Tag Archive - Ricerca e Sviluppo

Sophos antivirus: migrazione tra active directory, kix e batch

Un titolo piuttosto complesso, me ne rendo conto. Dato che a breve con molta probabilità Sophos Experts Italy sarà archiviato (numeri che poco convincono, collaborazione pressoché nulla, a meno che qualcuno non mi scriva in merito due righe a breve) ricomincio a scrivere articoli riguardanti le piattaforme Sophos sul mio blog, convinto che possano avere maggiore visibilità e andare ad arricchire la serie di articoli già pubblicati in passato.

Stavolta vorrei parlarvi di una casistica analizzata presso un cliente che ha deciso di aggiornare la sua console 3 passando alla nuova 4, basandosi su un sistema Windows Server 2008 a 64 bit (una configurazione che raramente vedo presso altre aziende, ancora oggi).

Il problema? Dopo l’upgrade del software installato sul server, i client hanno deciso di non aggiornarsi con i nuovi motori antivirus, motivo per il quale i clienti rimangono scoperti dal rilascio dei nuovi aggiornamenti da parte della nota azienda di sicurezza informatica. La risoluzione? Forzare un’installazione del nuovo antivirus nel momento in cui le macchine (gli utenti) fanno ingresso nel dominio.

A cosa appoggiarsi

Una stringa di controllo in Kix32 (software sempre più utilizzato, associato al netlogon) e un banale script batch che carichi il software necessario. La procedura è presto spiegata:


$PGRFILE=%Programfiles%+"\Sophos\Sophos Anti-Virus\SAVControl.dll"
if exist ($PGRFILE)
 ? "Antivirus Aggiornato" @CRLF
ELSE
 ? "Installo Antivirus" @CRLF
 ;shell '%comspec% /C '
 shell "cmd /c "+$LogonServer+"\netlogon\instSophos.bat /scrub"
ENDIF
EXIT

Perché il controllo su una DLL? Sophos 7 (versione dell’antivirus gestita dalla console 3) non ha tra i suoi file quella libreria. E’ invece presente tra i file di una installazione della versione 9 (gestita dalla console 4).

A questo punto sarà necessario rimuovere il precedente antivirus e partire con l’installazione del nuovo. Per andare ancora più sul sicuro ho preferito lanciare prima il CRT (Competitor Removal Tool) ed in seguito il setup:


@ECHO OFF
echo Verifica e installazione Sophos Antivirus ...
echo Non chiudere questa finestra.
echo;
REM --- Deploy to Windows 2000/XP/2003
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\crt\avremove.exe
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\Setup.exe -updp "\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP" -user "DOMINIO\AMMINISTRATORE" -pwd "PASSWORD" -mng yes
REM --- End of the script
:_End

L’operazione richiederà pochi minuti (a patto che le macchine non siano particolarmente datate o con risorse hardware molto limitate) e verrà ovviamente eseguita una sola volta per postazione. Il controllo (dalla seconda connessione al dominio) fallirà e l’utente avrà rapido accesso ai suoi dati ed al suo desktop.

Buon lavoro :)

Lotus Notes Traveler su iPad

Brevemente:

IBM Lotus Notes Traveler software provides mobile support for IBM Lotus Notes and IBM Lotus iNotes users. It provides automatic, real-time replication of Lotus Domino® server e-mail (including attachments); calendar; address book; journal and to-do lists.

New e-mail automatically synchronizes with your smartphone and updates made on the phone such as changing a calendar entry are synchronized with the server as soon as a network connection is available. The IBM Lotus Notes Traveler client provides a simple, easy-to-use interface with a minimal number of configuration settings. You can customize how much data is synchronized with the device to optimize the use of device memory.

Un must per chi possiede un telefono con copertura dati (possibilmente flat) e lavora per un’azienda che ha scelto IBM Domino per la propria posta elettronica e l’agenda degli appuntamenti.

Lotus Notes Traveler è attualmente compatibile con diversi dispositivi tra i quali l’iPhone. Rimane fuori dalla lista il giovane iPad, ancora non incluso da IBM ma perfettamente funzionante essendo basato sullo stesso sistema operativo del melafonino. Il browser Safari installato nel nuovo dispositivo di Cupertino non viene effettivamente riconosciuto in modo automatico, ma sarà comunque possibile procedere con la creazione manuale di un profilo Exchange che -una volta installato- ci consentirà di avere a portata di dito tutti i dati aziendali che potrebbero tornare utili in mobilità.

Un semplice passo-passo: dal server Traveler al proprio iPad :-)

Creazione del profilo

Aprire Safari e farlo puntare al server Traveler aziendale, quindi inserire nome utente e password della WebMail e confermare. Il nome utente potrà essere inserito come prima lettera del nome seguita dal cognome o semplicemente lo short name visibile nella rubrica globale dell’azienda:

Creazione profilo Traveler, clicca per ingrandire

A questo punto sarà necessario scegliere la voce “file di configurazione client” sotto “Configura unità”, così da poter accedere all’elenco dei marchi dispositivi supportati:

Creazione profilo Traveler, clicca per ingrandire

Selezionare la voce “Apple” sotto “Tipo di unità” e lasciare invariati i campi Nome accesso e Indirizzo di posta che avrà automaticamente inserito il Traveler, quindi selezionare “Genera”.

Installazione del profilo

Comparirà ora a video una finestra che chiederà se procedere con l’installazione del profilo appena generato (fig. 1). Confermare l’accettazione del certificato con “Installa” (fig. 2), inserire nuovamente la password della WebMail (fig. 3) e attendere che il processo termini, quindi cliccare su “Fine” (fig. 4). Cliccare sulle immagini per ingrandirle.

Il profilo è ora funzionante per Posta, Calendario e Contatti. Basterà avviare una qualunque tra queste 3 applicazioni per controllare che il download dei dati sia avvenuto correttamente.

Buon lavoro!

P.S. Ho pubblicato questo articolo anche su Wired giusto una manciata di giorni fa :-)

Il browser in cassaforte: Mozilla Plugin Check

Di Mozilla Plugin Check se ne era già parlato qualche tempo fa, un tool web nato per cercare di arginare il problema dei plugin installati sul browser e mai più aggiornati, falle di sicurezza che permettono a malintenzionati di mandare in crash il browser facendoci perdere del tempo e mettendo a rischio il lavoro aperto (e magari non salvato). Uno strumento semplice da utilizzare e alla portata di chiunque.

A partire dal 11 maggio Mozilla ha deciso di dare a tutti gli utilizzatori del web la possibilità di effettuare un pit-stop e controllare che sotto al cofano i plugin siano in ordine e godano di buona salute, per una migliore e più sicura navigazione nella miriade di siti web che ciascun navigatore può raggiungere comodamente da casa, dall’ufficio, in mobilità.

L’articolo è stato pubblicato su Wired.it, ormai una seconda casa dove parlare di tecnologia alla portata di tutti :-)

wired.it/news/archivio/2010-05/14/mozilla-plugin-check-browser-sempre-aggiornato.aspx

Buona lettura!

Apple presenta Gianduia

Lotta all’ultimo contenuto multimediale: Apple annuncia Gianduia, quello che forse tutti si aspettavano dopo l’elevato quantitativo di rifiuti di collaborazione con Adobe, azienda sviluppatrice di Flash, uno standard mai dichiarato tale a tutti gli effetti, ma abusato nel web da sempre, quotidianamente sfruttato dai navigatori per interagire con applicazioni e giochi.

Un breve articolo per introdurre quella che probabilmente sarà la nuova rivoluzione targata Apple, studiata per poter dare la possibilità a iPhone e iPad (e non solo, chiaramente) di visualizzare e sfruttare contenuti multimediali al pari di Adobe Flash o Microsoft Silverlight, tecnologie ora non presenti in nessun dispositivo di Cupertino e spesso evitate come la peste da tantissimi siti web, causa lo sfruttamento (troppo alto) delle risorse macchina.

wired.it/news/archivio/2010-05/10/continua-la-saga-apple-vs-flash,-arriva-gianduia.aspx#

Buona lettura :-)

Dropbox e Proxy NTLM: come metterli d’accordo

Un post tecnico a metà tra il promemoria e la divulgazione di un workaround, dedicato a chi utilizza Dropbox e lavora nelle reti che usano proxy con autenticazione NTLM. La risoluzione di un problema dovuto ad una momentanea mancanza del noto applicativo di sincronizzazione / backup dei propri dati personali tra le postazioni possedute e il server centrale che conserva le copie per il versioning.

