Se vi siete imbattuti in questo articolo è probabile che vi siate scontrati con un tipico problema che affligge i client MS Outlook connessi a un server MS Exchange: lo stato “disconnesso”, che di fatto impedisce sia l’invio che la ricezione della posta, nonché la possibilità di visualizzare qualsiasi risorsa condivisa (cartelle pubbliche, calendario, rubrica etc.) che non sia memorizzata nella cache locale del vostro sistema.

Questa particolare condizione di MS Outlook è rappresentata dal messaggio DISCONNESSO (o DISCONNECTED, nella versione in lingua inglese) presente nella taskbar – ovvero nella barra inferiore – del programma, accompagnato da una icona di pericolo:

Cosa fare in questi casi? Di seguito proponiamo alcune soluzioni che consentono di risolvere la problematica.

1. Forzare la riconnessione con la Modalità Offline

La causa più comune della disconnessione con il server MS Exchange è indubbiamente quella di una temporanea interruzione della connessione tra il client (Outlook) e il server (Exchange), ad esempio per problematiche di rete o a seguito del riavvio del server stesso: in tutti questi casi, la soluzione è estremamente semplice – basta attendere il riavvio del server in questione, e il collegamento con Outlook tornerà a funzionare da solo. Nel malaugurato caso in cui così non fosse, è possibile “forzare” un tentativo di riconnessione facendo click  una o due volte sull’icona Offline (Work Offline nella versione in lingua inglese) presente nel menu:

Ovviamente, affinché MS Outlook risulti connesso, il pulsante in questione deve risultare non premuto.

2. Ripristino del server Exchange

Se il problema persiste, la seconda cosa da fare è sincerarsi se è comune anche ad altri client MS Outlook connessi a quel determinato server Exchange: in caso affermativo, è del tutto probabile che si tratti di un’anomalia del server MS Exchange. Tra le “spie” più evidenti di problematiche legate al server, oltre al warning DISCONNESSO presente in  taskbar, vi è il seguente messaggio di errore visualizzato da Outlook in risposta al tentativo di navigare nelle cartelle pubbliche:

Impossibile visualizzare la cartella. Impossibile accedere da Microsoft Outlook al percorso di cartella specificato. Il computer che esegue Microsoft Exchange Server non è disponibile. È probabile che vi siano problemi di rete o che il server di Exchange sia inattivo.

Nella maggior parte dei casi, i problemi legati al Server Exchange si dividono in due categorie: mancata raggiungibilità del server a seguito di un riavvio avvenuto in modo errato, e corruzione del database.

2.1. Mancata raggiungibilità di MS Exchange

In alcuni casi, il riavvio repentino della macchina Windows Server su cui è stato installato MS Exchange può provocare un malfunzionamento del servizio Riconoscimento presenza in rete (Network Location Awareness in lingua inglese), che condiziona le modalità con cui MS Exchange dialoga con i propri client. Per risolvere questo tipo di problematica è sufficiente riavviare il servizio in questione, che consentirà ai client MS Outlook di connettersi regolarmente al servizio.

2.2. Corruzione del Database

Qualora la soluzione precedente non si rivelasse risolutiva, è possibile che le cause della mancata raggiungibilità del server dipendano da un malfunzionamento del database di Exchange. Per verificare questa eventualità è possibile connettersi alla Exchange Management Interface, raggiungibile tramite un link apposito presente all’interno nel menu MS Exchange creato a seguito dell’installazione. Una volta connessi, è possibile immediatamente verificare se il database è installato e raggiungibile (Mounted) oppure no (Unmounted).

Il database Exchange (noto anche come database delle cassette postali) si trova all’interno di un enorme file .edb che contiene tutte le e-mail degli utenti e delle cartelle pubbliche/condivise. Il percorso del file .edb sul file system dipende dalle impostazioni scelte durante l’installazione di MS Exchange, ma è facilmente reperibile dall’interfaccia di amministrazione.

Per riparare il database delle cassette postali di MS Exchange rimandiamo a questo articolo, che contiene tutte le informazioni necessarie per utilizzare lo strumento built-in ESEUTIL e i principali software di terze parti: KERNEL for MS Exchange, Stellar Repair for Exchange e altri.

In questo articolo proverò a mettere in piedi un elenco completo contenente gli ID di versione e i percorsi di installazione predefiniti di tutte le versioni di Microsoft Exchange Server uscite finora. Se vedete qualcosa di errato o incompleto lasciate le vostre indicazioni nei commenti e provvederò ad aggiornare la lista.

Vi è mai capitato di perdere un sacco di tempo a cercare un servizio di Windows che conoscete benissimo in italiano su un’installazione in lingua inglese? E il contrario? Visto che a me capita in continuazione, ho pensato di realizzare la seguente tabella, mediante la quale è possibile individuare in pochi istanti la traduzione corretta. Oltre al Display Name in italiano e in inglese ho aggiunto anche lo Short Name di sistema, ovvero il nome univoco con cui il servizio è noto al sistema operativo.

I servizi elencati sono quelli disponibili sulle principali versioni di Windows e Windows Server, con alcune mancanze che sto ancora cercando di colmare: se ne trovate qualcuno da aggiungere, sentitevi liberi di scrivere il nome in italiano e in inglese nei commenti a questo post, così provvederò ad aggiungerlo!

In questo articolo parleremo di Surfshark, un provider VPN as-a-service molto ben recensito (media voti tra 8.8 e 9.3 su Trustpilot nel 2019) che propone una offerta molto competitiva per il mercato italiano: 82% di sconto sulle tariffe di listino per la sottoscrizione del servizio per 24 mesi, pari a 1.79 EUR/mese. Non sapete cos’è una VPN as-a-service? Nessun problema: date un’occhiata a questo articolo prima di proseguire!

Per quanto una tariffa conveniente possa essere certamente un aspetto positivo, i principali punti di forza di una VPN sono soprattutto l’affidabilità, le performance e la sicurezza della connessione, oltre ovviamente alla semplicità e versatilità d’uso del client VPN e al pacchetto di funzionalità offerte. Per questo motivo abbiamo deciso di sottoporre il servizio offerto da SurfShark – nello specifico, la VPN SurfShark per Windows – a un test-drive accurato, con l’obiettivo di poter misurare in modo esaustivo e soddisfacente ciascuno di questi parametri.

Introduzione

Come sa bene chi ha letto il nostro articolo sulle VPN, l’affidabilità del service provider riveste un ruolo fondamentale. E’ quindi importante partire da una breve introduzione della società che gestisce il servizio, ovvero SurfShark Limited. Si tratta di una azienda attiva dal 2017, con sede nelle Isole Vergini Britanniche, quindi al di fuori dell’Unione Europea: questo consente a SurfShark di non dover adempiere agli obblighi di dover registrare o archiviare le attività degli utenti, che non vengono quindi memorizzate in alcun modo. A dispetto della giovane età, l’azienda conta già una rete VPN di oltre 800 server distribuiti su scala mondiale (oltre 50 aree geografiche diverse) in rapida espansione.

L’azienda esplicita ulteriormente questo concetto parlando, fin dalla pagina iniziale del sito, di una rigorosa politica No Log, sottolineando come il servizio non preveda il monitoring, il tracking e/o l’archiviazione delle attività online degli utenti: non sarà creato dunque alcun registro delle connessioni o delle attività.

