Archives For Intel

Scorri l’articolo più in basso per leggere l’aggiornamento.

Una serie di coincidenze “poco simpatiche” mandano in Blue Screen of Death (BSOD) Windows 10 1709 sui Lenovo T440s, ma dando un’occhiata in giro per le community (ufficiali e non) si scopre che siamo (noi possessori di questa specifica macchina) in ottima compagnia, con molti altri modelli (anche di vendor diversi) che mostrano gli stessi sintomi e catastrofici risultati post-installazione della patch cumulativa di Microsoft che “mitiga” gli effetti di Meltdown e Spectre, KB4056892.

BSOD su Windows 10, Lenovo T440 e KB4056892

Il rilascio del KB4056892 risale allo scorso 3 gennaio, eppure è passato quel tempo che basta per far finta che tutto funzioni correttamente, pur mostrando quei segni pesanti di rallentamento di cui Microsoft ha parlato nel suo articolo riepilogativo. Con un aggiornamento del BIOS (il 2.46 fa parte dei colpevoli, rilasciato da Lenovo lo scorso dicembre) ecco che la frittata è pronta per essere servita e consumata a suon di BSOD che ogni volta mostrano una motivazione differente rispetto alla precedente, che bloccano il tuo lavoro senza preavviso, che vengono lì a estorcerti imprecazioni non ripetibili anche se sei solito trattenerti (o almeno provarci).

La frustrazione ha l’indirizzo di un thread sul forum di Lenovo, all’interno di quella discussione c’è chi questo problema lo ha rilevato e lo ha mal digerito, insieme a chi si è fatto avanti facendo presente che si può verificare anche su modelli differenti di PC dello stesso vendor. Puoi dare un’occhiata anche tu, ti basta puntare il browser verso forums.lenovo.com/t5/ThinkPad-T400-T500-and-newer-T/KB4056892-multiple-problems-on-T440s/td-p/3933019. Sembra che il bug sia lo stesso mostrato da Windows 1703 (il precedente major update di sistema), solo che cambia il KB, in questo specifico caso è il KB4056891.

Ti basta aprire il Visualizzatore Eventi del sistema operativo per assistere a un vero e proprio tappeto di warning del WHEA-Logger, e come non bastasse anche un’analisi postuma con applicazioni apposite porta a nulla di fatto perché non veritiera rispetto a ciò che sta accadendo:

Esiste una soluzione?

Ufficialmente? Non ancora, considerando che si tratta di una combinazione di fattori e di un microcode Intel (integrato nell’aggiornamento BIOS di Lenovo) che porta un errore che verrà corretto solo a marzo (secondo il bollettino ufficiale di Lenovo). Esiste però un workaround. Probabilmente la “pezza” non ti piacerà, ma sembra essere attualmente l’unica cosa che può salvarti dai ripetuti BSOD a tradimento durante il corso della giornata lavorativa.

Pur non disinstallando il KB4056892, puoi limitarne gli effetti sul sistema. Ricordi che ti avevo parlato di quel controllo da effettuare via PowerShell?

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings

continua su: gioxx.org/2018/01/04/meltdown-spectre

Ecco, dopo un paio di modifiche ad altrettante chiavi di registro e un riavvio della macchina (necessario per applicare la modifica, la quale non potrebbe diversamente entrare in funzione), ti ritroverai nella condizione di patch installata e parzialmente funzionante.

Apri un prompt di PowerShell come amministratore e lancia questi due comandi per ritoccare le chiavi di registro FeatureSettingsOverride e FeatureSettingsOverrideMask, messe a disposizione degli amministratori di sistema da Microsoft, proprio per casi di emergenza come questi:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Salvo errori, ti verrà confermata a video la modifica per entrambi i valori. Riavvia la macchina. Quando tornerà operativa potrai lanciare nuovamente PowerShell e chiederle di effettuare la verifica di copertura contro Meltdown e Spectre, il risultato sarà “sì, tutto a posto, almeno credo“:

Vedrai con i tuoi stessi occhi che la patch, seppur installata, ti dirà a video che è parzialmente limitata nella sua invasività (“disabled by system policy“, nda). Probabilmente noterai maggiore reattività nelle operazioni che prima ti sembravano rallentate e –con tutti i dovuti scongiuri del caso– dovresti ora riuscire a lavorare in tranquillità senza avere a che fare con ulteriori riavvii a tradimento causati da BSOD.

