Manuel Pallotti

tempo fa mi sono divertito ad effettuare un extreme hardening  di un client Xp dedicandolo solo ed esclusivamente alla navigazione web, e rimuovendo tutto cio che non era necessario per renderlo piu prestazionale. ho utilizzato questi semplici strumenti free: - Sandboxie - Autoruns di Sysinternals (reperibile sul sito Microsoft) - Comodo Firewall 1) per primo con Autoruns ho eliminato tutto l'eliminabile dal registry in termini di riferimento a singole dll. Per chi non conoscesse l'utility, Autoruns traccia tutto il tracciabile a logon exe, scheduled task, dll, dll e toolbar riferite a IE, services, in poche parole mette a nudo il sistema operativo. I passaggi effettuati sono i seguenti: eliminazione delle voci superflue  dal logon e chiave run e run once Eliminazione delle voci superflue da IE, ad esempio... i riferimenti ad Microsoft Office o altro. disattivazione di servizi vari di XP che non mi servivano eliminazione degli scheduled task nascosti eliminazion...

... qualche concetto dell'importanza di far sapere cosa si sta facendo! Con gli strumenti e le conoscenze giuste si ha il pieno controllo sulla rete, esempio banale sono le GPO di AD che permettono di mettere delle icone sul desktop degli utenti senza intervento manuale. Credo che sia fondamentale dare visibilità a chi ha competenze diverse dalle nostre su cosa si sta facendo sui loro client. Pensiamo ad esempio al patch tuesday , date ben conosciute dagli amministratori MS che generano in genere chiamate verso lo staff helpdesk per lentezza del computer e richieste di riavvio da parte di chi è un normale utilizzatore. Una distribution list e due righe di avviso che dicono: Stiamo facendo questo sui vostri computer e lo facciamo per la vostra sicurezza e efficienza può abbassare il numero dei ticket aperti.

....idealmente in certi scenari e' possibile idealizzare anche la virtualizazione della dmz integrandola nel cluster VmWare o HyperV. Perchè e come? perchè idealmente potremmo pensare che il nostro bel blade abbia solo due 'cavi' di interconnessione, uno con la lan e uno con internet. Come?  spesso la lan è separata da internet da un Firewall periferico e uno interno che creano appunto la DMZ in cui tipicamente sono presenti i server pubblicati sul web. E spesso e volentieri sono Proxy Server basati su Squid e Iptables. Quindi ottimi candidati alla P2V! La segmentazione delle due reti (Lan e DMZ) può (deve?) essere fatta a livello di vSwitch in ambiente VMware. Qualcuno potrebbe obiettare che la cosa fa storcere in naso a livello di sicurezza, dato che una macchina server sia essa linux o windows puo' essere bucata. Ma gli appliance dedicati HW costano e tale architettura è perfettamente identica a quella presente su server fisici.

in questo post si fa analisi  e nessuna spiegazione tecnica. "Posso mettere sotto backup tutti i documenti nei client degli utenti di dominio senza spendere una lira, controllando anche i contenuti e scremandoli dei file multimediali personali?"  La risposta e' alla domanda... è SI!  Come? incrociando una manciata di GPO e il servizio di Shadow Copy e File Screening di 2008 e 2012 serve. In pratica, lato client va implementata con GPO la Folder Redirection di, cito per esempio, c:\users\user\Documenti, che non fa altro che copiare in fase di log out i documenti utente su una share di rete protetta da permission NTFS. Quindi, con 2008 e 2012 File Screening implementiamo delle regole che escludono la copia, ad esempio, di files di tipo MP3 sui folder documenti utenti di rete In seguito... implementiamo lo shadow copy, che ci farà un backup storicizzato dei documenti utente. cosa abbiamo ottenuto? -che tutti i client della OU impattati dalla folder redirecti...

In questo articolo esamineremo a grandi lnee le operazioni necessarie per migrare una infrastruttura Exchange Server 2003 alla versione 2007, basata su un singolo dominio. In primo luogo Exchange Server 2007 non supporta gli upgrade inplace. La scelta e’ stata presa anche perché difficilmente potremmo trovare una installazione Windows Server 2003 a 64bit capace di ospitare in nostro Exchange Server 2007. In secondo luogo, qualora ci trovassimo di fronte ad una installazione Exchange 5.5, non è possibile migrarlo direttamente, se non previa una migrazione intermedia ad Exchange Server 2003 su un dominio Active Directory. La migrazione si basa sui seguenti punti: - Preparazione Active Directory - Installazione infrastruttura Exchange 2007 e ruoli necessari - Migrazione delle Mailbox - Migrazione delle Public Folder - Migrazione della Offline Address Book Preparazione di Active Directory I prerequisiti per l’installazione di una infrastruttura Exchange 2007, sono: - Almen...

la pratica dell distribution via AD e GPO è consolidata, ma spesso ci si imbatte nella impossibiltà di distribuire gli eseguibili anche se hanno l'apposito switch /Unattended e/o similari. Premesso che non c'e' una tecnica standard per fare queste operazioni, tuttavia voglio spiegare alcuni punti chiave per una corretta distribution. innanzitutto... l'EXE va analizzato!!!  e ci sono vari modi per farlo! a) mandarlo in esecuzione e andarsi a beccare la sottocartella in %Temp% b) usare 7ZIP e fare un EXPAND c) provare ad usare l'exe con il comando /? e vedere se .... ha una apposita opzione Expand o Estrai! con uno di questi tre metodi.... spulciamo la cartella creata dall'exe e cerchiamo un *.MSI ... ed il gioco è fatto! copiamo nel punto di distribuzione software di AD e leghiamolo alla gpo per la SW distribution! ... problemi con un exe che non presenta MSI? il setup non fosse basato su Windows Installer e *.MSI... c'e' un altro metodo pe...

GPO! Perchè? il logon script fa quello che promette, cioè esegue un operazione al logon e stop. Molte delle GPO sono distribuibili a "caldo" e non necessariamente in fase di accensione/logon.E abbiamo un delta di aggiornamento sulla OU che permettono di effettuare al volo alcune modifiche!