La giovane età del servizio non consente di poter effettuare valutazioni di affidabilità di lungo periodo, ma la maggior parte delle recensioni che si trovano sul web (molte delle quali effettuate dagli utenti) sembrano confermare un livello qualitativo piuttosto alto (media 4.1/5). Surfshark riferisce inoltre di aver superato un controllo di sicurezza da parte della società di sicurezza tedesca Cure53: questo controllo sembra però essersi limitato all’esame delle estensioni del browser di Surfshark, quindi non “certifica”, se così si può dire, le dichiarazioni della società in merito alla (non) gestione dei log o degli altri processi di back-end. Il report di Cure53 è comunque sostanzialmente molto positivo e testimonia un grado di soddisfazione elevato, soprattutto per quanto riguarda gli aspetti relativi alla privacy.

Caratteristiche e Funzionalità

Andiamo ora ad elencare le caratteristiche funzionali del servizio.

Cleanweb

Una feature opzionale, attivabile o disattivabile a discrezione dell’utente, che opera come un ad-blocker, eliminando la presenza di annunci pubblicitari, tracker, malware e tentativi di phishing. Si tratta di una funzionalità estremamente importante, specialmente per chi naviga su siti potenzialmente compromessi e/o ricchi di banner potenzialmente dannosi.

Dispositivi illimitati

A differenza di altre sottoscrizioni, che prevedono la registrazione di un numero limitato di device, l’abbonamento a Surfshark VPN consente l’utilizzo di un numero di dispositivi illimitato. Questo significa che, con lo stesso abbonamento, è possibile connettere al servizio simultaneamente tutti i dispositivi personali e/o familiari, desktop e mobili.

Whitelister

Un’altra caratteristica interessante fornita da SurfShark è quella che consente di escludere la VPN per uno o più app, siti o servizi web: si tratta di una funzionalità ideale per non veicolare tramite VPN contenuti che già dispongono di una protezione efficace e/o che si aspettano di ricevere connessioni soltanto da determinati IP preautorizzati. Alcuni esempi: app e siti per il mobile banking; servizi VPS o in Private Cloud protetti da un firewall che autorizza l’accesso soltanto al nostro indirizzo IP (o netmask); applicativi del nostro Internet Service Provider  e riservati agli utenti del servizio; e così via. Si tratta di scenari che normalmente richiedono la disconnessione temporanea della VPN e che invece, grazie alla funzionalità whitelister, è possibile gestire in modo trasparente.

Free Trial

La modalità free-trial di SurfShark, per quanto a dir poco migliorabile, ci ha consentito di effettuare i test necessari a scrivere questa recensione. A nostro avviso un try before buy rappresenta a tutt’oggi il modo ideale, oltre che il più economico, per capire se un particolare servizio VPN è o meno adatto alle proprie caratteristiche, poiché consente di misurare le prestazioni in una zona geografica specifica: quella dell’utente che dovrà poi effettivamente utilizzarla!

Sfortunatamente, Surfshark non offre la possibilità di effettuare una prova gratuita come avviene per altri servizi VPN: al suo posto c’è la possibilità di provare il servizio dopo averlo acquistato per 30 giorni, trascorsi i quali non sarà più possibile recedere dall’abbonamento. Se durante i 30 giorni di prova si decide di recedere dal servizio, i soldi spesi saranno interamente riaccreditati. Non si tratta quindi di una try before buy, quanto piuttosto di un soddisfatti o rimborsati: meglio di niente, ma riteniamo che su questo specifico aspetto possano esservi ampi margini di miglioramento.

Sicurezza e Protezione

Veniamo ora alle caratteristiche crittografiche vere e proprie, fondamentali per misurare gli aspetti relativi alla sicurezza della connessione.

SurfShark implementa i seguenti protocolli: OpenVPN (UDP e TCP) e IKEv2, con algoritmo AES-256: è inoltre provvista di un paio di funzionalità di sicurezza aggiuntive (Kill Switch e DNS Privati su ciascun server) per gestire i failover e della modalità Multi-Hop per occultare ulteriormente le tracce dell’utente. Si tratta dunque di un allestimento superiore alla media, anche se non particolarmente innovativo.

Performance

Il test-drive da noi effettuato è stato ovviamente orientato in particolar modo sulle prestazioni, ovvero sulla capacità della VPN di mantenere una velocità soddisfacente nel corso del tempo con una serie di applicazioni: Torrent, Emule/eDonkey, web surfing in modalità HTTP e HTTPS, FTP, SFTP, connessioni RDP, TeamViewer, online gaming (utilizzando CounterStrike: Global Offensive, MTG Arena e Hearthstone) e video streaming (Netflix, Amazon Prime Video, CrunchyRoll, Youtube Red).

I risultati sono stati generalmente molto positivi: a parte l’online gaming FPS-based, che resta sostanzialmente fuori discussione per tutte le VPN in quanto il ping rate scende sotto i livelli minimi accettabili (150-300 latency), il servizio si è sempre comportato piuttosto bene, registrando cali di velocità estremamente moderati (tra il 15% e il 30% in meno in download WWW, tra il 10 e il 20% in meno sul P2P), a patto ovviamente di scegliere i server più performanti: in alcuni casi (BitTorrent), la delocalizzazione del server di destinazione ha consentito persino di registrare prestazioni migliori nella velocità di ottenimento degli slot seed/peer, come del resto già capitato con altri servizi VPN sfruttando server situati in zone geografiche evidentemente più “vicine” ai principali seed come Germania, Svezia e Stati Uniti.

Semplicità e Versatilità

Concludiamo la nostra recensione con una breve analisi del client VPN SurfShark, che abbiamo testato nelle versioni Windows e Android. Si tratta di un applicativo che offre una interfaccia minimale e un set di opzioni essenziali, ma comunque più che sufficienti per utilizzare sia su Desktop che su Mobile l’intero pacchetto di funzionalità disponibili: dal Kill Switch alla Whitelist, dall’elenco dei server alle modalità di connessione (Multi-Hop, No-Borders, etc.).

Conclusioni

In definitiva, SurfShark VPN ci ha fatto una buona impressione: pur trattandosi di un player piuttosto giovane il servizio offerto non ha nulla da invidiare ai big player del settore, garantendo un buon livello di sicurezza coadiuvato da ottime prestazioni.

Se utilizzate le funzionalità di Accesso Remoto di Windows, note anche come Connessione a Desktop Remoto o Terminal Services, probabilmente sapete già che le opzioni di spegnimento e riavvio della macchina (shutdown e reboot/restart) non sono presenti. Si tratta di una rimozione intenzionale, che ha lo scopo di proteggere l’utente dal rischio di attivare accidentalmente tali procedure durante la connessione remota e, di conseguenza, essere impossibilitato a poter accedere nuovamente alla macchina.

Se avete bisogno di spegnere o riavviare la macchina remota è possibile adottare i seguenti metodi alternativi.

Soluzione #1: Shortcut da Tastiera

Si tratta di una soluzione molto pulita, gestibile tramite GUI, che sarà certamente apprezzata dai fan delle shortcut (scorciatoie) da tastiera.

• Assicurarsi che il focus sia sul Desktop e non su un applicativo premendo contemporaneamente i tasti Win+D
• Premere contemporaneamente i tasti ALT+F4
• Comparirà una finestra modale che vi consentirà di scegliere tra le seguenti possibili opzioni: Cambia Utente, Esci, Sospendi, Arresta il Sistema, Riavvia il Sistema.

Soluzione #2: Prompt dei Comandi

Questa soluzione, leggermente più complicata, può avere senso quando per qualsivoglia motivo non avete la possibilità di utilizzare le shortcut da tastiera in modo decente – ad esempio se vi state collegando tramite un software RDP da dispositivo mobile.

• Dal menu START, selezionate Tutti i programmi > Accessori (su Windows 7) oppure digitate “prompt” (Windows 8/8.1 e Windows 10).
• Fate click con il tasto destro sull’icona Prompt dei comandi, quindi fate click con il tasto sinistro su Esegui come amministratore. A seconda delle impostazioni di sicurezza presenti sulla vostra macchina, potrebbe o meno comparire un popup di avviso, al quale potrete dare OK.
• Sullo schermo comparirà una finestra nera, denominata Prompt dei comandi.
• Fate click dentro la finestra per essere certi di avere il focus al suo interno, quindi digitate uno dei seguenti comandi:
  • Per effettuare l’arresto:

    shutdown /s /t 0

  • Per effettuare il riavvio:

    shutdown /r /t 0

Conclusioni

Per il momento è tutto: ci auguriamo che questo post possa essere utile per gli utenti che hanno bisogno di spegnere o riavviare le proprie macchine da remoto.

Se vi siete imbattuti in questo articolo, è molto probabile che vogliate installare una applicazione web ASP.NET Core 2 su un web server Windows o Linux che ne ospita già un’altra (magari utilizzando la nostra guida o un tutorial analogo): il problema è che la porta TCP 5000, utilizzata da Kestrel come HTTP listening port per impostazione predefinita, risulta già occupata. Come fare? Sfortunatamente, il web non contiene molte informazioni su come modificare questo parametro… motivo per cui abbiamo deciso di realizzare questo articolo informativo, nella speranza che possa aiutare qualche altro sviluppatore alle prese con questo problema!

Program.cs

La prima cosa da fare per modificare la HTTP listening port predefinita di Kestrel è aprire il file Program.cs – che solitamente si trova nella cartella principale (root folder) della nostra ASP.NET Core 2 Web Application –  e aggiungere la riga di codice seguente:

public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
    WebHost.CreateDefaultBuilder(args)
        .UseStartup<Startup>()
        .UseUrls("http://localhost:5002");

launchSettings.json

Una volta fatto questo, occorre modificare il file Properties/launchSettings.json aggiungendo la seguente riga di codice:

"<YourProjectName>": {
  "commandName": "Project",
  "launchBrowser": true,
  "applicationUrl": "https://localhost:5003;http://localhost:5002",
  "environmentVariables": {
    "ASPNETCORE_ENVIRONMENT": "Development"
  }
}

… E questo è tutto. Una volta effettuate queste modifiche, è sufficiente ripubblicare l’applicazione web e creare una nuova istanza di Kestrel, avendo cura di collegarla alla libreria <YourProjectName>.dll: la nuova porta (TCP 5002) sarà letta automaticamente dal file aggiornato.

In questo articolo andremo a illustrare una serie di tecniche che gli amministratori di sistema possono utilizzare per rendere il proprio network (o dominio) più sicuro e affidabile dal punto di vista degli accessi utente. Si tratta di una serie di best practice che, una volta implementate, contribuiranno ad aumentare le “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio” previste dall’art. 32 del GDPR e in carico al titolare e al responsabile del trattamento.

Nello specifico, ci occuperemo di tre importanti aspetti che riguardano la gestione degli account utente, ovvero le credenziali assegnate agli operatori autorizzati e che consentono loro di accedere al sistema, essere autenticati e quindi operare all’interno dell’infrastruttura di rete nelle modalità consentite dai ruoli e permessi a loro assegnati: i requisiti di complessità della password, la scadenza periodica della password, il blocco dell’account dopo un certo numero di tentativi di accesso falliti, la disconnessione automatica dopo un certo periodo di inattività e, ultimo ma non per importanza, la disabilitazione dell’account dopo un certo numero di giorni di inattività.

Lo scopo di questo approfondimento è quello di comprendere come Windows gestisce ciascuno di questi aspetti e quali sono le possibilità a nostra disposizione per abilitare, modificare o disabilitare i controlli e i parametri alla base di queste impostazioni.

Complessità della Password

L’adozione di requisiti minimi per la complessità delle password scelte dagli utenti è un requisito di sicurezza fondamentale di qualsiasi sistema informatico contenente dati personali: la necessità di dotarsi di questo criterio è prevista nell’ordinamento italiano fin dal codice privacy del 2003 (Dlgs 196/2003) ed è stata confermata anche nel Decreto di adeguamento al GDPR (Dlgs 101/2018). Si tratta, inutile dirlo, di un accorgimento di sicurezza estremamente importante, in quanto consente di proteggere l’account degli utenti da una serie di vulnerabilità legate alla scelta di una password debole (weak password), dalla possibilità di indovinare la password da parte di un qualsiasi operatore non autorizzato a potenziali attacchi brute-force basati sull’utilizzo di dizionari e/o elenchi.

Windows 10 – Criteri di gruppo locali

Per modificare il criterio di complessità delle password di tutti gli account configurati sul nostro sistema Windows locale, è necessario compiere i seguenti passaggi:

• Lanciare lo strumento Editor Criteri di gruppo locali (Local Group Policy Editor) premendo simultaneamente WIN + R e poi digitando gpedit.msc.
• Navigare su Configurazione Computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri account > Criteri password.
• Assicurarsi che l’opzione Le password devono essere conformi ai requisiti di complessità sia attiva.
• Assicurarsi che l’opzione Lunghezza minima password sia maggiore o uguale a 8.

Windows Server – Criteri di Gruppo AD

Per configurare il criterio di complessità delle password di tutti gli account del dominio è necessario accedere allo strumento Gestione Criteri di Gruppo (Group Policy Editor), responsabile delle impostazioni relative alla Default Domain Policy di Windows Server: per accedervi, premere simultaneamente WIN + R e poi digitando gpedit.msc oppure da Pannello di Controllo > Strumenti di amministrazione > Gestione criteri di gruppo. Una volta lì, aprire – sull’albero a sinistra – l’elemento corrispondente al dominio su cui si desidera agire, fare click con il tasto destro su Default Domain Policy e fare click su Modifica per aprire la finestra Editor Gestione Criteri di Gruppo.

Giunti a quel punto, i passaggi da effettuare – come si può vedere dalla screenshot seguente – sono pressoché identici a quelli per modificare le impostazioni relative ai criteri di gruppo locali (cfr. paragrafo precedente):

Il riepilogo dei valori indicati nei Criteri di Gruppo, valido per tutti gli account dell’Active Directory relativa al dominio selezionato, può essere visualizzato mediante il tab Impostazioni.

Scadenza periodica della Password

La scadenza periodica della password è un’altra impostazione di sicurezza fondamentale, in quanto impedisce che una eventuale password “rubata” o posseduta da un utente non autorizzato (o non più autorizzato) possa essere utilizzata a tempo indeterminato.

Windows 10 – Criteri di gruppo locali

Per impostare la scadenza periodica delle password relative a tutti gli account configurati sul nostro sistema Windows locale, è necessario compiere i seguenti passaggi:

• Lanciare lo strumento Editor Criteri di gruppo locali (Local Group Policy Editor) premendo simultaneamente WIN + R e poi digitando gpedit.msc.
• Navigare su Configurazione Computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri account > Criteri password.
• Assicurarsi che l’opzione Validità massima password abbia un valore adeguato e conforme alle best practice o ai requisiti normativi di riferimento: ad esempio, un valore pari a 90 farà scadere le password dopo un periodo di 90 giorni.

Inoltre, se si vuole impedire che l’utente utilizzi una password già utilizzata in precedenza, è possibile impostare l’opzione Imponi cronologia delle password con un valore maggiore di zero.

Windows Server – Criteri di Gruppo AD

Anche in questo caso, per configurare il criterio di complessità delle password di tutti gli account del dominio è necessario accedere allo strumento Gestione Criteri di Gruppo (Group Policy Editor), responsabile delle impostazioni relative alla Default Domain Policy di Windows Server: per accedervi, premere simultaneamente WIN + R e poi digitando gpedit.msc oppure da Pannello di Controllo > Strumenti di amministrazione > Gestione criteri di gruppo. Una volta lì, aprire – sull’albero a sinistra – l’elemento corrispondente al dominio su cui si desidera agire, fare click con il tasto destro su Default Domain Policy e fare click su Modifica per aprire la finestra Editor Gestione Criteri di Gruppo.

Giunti a quel punto, i passaggi da effettuare sono pressoché identici a quelli per modificare le impostazioni relative ai criteri di gruppo locali (cfr. paragrafo precedente): i valori impostati saranno applicati tutti gli account dell’Active Directory relativa al dominio indicato.

Blocco Account dopo N login falliti

Il blocco dell’account dopo un certo numero di tentativi di accesso falliti è una ottima good practice che si rivela particolarmente efficace contro le tecniche di attacco di tipo brute-force, ovvero basate sulla ripetizione automatica del login utilizzando un gran numero di password diverse, con l’obiettivo di individuare quella corretta; il blocco account è una utile contromisura anche per difendersi da approcci trial and error di tipo manuale: si pensi alla classica scena – comune a tanti film e serie TV – in cui il protagonista prova una serie di parole e/o date nel tentativo di accedere al terminale dell’amico, collega, parente o rivale. In tutti quei casi, il blocco account si rivela una protezone efficace.

Windows 10 – Criteri di gruppo locali

Per impostare e/o modificare il blocco dell’account utente dopo N tentativi di accesso falliti sul nostro sistema Windows locale, è necessario compiere i seguenti passaggi:

• Lanciare lo strumento Editor Criteri di gruppo locali (Local Group Policy Editor) premendo simultaneamente WIN + R e poi digitando gpedit.msc.
• Navigare su Configurazione Computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri account > Criterio di blocco account.
• Impostare l’opzione Soglia di blocco dell’account assegnando un valore pari al numero di tentativi che vogliamo consentire all’utente prima del blocco (ad es. 3).
• Impostare la Durata del blocco account assegnando un valore pari al tempo di blocco dell’account.
• Impostare l’opzione Reimposta  conteggio blocco account dopo assegnando un valore pari al numero di minuti che vogliamo far passare per “resettare” la soglia di blocco dell’account, ovvero il numero di tentativi effettuati: ad esempio, impostando un valore 5 (pari a 5 minuti), il numero di tentativi già effettuati sarà resettato ogni 5 minuti, a patto ovviamente che non ne vengano effettuati altri nell’intervallo di tempo indicato (e/o che l’account non sia già stato bloccato).

Windows Server – Criteri di Gruppo AD

Anche in questo caso, per configurare il blocco dell’account utente dopo N tentativi di accesso falliti per tutti gli account del dominio è necessario accedere allo strumento Gestione Criteri di Gruppo (Group Policy Editor), responsabile delle impostazioni relative alla Default Domain Policy di Windows Server: per accedervi, premere simultaneamente WIN + R e poi digitando gpedit.msc oppure da Pannello di Controllo > Strumenti di amministrazione > Gestione criteri di gruppo. Una volta lì, aprire – sull’albero a sinistra – l’elemento corrispondente al dominio su cui si desidera agire, fare click con il tasto destro su Default Domain Policy e fare click su Modifica per aprire la finestra Editor Gestione Criteri di Gruppo.

Giunti a quel punto, i passaggi da effettuare sono pressoché identici a quelli per modificare le impostazioni relative ai criteri di gruppo locali (cfr. paragrafo precedente): i valori impostati saranno applicati tutti gli account dell’Active Directory relativa al dominio indicato.

Blocco schermo per inattività

Il blocco automatico del computer dopo un certo periodo di inattività è un altra good pratice di sicurezza molto richiesta nella maggior parte degli audit e assessment IT. Si tratta di un’impostazione che, come suggerisce la sua descrizione, disconnette automaticamente l’utente in mancanza di input di qualsivoglia tipo (tastiera, mouse o altra periferica) per un determinato periodo di tempo: come è facile comprendere, si tratta di un’ottimo metodo per impedire che il PC possa cadere preda di usi impropri in caso di assenza improvvisa e prolungata da parte dell’operatore autorizzato. Nella maggior parte delle aziende (e dei Sistemi Operativi) il blocco automatico è impostato su periodi particolarmente brevi, solitamente compresi tra 10 e i 45 minuti.  Ovviamente, per ripristinare il sistema (o rimuovere il blocco dello schermo) è necessario inserire nuovamente la password.

Windows 10 – Impostazioni Screen Saver

Per impostare e/o modificare il blocco dell’account utente dopo N tentativi di accesso falliti sul nostro sistema Windows locale, è necessario compiere i seguenti passaggi:

• Dal menu Start, selezionare Impostazioni > Personalizzazione.
• Selezionare Schermata di blocco dal menu a sinistra, quindi recatevi sulle Impostazioni Screen Saver.
• Impostate la durata di Attesa (in minuti), quindi assicuratevi che la checkbox dell’opzione Al ripristino, torna alla schermata di accesso sia attiva.

Windows Server – Criteri di Gruppo AD

Per configurare il blocco dello schermo per inattività per tutti gli account del dominio è necessario accedere allo strumento Gestione Criteri di Gruppo (Group Policy Editor), responsabile delle impostazioni relative alla Default Domain Policy di Windows Server: per accedervi, premere simultaneamente WIN + R e poi digitando gpedit.msc oppure da Pannello di Controllo > Strumenti di amministrazione > Gestione criteri di gruppo. Una volta lì, aprire – sull’albero a sinistra – l’elemento corrispondente al dominio su cui si desidera agire, fare click con il tasto destro su Default Domain Policy e fare click su Modifica per aprire la finestra Editor Gestione Criteri di Gruppo.

Giunti a quel punto, navigare su Configurazione utente > Criteri > Modelli amministrativi > Pannello di controllo > Personalizzazione e impostare le seguenti voci:

• Abilita screen saver
• Timeout screen saver
• Proteggi screen saver con password

I valori da inserire seguono la stessa logica delle Impostazioni screen saver descritte nel paragrafo precedente.

Disconnesione automatica per inattività

La disconnessione automatica per inattività delle sessioni collegate al sistema tramite Desktop Remoto (RDP) è un altra good pratice di sicurezza particolarmente importante,

Windows 10 – Criteri di gruppo locali

Per impostare la disconnessione automatica per inattività tutti gli account configurati sul nostro sistema Windows locale, è necessario compiere i seguenti passaggi:

• Lanciare lo strumento Editor Criteri di gruppo locali (Local Group Policy Editor) premendo simultaneamente WIN + R e poi digitando gpedit.msc.
• Navigare su Configurazione Computer > Modelli Amministrativi > Componenti di Windows > Servizi Desktop remoto > Host Sessione di Desktop remoto > Limiti di tempo sessioni.
• Impostare un limite di tempo adeguato per le seguenti opzioni:
  • Imposta limite di tempo per le sessioni disconnesse.
  • Imposta limite di tempo per le sessioni di servizi Desktop remoto attive ma in attesa.

Inoltre, qualora si preferisca terminare la sessione anziché disconnetterla, sarà necessario attivare l’opzione Termina la sessione quando si raggiungono i limiti di tempo.

Windows Server – Criteri di Gruppo AD

Anche in questo caso, per configurare il criterio di complessità delle password di tutti gli account del dominio è necessario accedere allo strumento Gestione Criteri di Gruppo (Group Policy Editor), responsabile delle impostazioni relative alla Default Domain Policy di Windows Server: per accedervi, premere simultaneamente WIN + R e poi digitando gpedit.msc oppure da Pannello di Controllo > Strumenti di amministrazione > Gestione criteri di gruppo. Una volta lì, aprire – sull’albero a sinistra – l’elemento corrispondente al dominio su cui si desidera agire, fare click con il tasto destro su Default Domain Policy e fare click su Modifica per aprire la finestra Editor Gestione Criteri di Gruppo.

Giunti a quel punto, i passaggi da effettuare sono pressoché identici a quelli per modificare le impostazioni relative ai criteri di gruppo locali (cfr. paragrafo precedente): i valori impostati saranno applicati tutti gli account dell’Active Directory relativa al dominio indicato.

Disabilitazione dell’account dopo inattività

Ultima, ma non per importanza, viene la possibilità di disabilitare un account dopo un certo numero di giorni di inattività. Si tratta di una good practice non molto utilizzata, in quanto non supportata nativamente né da Windows né da Windows Server, ma particolarmente importante come misura di sicurezza aggiuntiva e complementare rispetto alle precedenti: in mancanza di un automatismo del genere esiste il concreto rischio che la vostra Active Directory consenta l’accesso a tempo indeterminato ad account che non dovrebbero più essere attivi, come ad esempio quelli relativi ad ex-dipendenti o a collaboratori non più attivi presso la propria azienda.

Disable-Inactive-ADAccounts

Per gestire questa eventualità abbiamo creato Disable-Inactive-ADAccounts, uno script Powershell che può essere scaricato gratuitamente da GitHub. Lo script può essere configurato per disabilitare gli utenti AD inattivi oltre un numero di giorni a scelta (180 per impostazione predefinita) e, volendo, anche per effettuare l’eliminazione automatica degli utenti precedentemente disattivati (dopo un ulteriore intervallo di tempo).

Per utilizzarlo, è sufficiente scaricare l’ultima versione da GitHub, installarlo sul proprio controller di dominio e quindi eseguito a intervalli tramite una operazione pianificata (scheduled task).

Conclusioni

Per il momento è tutto: ci auguriamo che questo articolo possa aiutare tutti gli utenti e gli amministratori di sistema interessati a configurare i propri sistemi in modo più sicuro. Come sempre, nel caso in cui i contenuti siano stati di vostro interesse, vi invitiamo a ringraziarci “virtualmente” con un like su Facebook o Twitter. Alla prossima!

In questo articolo spiegheremo brevemente come eliminare la cartella Windows.old, creata automaticamente a seguito dell’esecuzione di un aggiornamento a una nuova versione di Windows 10 oppure quando si installa una preview release. La cartella Windows.old non è altro che un backup della versione precedente di Windows 10, e può quindi occupare una grande quantità di spazio (mediamente dai 10 ai 30 GB, in alcuni casi persino di più): per questo motivo, nel momento in cui siamo certi che la nuova versione funziona, è decisamente il caso di eliminarla e recuperare quei preziosi gigabytes.

Per effettuare questa operazione è sufficiente seguire i seguenti passaggi:

• Aprite le Impostazioni di sistema.
• Selezionate la voce Sistema.
• Selezionate la sotto-voce Archiviazione.
• Una volta lì, fate click sul link Configura Sensore memoria o eseguilo ora, come mostrato nella screenshot sottostante.

• Potrete così accedere alla sezione dedicata al Sensore memoria, una traduzione piuttosto “originale” dello Storage Sense: si tratta di una funzionalità di Windows 10 che provvede automaticamente, sulla base di parametri configurabili dall’utente, a liberare periodicamente spazio sulle unità di archiviazione presenti.
• Fate scorrere la finestra verso il basso fino a scoprire l’opzione Eliminare le versioni precedenti di Windows e attivare la relativa checkbox.

Una volta fatto questo, sarà sufficiente fare click sul pulsante Pulisci ora per eliminare definitivamente la vecchia versione di Windows e recuperare lo spazio!

Vale la pena sottolineare come questa operazione, se il Sensore memoria è attivo, viene svolta automaticamente dal sistema trascorsi 10 giorni dalla nuova installazione di Windows: questo metodo può dunque essere utile per recuperare lo spazio immediatamente, senza dover aspettare questo lasso di tempo.

Conclusioni

Per il momento è tutto: ci auguriamo che questa breve guida possa essere d’aiuto a quanti hanno bisogno di recuperare lo spazio a seguito di un aggiornamento o di una nuova installazione di Windows 10.

Alla prossima e… Felice pulizia!

Se vi siete imbattuti in questo articolo è probabile che siate alla ricerca di una guida che vi spieghi come configurare il vostro sistema operativo Windows (o quello presente nel computer dei vostri figli) in modo da impedire l’accesso a siti contenenti contenuti potenzialmente inadeguati.

Come probabilmente già sapete, il web è pieno di strumenti software che consentono di attivare varie forme di Parental Control, comprensivi di funzionalità anche molto sofisticate (content filtering, blocco degli IP dei siti/server con contenuti potenzialmente inappropriati, log & report dei siti visitati e del tempo trascorso a navigare, etc.): sfortunatamente, quasi tutte le soluzioni più diffuse e più pubblicizzate sono disponibili in modalità Software-as-a-Service, prevedendo formule di pagamento periodico piuttosto care.

In questo articolo cercheremo di guidarvi nell’implementazione di una soluzione interamente gratuita sfruttando gli strumenti messi a nostra disposizione dal sistema operativo Windows e da altri servizi non a pagamento: certamente la nostra alternativa economica non sarà completa come quella offerta dalle suite commerciali, ma – come avremo modo di vedere – consentirà comunque di proteggere la navigazione dei nostri ragazzi in modo soddisfacente.

1. Abilitare Family Safety

Il primo passaggio da effettuare è abilitare la funzionalità Family Safety, disponibile in tutte le edizioni di Windows a partire da Windows 8 e precedente disponibile (con il nome di Family Safety Filter) nel pacchetto software Windows Essentials.

Per abilitarlo, aprite il menu Impostazioni di Windows 10 e selezionate Aggiornamento e Sicurezza > Sicurezza di Windows > Opzioni Famiglia, come nella screenshot di seguito:

Accederete così alla pagina relativa al family filter, che contiene un link (“Visualizza impostazioni della famiglia“) alla scheda “Family Options” del sito account.microsoft. com, contenente le impostazioni relative alla configurazione degli account dei propri familiari.

Da quella pagina web è possibile inviare “inviti” ai propri familiari, che dovranno essere dotati di un account Microsoft (qualora non ne avessero uno, sarà possibile crearne uno utilizzando un qualsiasi indirizzo e-mail o creare una e-mail gratuita di tipo @outlook.com).

Ciascun familiare può essere invitato come membro o come organizzatore, che corrispondono ai classici ruoli di utente e di amministratore: i primi sono pensati per i figli, mentre i secondi sono più adatti per i familiari (e/o i fratelli maggiori) che avranno il compito di svolgere le attività di Parental Control. Come è facile immaginare, l’account utilizzato per creare il nucleo familiare sarà automaticamente promosso a organizzatore.

Non appena il familiare accetterà l’invito, l’organizzatore potrà accedere a una apposita interfaccia di Parental Control utilizzabile per impostare una serie di controlli, tra cui:

• Tempo davanti allo schermo: per quanto tempo è possibile utilizzare i dispositivi.
• Orario di attività: la fascia oraria all’interno della quale sarà possibile utilizzare i dispositivi.
• Limiti di app e giochi: funzionalità che impediscono il download di app potenzialmente inadeguate.
• Restrizioni di contenuto: funzionalità che impediscono la visita di siti web aventi contenuti non adatti all’età del familiare (determinata sulla base della data di nascita impostata).
• Spese: blocco degli acquisti effettuabili sullo store, che richiederanno un’autorizzazione apposita da parte di un organizzatore.

Ciascuna opzione può essere configurata nel dettaglio, come si può vedere dalla screenshot di seguito:

Ovviamente, è possibile consentire la visualizzazione di alcuni siti web e/o l’utilizzo di singole applicazioni in modo selettivo, ovvero mediante un sistema di whitelist: questo è particolarmente importante qualora si desideri bloccare le app di terze parti ma, al tempo stesso, permettere l’utilizzo di un set di applicativi ben determinato: sarà possibile, ad esempio, consentire l’utilizzo di un browser alternativo a Microsoft Edge, come avremo modo di vedere nel prossimo paragrafo.

Inutile dire che, affinché le funzionalità di Parental Control possano essere applicate, sarà necessario che il familiare effettui l’accesso ai propri dispositivi Windows con il medesimo account Microsoft che è stato così configurato. Sarà quindi necessario configurare opportunamente il sistema operativo del familiare in tal senso, trasformando gli eventuali account locali creati in precedenza in account Microsoft veri e propri: fortunatamente Windows 10 consente di farlo in modo del tutto trasparente, mantenendo cioè tutti i programmi installati e le impostazioni configurate sul sistema.

2. Configurare il Browser

L’attivazione della funzionalità Family Safety protegge la navigazione dei nostri figli, ma soltanto se questa viene effettuata utilizzando il browser Microsoft Edge (fornito di serie con Windows 10) o con uno dei browser compatibili; per questo motivo, nel caso in cui il dispositivo disponga di altri browser che non si ha intenzione di disinstallare, sarà opportuno prendere qualche accorgimento aggiuntivo.

2.1 Mozilla Firefox

Mozilla Firefox è uno dei browser che risultano compatibili con Family Safety: nello specifico, il browser controlla automaticamente se sul sistema sono state attivate le funzioni di parental control e, qualora queste risultino attive, partirà automaticamente in modalità Prefer: Safe; tale modalità effettua un controllo di sicurezza su ciascun sito web visitato dai propri familiari, evitando di mostrare contenuti potenzialmente inadeguati alla loro data di nascita. In sintesi, dunque, non c’è nulla da fare.

La funzionalità Prefer:Safe può essere disattivata soltanto tramite Family Safety per mezzo di un account organizzatore, proprio come avviene per Microsoft Edge.

2.2. Google Chrome

A differenza di Microsoft Edge e di Mozilla Firefox, Google Chrome non utilizza il Family Safety di Windows essendo dotato di un sistema di parental control proprietario, noto come SafeSearch. Per attivarlo è necessario compiere le seguenti operazioni:

• Lanciare il browser Google Chrome sul PC del familiare
• Visitare il sito https://www.google.it/preferences?hl=it
• Effettuare il login a Google con l’account del familiare
• Attivare la funzionalità SafeSearch come mostrato nella screenshot di seguito.

2.3. Add-on e estensioni

Oltre alle funzionalità Prefer:Safe e SafeSearch di cui abbiamo parlato nei paragrafi precedenti, sia Firefox che Chrome consentono di installare dei componenti aggiuntivi (estensioni) che offrono funzionalità di parental control ulteriori, alcune delle quali disponibili gratuitamente. Potete trovarle rispettivamente ai seguenti indirizzi:

• Mozilla Firefox: https://addons.mozilla.org/it/firefox/search/?platform=windows&q=parental%20control
• Google Chrome: https://chrome.google.com/webstore/search/parental%20control

3. Impostare i DNS FamilyShield

Veniamo ora all’ultimo accorgimento “a costo zero” che è possibile implementare per ridurre il rischio che i nostri familiari si imbattano in contenuti potenzialmente inadeguati: i DNS FamilyShield offerti gratuitamente da OpenDNS. Come avremo modo di vedere, si tratta di un’attività leggermente più complessa delle precedenti, in quanto consiste nella modifica di alcuni parametri di configurazione di rete del sistema operativo del familiare.

Per questo motivo, prima di addentrarci nelle spiegazioni tecniche, è opportuno spendere qualche minuto a chiarire il significato della sigla DNS, acronimo per Domain Name Server.

3.1. Cosa sono i DNS?

Come molti già sapranno, le URL che utilizziamo per connetterci ai vari siti che fanno parte del World Wide Web hanno un elemento radice chiamato domain name, ovvero nome di dominio: ciascun nome di dominio è costituito da una serie di stringhe separate da punti, come ad esempio (nel caso di questa pagina) www.ryadel.com. Ciascun nome di dominio risponde a uno (o più) indirizzi IP, che consentono al browser di raggiungere il server che ospita il sito in questione ed effettuare la HTTP request necessaria per ottenere i contenuti. I DNS hanno il compito di “tradurre” i nomi di dominio nei loro indirizzi IP corrispondenti, sulla base di un registro che viene aggiornato a intervalli periodici nel corso del tempo: in altre parole, costituiscono una sorta di “pagine gialle” del web.

Una volta compreso il ruolo e il funzionamento dei DNS, diventa semplice comprendere come questi possano svolgere una ottima funzione di Content Filtering: tutto ciò che dovranno fare sarà evitare di “tradurre” tutti i nomi di dominio aventi contenuti potenzialmente inadeguati, ovvero quelli presenti all’interno di apposite blacklist (anch’esse costantemente aggiornate). Quello dei DNS è dunque in buona sostanza un filtro alla radice, trovandosi ad operare “a monte” di tutti quelli che abbiamo analizzato nei paragrafi precedenti.

3.2. OpenDNS FamilyShield

Nella maggior parte delle connessioni “casalinghe”, il sistema operativo è configurato con i parametri di connessione di default, che prevedono l’utilizzo dei DNS forniti dal provider che fornisce l’accesso a internet: nel caso in cui si voglia utilizzare dei DNS alternativi sarà quindi necessario modificare tale configurazione predefinita e impostare manualmente l’alternativa scelta. L’alternativa che consigliamo di scegliere per il dispositivo dei propri familiari è quella fornita da OpenDNS, un servizio che offre gratuitamente dei DNS ad elevate prestazioni che possono essere configurati liberamente in luogo di quelli forniti dal provider; il servizio, creato nel 2006 ad opera dell’hacker David Ulevitch, è stato acquisito nel 2015 da Cisco, che ne ha fortunatamente mantenuto le caratteristiche di gratuità e libertà d’uso.

Ad oggi OpenDNS fornisce una serie di “coppie” di DNS, ciascuna delle quali pensata per scopi ben precisi e rispondente a determinati criteri di content filtering; quella che interessa a noi è la coppia denominata FamilyShield, appositamente ideata per funzionalità di Parental Control e blocco di contenuti potenzialmente inadeguati.

Questo è l’indirizzo dei due nameserver:

• 208.67.222.123
• 208.67.220.123

3.3. Configurazione dei DNS

Per modificare l’impostazione predefinita, che prevede l’utilizzo dei DNS forniti dal provider, e configurare i DNS di OpenDNS sopra riportati, è necessario effettuare le seguenti operazioni:

• Aprire il menu Start, quindi selezionare Impostazioni (l’icona con la ruota dentata).
• Selezionare Rete e Internet.
• Se connessi via cavo selezionare Ethernet, altrimenti selezionare Wi-Fi.
• Selezionare l’opzione Modifica opzioni scheda.
• Fare click con il tasto destro del mouse sull’icona della scheda di rete (Ethernet o Wi-Fi), quindi selezionare Proprietà nel menu contestuale.
• Selezionare Protocollo Internet versione 4 (TCP/IPv4), quindi fare click sul pulsante Proprietà.
• Abilitare la checkbox presente di fianco alla voce Utilizza i seguenti indirizzi server DNS.
• Digitare gli indirizzi IP relativi ai Server DNS nelle caselle di testo Server DNS preferito e Server DNS alternativo.
• Abilitare la checkbox presente di fianco alla voce Convalida impostazioni all’uscita, quindi fare click sul pulsante OK.

I punti salienti dell’attività sono mostrati nella screenshot che riportiamo di seguito.

Conclusioni

Per il momento è tutto: ci auguriamo che questo tutorial possa essere d’aiuto a quanti stanno cercando un modo rapido ed economico per proteggere la navigazione dei propri familiari sul web. Alla prossima!

In questo articolo vedremo come utilizzare la funzionalità Modifica Criteri di Gruppo (GPMC) presente nelle principali versioni di Windows e Windows Server per disabilitare globalmente alcune funzionalità utili – ma potenzialmente pericolose dal punto di vista del trattamento dei dati – consentite dal protocollo RDP, come ad esempio:

• Reindirizzamento degli Appunti, che può essere utilizzato per tagliare / incollare testo e file dal PC remoto al PC locale e viceversa (consentendo così la copia / download dei file da PC remoto a PC locale e viceversa).
• Reindirizzamento delle unità, che consente all’utente remoto di accedere alle proprie unità locali tramite il PC remoto (consentendo così la copia / il download dei file da PC remoto a PC locale e viceversa).
• Reindirizzamento della porta COM, che può essere utilizzato per rendere alcuni dispositivi COM locali disponibili per il PC remoto.
• Reindirizzamento della porta LPT, che può essere utilizzato per rendere alcuni dispositivi terminali della stampante di linea locale disponibili sul PC remoto (consentendo così la stampa sul PC locale di file presenti sul PC remoto).

Come possiamo vedere si tratta di funzionalità possono essere piuttosto potenti, che consentono all’utente remoto di accedere in vario modo ai file presenti sul PC a cui si accede: possibilità che possono essere indubbiamente vantaggiosa in molti casi, a patto di avere la proprietà dei suddetti file e i diritti per poterli trattare in modo esaustivo; al tempo stesso, però, queste funzionalità potrebbero favorire accessi non autorizzati (o persino un data breach) in tutti i casi in cui gli utenti non siano autorizzati al trattamento dei file al di fuori del perimetro aziendale.

Come ben sa chiunque lavori nel settore, nella maggior parte dei casi gli operatori remoti hanno diritti piuttosto limitati sui documenti aziendali: è probabile che la loro autorizzazione all’accesso sia consentita solo a determinate condizioni, che prevedano ad esempio l’utilizzo obbligatorio di dispositivi di proprietà dell’azienda e fisicamente collocati all’interno dei locali aziendali, con l’esplicito divieto di copiarli, portarli o stamparli altrove. Nei casi in cui limitazioni di questo tipo sono in vigore, è importante che a livello di amministrazione di sistema si dispongano le necessarie misure tecniche per mantenerle attive ed efficaci anche in caso di accesso remoto.

A tale scopo è possibile utilizzare la funzionalità Modifica Criteri di Gruppo, presente in tutte le ultime versioni di Windows e Windows Server e configurabile attraverso la console di gestione dei criteri di gruppo (GPMC). Nello specifico, le funzionalità descritte sopra possono essere abilitate o disabilitate in modo selettivo effettuando i seguenti passaggi:

• Accedere a un computer su cui è installato il ruolo del server Servizi di dominio Active Directory.
• Avviare lo strumento Server Manager, fare clic su Strumenti, quindi su Gestione criteri di gruppo.
• Nella console Gestione criteri di gruppo, espandere il percorso seguente: Foresta > esempio.com > Domini > esempio.com > Oggetti Criteri di gruppo, dove esempio.com è il nome del dominio in cui si trovano i criteri del computer client RDP che si desidera configurare.
• Fare clic con il pulsante destro del mouse sul nodo Criterio dominio predefinito (o Default domain policy) e selezionare Modifica per aprire la Console Gestione Criteri di gruppo (GPMC).
• Utilizzare l’interfaccia utente della console per navigare attraverso il seguente percorso: Configurazione di Windows > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host sessione Desktop remoto > Reindirizzamento dispositivo e risorse
• Accedere alle seguenti impostazioni dei criteri di gruppo e abilitarle / disabilitarle in base alle proprie esigenze:
  • Non consentire il reindirizzamento degli Appunti
  • Non consentire il reindirizzamento della porta COM
  • Non consentire il reindirizzamento dell’unità
  • Non consentire il reindirizzamento della porta LPT

Ovviamente, se l’obiettivo è quello di impedire agli utenti di utilizzare una determinata funzionalità sarà necessario abilitare il criterio di gruppo che la blocca, andando così a sovrascrivere l’impostazione predefinita che la rende accessibile a tutti gli utenti.

Conclusioni

Per il momento è tutto: ci auguriamo che questo post possa essere di aiuto agli amministratori di sistema che cercano un modo semplice ed efficace per impedire ai loro utenti di utilizzare le connessioni RDP per copiare, scaricare e / o stampare documenti di proprietà dell’azienda dal proprio dispositivo locale.

Come molti probabilmente già sapranno, nei sistemi operativi Windows, un servizio Windows (Windows Service) è un programma per computer che funziona in background, in modo molto simile ai daemon in ambiente Unix/Linux. I Servizi di Windows possono essere configurati per essere lanciati automaticamente all’avvio all’avvio del sistema operativo oppure manualmente per mezzo dello strumento Service Manager, accessibile digitando services.msc  dal prompt dei comandi oppure aprendo il menu di avvio, digitando “services” dal menu Start e quindi lanciando l’icona dello strumento Service Manager che sarà visualizzata immediatamente.

In questo post vedremo come è possibile utilizzare alcuni comandi console, accessibili dal command prompt (CMD) oppure tramite PowerShell, per effettuare alcune operazioni utili sui servizi, come ad esempio: elencare tutti i servizi installati, elencare i servizi attivi o inattivi, cercare un servizio specifico, etc.; i comandi illustrati funzionano su tutte le principali edizioni di Windows, inclusi Windows 10 e tutte le ultime versioni di Windows Server.

Command-Line (CMD)

Elencare tutti i servizi di Windows presenti (installati) sul sistema:

sc queryex type=service state=all

Elencare i nomi di tutti i servizi di Windows presenti (installati) sul sistema:

sc queryex type=service state=all | find /i "SERVICE_NAME:"

Elencare i soli servizi attivi di Windows, con l’esclusione di quelli non attivi:

sc queryex type=service state=active

Elencare i soli servizi inattivi di Windows, con l’esclusione di quelli attivi:

sc queryex type=service state=inactive

Cercare uno (o più) servizi di Windows utilizzando un filtro per nome:

sc queryex type=service state=all | find /i "SERVICE_NAME: MyServiceName"

Visualizzare lo status (attivo o inattivo) di un servizio specifico, individuato per nome:

sc query MyServiceName

PowerShell commands

Elencare tutti i servizi di Windows presenti (installati) sul sistema:

Get-Service

Elencare i nomi di tutti i servizi di Windows presenti (installati) sul sistema:

sc queryex type=service state=all | find /i "SERVICE_NAME:"

Elencare i soli servizi attivi di Windows, con l’esclusione di quelli non attivi:

Get-Service | Where-Object {$_.Status -eq "Running"}

Elencare i soli servizi inattivi di Windows, con l’esclusione di quelli attivi:

Get-Service | Where-Object {$_.Status -eq "Stopped"}

Cercare uno (o più) servizi di Windows utilizzando un filtro per nome:

Get-Service | Where-Object {$_.Name -like "*MyServiceName*"}

Visualizzare lo status (attivo o inattivo) di un servizio specifico, individuato per nome:

Get-Service MyServiceName*

Conclusioni

Per il momento è tutto: ci auguriamo che questo articolo possa essere utile agli amministratori di sistema che cercano un modo semplice e veloce per elencare, filtrare e cercare le informazioni relative ai servizi installati sulle proprie macchine Windows o Windows Server tramite prompt dei comandi (CMD) o PowerShell.

Qualche giorno fa abbiamo pubblicato un articolo in cui spiegavamo come disabilitare la copia e il download di file via RDP con le Policy di Gruppo (Group Policy) per tutti i client Windows appartenenti alla medesima Active Directory forest. In questo post illustreremo come forzare un aggiornamento immediato di queste Group Policy sui singoli Client (o su tutti i client) utilizzando tre possibili strumenti che Windows mette a nostra disposizione: GPUpdate.exe (da command-line), Invoke-GPUpdate (da PowerShell) e la Console di Gestione Criteri di Gruppo, nota anche come Group Policy Management Console (GPMC).

Introduzione

All’interno di un ambiente Windows Server basato su Active Directory, le impostazioni dei Criteri di Gruppo (Group Policy settings) possono essere aggiornate nei seguenti modi:

• Utilizzando lo strumento GPUpdate da command-line sui singoli client: questo è il metodo più semplice ed efficace quando vogliamo aggiornare le Group Policy di una singola macchina alla quale abbiamo accesso.
• Utilizzando il cmdlet Invoke-GPUpdate (Powershell), utilizzabile sia sui singoli client (per aggiornare le Group Policy in locale) che sul controller di dominio (per aggiornare le Group Policy dei client “da remoto”). Si tratta ovviamente di un ottimo metodo per aggiornare i Criteri di Gruppo in quanto consente una grande libertà di azione sia effettuando l’accesso ai singoli client che accedendo direttamente al controller di dominio.
• Utilizzando la Console di Gestione Criteri di Gruppo, più nota come Group Policy Management Console (GPMC), per aggiornare globalmente tutti i computer all’interno della medesima Organizational Unit. Si tratta sostanzialmente di un metodo alternativo (e del  tutto similare) alla modalità più potente consentita dal cmdlet Invoke-GPUpdate che abbiamo citato poco fa.

Nei paragrafi successivi vedremo come è possibile utilizzare queste tre tecniche per effettuare l’aggiornamento dei Criteri di Gruppo sulle macchine client.

GPUpdate.exe (CMD)

Utilizzare lo strumento GPUpdate è senz’altro il modo più semplice per aggiornare le Group Policy su una singola macchina client alla quale abbiamo accesso.

Per ottenere questo risultato è sufficiente eseguire le seguenti operazioni:

• Aprire un prompt dei comandi (con privilegi di amministrazione)
• Digitare ed eseguire il comando seguente: GPUpdate /force

Per informazioni aggiuntive sullo strumento GPUpdate.exe consigliamo di dare un’occhiata alla guida Force a Remote Group Policy Refresh (GPUpdate) su Microsoft docs.

Invoke-GPUpdate (Powershell)

Il cmdlet Invoke-GPUpdate è lo trumento giusto per forzare l’aggiornamento delle Policy di Gruppo su molti computer in modalità “remota”, ovvero azionando l’update in modo globale dal Domain Controller anziché eseguendo il comando su ciascun singolo client.

Ecco come possiamo utilizzare il cmdlet per effettuare l’aggiornamento di un singolo client:

Invoke-GPUpdate -Computer "CONTOSO\COMPUTER-02" -Target "User"

Ovviamente, il cmdlet può essere utilizzato anche in modalità batch, ovvero per effettuare un aggiornamento automatico di tutti i client appartenenti alla nostra Organizational Unit. Per utilizzarlo in questo modo dovremo però far uso anche del cmdlet Get-ADComputer, che ci consentirà di ottenere l’elenco dei computer disponibili: in questo modo avremo la possibilità di eseguire Invoke-GPUpdate molteplici volte, una per ogni computer individuato.

Ecco un semplice script PowerShell che mostra come ottenere questo risultato:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Ovviamente il cmdlet  Invoke-GPUpdate può essere utilizzato anche per aggiornare le Group Policy direttamente da un client, proprio come lo strumento GPUpdate.exe introdotto nel paragrafo precedente; per utilizzarlo in questo modo, è sufficiente eseguirlo senza parametri:

Invoke-GPUpdate

Per informazioni aggiuntive sul cmdlet Invoke-GPUpdate consigliamo di consultare la pagina Invoke-GPUpdate guide presente sul portale informativo Microsoft docs.

Group Policy Management Console (GPMC)

In quest’ultimo paragrafo vedremo come è possibile utilizzare la Console Gestione Criteri di gruppo (GPMC) di Windows Server per inviare una richiesta di aggiornamento dei Criteri di gruppo per tutti i client registrati nell’unità organizzativa:

• Avviare la Console Gestione Criteri di Gruppo (GPMC).
• Nell’albero della console GPMC, individuare l’unità organizzativa per cui si desidera aggiornare i Criteri di gruppo per tutti i computer. E’ importante tenere presente che i criteri di gruppo verranno aggiornati anche per tutti i computer che si trovano nelle sotto-unità organizzative contenute nell’Organizational Unit selezionata.
• Fare clic con il tasto destro del mouse sull’Organizational Unit che si desidera aggiornare, quindi fare clic su Aggiornamento criteri di gruppo.
• Fare clic su Sì nella finestra di dialogo Forza aggiornamento Criteri di gruppo.

Queste operazioni avranno un effetto analogo all’esecuzione di GPUpdate.exe / force dalla riga di comando su tutti i client Windows singolarmente, o all’utilizzo del cmdlet Invoke-GPUpdate descritto nel paragrafo precedente.

Conclusioni

Per il momento è tutto: ci auguriamo che questa guida possa essere d’aiuto ai tanti Amministratori di Sistema che cercano un modo facile ed efficace per aggiornare le Group Policy su uno o più client Windows. Alla prossima!