Archives For Microsoft Windows 2012

Per chi non dovesse utilizzare sistemi server in inglese, l’icona “This PC” altro non è che “Questo computer“. Questa, in via ufficiale, la si può far comparire sul Desktop solo utilizzando il ruolo “Desktop Experience” che puoi aggiungere dal Server Manager. In realtà non è proprio così, funziona un po’ come già spiegato in passato per il CleanMgr non a bordo sistema in maniera predefinita. Anche stavolta un semplice trucco ti permetterà di raggiungere l’obiettivo senza necessità di portarti dietro null’altro.

Win10Clean.ps1: uno script PowerShell per fare pulizia su Windows 10 1

Windows 2012 R2

Testato su Windows 2012 R2, il metodo deve funzionare senza problemi anche su Windows 2012. Apri un Prompt dei Comandi o, se preferisci, anche solo un Run (tasto Windows + R), quindi utilizza questo comando per far comparire la finestra che ti permetterà di selezionare le icone da visualizzare sul Desktop:

"%Systemroot%\system32\rundll32.exe" shell32.dll,Control_RunDLL desk.cpl,,0

A questo punto il risultato dovrebbe essere questo:

Windows 2012 R2: mostrare l'icona This PC senza Desktop Experience 1

Ti basterà selezionare le icone desiderate e confermare con OK.

Buon lavoro :-)


fonte: social.technet.microsoft.com/Forums/windowsserver/en-US/ae462bce-1c71-4a36-a0ce-1ef4ad0bc31e/how-to-show-computer-on-desktop?forum=winserver8gen, intervento di GC-Tech.

×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Un dominio contenente più unità organizzative, può avere necessità di creare gruppi di sicurezza con all’interno tutti gli utenti di una specifica OU. Per farlo, esiste il classico metodo manuale della ricerca * all’interno della OU → Seleziona tutti → Aggiungi a un gruppo, in alternativa torna utile la PowerShell e qualche riga di codice che ho recuperato da una vecchia discussione su ServerFault.

Creare un gruppo di Active Directory partendo da una OU

Si tratta infatti di un codice molto banale da comprendere e modificare per le proprie esigenze, utile anche per eliminare persone (avviandolo altre volte nel corso del tempo, non necessariamente in maniera manuale) che in quella OU non esistono più, ma che essendoci state in passato erano state precedentemente inserite all’interno del gruppo di sicurezza.

Spiego rapidamente cosa c’è da ritoccare:

  • $groupname (riga 2): dovrai dichiarare il nome del gruppo al quale aggiungere gli utenti della OU mantenendo gli apici e inserendo al loro interno il percorso completo del gruppo (CN/OU/DC).
  • $users (riga 3): modifica anche stavolta ciò che c’è tra gli apici posti dopo il -SearchBase, dichiarando il nome della OU dalla quale prelevare tutti gli utenti presenti nel momento in cui lanci lo script di PowerShell (OU/DC).
  • riga 11: copia dalla riga 3 ciò che hai appena modificato e incollalo tra gli apici che trovi subito dopo il -notlike. Questa condizione servirà a confrontare gli utenti presenti nel gruppo con quelli nella OU. Nel caso in cui un utente non faccia più parte della OU, verrà rimosso anche dal gruppo.

Lo script, che dovrà essere eseguito con diritti amministrativi sul Domain Controller di interesse, non fornisce alcun output di conferma a video. Una volta lanciato svolge il suo mestiere e tu potrai verificare l’effettiva buona riuscita andando ad aprire il gruppo che dovrà essere popolato partendo dalla OU.

Escludere gli utenti disabilitati

Se vuoi, puoi modificare il primo filtro di ricerca (quello relativo a $users) affinché vengano lasciati fuori gli utenti disabilitati. Si va quindi ad agire sulla riga 3:

$users = Get-ADUser -Filter * -SearchBase "OU=Contoso,OU=Utenti,DC=contoso,DC=local"

mettendo al posto dell’asterisco la specifica che permette di catturare solo gli utenti abilitati in dominio, ottenendo così:

$users = Get-ADUser -Filter {Enabled -eq $true} -SearchBase "OU=Contoso,OU=Utenti,DC=contoso,DC=local"

