Script
Configurare correttamente i DNS è fondamentale. Utilizza un RMM per assicurarti di farlo correttamente.
La corretta configurazione delle schede di rete è un elemento fondamentale per garantire la continuità del lavoro e l’efficacia delle attività di manutenzione dei computer. Assicurarsi che i parametri delle schede di rete siano sempre conformi agli standard previsti rappresenta un punto di forza cruciale per qualsiasi organizzazione IT.
Per raggiungere questo obiettivo, abbiamo sviluppato una procedura semplice ma efficace, che consente di leggere le configurazioni delle schede di rete e confrontarle con i valori attesi. La verifica della configurazione è focalizzata su alcuni parametri chiave: i valori di DNS e Gateway, e lo stato del DHCP (se attivo o non attivo) in base alle specifiche richieste.
Questa procedura è stata implementata utilizzando PowerShell (versione 5) ed è integrata come componente monitor nella soluzione Datto RMM, adottata dalla nostra organizzazione. Tuttavia, il codice può essere facilmente utilizzato in altri contesti o integrato con altre soluzioni RMM, offrendo grande flessibilità.
Il componente che presentiamo è una soluzione monolitica, diversa dalla nostra implementazione interna che utilizza moduli PowerShell distribuiti sui vari sistemi. L’utilizzo dei moduli permette di migliorare la manutenzione del codice e di renderne più efficiente la distribuzione e l’utilizzo. Questa soluzione modulare facilita gli aggiornamenti e consente una gestione più agile delle configurazioni.
È importante sottolineare che questa realizzazione ha finalità didattiche. Di conseguenza, non ci assumiamo la responsabilità per eventuali malfunzionamenti o risultati inattesi che potrebbero derivare… Continua a leggere
Centrare i registri di Windows per bloccare i dispositivi esterni.
Spesso le policy di controllo dei sistemi operativi Microsoft Windows salvano le loro configurazioni direttamente nei registri di sistema.
Conoscere i registri di sistema coinvolti permette di:
- Implementare monitor di controllo per verificare la corretta applicazione delle regole.
- Implementare i controlli senza coinvolgere Active Directory.
Una delle ricerche che abbiamo svolto si è concentrata sul controllo di accesso ai dispositivi esterni, un argomento ampiamente trattato nei vari motori di ricerca.
Con l’avvento di USB-C, è necessaria maggiore cautela nella configurazione delle policy. I dischi esterni collegati tramite questo bus vengono inizializzati come se fossero dischi di sistema, ovvero collegati al bus interno del computer.
Se la configurazione del disco non è adeguata, la policy può risultare inefficace, permettendo qualsiasi tipo di azione sul dispositivo. È quindi sempre consigliabile applicare le policy per controllare i dischi e i dispositivi portatili in generale.
I registri e le relative chiavi
Elementi dei registri per la gestione degli accessi ai dispositivi esterni.
Le policy per il blocco delle azioni sui file che coinvolgono i dispositivi esterni si articolano su sei chiavi.
Queste chiavi si trovano nella sezione HKEY_LOCAL_MACHINE dei registri di sistema, precisamente nel percorso:
HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices
La sezione RemovableStorageDevices non esiste se la policy non è stata attivata; infatti, il modo più semplice per rimuovere questo tipo di protezione è cancellarla con tutto il suo contenuto.
All’interno del percorso possono essere presenti sei chiavi. Esistono… Continua a leggere
Trovare e spegnere i computer inutilizzati per vivere meglio.
Torniamo dopo pochi giorni ad affrontare il tema dei computer accesi e non utilizzati, nel precedente articolo li abbiamo cercati partendo dall’individuazione dei programmi utilizzati tipicamente dagli utenti, in questa seconda analisi li individuiamo cercando la presenza di utenti attivi, siano essi locali o remoti.
Sicuramente ci si chiede per quale ragione debbano esserci dei computer accesi e abbandonati a sé stessi, la realtà è che ci troviamo spesso a gestire con gli RMM l’accensione e lo spegnimento dei computer, senza essere tuttavia informati dei periodi di ferie o di altre tipologie di assenze.
L’accensione da remoto rende i computer pronti all’uso appena l’utente arriva, ma in particolare ci permette di implementare patch e altri tipi di aggiornamenti prima dell’orario di lavoro.
Per una corretta gestione è importante sapere quando i computer devono essere effettivamente accesi, così da evitare di consumare corrente scaldando l’ufficio, con un conseguente maggior funzionamento degli impianti di climatizzazione. Il tutto si traduce in maggiori costi energetici, usura dei computer e trasferimento dell’impatto sull’ambiente già molto sofferente.
Tabella dei Contenuti
Scarica qui il componente per datto rmm
Come troviamo i computer che non dovrebbero essere accesi
Per individuare questi computer abbiamo creato un monitor per RMM, ancora più semplice del precedente, il suo scopo è quello di cercare la presenza di utenti… Continua a leggere
Avere in automatico i diagnostici che servono.
Da molti anni automatizziamo in modo massivo le diverse operazioni sui server e sui computer, per farlo ci affidiamo ovviamente ad un RMM, nello specifico la soluzione Datto RMM.
Tuttavia, il meglio lo otteniamo creando delle procedure per svolgere delle specifiche operazioni sfruttando la configurabilità dei sistemi operativi Microsoft Windows attraverso i comandi Powershell e la modifica delle chiavi di registro.
Per ottimizzare la realizzazione delle procedure abbiamo deciso di realizzare dei moduli di base di Powershell da installare sui sistemi gestiti e contenenti dei cmdlet che eseguono delle operazioni complesse restituendo un semplice output filtrato con le informazioni necessarie.
Una situazione in cui ci imbattiamo con regolarità è quella di dover generare dei report di varia natura e di non poterne disporre direttamente in modo rapido e protetto.
Nuovamente con l’aiuto dei moduli abbiamo deciso di sfruttare la flessibilità del protocollo SSH al fine di veicolare i report da analizzare verso un sistema di raccolta.
Tabella dei Contenuti
La decisione ha un motivo operativo
Lo scopo di un RMM è quello di poter eseguire con rapidità e tempestività le azioni necessarie a mantenere operativi al meglio della loro efficienza i sistemi gestiti, di conseguenza il ridurre i tempi di potenziali disservizi.
L’utilizzo dei monitor in tempo reale permette di avere gli allarmi desiderati al verificarsi di specifici eventi; tuttavia, non sempre permette di avere immediatamente disponibili le estrazioni delle informazioni di funzionamento del sistema allarmato,… Continua a leggere
Individuare elementi anomali nelle code di BitsTransfer.
Uno dei tanti canali di infiltrazione di malware o esfiltrazione di informazioni è BitsTransfer (Background Intelligent Transfer Service), una utility utilizzata da alcuni programmi per gli aggiornamenti e da altri per la sincronizzazione di contenuti, la scelta di questo canale è la sua velocità.
Dobbiamo ammettere che lo utilizziamo anche noi per il trasferimento di report, con gli opportuni accorgimenti per evitare che l’EDR di MalwareBytes, da noi utilizzato come soluzione anti-malware, intervenga bloccando il trasferimento.
La nostra scelta è stata quella di perfezionare gli script e non di limitare i controlli dell’anti-malware.
Da diversi anni abbiamo realizzato procedure in Powershell per il controllo delle code di BitsTransfer per tutti gli utenti del sistema, quest’anno siamo arrivati ad un’ottimizzazione dell’analisi che abbiamo decido di condividere.
L’impiego è utile per avere allarmi da parte di un sistema RMM, nel nostro caso Datto RMM.
Tabella dei Contenuti
Obiettivo della procedura monitor
L’analisi deve controllare con una cadenza temporale frequente (60 – 120 secondi) e regolare il contenuto delle code associate agli utenti del sistema, a tale scopo è utilizzabile il cmdlet Get-BitsTransfer, che richiede il caricamento di una specifico modulo Powershell.
Output del cmdle Get-BitsTransfer.
L’output ottenuto può contenere dei valori per i quali non desideriamo avere degli allarmi, in quanto noti e considerati leciti. Questo filtro rende necessario fornire una lista di esclusione, contenente gli elementi da non considerare.
Eliminati dal output i… Continua a leggere