Credi che sia finita qui? Io no, ci sarà quasi certamente ancora altro da scoprire, altro per cui scervellarsi e trovare metodi per risolvere (o metterci la pezza in attesa della corretta soluzione, come stavolta).

update

Aggiornamento del 23/1/18 _

L’articolo è stato chiaramente scritto qualche giorno fa e messo in schedulazione per la pubblicazione nella mattinata di oggi (23 gennaio, nda). Allineandoci insieme a un collega, abbiamo notato che nella giornata di ieri Intel ha rilasciato pubblicamente un aggiornamento al suo Advisory (quello originale del 3 gennaio scorso), includendo alcune “simpatiche novitàriguardo alcuni BSOD causati dagli aggiornamenti –proprio– del 3 gennaio per macchine che montano generazioni precedenti di loro processori (Haswell e Broadwell):

Updated Jan. 22

We have now identified the root cause of the reboot issue impacting Broadwell and Haswell platforms, and made good progress in developing a solution to address it. Based on this, we are updating our guidance for customers and partners:

  • We recommend that OEMs, Cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions on the below platforms, as they may introduce higher than expected reboots and other unpredictable system behavior.
  • We also ask that our industry partners focus efforts on testing early versions of the updated solution for Broadwell and Haswell we started rolling out this weekend, so we can accelerate its release. We expect to share more details on timing later this week.
  • For those concerned about system stability while we finalize the updated solutions, we are also working with our OEM partners on the option to utilize a previous version of microcode that does not display these issues, but removes the Variant 2 (Spectre) mitigations. This would be delivered via a BIOS update, and would not impact mitigations for Variant 1 (Spectre) and Variant 3 (Meltdown).

We believe it is important for OEMs and our customers to follow this guidance for all of the specified platforms listed below, as they may demonstrate higher than expected  reboots and unpredictable system behavior.  The progress we have made in identifying a root cause for Haswell and Broadwell will help us address issues on other platforms. Please be assured we are working quickly to address these issues.

For a list of products associated with this updated guidance go here

Il passaggio relativo al punto tre della lista “parla da solo“, introducendo quello che può essere considerato a tutti gli effetti un passo indietro sulla possibilità di mitigare gli effetti di Spectre (la seconda variante, nda) in nome di una maggiore stabilità, intervenendo sul microcode ed escludendo ciò che causa oggi (per chi ha eseguito ogni aggiornamento precedentemente consigliato) quei BSOD. Il fix busserà alle porte delle nostre macchine sotto forma di aggiornamento del BIOS (come già successo e descritto nel mio articolo originale).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Che poi capisci che si tratterà di un anno scoppiettante e frizzantino già da ciò che accade nei primi giorni dell’anno. E mentre l’Italia si indigna pesantemente per il centesimo di costo richiesto per il sacchetto “biodegradabile” del supermercato (qui qualche informazione in più), tutto il resto del mondo (e credo anche la pressoché totalità di figure informatiche nostrane) ha di meglio a cui dedicare poltrona e pop-corn, buon anno a te da #Meltdown e #Spectre!

#Meltdown e #Spectre: buon 2018!

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

meltdownattack.com

Avevo pubblicato gli auguri di buon anno così sulla pagina Facebook del blog, e nonostante la gravità dei fatti forse molti non si erano ancora accorti della reale portata, distratti dall’ultima fetta di panettone accompagnata da chissà quale Brut servito ghiacciato.

Di come Meltdown e Spectre possano essere parecchio pericolosi per la privacy dei nostri dati ne hanno già abbondantemente parlato tutti, chi più, chi meno approfonditamente (con e senza grossolani errori), la fazione di clienti possessori AMD sta già -inutilmente- esultando, quello che voglio fare io è semplicemente raccogliere una serie di link verso quegli articoli e approfondimenti già pubblicati, che raccontano in maniera giusta qual è il problema. Continuerò ad aggiornare questa “rassegna” aggiungendo –se necessario– osservazioni e spunti di discussione, perché sono certo che ogni collega lì fuori sta facendo tutto tranne che sorridere o esultare per l’arrivo di questo nuovo anno all’insegna dell’ennesimo bug di sicurezza che assomiglia più a una voragine senza fondo! (e qui ci sta particolarmente bene questo tweet).

Meltdown / Spectre Attack: di cosa si tratta

5/1/18

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. In the coming days they plan to release mitigations in Safari to help defend against Spectre. They continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Meno tecnicamente parlando

Sì, ma in italiano?

19/1/18

Salvatore “antirez” Sanfilippo ha spiegato Meltdown e Spectre con una storia che potrebbe probabilmente capire anche tua nonna: medium.com/@antirez/spectre-e-meltdown-spiegati-al-mio-idraulico-cd4567ce6991

View story at Medium.com

5/1/18

La Stampa Tecnologia, Le falle nei processori: cosa c’è da sapere (Carola Frediani ha redatto un articolo che spiega in maniera molto semplice gli attacchi Meltdown e Spectre: lastampa.it/2018/01/05/tecnologia/news/le-falle-nei-processori-cosa-c-da-sapere-aLahTrrACHKgaVUTXbcevM/pagina.html

Sistemi / Software e patch

Partendo dal presupposto che sai benissimo (forse) che su Linux mi muovo poco e nulla, in ufficio ovviamente si parla dell’argomento a 360 gradi (abbiamo ogni OS client / server). Qualche riferimento più orientato al mio mondo (Microsoft / macOS), a quello della virtualizzazione (VMware) e al browser (sempre più strumento principe di ogni giornata lavorativa).

