Registri
Centrare i registri di Windows per bloccare i dispositivi esterni.
Spesso le policy di controllo dei sistemi operativi Microsoft Windows salvano le loro configurazioni direttamente nei registri di sistema.
Conoscere i registri di sistema coinvolti permette di:
- Implementare monitor di controllo per verificare la corretta applicazione delle regole.
- Implementare i controlli senza coinvolgere Active Directory.
Una delle ricerche che abbiamo svolto si è concentrata sul controllo di accesso ai dispositivi esterni, un argomento ampiamente trattato nei vari motori di ricerca.
Con l’avvento di USB-C, è necessaria maggiore cautela nella configurazione delle policy. I dischi esterni collegati tramite questo bus vengono inizializzati come se fossero dischi di sistema, ovvero collegati al bus interno del computer.
Se la configurazione del disco non è adeguata, la policy può risultare inefficace, permettendo qualsiasi tipo di azione sul dispositivo. È quindi sempre consigliabile applicare le policy per controllare i dischi e i dispositivi portatili in generale.
I registri e le relative chiavi
Elementi dei registri per la gestione degli accessi ai dispositivi esterni.
Le policy per il blocco delle azioni sui file che coinvolgono i dispositivi esterni si articolano su sei chiavi.
Queste chiavi si trovano nella sezione HKEY_LOCAL_MACHINE dei registri di sistema, precisamente nel percorso:
HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices
La sezione RemovableStorageDevices non esiste se la policy non è stata attivata; infatti, il modo più semplice per rimuovere questo tipo di protezione è cancellarla con tutto il suo contenuto.
All’interno del percorso possono essere presenti sei chiavi. Esistono… Continua a leggere
Un disco pulito velocizza il lavoro.
Il tema della rimozione dei contenuti superflui dai dischi di Windows è spesso sottovalutato, tuttavia con il passare del tempo si può trasformare in un problema serio, abbiamo affrontato l’argomento del cosa riempie i dischi in un altro articolo e adesso è il momento di fare un passaggio ulteriore verso l’automatizzazione della pulizia di una parte di contenuti superflui.
Da Microsoft Windows 10 è diventato disponibile lo Storage Sense (Sensore di Memoria), uno strumento che opportunamente configurato si occupa di svolgere alcune cancellazioni:
- file temporanei ed alcuni elementi di sistema residui;
- file temporanei associati alle applicazioni non utilizzate da tempo;
- file vecchi dalla cartella Downloads;
- file di vecchia cancellazione dal cestino.
La configurazione dello Storage Sense dal suo pannello di gestione è semplice ed offre alcune opzioni di intervento; tuttavia, ogni profilo utente del computer ha una propria configurazione, legata alle esigenze del suo utilizzatore.
Configurare lo Storage Sense comporta il collegarsi ad ogni singolo computer e ad ogni utente del computer, per poter applicare la configurazione richiesta, un’operazione lunga e molto noiosa, che implica anche di avere la disponibilità da parte dell’utente di accedere al computer sottostando ai suoi orari.
La disponibilità di un Dominio Active Directory permette di impostare la configurazione di questo elemento utilizzando delle policy; tuttavia, non è un fatto certo che i computer siano collegati ad un dominio e che vi sia l’intenzione di utilizzare le policy; infatti, il… Continua a leggere
Gestire da remoto le configurazioni di Windows con i registri utente.
I registri di sistema di Microsoft Windows sono uno strumento importante per la gestione da remoto di diverse configurazioni, possiamo infatti asserire che dalla loro esistenza ad oggi una considerevole quota delle configurazioni del sistema operativo e del profilo utente sono salvate in questa struttura.
Il sapere dopo una certa configurazione è salvata rende possibile eseguire molte configurazioni attraverso i sistemi RMM senza dover accedere al computer/server usando le interfacce grafiche, questo significa poter operare sui sistemi con il semplice requisito che siano accessi e di conseguenza poter gestire molteplici configurazioni in modo contemporaneo su più sistemi.
Questa modalità operativa trova tuttavia un limite in quelle configurazione che sono associate ai registri utente, un gruppo di registri che è raggiungibile solo dal profilo utente, almeno in apparenza; pertanto, l’esecuzione di procedure con profili diversi da quello interessato conduce all’applicazione delle stesse su utenti sbagliati.
Non sempre la possibilità di eseguire procedure remote con le autorizzazioni dell’utente collegato è una soluzione; infatti, è necessario attendere che l’utente si sia collegato ed essere certi che lo sia.
Tabella dei Contenuti
I registri utente
I registri dell’utente collegato sono quelli raggruppati in HKEY_CURRENT_USER, una procedura eseguita dall’utente SYSTEM avrà accesso al raggruppamento di SYSTEM e non dell’utente, a questo punto sembrerebbe che non ci siano alternative.
I registri utente sono una proiezione degli USER SID ubicati nel percorso dei registri HKEY_USERS, questo significa che ogni… Continua a leggere
Antivirus rimossi e ancora visibili nel SecurityCenter di Windows
La ricerca dei prodotti antivirus installati è tipicamente eseguita interrogando, con o senza script, il Security Center di Microsoft Windows, valutandone anche lo stato attraverso il codice di esecuzione.
Il contenuto visualizzato è talvolta errato, nel senso che la visualizzazione presenta dei prodotti dismessi da tempo o non sono presenti quelli nuovi, questa situazione rende necessario levare di torno gli antivirus rimossi e rendere visibili quelli installati.
I nuovi prodotti si visualizzano solo se eseguono la registrazione con il Security Center, un’azione compiuta ormai da tutti, fatta eccezione per gli antivirus che consentono in modo diretto di disabilitare la registrazione.
Una nota importante è costituita dal fatto che la funzionalità del Security Center non è presente nei server; pertanto, qualsiasi azione che esegue query in quello spazio si risolve con un fallimento.
Abbiamo diversi monitor automatizzati negli RMM, che interrogano il Security Center con un cmdlet di Powershell.
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct
L’output del cmdlet fornisce diverse informazioni per gestire allarmi e reazioni automatiche; tuttavia, quando si presentano dei vecchi prodotti la situazione si fa caotica e porta alla generazione di allarmi inattesi.
Le informazioni ottenute da questi “database” non sono esattamente in realtime, ma fanno riferimento ad informazioni scritte nei registri o in altri file di sistema, questo implica che una procedura di disinstallazione imprecisa possa lasciare in giro delle scorie.
Per riportare la situazione alla normalità abbiamo individuato due… Continua a leggere
Un’ombra incombeva su di loro. Oltre le pareti trasparenti del capillare, era visibile una foresta di dendriti. Ogni loro ramificazione mandava un ritmico scintillio: ma ora le faville si propagavano più lentamente, sempre più lentamente. E al di là di un certo punto cessavano del tutto.
ShellBag – Viaggio nel cuore di Windows
Colpito da una serie di quesiti la cui risposta erano altri quesiti, mi sono lanciato in una ricerca che mi ha spinto a cavalcare le correnti dei bit fino al centro del cervello di Windows, in quell’area particolare che è una sorta di memoria storica sconosciuta dei suoi trascorsi, o forse dovrei dire dei nostri.
In questo viaggio nel profondo un ringraziamento va all’assistente neurologo cibernetico Google.
I perché di una ricerca
Talvolta non ci sono spiegazioni al perché si cerchi qualcosa, semplicemente il bisogno di risposte ci porta a compiere azioni senza un motivo specifico, anche se nello specifico il motivo era comprendere dove il sistema operativo conserva le informazioni relative alle viste delle cartelle e al modo in cui i file contenuti sono ordinati e presentati con le diverse icone e anteprime.
Come spesso accade nelle ricerche finalizzate il ritrovamento conduce in tutta un’altra direzione.
La scoperta … o meglio dire riscoperta?
Vagando tra i registri e i motori di ricerca ecco che con il mio assistente neurologo cibernetico incappiamo in una serie di oggetti denominati shellbag, qualcosa che esiste da sempre, ma che… Continua a leggere