Sicurezza
Tenere sotto controllo il funzionamento degli antivirus
La disponibilità di antivirus è praticamente illimitata e per molti è possibile convivere tra di loro; tuttavia, avere uno o più antivirus non è utile se non si ha la certezza del loro funzionamento regolare e che siano aggiornati.
Gli elementi forniti da Microsoft Windows workstation permettono di eseguire una diagnostica rapida di qualsiasi prodotto di sicurezza registrato nel sistema operativo, in particolare all’interno della struttura SecurityCenter, non disponibile per i server.
L’analisi di funzionamento richiede l’estrapolazione dei prodotti antivirus installati e registrati, in particolare del loro codice di stato, per tale scopo è utilizzato il cmdlet Get-WmiObject, nello specifico:
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct
Dell’output ottenuto è necessario il valore ProductState e DisplayName. Dal valore ProductState è possibile determinare lo stato di funzionamento e di aggiornamento del prodotto antvirus e sulla base del riscontro innescare le azioni ritenute necessarie.
Funzionamento
Lo script è realizzato in Powershell e sfrutta le informazioni di stato dei servizi di sicurezza resi disponibili dal Security Center di Microsoft Windows, per tale motivo non può essere impiegato sui sistemi operativi server, che non dispongono del Security Center.
Trattandosi di uno script che valuta lo stato generale degli elementi di sicurezza registrati, si consiglia l’esecuzione ad intervalli molto ravvicinati (1 o 2 minuti).
Per ottenere la massima generalizzazione dello script, senza vincolarlo ad una tabella di codici di stato legati a specifici prodotti, si è provveduto a decodificare il valore restituito… Continua a leggere
Modifica configurazione UAC
La gestione, ed in particolare il controllo della sicurezza dei computer è un elemento fondamentale dei nostri tempi. Uno degli elementi di controllo che Microsoft Windows ci offre è lo User Account Control (UAC) si tratta del servizio che invia un popup di conferma quando si cerca di installare un nuovo programma o modificare qualche configurazione del sistema operativo.
Per il controllo dello UAC abbiamo realizzato uno script da eseguire con un RMM per generare un allarme nel caso di una modifica peggiorativa ed eventualmente innescare una reazione mirata a riportare la configurazione al livello atteso (Monitor UAC).
È possibile avere la necessità di modificare la configurazione del UAC per diversi motivi, pertanto, partendo dalle medesime basi del monitor, abbiamo realizzato uno script per impostare il livello di protezione desiderato quando serve.
Funzionamento
Lo script è realizzato utilizzando Powershell e sfruttando la griglia dei registri che controllano lo UAC per modificarne la configurazione, la modifica applicata è immediatamente attiva, il riavvio è richiesto nel caso di accensione/spegnimento della protezione (Level 0).
Il livello di protezione è determinato leggendo tre valori dei registri nel percorso:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nello specifico i valori sono:
- ConsentPromptBehaviorAdmin
- PromptOnSecureDesktop
- EnableLUA
La combinazione dei tre valori determina il cambio delle impostazioni di protezione.
Level | Enable LUA | Consent Prompt Behavior Admin | Prompt On Secure Desktop | Description |
0 | 0 | 0 | 0 | Disable |
1 | 1 | 0 | 0 | Never Notify |
2 | 1 | 5 | 0 | Notify me only when apps try to make changes to… Continua a leggere |
Controllo modifiche configurazione UAC
La gestione, ed in particolare il controllo della sicurezza dei computer è un elemento fondamentale dei nostri tempi. Uno degli elementi di controllo che Microsoft Windows ci offre è lo User Account Control (UAC) si tratta del servizio che invia un popup di conferma quando si cerca di installare un nuovo programma o modificare qualche configurazione del sistema operativo.
In passato ci è sovente capitato di trovare dei computer con la configurazione di questo servizio modificata, tipicamente con un abbassamento del livello di protezione per non avere più la richiesta di conferma, o peggio con la completa disattivazione del servizio.
A questo punto, per quanto gli utenti non siano nel nostro caso amministratori del computer, abbiamo realizzato un monitor da impiegare con un RMM e che ogni sessanta secondi controlla il rispetto della configurazione del UAC.
Funzionamento
Il monitor è realizzato utilizzando Powershell. Trattandosi della verifica di corrispondenza di un’impostazione di sicurezza è consigliata la sua esecuzione con una cadenza di 1 o 2 minuti.
Il livello di protezione è determinato leggendo tre valori dei registri nel percorso:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nello specifico i valori sono:
- ConsentPromptBehaviorAdmin
- PromptOnSecureDesktop
- EnableLUA
La combinazione dei tre valori determina il cambio delle impostazioni di protezione.
Level | Enable LUA | Consent Prompt Behavior Admin | Prompt On Secure Desktop | Description |
0 | 0 | 0 | 0 | Disable |
1 | 1 | 0 | 0 | Never Notify |
2 | 1 | 5 | 0 | Notify me only when apps try to make changes to my computer(do not dim my desktop)… Continua a leggere |