-
Usare PowerShell per analizzare i log degli eventi
Monitorare i log degli eventi di Windows è un supplizio, specialmente per chi è amministratore anche sistemi *NIX. Fin da Windows Server 3.x esistevano tool per esportare gli eventi e analizzarli, ma l’elaborazione veniva fatta su una copia offline dei log. PowerShell viene in aiuto a chi deve fare ricerche o elaborazioni attraverso le famiglie…
-
Downgrade da Windows 8 a Windows 7
Capita in molte organizzazioni di dover fare un downgrade di un sistema operativo, è una pratica relativamente comune per varie ragioni. Questo il racconto della mia prima esperienza di downgrade da Windows 8 a Windows 7 che riporto con la speranza che possa servire a qualcuno che sta per intraprendere il medesimo cammino e con…
-
Resettare WSUS dopo aver clonato Windows
In molte organizzazioni capita di avere macchine clonate e ri-serializzate con SysPrep o tool analoghi. Se il sistema di origine è già registrato in WSUS può capitare che le macchine clonate non siano visibili nella console di amministrazione. Questo succede perché WSUS salva nel registry un ID proprio in ogni installazione di Windows, che viene utilizzato come…
-
Vulnerabilità dell’autenticazione NTLM
Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva. Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose…
-
Vulnerabilità per Internet Explorer 6, 7 e 8
Microsoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa. La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution). Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per…
-
WSUS: un regalo sotto l’albero
Il patch tuesday di questa settimana include l’aggiornamento Windows Management Framework 3.0 for Windows 7 SP1 and Windows Server 2008 R2 SP1 (KB 2506143). Su WSUS bisogna aver abilitato la categoria “Aggiornamenti” per poter vedere questo aggiornamento tra quelli disponibili. L’installazione richiede come prerequisito .Net 4.0. Il pacchetto contiene l’aggiornamento di una serie di tool che…
-
Salvare in un PST le singole cartelle di Exchange
Può capitare di voler fare un backup supplementare rispetto a quello canonico di alcune cartelle di Exchange per alcuni utenti. Lo scopo di quanto segue è fornire uno strumento schedulabile con il servizio integrato di Windows che consenta di salvare con cadenza regolare tutta o una parte di una mailbox di Exchange su un file…
-
Microsoft alza il limite minimo delle chiavi RSA
Il patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254. L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.
-
Fammi eseguire il dannato script!
Chi si è avvicinato all’utilizzo della PowerShell ha cozzato quasi subito con la bella feature che impedisce di eseguire gli script. Sembra una barzelletta, ma l’interprete di script di Microsoft per default non esegue gli script non firmati. Nulla di grave perché un Set-Execution-Policy Unrestricted rimette le cose a posto. Nonostante ciò, oggi non riuscivo ad eseguire uno script…
-
Nishang
Con Nishang ci si avventura un una zona grigia del software, in cui la differenza tra difesa e offesa diventa indistinguibile. Lo scopo di quanto segue non è quello di incitare la violazione delle leggi, ma di documentare l’esistenza di questi strumenti, per poterli riconoscere in caso di attacchi. La PowerShell di Windows è uno…