Schedulazione della modifica del gruppo

Rimane sempre valida la possibilità di richiamare uno script di PowerShell passando per le Operazioni Schedulate di Windows, così da mantenere il gruppo di sicurezza sempre aggiornato, in base a chi si trova all’interno della OU interessata. Per farlo, ti basterà creare una nuova attività di base e specificare il minimo indispensabile (riporto le voci in inglese qui di seguito, utilizzo la medesima lingua che generalmente si usa per i Windows Server installati in azienda):

  • Action: Start a program
  • Program/script: C:\Windows\system32\windowspowershell\v1.0\powershell.exe
  • Add arguments (optional): -command C:\scripts\Gruppo_dipendenti.ps1

(dove C:\scripts\Gruppo_dipendenti.ps1 dovrà essere modificato con la reale posizione e nome file assegnato allo script di PowerShell).

Il tutto è stato testato con successo su Windows Server 2012 R2. Per dubbi o suggerimenti, l’area commenti è a tua totale disposizione :-)

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Ciao. Ti sei ritrovato davanti all’errore “psql: FATAL: no pg_hba.conf entry for host “::1”, user “postgres”, database “servicedesk”,SSL off” mentre cercavi di collegarti via prompt al database del tuo ServiceDesk Plus? Anche io. Poi ho scoperto che si tratta di un errore riconosciuto da documentazione ufficiale, e che ti basta modificare un file di configurazione per poter tornare sulla retta via.

ServiceDesk: Error While connecting postgresDB

Di come collegarti via prompt al database del tuo software di supporto te ne avevo già parlato qui:

ServiceDesk: jespa.log sempre più grande?

Per risolvere il problema che ho riportato in apertura “pillola” devi invece ritoccare il file pg_hba.conf che trovi sotto ManageEngine\ServiceDesk\pgsql\data, andando a togliere il cancelletto di commento in corrispondenza dei valori specificati sotto la riga # IPv6 local connections.

La situazione che dovresti trovare è teoricamente questa:

# IPv6 local connections:
#host all all ::1/128 trust

Tu dovrai trasformarla in questa:

# IPv6 local connections:
host all all ::1/128 trust

Salva il file e riprova a connetterti al database, non dovresti ora riscontrare ostacoli.

È tutto spiegato qui: kbase.servicedeskplusmsp.com/troubleshooting/2014/02/28/error-while-connecting-postgresdb.

Buon lavoro!

×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Che poi capisci che si tratterà di un anno scoppiettante e frizzantino già da ciò che accade nei primi giorni dell’anno. E mentre l’Italia si indigna pesantemente per il centesimo di costo richiesto per il sacchetto “biodegradabile” del supermercato (qui qualche informazione in più), tutto il resto del mondo (e credo anche la pressoché totalità di figure informatiche nostrane) ha di meglio a cui dedicare poltrona e pop-corn, buon anno a te da #Meltdown e #Spectre!

#Meltdown e #Spectre: buon 2018!

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

meltdownattack.com

Avevo pubblicato gli auguri di buon anno così sulla pagina Facebook del blog, e nonostante la gravità dei fatti forse molti non si erano ancora accorti della reale portata, distratti dall’ultima fetta di panettone accompagnata da chissà quale Brut servito ghiacciato.

Di come Meltdown e Spectre possano essere parecchio pericolosi per la privacy dei nostri dati ne hanno già abbondantemente parlato tutti, chi più, chi meno approfonditamente (con e senza grossolani errori), la fazione di clienti possessori AMD sta già -inutilmente- esultando, quello che voglio fare io è semplicemente raccogliere una serie di link verso quegli articoli e approfondimenti già pubblicati, che raccontano in maniera giusta qual è il problema. Continuerò ad aggiornare questa “rassegna” aggiungendo –se necessario– osservazioni e spunti di discussione, perché sono certo che ogni collega lì fuori sta facendo tutto tranne che sorridere o esultare per l’arrivo di questo nuovo anno all’insegna dell’ennesimo bug di sicurezza che assomiglia più a una voragine senza fondo! (e qui ci sta particolarmente bene questo tweet).

Meltdown / Spectre Attack: di cosa si tratta

5/1/18

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. In the coming days they plan to release mitigations in Safari to help defend against Spectre. They continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Meno tecnicamente parlando

Sì, ma in italiano?