5/1/18

Mozilla ha rilasciato Firefox 57.0.4, fai riferimento a “Speculative execution side-channel attack (“Spectre”), Mozilla Foundation Security Advisory 2018-01“: mozilla.org/en-US/security/advisories/mfsa2018-01. Download del pacchetto aggiornato: mozillaitalia.org/home/download/#firefox

9/1/18
  • Safari 11.0.2, Released January 8, 2018, Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208403
  • iOS 11.2.2, Released January 8, 2018, Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation. iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208401
10/1/18

Buon 2018 da #Meltdown e #Spectre! (aggiornato 9/1)

5/1/18
  • FreeBSD (alla base anche dei sistemi Quest Kace di cui ti parlo sporadicamente qui nel blog), riporta:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We’re working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Vedi: freebsd.org/news/newsflash.html#event20180104:01

Gianluca, fonte inesauribile di riferimenti e di competenza, ha pubblicato su Facebook un aggiornamento di stato riguardante i PoC Javascript ormai disponibili pubblicamente, utili per eventuali attacchi browser-based, per i quali occorre proteggersi quanto prima:

Per quanto riguarda i client antivirus, ti rimando a un documento Google che raccoglie i dettagli di vendor / prodotto / data di rilascio per un fix (lato AV, nda), necessario per poter accedere agli aggiornamenti che ti metteranno al riparo –per quanto possibile– da Meltdown (via Windows Update), come riportato ufficialmente da Microsoft:

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.

Contact your Anti-Virus AV to confirm that their software is compatible and have set the following  REGKEY on the machine
Key=”HKEY_LOCAL_MACHINE”Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type=”REG_DWORD”
Data=”0x00000000”

Per esempio, in questo momento ti confermo che forzando l’installazione della patch su Windows con Symantec Endpoint Protection installato, si va a finire in un vicolo cieco che ti porterà unicamente a un BSOD (sarai costretto a usare DISM via prompt dei comandi in modalità recovery, per disinstallare il KB e poter tornare a lavorare su Windows correttamente).

Buon 2018 da #Meltdown e #Spectre! 2

5/1/18

Symantec ha rilasciato l’aggiornamento promesso, puoi verificare tu stesso dalla finestra di Troubleshooting, il modulo “Eraser” deve avere una versione pari o maggiore alla 117.3.0.358 (nel mio caso è già alla 359).

Buon 2018 da #Meltdown e #Spectre! 3

Su Microsoft Windows

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings:

Buon 2018 da #Meltdown e #Spectre!

Nel mio caso, come facilmente capirai, il sistema non è ancora stato patchato. In alternativa, se PowerShell non fa per te, dai un’occhiata a questo tool. Se hai anche tu Windows 10 (aggiornato a 1709), qui trovi i dettagli sull’update che riguarda (tra le altre cose) le due nuove vulnerabilità.

9/1/18
  • AMD e patch Microsoft: la coppia che scoppia. Microsoft ha temporaneamente disattivato la distribuzione delle patch per Meltdown e Spectre su sistemi che montano processori AMD perché -in alcuni casi- si arriva in un vicolo cieco che porta esclusivamente a BSOD:

Microsoft has reports of some customers with AMD devices getting into an unbootable state after installing this KB. To prevent this issue, Microsoft will temporarily pause Windows OS updates to devices with impacted AMD processors at this time.
Microsoft is working with AMD to resolve this issue and resume Windows OS security updates to the affected AMD devices via Windows Update and WSUS as soon as possible. If you have experienced an unbootable state or for more information see KB4073707. For AMD specific information please contact AMD.

fonte: support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

e ancora:

Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates. After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown. To prevent AMD customers from getting into an unbootable state, Microsoft will temporarily pause sending the following Windows operating system updates to devices with impacted AMD processors

fonte: support.microsoft.com/en-us/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

10/1/18

Microsoft Secure (blog), Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems: cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Una panoramica completa

Trovi su GitHub una pagina che cerca di raccogliere tutti i riferimenti più utili verso documenti e patch riguardanti i vari sistemi, è disponibile puntando il browser all’indirizzo github.com/hannob/meltdownspectre-patches.

5/1/18

La pagina è stata aggiornata, includendo molti più sistemi / applicazioni e relativi riferimenti alle advisories e alle patch già disponibili. Ti consiglio caldamente di darci un’occhiata (e tenerla comunque a portata di mano nel corso delle prossime ore / prossimi giorni).

Condividi l'articolo con i tuoi contatti:

Ok l’ho fatto. Dopo anni di giochi e modifiche varie tra firmware dei router e hard disk portatili, ho detto basta. L’ho detto per la scarsa velocità di trasferimento dei dati, l’ho detto perché mi secca dovermi ricordare di collegare un disco USB al mio MacBook per mettere al sicuro i miei dati, l’ho detto perché avevo creato alcuni “single point of failure” difficili da sopportare ormai, soprattutto perché in alcuni casi non avevo alcuna copia di sicurezza in Dropbox. L’obiettivo era diventato ormai unico: centralizzare. Per questo motivo sono tornato a far parte della schiera di clienti Synology, ho acquistato un Synology DS216j.

Un NAS per casa: Synology DS216j

La soluzione ideale sarebbe stata quella in grado di accentrare i miei dati in un unico posto, raggiungibile anche dall’esterno (adottando opportuni accorgimenti di sicurezza), che mi permettesse di recuperare file anche da postazioni remote (come i PC di casa dei miei genitori a Ravenna, tanto per dire, o magari uno smartphone). L’acquisto del Synology DS216j è stato dettato dal rapporto tra qualità e prezzo, le sue caratteristiche mi hanno soddisfatto inizialmente sulla carta, in seguito anche sul campo da battaglia. L’acquisto è stato fatto in combinazione con un doppio disco Western Digital Red da 2 TB, specifico per NAS:

Primo approccio e avvio

Il NAS è molto bello, elegante, leggero. Il suo peso maggiore deriva in realtà dalla somma del peso dei dischi che ospita, nel mio caso meccanici e “non troppo snelli“, devi però pensare che potresti utilizzare dei dischi SSD da 2,5″ (con slitta per poterli alloggiare e bloccare negli slot da 3,5”), anche se non consigliato (considera che i dischi SSD ai quali siamo abituati noi oggi, a meno di acquistarli specificatamente per questo mestiere, non sono fatti per sopportare carichi di lavoro molto pesanti, h24, per chissà quanto tempo). Nonostante quello che dice la mia dolce metà, un oggetto simile non sfigura in salotto, di fianco al televisore o in altra posizione, purché (consiglio molto spassionato) sia a portata di un cavo di rete che lo collegherà al tuo router (meglio se Gigabit). Pensare di collegarlo alla rete di casa affidandosi magari a dei rilanci WiFi è veramente un azzardo (e in alcuni casi rende inutile l’investimento).

Nella scatola c’è tutto il necessario per procedere con il montaggio dei due dischi previsti dal NAS (affinché tu possa sfruttare così il RAID 1 che nascerà senza chiederti alcunché, parte vantaggiosa anche per chi non è proprio abituato a giocare con questo tipo di strumenti) e, una volta fatto tutto, chiuso e avvitato, potrai collegarlo alla rete elettrica e quella dati, quindi accenderlo. Da ora in poi, ci vorranno circa 5 minuti prima di sentire un “bip” audio che ti permetterà di capire che il NAS è pronto a farti fare il primo accesso. Se hai confidenza con la console del tuo router, troverai facilmente l’IP che il prodotto si è preso dal DHCP (e potrai puntarci il browser sin da subito). In caso contrario, potrai (dovrai) scaricare l’applicazione “Synology Assistant” dalla pagina synology.com/it-it/support/download/DS216j, che cercherà al posto tuo il dispositivo.

Verrai così guidato verso l’interfaccia di accesso al sistema operativo montato a bordo di questi NAS (nel caso di Synology, il DiskStation Manager, DSM per comodità), che ti guiderà nel corso di una prima configurazione e preparazione dei dischi, così come all’aggiornamento del sistema operativo. Il tutto, considerando i tempi di comprensione di una persona media, occuperà circa mezz’ora di tempo (ammesso che tu abbia anche una decente connessione dati).

Un NAS per casa: Synology DS216j 1

Applicazioni

Il Synology DS216j, così come gli altri prodotti di più basso, pari o maggiore livello, propongono un collegamento a uno store (il “Centro pacchetti“) che permette di installare applicazioni a bordo dell’apparato. Tali applicazioni ti permetteranno di ampliare il bouquet di servizi a tua disposizione, che esulano dal mero spazio disco che puoi “mappare” sul tuo PC, ma che comunque riportano all’utilizzo di quei dischi che pulsano al suo interno. È così facendo che potrai –per esempio– creare un mirror dei contenuti che ospiti sul tuo Dropbox, mettere in piedi un Media Center o un punto unico che concentri tutte le fotografie scattate, tue e dei tuoi familiari, anche da cellulare.

Un NAS per casa: Synology DS216j 2

Ogni applicazione è descritta anche in italiano, tutto viene spiegato in maniera chiara, difficile sbagliarsi, tuttalpiù si farà qualche test, ci si accorgerà di non aver messo in piedi l’applicazione necessaria per la propria esigenza e la si disinstallerà, passando al successivo test, diventa anche un modo come un altro per conoscere meglio lo strumento che si ha a disposizione, le sue possibilità e le proprie capacità nel configurarlo al meglio.

Il Centro pacchetti però, come prevedibile, è limitato, il numero di applicazioni è importante ma non infinito, per questo motivo esistono fonti esterne che permettono di espandere quel catalogo proponendo nuovi software, tutti in grado di girare su DSM (appositamente pacchettizzati). Uno dei possibili assi della manica è synocommunity.com, che darà accesso in maniera semplice a un bel bouquet (qui potrai farti un’idea: synocommunity.com/packages). Una volta aggiunta la fonte al proprio Synology, si potrà aggiungere una qualsiasi tra le applicazioni disponibili passando direttamente dal Centro pacchetti, al quale nel frattempo ti sarai abituato.

Un NAS per casa: Synology DS216j 3

Personalizzazione e risorse

Personalizzare il proprio Sinology è semplice, devi soltanto curiosare tra le sue opzioni, perdi il giusto tempo per capirle e provarle, possibilmente senza spingerti oltre quello che a primo colpo non comprendi, perché si tratta di dispositivi molto venduti e quindi molto discussi e supportati dalla comunità. Se non vuoi perderti nelle decine di alternative in lingua inglese (anche se personalmente te le consiglio), puoi sempre fare riferimento a qualcosa di nostrano, come synologyitalia.com. Il forum affronta le varie tematiche legate a questo mondo, ai modelli di Synology sul mercato (e non solo), pacchetti da installare e metodi alternativi a quello previsto di fabbrica, firmware.

Un NAS per casa: Synology DS216j 4

Se vuoi evitare di configurare il tuo router (oppure non puoi perché dietro NAT) in modo da raggiungere il NAS anche quando sei fuori casa, utilizza il servizio messo a disposizione da Synology. Si chiama QuickConnect e lo trovi facilmente nelle impostazioni di connettività del prodotto. Dovrai registrare un account di posta elettronica attraverso il quale gestire il tuo ID (quindi l’URL da raggiungere) e le impostazioni di accesso alle applicazioni e ai servizi, ma per effettuare il login sul NAS continuerai a utilizzare l’utente che hai creato in fase di primo avvio (oppure un diverso utente creato successivamente, magari per essere passato alla tua compagna o a un tuo amico). Funziona un po’ come con TeamViewer o prodotti simili. A prescindere dalla tua rete di casa, farai ponte sui server Synology per raggiungere il tuo NAS, un po’ come fosse un proxy ;-)

Nella mia attuale configurazione

Avere un NAS in casa risolve molti problemi legati alla centralizzazione dei dati e alla loro sicurezza (data dal RAID), ma questo credo che tu l’abbia capito dopo così tante righe di articolo. Ciò che -forse- ti interessa di più, è capire come mettere in pratica il tutto, un suggerimento di configurazione. Provo a descriverti sommariamente la mia, magari ti può tornare utile anche per specifiche tue esigenze.

Dropbox anche per Windows Xp

Lo so benissimo, Windows Xp non dovrebbe più esistere sulla faccia della terra, hai ragione. Ho una vecchia macchina, un Netbook (te li ricordi ancora?), montava Windows Xp Sp 3 in origine, lo avevo formattato e ci avevo installato Windows 7, cercando di ottimizzarlo quanto più possibile, ma sono dovuto tornare indietro dopo circa un anno, le prestazioni sono calate (parecchio).

Lo utilizza ancora la consorte, ci tiene in ordine le ricette di cucina, le spese, ci naviga e controlla la posta, nulla più. Fino a quando vivrà, avrà bisogno di Dropbox, perché è lì sopra che tiene in backup tutto. Dropbox però non supporta più Windows Xp, dall’agosto dello scorso anno.

Utilizzo già Cloud Sync sul Synology DS216j, ho solo dovuto creare un utente ad-hoc per quel PC, aggiungere una voce all’elenco attività del connettore Dropbox (è facile, ti basterà seguire una procedura guidata molto banale) tenendo l’attività in sincronizzazione bidirezionale ed ecco fatto, una semplice mappatura di rete su quel Netbook permetterà di tenere vivo il collegamento con Dropbox, il resto è stato solo un junction su Windows Xp (roba del 2010 eh, nulla di nuovo sotto al sole).

Manca un client FTP

Davvero, una cosa stupida, che attualmente non esiste ma che spero possa essere integrata in una prossima versione del DSM. C’è il work-around, per motivi abbastanza ovvi, e si basa su un semplice script e sul sempreverde wget. Riassumo: un processo schedulato, un collegamento FTP e una cartella nella quale depositare i dati.

Il codice è abbastanza banale, e non servirà null’altro per portare a termine l’operazione:

wget -m ftp://<username>:<password>@<server_ip>/* -P /volume1/CARTELLABACKUP

Ovviamente al posto di <username> e <password> andranno indicati i relativi dati di collegamento al tuo spazio FTP, così come al posto di <server_ip> il giusto server. Dovrai modificare anche /volume1/CARTELLABACKUP con la destinazione corretta, quella scelta sul tuo NAS, per ospitare i dati che vuoi scaricare per tenere da parte un backup.

Cosa c’è di sbagliato in tutto questo? Nulla, sulla carta, nella pratica non riuscirai a controllare un avanzamento di quanto appena lanciato (puoi verificare l’occupazione cartella di destinazione e il numero di file che compariranno al suo interno, è vero), così come non riuscirai a bloccare il processo da interfaccia grafica (dovrai abilitare il collegamento SSH al tuo NAS e fare tutto da terminale), al massimo potrai monitorarlo.

Mi spiace, niente Google Photos

Un’altra mancanza. Niente work-around stavolta, a meno di far passare l’archivio fotografico da Google Drive, ma in quel caso viene a meno quella caratteristica così comoda messa a disposizione da big G, lo spazio non limitato sui server di Mountain View a patto di tenere la risoluzione non originale (ma comunque di buona qualità), ideale per le fotografie scattate da cellulare.

Avrei voluto mettere in piedi un ponte per tenere sotto backup le fotografie dei miei smartphone e di Ilaria, ma non solo. Ho provato a dare un’occhiata a Photo Station (applicazione consigliata per chi possiede un Synology) ma non mi ha soddisfatto. Resteremo su Google Photos, con la speranza che venga integrato in una delle applicazioni del DSM in futuro.

Un Plex sempre Ready to go, quasi

Ho installato Plex sul Synology DS216j, funziona bene, sono soddisfatto e ho ovviamente aggiornato il tutto secondo documentazione ufficiale, odio quando un pacchetto è troppo indietro rispetto alla release ufficiale dello sviluppatore, e quelli di terze parti su Synology non vengono proprio aggiornati tempestivamente (ho notato che la versione 0.99 è rimasta quella “più aggiornata” secondo il NAS per diverso tempo, quando in realtà eravamo arrivati ben oltre da diversi mesi). Ho scritto prima di questo rispetto al pezzo dedicato all’oggetto intero, speravo di chiuderlo un po’ prima ma evidentemente non è andata così.

Un NAS per casa: Synology DS216j 9

La pecca? Non tutti i file video vengono correttamente processati e mandati in onda sul televisore (tramite Chromecast), per alcuni serve un po’ più potenza di fuoco (CPU e RAM) per poter essere correttamente encodati e mandati in streaming. Per questo motivo sono stato costretto a riaccendere il Plex della macchina Windows sempre viva in casa, è lei che si occupa di fare quel mestiere con i file più ostici, pur prendendoli da NAS.

In conclusione

Un buon prodotto, modulabile (considerando le applicazioni disponibili ufficialmente ma anche quelle provenienti da altre repository), che si adatta abbastanza facilmente alle esigenze ma che ancora ha qualche piccola lacuna che -credo- non sarà difficile da colmare, e il tempo potrà dire se questo mio “vecchio articolo” (quando lo sarà) ci aveva visto giusto o no.

Synology non tradisce e riesce anche a mettersi al livello di quel consumatore che probabilmente non conosce poi così bene l’argomento, che non è abituato a parlare di mirroring o script da terminale, è un po’ a portata di chiunque (l’importante è volersi applicare). Non ho volutamente parlato di specifiche prettamente tecniche, non sono voluto scendere in quel dettaglio che potresti non riuscire a seguire dopo qualche riga, per i puristi c’è sempre la pagina dedicata (e qui trovi anche le prestazioni misurate).

Il costo dell’apparato è sufficientemente bilanciato a ciò che si ottiene. Rimane una spesa tutto sommato contenuta se si possiedono già i dischi fissi, tutto aumenta se devi mettere in piedi da zero il tuo concentratore di dati, come nel mio caso, e ti consiglio personalmente di investire qualche soldino in più ma fare le cose per benino, non comprare a occhi chiusi se non sei sicuro di quello che stai per fare. Già che ci sei, utilizza il sito web di Synology per verificare la compatibilità del Synology DS216j con prodotti di terze parti (hard disk compresi): synology.com/it-it/compatibility?search_by=products&product_bays=2&product_name=DS216j.

Mi sembra –e credo– di aver scritto tutto quello che mi sembrava giusto riportare, ovviamente l’area commenti è a totale disposizione, per ogni dubbio in merito al prodotto e al suo sistema operativo, nei limiti delle capacità del sottoscritto :-)

fonti utilizzate: evotec.xyz/how-to-backup-ftp-to-synology

Disclaimer per un mondo più pulito
Gli articoli che appartengono al tag "Banco Prova" riportano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistare il prodotto e decidere di pubblicare un articolo ad-hoc in seguito, solo per il piacere di farlo e condividere con voi le mie opinioni. Ogni articolo rispetta -come sempre- il mio standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: tutto pagato di tasca mia (sono circa 300€ di spesa). È un bell'investimento ma risolve tante beghe.
Condividi l'articolo con i tuoi contatti:

Uso ormai Plex da una vita e, con l’arrivo del Synology DS216j in casa, ho scelto di spostare il Media Center dalla macchina Windows di casa al NAS, in fondo i contenuti si trovano su quest’ultimo, perché quindi non tenere tutto sotto lo stesso tetto? Ho trasferito tutto, installato e riconfigurato Plex esattamente come quello che ho poi spento in seguito su Windows. Il problema però è che il pacchetto Plex proposto dal centro di installazione Synology nasce vecchio.

Synology: aggiornare Plex manualmente

Si può effettuare l’aggiornamento manuale, basta solo qualche accortezza e un paio di informazioni che puoi recuperare facilmente dalle informazioni del NAS. Affrontiamo tutto per punti.

Synology: aggiornare Plex manualmente 5

Info e Download

Accedi al tuo NAS tramite interfaccia web, entra nel Pannello di controllo e accedi alle informazioni del dispositivo (Centro informazioni, nda). Ti serve verificare che tipo di processore monta, se Intel o ARM. Nel mio caso è il secondo, come da immagine:

Synology: aggiornare Plex manualmente 1

A questo punto scarica il giusto pacchetto per il tuo Synology dalla pagina plex.tv/downloads, e tienilo da parte. Dovrai prima andare a fare qualche modifica nelle impostazioni del NAS.

Accedi al Centro pacchetti, quindi alle Impostazioni. Dovrai ora modificare il livello di fiducia per le fonti di installazione. Sposta il check sulla seconda opzione (Synology Inc. ed editori fidati) e scarica nel frattempo la chiave pubblica di Plex all’indirizzo downloads.plex.tv/plex-keys/PlexSign.key. Ora spostati sulla voce “Certificato” e importa la chiave appena scaricata:

Un clic su Salva per chiudere la finestra e il gioco è fatto. La parte relativa alle impostazioni è terminata. Puoi ora caricare manualmente il pacchetto. Fai clic su “Installazione Manuale” e carica il pacchetto di Plex che hai scaricato dal suo sito ufficiale a inizio articolo, ti verrà poi richiesta ultima conferma prima di procedere (si tratta pur sempre di un pacchetto che non arriva ufficialmente da Synology):

Il gioco è fatto, la versione dovrebbe essere già cambiata nel Centro pacchetti di Synology, ti basterà accedere a Plex (via web) e andare nelle impostazioni del server per avere anche l’ultima conferma.

È una procedura semplice ma seccante, me ne rendo conto, perché Synology non propone i pacchetti costantemente rilasciati da Plex, e non c’è modo di automatizzare il processo, dovrai quindi ripetere l’operazione in futuro per tenere sempre tutto aggiornato, e sfortunatamente non puoi semplicemente fare un clic su “Aggiorna ora manualmente” quando ti compare in Plex.


fonti utilizzate:
jeremywsherman.com/blog/2015/11/08/updating-plex-on-synology-nas
support.plex.tv/hc/en-us/articles/205165858

Condividi l'articolo con i tuoi contatti:

Il messaggio che compare a video è poco eloquente, eppure segnala un evidente problema nato durante l’installazione di un software.

KB3172605 and/or KB3161608 are installed in your system. Please uninstall KB3172605 and/or KB3161608 before installing this driver.

Scoprirò in seguito che si tratta di un driver, quello bluetooth per l’esattezza. Una rapida ricerca nei forum di Microsoft ed ecco che salta immediatamente fuori la segnalazione (ce ne sono diverse altre, una in particolare è palese). Non sono il solo a lamentarlo (e fin qui era stata semplice, perché alcuni utenti in ufficio mi avevano detto di aver visto la stessa finestra comparire a tradimento da un paio di settimane), si tratta di un errore che nasce dall’accoppiata Microsoft e Lenovo System Update (in alcuni configurazioni viene anche chiamato “Lenovo – Aggiornamento e driver“, nda).

Lenovo: modificare il BIOS eliminando il Secure Boot (UEFI)

Ho fatto ulteriori ricerche, tutto sembra essere partito a luglio dello scorso anno (Microsoft yanks buggy speed-up patch KB 3161608, replaces it with KB 3172605 and 3172614), si parla -appunto- dei driver bluetooth di Intel. Microsoft ha rilasciato un paio di KB che quasi certamente avrai anche tu sulla tua macchina Lenovo, la quale però tenterà di far installare alla sua utility una nuova versione del driver durante uno dei controlli settimanali pianificati di default, i due KB di Microsoft non possono però coesistere (in questo ordine) con il fix ordinato da Lenovo:

KB3172605, KB3161608 e Lenovo System Update

KB3172605 and/or KB3161608 are installed in your system. Please uninstall KB3172605 and/or KB3161608 before installing this driver.

Partendo dal thread sul forum di Microsoft, pare che qualcuno sia uscito fuori dal tunnel disinstallando le KB manualmente, facendo seguire poi l’aggiornamento del driver così come richiesto (da Lenovo System Update), e lasciando poi che Windows Update facesse nuovamente il suo lavoro (cioè reinstallasse i due KB): answers.microsoft.com/thread/bd93ab91-5d9b-434a-a10e-d6574ca97180.

Prova ora a immaginare circa 500 macchine con lo stesso problema, capisci bene che è letteralmente impensabile intervenire così come riportato dall’utente nel forum. Potrei chiedere al nostro WSUS di rimuovere i due pacchetti e tenerli fermi (per il momento), lasciare che System Update lavori, rilasciare nuovamente i due KB. Ho notato però, dopo diversi test e ricerche, che non tutti i System Update propongono l’aggiornamento come “Critical“, a causa del fatto che alcune macchine non hanno precedentemente aggiornato quel driver (non arrivato quindi alla versione interessata dal problema), rendendo di fatto inutile questo metodo:

KB3172605, KB3161608 e Lenovo System Update 1

Ho scelto quindi di tenere fuori dai giochi il Lenovo System Update, non impedendo certo il suo utilizzo, ma andando a staccare quella che è la schedulazione che viene creata di default su ogni macchina Lenovo (la puoi verificare tu stesso avviando l’applicazione e facendo clic su Pianifica aggiornamenti). Per operare ho scelto di creare una GPO ad-hoc, ti spiego rapidamente come replicare nel tuo ambiente aziendale. Se sei un utente casalingo e vuoi risolvere rapidamente il problema, salta all’ultimo paragrafo dell’articolo :-)

Goodbye System Update

Il Lenovo System Update ha due schedulazioni predefinite che partono al logon dell’utente e una volta a settimana. La seconda è quella che si occupa del download e dell’installazione degli update definiti critici. Teoricamente ogni utente può scegliere di modificare questo comportamento andandolo a variare dall’applicazione stessa (come spiegato poco fa), la mia modifica segue il suggerimento di questo articolo e inibisce all’utente tale possibilità.

Regedit, XML, GPO

Il metodo è sempre lo stesso. La chiave di registro da modificare è la HKLM\SOFTWARE\Wow6432Node\Lenovo\System Update\Preferences\UserSettings\Scheduler (su un sistema a 32 bit si salterà la \Wow6432Node\), il valore è lo SchedulerAbility, che cambierà da YES a NO.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lenovo\System Update\Preferences\UserSettings\Scheduler]
"SchedulerAbility"="NO"

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\System Update\Preferences\UserSettings\Scheduler]
"SchedulerAbility"="NO"

La chiave, trasformata in XML, darà questo risultato (non è indentato, lo so):

<?xml version="1.0" encoding="UTF-8"?>
<Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Disable Lenovo System Update"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="HKEY_LOCAL_MACHINE"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="SOFTWARE"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Wow6432Node"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Lenovo"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="System Update"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Preferences"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="UserSettings"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Scheduler"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="SchedulerAbility" status="SchedulerAbility" image="7" changed="2017-01-16 16:01:08" uid="{8D71093F-6362-7087-5ED8-94EDBD7719C6}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_LOCAL_MACHINE" key="SOFTWARE\Wow6432Node\Lenovo\System Update\Preferences\UserSettings\Scheduler" name="SchedulerAbility" type="REG_SZ" value="NO"/><Filters/></Registry></Collection></Collection></Collection></Collection></Collection></Collection><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Lenovo"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="System Update"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Preferences"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="UserSettings"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Scheduler"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="SchedulerAbility" status="SchedulerAbility" image="7" changed="2017-01-16 16:01:08" uid="{0D58379E-C99A-0B72-264C-4143F8AD0680}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_LOCAL_MACHINE" key="SOFTWARE\Lenovo\System Update\Preferences\UserSettings\Scheduler" name="SchedulerAbility" type="REG_SZ" value="NO"/><Filters/></Registry></Collection></Collection></Collection></Collection></Collection></Collection></Collection></Collection>

A questo punto è tutto in discesa. Dal Group Policy Management Editor crea la nuova GPO e naviga in Computer ConfigurationPreferencesWindows SettingsRegistry. Copia il codice XML che vedi qui sopra e incollalo direttamente nella finestra del Group Policy Management Editor (nella parte destra, quella del Registry), otterrai un risultato simile a quello in figura :-)

KB3172605, KB3161608 e Lenovo System Update 2

A questo punto potrai assegnare la GPO ai domini che ti interessano (mantieni il filtro di sicurezza su Authenticated Users). Non appena questa andrà ad applicarsi ai PC gestiti, nessuno più lamenterà l’anomalia (e le operazioni schedulate spariranno da Windows).

Come lo risolvo sul mio PC di casa?

Scarica la chiave di registro che trovi sul mio spazio box: app.box.com/s/v4xhf99dx8lxjbi5c0qir2l4gzhtgvpo.

Fai doppio clic sul file scaricato, conferma la modifica delle informazioni di registro e verifica che ora il tuo Lenovo System Update non effettui controlli e installazioni autonome (puoi controllarlo aprendo l’applicazione e facendo clic su Pianifica aggiornamenti, che ora dovrebbe essere completamente disabilitato).

KB3172605, KB3161608 e Lenovo System Update 3

Inutile dirlo, ma è chiaro che il mio è un work-around e non una soluzione al problema che spero Lenovo possa gestire in qualche maniera, basterebbe far saltare fuori una soluzione per mettere a posto l’anomalia e nulla più, nulla che poi non si possa gestire tramite GPO o un sistema di distribuzione software (almeno spero). Io continuerò a tenermi aggiornato tramite forum di Microsoft e Lenovo, aggiornerò questo articolo in caso ci fossero novità.

Buon lavoro! :-)

Condividi l'articolo con i tuoi contatti: