Scripting
Tenere sotto controllo il funzionamento degli antivirus
La disponibilità di antivirus è praticamente illimitata e per molti è possibile convivere tra di loro; tuttavia, avere uno o più antivirus non è utile se non si ha la certezza del loro funzionamento regolare e che siano aggiornati.
Gli elementi forniti da Microsoft Windows workstation permettono di eseguire una diagnostica rapida di qualsiasi prodotto di sicurezza registrato nel sistema operativo, in particolare all’interno della struttura SecurityCenter, non disponibile per i server.
L’analisi di funzionamento richiede l’estrapolazione dei prodotti antivirus installati e registrati, in particolare del loro codice di stato, per tale scopo è utilizzato il cmdlet Get-WmiObject, nello specifico:
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct
Dell’output ottenuto è necessario il valore ProductState e DisplayName. Dal valore ProductState è possibile determinare lo stato di funzionamento e di aggiornamento del prodotto antvirus e sulla base del riscontro innescare le azioni ritenute necessarie.
Funzionamento
Lo script è realizzato in Powershell e sfrutta le informazioni di stato dei servizi di sicurezza resi disponibili dal Security Center di Microsoft Windows, per tale motivo non può essere impiegato sui sistemi operativi server, che non dispongono del Security Center.
Trattandosi di uno script che valuta lo stato generale degli elementi di sicurezza registrati, si consiglia l’esecuzione ad intervalli molto ravvicinati (1 o 2 minuti).
Per ottenere la massima generalizzazione dello script, senza vincolarlo ad una tabella di codici di stato legati a specifici prodotti, si è provveduto a decodificare il valore restituito… Continua a leggere
Creazione di una VPN Microsoft
Le necessità operative possono portare a dover impiegare delle VPN compatibili con il provider VPN di Microsoft Windows. La creazione dal pannello di configurazione è semplice, tuttavia può mandare nel panico l’utente finale e richiede lo scambio della secret key.
La disponibilità di un RMM rende possibile la creazione e la rimozione di questi strumenti di collegamento attraverso uno script, che opportunamente modificato può essere eseguito direttamente sul computer remoto con altri strumenti di gestione a distanza.
La creazione automatizzata del collegamento VPN riduce al minimo eventuali errori di configurazione da parte dell’utente finale e rende possibile la rimozione del collegamento quando non è più necessario, evitando in tal modo di lasciare aperte delle potenziali brecce di sicurezza. La configurazione automatizzata rende impossibile ricreare il collegamento a mano da parte di altri soggetti, non essendoci stata alcuna condivisione delle informazioni di autenticazione legate al meccanismo di negoziazione.
Funzionamento
Lo script è realizzato in Powershell e rende possibile la creazione di VPN di tipo Client-to-Site sui computer utilizzando il provider VPN Microsoft.
Lo script è stato ampiamente utilizzato per la configurazione di VPN di tipo L2TP con chiave condivisa.
L’esecuzione dello script richiede un consistente numero di parametri per il cui inserimento deve essere prestata la massima attenzione nella compilazione. In caso di errori nei dati forniti si può avere il fallimento della creazione o la creazione di una VPN difforme da quella desiderata, in questo caso è possibile rimuoverla e ripetere l’operazione… Continua a leggere
Modifica configurazione UAC
La gestione, ed in particolare il controllo della sicurezza dei computer è un elemento fondamentale dei nostri tempi. Uno degli elementi di controllo che Microsoft Windows ci offre è lo User Account Control (UAC) si tratta del servizio che invia un popup di conferma quando si cerca di installare un nuovo programma o modificare qualche configurazione del sistema operativo.
Per il controllo dello UAC abbiamo realizzato uno script da eseguire con un RMM per generare un allarme nel caso di una modifica peggiorativa ed eventualmente innescare una reazione mirata a riportare la configurazione al livello atteso (Monitor UAC).
È possibile avere la necessità di modificare la configurazione del UAC per diversi motivi, pertanto, partendo dalle medesime basi del monitor, abbiamo realizzato uno script per impostare il livello di protezione desiderato quando serve.
Funzionamento
Lo script è realizzato utilizzando Powershell e sfruttando la griglia dei registri che controllano lo UAC per modificarne la configurazione, la modifica applicata è immediatamente attiva, il riavvio è richiesto nel caso di accensione/spegnimento della protezione (Level 0).
Il livello di protezione è determinato leggendo tre valori dei registri nel percorso:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nello specifico i valori sono:
- ConsentPromptBehaviorAdmin
- PromptOnSecureDesktop
- EnableLUA
La combinazione dei tre valori determina il cambio delle impostazioni di protezione.
Level |
Enable LUA |
Consent Prompt Behavior Admin |
Prompt On Secure Desktop |
Description |
0 |
0 |
0 |
0 |
Disable |
1 |
1 |
0 |
0 |
Never Notify |
2 |
1 |
5 |
0 |
Notify me only when apps try to make changes to… Continua a leggere |
Controllo modifiche configurazione UAC
La gestione, ed in particolare il controllo della sicurezza dei computer è un elemento fondamentale dei nostri tempi. Uno degli elementi di controllo che Microsoft Windows ci offre è lo User Account Control (UAC) si tratta del servizio che invia un popup di conferma quando si cerca di installare un nuovo programma o modificare qualche configurazione del sistema operativo.
In passato ci è sovente capitato di trovare dei computer con la configurazione di questo servizio modificata, tipicamente con un abbassamento del livello di protezione per non avere più la richiesta di conferma, o peggio con la completa disattivazione del servizio.
A questo punto, per quanto gli utenti non siano nel nostro caso amministratori del computer, abbiamo realizzato un monitor da impiegare con un RMM e che ogni sessanta secondi controlla il rispetto della configurazione del UAC.
Funzionamento
Il monitor è realizzato utilizzando Powershell. Trattandosi della verifica di corrispondenza di un’impostazione di sicurezza è consigliata la sua esecuzione con una cadenza di 1 o 2 minuti.
Il livello di protezione è determinato leggendo tre valori dei registri nel percorso:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nello specifico i valori sono:
- ConsentPromptBehaviorAdmin
- PromptOnSecureDesktop
- EnableLUA
La combinazione dei tre valori determina il cambio delle impostazioni di protezione.
Level |
Enable LUA |
Consent Prompt Behavior Admin |
Prompt On Secure Desktop |
Description |
0 |
0 |
0 |
0 |
Disable |
1 |
1 |
0 |
0 |
Never Notify |
2 |
1 |
5 |
0 |
Notify me only when apps try to make changes to my computer(do not dim my desktop)… Continua a leggere |
Accensione/spegnimento VM Hyper-V
L’utilizzo di macchine virtuali per differenti funzioni è sempre più diffuso è spesso impiegando il sistema di virtualizzazione Microsoft Hyper-V.
Può capitare di dover spegnere, accendere o riavviare questi sistemi virtuali, dove la scelta migliore e più sicura è quello di utilizzare le funzionalità di un RMM posizionando un agente su questi sistemi, in mancanza di un RMM è tuttavia possibile operare attraverso i cmdlet di Powershell.
Circa tre anni fa abbiamo realizzato un apposito script da eseguire sul server host, che ospita le macchine virtuali, ed integrabile con un RMM oppure eseguibile con lo schedulatore di Microsoft Windows.
Lo script può essere utilizzato a partire dal sistema operativo Microsoft Windows Server 2012 o con Microsoft Windows 10 e richiede l’attivazione dei componenti di Hyper-V.
Per la realizzazione dello script Powershell abbiamo utilizzato tre cmdlet:
- Get-VM – per l’acquisizione delle informazioni di funzionamento delle macchine virtuali;
- Stop-VM – per lo spegnimento delle macchine virtuali;
- Start-VM – per l’accensione delle macchine virtuali.
Il cmdlet Stop-VM permette di inviare la richiesta di shutdown al sistema operativo guest, se su questo sono stati attivati i tool di gestione di Hyper-V, questa caratteristica rende possibile spegnere il sistema in modo normale, evitando uno spegnimento similare alla rimozione dell’alimentazione e con rischio di danni.
È tuttavia fondamentale sapere che se il sistema operativo guest non si arresta in un tempo di cinque minuti, sarà spento in modo forzato.
Per l’operazione di riavvio… Continua a leggere