19/1/18

Salvatore “antirez” Sanfilippo ha spiegato Meltdown e Spectre con una storia che potrebbe probabilmente capire anche tua nonna: medium.com/@antirez/spectre-e-meltdown-spiegati-al-mio-idraulico-cd4567ce6991

View story at Medium.com

5/1/18

La Stampa Tecnologia, Le falle nei processori: cosa c’è da sapere (Carola Frediani ha redatto un articolo che spiega in maniera molto semplice gli attacchi Meltdown e Spectre: lastampa.it/2018/01/05/tecnologia/news/le-falle-nei-processori-cosa-c-da-sapere-aLahTrrACHKgaVUTXbcevM/pagina.html

Sistemi / Software e patch

Partendo dal presupposto che sai benissimo (forse) che su Linux mi muovo poco e nulla, in ufficio ovviamente si parla dell’argomento a 360 gradi (abbiamo ogni OS client / server). Qualche riferimento più orientato al mio mondo (Microsoft / macOS), a quello della virtualizzazione (VMware) e al browser (sempre più strumento principe di ogni giornata lavorativa).

5/1/18

Mozilla ha rilasciato Firefox 57.0.4, fai riferimento a “Speculative execution side-channel attack (“Spectre”), Mozilla Foundation Security Advisory 2018-01“: mozilla.org/en-US/security/advisories/mfsa2018-01. Download del pacchetto aggiornato: mozillaitalia.org/home/download/#firefox

9/1/18
  • Safari 11.0.2, Released January 8, 2018, Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208403
  • iOS 11.2.2, Released January 8, 2018, Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation. iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208401
10/1/18

Buon 2018 da #Meltdown e #Spectre! (aggiornato 9/1)

5/1/18
  • FreeBSD (alla base anche dei sistemi Quest Kace di cui ti parlo sporadicamente qui nel blog), riporta:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We’re working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Vedi: freebsd.org/news/newsflash.html#event20180104:01

Gianluca, fonte inesauribile di riferimenti e di competenza, ha pubblicato su Facebook un aggiornamento di stato riguardante i PoC Javascript ormai disponibili pubblicamente, utili per eventuali attacchi browser-based, per i quali occorre proteggersi quanto prima:

Per quanto riguarda i client antivirus, ti rimando a un documento Google che raccoglie i dettagli di vendor / prodotto / data di rilascio per un fix (lato AV, nda), necessario per poter accedere agli aggiornamenti che ti metteranno al riparo –per quanto possibile– da Meltdown (via Windows Update), come riportato ufficialmente da Microsoft:

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.

Contact your Anti-Virus AV to confirm that their software is compatible and have set the following  REGKEY on the machine
Key=”HKEY_LOCAL_MACHINE”Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type=”REG_DWORD”
Data=”0x00000000”

Per esempio, in questo momento ti confermo che forzando l’installazione della patch su Windows con Symantec Endpoint Protection installato, si va a finire in un vicolo cieco che ti porterà unicamente a un BSOD (sarai costretto a usare DISM via prompt dei comandi in modalità recovery, per disinstallare il KB e poter tornare a lavorare su Windows correttamente).

Buon 2018 da #Meltdown e #Spectre! 2

5/1/18

Symantec ha rilasciato l’aggiornamento promesso, puoi verificare tu stesso dalla finestra di Troubleshooting, il modulo “Eraser” deve avere una versione pari o maggiore alla 117.3.0.358 (nel mio caso è già alla 359).

Buon 2018 da #Meltdown e #Spectre! 3

Su Microsoft Windows

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings:

Buon 2018 da #Meltdown e #Spectre!

Nel mio caso, come facilmente capirai, il sistema non è ancora stato patchato. In alternativa, se PowerShell non fa per te, dai un’occhiata a questo tool. Se hai anche tu Windows 10 (aggiornato a 1709), qui trovi i dettagli sull’update che riguarda (tra le altre cose) le due nuove vulnerabilità.

9/1/18
  • AMD e patch Microsoft: la coppia che scoppia. Microsoft ha temporaneamente disattivato la distribuzione delle patch per Meltdown e Spectre su sistemi che montano processori AMD perché -in alcuni casi- si arriva in un vicolo cieco che porta esclusivamente a BSOD:

Microsoft has reports of some customers with AMD devices getting into an unbootable state after installing this KB. To prevent this issue, Microsoft will temporarily pause Windows OS updates to devices with impacted AMD processors at this time.
Microsoft is working with AMD to resolve this issue and resume Windows OS security updates to the affected AMD devices via Windows Update and WSUS as soon as possible. If you have experienced an unbootable state or for more information see KB4073707. For AMD specific information please contact AMD.

fonte: support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

e ancora:

Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates. After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown. To prevent AMD customers from getting into an unbootable state, Microsoft will temporarily pause sending the following Windows operating system updates to devices with impacted AMD processors

fonte: support.microsoft.com/en-us/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

10/1/18

Microsoft Secure (blog), Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems: cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Una panoramica completa

Trovi su GitHub una pagina che cerca di raccogliere tutti i riferimenti più utili verso documenti e patch riguardanti i vari sistemi, è disponibile puntando il browser all’indirizzo github.com/hannob/meltdownspectre-patches.