In sintesi, di cosa si tratta:

Windows Challenge/Response (NTLM) is the authentication protocol used on networks that include systems running the Windows operating system and on stand-alone systems.

The Microsoft Kerberos security package adds greater security than NTLM to systems on a network. Although Microsoft Kerberos is the protocol of choice, NTLM is still supported. NTLM must also be used for logon authentication on stand-alone systems. For more information about Kerberos, see Microsoft Kerberos.

NTLM credentials are based on data obtained during the interactive logon process and consist of a domain name, a user name, and a one-way hash of the user’s password. NTLM uses an encrypted challenge/response protocol to authenticate a user without sending the user’s password over the wire. Instead, the system requesting authentication must perform a calculation that proves it has access to the secured NTLM credentials.

Interactive NTLM authentication over a network typically involves two systems: a client system, where the user is requesting authentication, and a domain controller, where information related to the user’s password is kept. Noninteractive authentication, which may be required to permit an already logged-on user to access a resource such as a server application, typically involves three systems: a client, a server, and a domain controller that does the authentication calculations on behalf of the server.

msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx

Per capirci: l’autenticazione NTLM è alla base degli appliance Sophos (serie WS), evidentemente non troppo permissiva per coloro che vogliono utilizzare Dropbox e possono accedere alla rete internet solo attraverso le proprie credenziali di dominio.

Oltre ad attendere che il team di sviluppo faccia lo sporco lavoro di rendere compatibile il protocollo con il passaggio delle credenziali impostate manualmente nelle preferenze (tanto per azzardare un’ipotesi) esiste un workaround dichiarato anche nelle FAQ pubblicate nel sito ufficiale del prodotto:

dropbox.com/help/22

La parola magica è “Cntlm” e permette di far combaciare le richieste dell’applicativo e dell’autenticazione NTLM mettendosi in mezzo tra i due (come a creare un nuovo proxy da far sfruttare a Dropbox). Configurarlo e utilizzarlo è semplicissimo, scaricarlo è completamente gratuito, il progetto risiede su SourceForge:

cntlm.sourceforge.net

Potete scaricare l’applicativo per Windows, Linux o MacOS. Io baserò il mio documento sul primo sistema (quello che uso sul portatile aziendale). Basterà scaricare CNTLM cliccando qui (qui per tutti gli altri sistemi), scompattarlo in una qualsiasi cartella del vostro HD e avviare il file “setup.bat“. Questo copierà alcuni file nel sistema e creerà il servizio “Cntlm Authentication Proxy“, che sarà visibile semplicemente aprendo la finestra dei servizi della macchina (Start / Esegui / services.msc), come in figura:

Cntlm Authentication Proxy - Services.msc

Prima di poter avviare il servizio sarà però necessario configurare le proprie credenziali in un file INI contenuto nella cartella del programma. Lo trovate in C:\Programmi\Cntlm, file cntlm.ini. Basterà inserire lo username, la password ed il dominio, specificare l’indirizzo IP (o il nome) del proxy aziendale, scegliere una porta del sistema locale dove far puntare poi Dropbox e salvare. Uscire quindi dal file per concludere l’operazione:

CNTLM - Configurazione parametri utenza sul proxy

Fatto ciò si potrà avviare CNTLM per poter lavorare con Dropbox. Basterà aprire un prompt di MS-DOS e lanciare la stringa “net start cntlm“, come in figura:

CNTLM - Avviare il servizio - net start cntlm

Fatto questo basterà far passare la comunicazione Dropbox (client / server) dal PC locale che sarà utilizzato come proxy. Andare nelle impostazioni del client (tasto destro sull’icona nella tray, Preferences) ed inserire manualmente le informazioni, come in figura (occhio alla porta se l’avete modificata nel file di configurazione di CNTLM):

Dropbox - Configurazione tramite CNTLM

Così facendo spunterà fuori l’icona attività di Dropbox e i vostri documenti ricominceranno a sincronizzarsi con il server e con le altre postazioni che sfruttano lo stesso account! Va da se che per poter bloccare il servizio basterà lanciare la stringa “net stop cntlm“, sempre utilizzando il prompt dei comandi:

CNTLM - Fermare il servizio - net stop cntlm

Mi pare non manchi proprio nulla a questo punto. Per dubbi e perplessità -come sempre- c’è l’area commenti.

Buon lavoro! :-)

Page 15 of 22« First...«1314151617»...Last »