposta è semplice, usando le cartelle come semafori di controllo di alcuni script, può capitare di dover determinare se lo script stesso è stato eseguito non prima di un certo periodo di tempo. File e cartelle come semafori sono una strategia molto rapida per assolvere a questa necessità e la possibilità di alterare le date di creazione evita di dover cancellare e ricreare l’oggetto, permettono in questo modo di conservare all’interno della cartella semaforo anche delle informazioni raccolte dallo script o altri elementi necessari per la sua esecuzione.
È importante quando si usano un modo massivo degli script eseguiti da RMM, dallo schedulatore o in altro modo, raccogliere tutte le informazioni in un percorso preciso del disco, evitando di spargerle in locazioni casuali.
Acquisire le date di file e cartelle
Le date associate ai contenuti di Microsoft Windows sono tre:
- LastWriteTime – Ultima scrittura del file/cartella;
- LastAccessTime – Ultimo accesso al file/cartella;
- CreationTime – Creazione del file/cartella.
L’utilizzo dei cmdlet Get-Item e Select-Object opportunamente abbinati in pipeline permette di ottenere tutte le informazioni su questi tre valori e non solo.
Per un folder:
get-item -Path "C:\TempAem\Bandwidth\"… <a class="more-link" href="https://www.epolenghi.education/blog/modificare-le-date-di-file-e-cartelle-usando-powershell/">Continua a leggere<span class="meta-nav">→</span></a>