5/1/18

La pagina è stata aggiornata, includendo molti più sistemi / applicazioni e relativi riferimenti alle advisories e alle patch già disponibili. Ti consiglio caldamente di darci un’occhiata (e tenerla comunque a portata di mano nel corso delle prossime ore / prossimi giorni).

Condividi l'articolo con i tuoi contatti:

Avevamo già parlato di ServiceDesk Plus e tuning qualche tempo fa, quando la piattaforma principale girava su MySQL (se la usavi già da qualche tempo), ormai andato completamente fuori supporto secondo lo sviluppatore del software (è stato richiesto il passaggio a PostgreSQL per continuare a ottenere supporto):

Pulizia e Tuning di ServiceDesk Plus (MySQL)

Cosa cambia dal punto di vista del tuning dell’installazione con PgSQL?

Tuning di ServiceDesk Plus (PostgreSQL)

Nulla a livello di Wrapper Java, almeno rispetto alla precedente volta quando si parlava di modifica per macchine con almeno (o più) di 4 GB di RAM, che è poi lo stesso concetto di base che riguarda l’ulteriore modifica del file di configurazione del Postgres suggerito sempre all’interno della community del prodotto (ServiceDesk, nda).

Ferma il servizio di ServiceDesk prima di continuare ed effettua un backup dei tuoi attuali dati (consigliato uno Snaphost della macchina, se virtuale).

Ti ripropongo ora il passaggio relativo al Wrapper del precedente articolo:

Il file di configurazione del Wrapper Java è quello che trovi in C:\ManageEngine\ServiceDesk\server\default\conf\wrapper.conf, da ritoccare sui due valori suggeriti:

# Initial Java Heap Size (in MB)
wrapper.java.initmemory=128

# Maximum Java Heap Size (in MB)
wrapper.java.maxmemory=256

a (nel caso della mia macchina con più di 4GB di RAM, occhio quindi alla tua):

# Initial Java Heap Size (in MB)
wrapper.java.initmemory=256

# Maximum Java Heap Size (in MB)
wrapper.java.maxmemory=1024

[…]

Ciò che stavolta cambia è il file di configurazione relativo al database. Sto parlando del postgres_ext.conf che dovresti poter trovare già nella cartella ManageEngine\ServiceDesk\pgsql\data. Probabilmente al suo interno potresti già trovare qualche specifica, per esempio:

wal_level = archive
archive_command = 'IF EXIST archive.bat (archive.bat "%p" "%f")'
archive_mode = on

Ciò che tu devi fare, è semplicemente dare un colpo di invio e aggiungerne qualcuna in più, per includere nuovi parametri entro i quali Postgres può continuare a riservare memoria per sé. Sto parlando di questi:

shared_buffers = 512MB
maintenance_work_mem = 100MB
effective_cache_size = 512MB
work_mem = 12MB

che, rispettivamente:

  • shared_buffers: corrisponde generalmente al 25% della memoria di sistema. Su Windows, 512 MB può essere il valore massimo.
  • maintenance_work_mem: corrisponde circa il 5% della memoria di sistema, ma senza superare mai i 512 MB.
  • effective cache size: si aggira approssimativamente sul 50% della memoria fisica disponibile, ho personalmente continuato a indicare 512 MB anche se avrei potuto tenerlo più alto.
  • work_mem: riporta un valore ragionevole che si attesta tipicamente tra i 4 e i 64 MB.

Il riferimento sulla community di ManageEngine, seppur riferito a SupportCenter, è questo: pitstop.manageengine.com/portal/community/topic/supportcenterplus-optimize-postgresql

Puoi riavviare ora il servizio di ServiceDesk per verificare se la modifica alla configurazione appena operata ha portato i benefici sperati (risposta positiva nel mio caso).


Condividi l'articolo con i tuoi contatti: