Skip to main content

WannaCry: come controllare se il proprio sistema è protetto con uno script PowerShell

Se vi siete imbattuti in questo articolo probabilmente sapete già tutto sul Ransomware noto come WannaCry o WannaCrypt, del quale abbiamo già avuto modo di parlare in questo articolo che contiene una lista completa di tutti gli aggiornamenti che è opportuno effettuare (per tutte le versioni di Windows) per immunizzare il proprio sistema.

Quello che però forse ancora vi manca è un modo efficace per controllare se il vostro PC (o i vostri PC aziendali) sono effettivamente immuni. A tale scopo forniamo il seguente script Powershell, distribuito all’interno di questo articolo del community site del noto software di IT monitoring SpiceWorks (si ringrazia CarlosTech per il preziosissimo contributo):

(altro…)

 

WannaCry: Patch Ufficiali per Windows (tutte le versioni) da Microsoft Technet

Se vi siete imbattuti in questo articolo molto probabilmente avrete già sentito parlare del malware denominato Ransom:Win32/WannaCrypt, meglio noto come WannaCry, recentemente salito ai vertici della notorietà internazionale a causa delle decine di migliaia di sistemi colpiti in ogni parte del mondo… E volete sapere se il vostro sistema è protetto oppure no.

Per farla breve, è molto probabile che siate già immunizzati… a patto di aver effettuato regolarmente gli aggiornamenti del sistema: la SMB Vulnerability Jump, ovvero il tallone d’achille del sistema operativo che è stato utilizzato dal Ransomware per  effettuare l’attacco, è stata risolta da una patch ufficiale Microsoft rilasciata quasi due mesi prima (marzo 2017) e distribuita attraverso il servizio Windows Update.

Nel caso in cui non abbiate ancora effettuato l’aggiornamento, o se volete essere certi di non averlo saltato, è decisamente consigliabile che spendiate alcuni minuti del vostro tempo per scaricare e installare la patch relativa al vostro sistema, che potete trovare collegandovi a questa pagina Technet ufficiale (MS17-010 Jump) oppure al termine di questo articolo. Le patch sono state rilasciate per tutte le principali versioni di Windows: Windows 10, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.

Non appena avete aggiornato il vostro sistema, se volete adottare delle contromisure ulteriori potete procedere nel seguente modo, seguendo i consigli di quest’altro articolo Technet:

  • Controllare che il vostro PC sia effettivamente immune tramite questo script Powershell, che verifica che tutte le patch necessarie siano presenti nel sistema.
  • Bloccare le connessioni SMB in ingresso (Porta 445) con il vostro Firewall (o con il Firewall integrato di Windows).
  • Aggiornate il vostro sistema operativo all’ultima versione (Windows 10, Windows Server 2012/2016) così da avere una protezione migliore (Credential Guard, Device Guard, Memory Protections, Secure Kernel, VBS, Edge Browser etc)

Per informazioni aggiuntive su questo particolarissimo malware, consigliamo la lettura di questi articoli pubblicati rispettivamente su MMPC, FireEye e Technet:

Se invece avete bisogno di un ripasso sui Ransomware (cosa sono, come riconoscerli, come proteggersi) non possiamo che rimandarvi alla lettura di quest’altra serie di articoli pubblicata qualche settimana fa su questo stesso blog:

Per concludere, ecco un elenco piuttosto esaustivo di tutte le patch pubblicate finora per i sistemi Windows.

(altro…)

 

Come bloccare l’accesso a file e cartelle condivise in LAN a uno o più indirizzi IP con Windows

Quella di bloccare l’accesso a file e/o cartelle condivise in rete a uno o più client è un’esigenza piuttosto comune. Le ragioni dietro a questa necessità possono essere varie: aumentare la sicurezza del network, semplificare l’esperienza utente di un operatore particolarmente inesperto, e così via. In ogni caso, discriminare gli accessi sulla base dell’indirizzo IP del client non è quasi mai la scelta migliore. Il Security Model di Windows è da sempre basato sull’autenticazione e autorizzazione dei singoli account, non sugli indirizzi IP. Il motivo principale alla base di questa scelta è dovuto al fatto che l’IP non fornisce sufficienti garanzie di sicurezza, in quanto può essere facilmente alterato – soprattutto in una LAN. Per questo, se vogliamo restringere l’accesso al solo personale autorizzato, la cosa migliore che possiamo fare è utilizzare la ACL di sistema mediante la consueta tab Security contenuta nella finestra pop-up accessibile tramite tasto destro > Proprietà su ogni file e/o cartella da condividere.

Nonostante questo, esistono alcuni casi-limite in cui può avere senso ricorrere a una identificazione basata sull’un indirizzo IP. In questi casi è possibile operare aggiungendo delle regole al Firewall di Windows integrato, o a qualsiasi altro software firewall installato al suo posto, per bloccare l’accesso alle porte TCP utilizzate dalle connessioni SMB-in e/o SMB-out. Per chi non lo sapesse SMB è l’acronimo di Server Message Block, il protocollo di condivisione file e stampanti utilizzato dai sistemi Windows.

Il blocco delle porte può avvenire tramite il firewall installato sui singoli client, assumendo che l’utente oggetto di questa esclusione non abbia le credenziali per poter disabilitare la regola o l’intero firewall, oppure mediante quello installato sulla macchina (o sulle macchine) dove si trovano i file e/o le cartelle condivise che vogliamo bloccare. Come sempre, la scelta migliore è data dallo scenario che ci troviamo ad affrontare: nel caso in cui dobbiamo bloccare gli accessi di una singola macchina a uno o più server può essere consigliabile operare sul firewall del client: al contrario, se dobbiamo bloccare gli accessi di un cospicuo numero di client a un singolo server, agire sul firewall di quest’ultimo potrebbe senz’altro essere la mossa più efficiente.

(altro…)

 

Come aprire i file BKF su Windows 10 senza NTBackup con NT5Backup

Se vi siete imbattuti in questo articolo è probabile che abbiate la necessità di aprire un vecchio archivio .BKF generato con la utility di Backup in dotazione su una versione di Windows ormai obsoleta. Come probabilmente già sapete quei file sono generati da un tool chiamato NTBackup, risalente agli ormai remoti tempi di Windows NT e fornito insieme al sistema operativo Windows fino a Windows 2000, Windows XP e Windows Server 2003. NTBackup, come la maggior parte degli strumenti di sistema targati Microsoft sviluppati nel corso degli anni ’90, era tutto fuorché user-friendly: si avvaleva infatti di un formato proprietario (BKF) per effettuare i backup dei file. Questo significa che, per aprirlo con un sistema operativo moderno – che ovviamente non include più NTBackup – è necessario acquistare un software realizzato da quelle poche software house che hanno acquistato la licenza del formato BKF, come BKF-Repair by SysToolsNTBackupExe. Entrambe le soluzioni, inutile dirlo, non sono a costo zero.

Se volete recuperare altre informazioni utili sul formato BKF o sull’ormai defunto NTBackup consigliamo di approfondire i suddetti argomenti sulla apposita pagina Wikipedia: nel caso in cui vogliate trovare un’alternativa che vi consenta di risolvere il vostro problema, continuate a leggere.

(altro…)

 

Come eliminare il limite di 255-260 caratteri nei path di file e cartelle in Windows 10

Introduzione

Se siete sviluppatori, sistemisti o utenti esperti in ambiente Windows è molto probabile che siate già al corrente della fastidiosa limitazione a 255-260 caratteri della dimensione di qualsiasi path di sistema – ovvero del percorso di file e cartelle. Nel caso in cui non ne abbiate mai sentito parlare, ecco un breve riepilogo:

In the Windows API (with some exceptions discussed in the following paragraphs), the maximum length for a path is MAX_PATH, which is defined as 260 characters. A local path is structured in the following order: drive letter, colon, backslash, name components separated by backslashes, and a terminating null character. For example, the maximum path on drive D is “D:\some 256-character path string<NUL>” where “<NUL>” represents the invisible terminating null character for the current system codepage. (The characters < > are used here for visual clarity and cannot be part of a valid path string.) [extract from this MSDN official guide].

A ben vedere si tratta di una singolare caratteristica residuale del filesystem NTFS, che oggi come oggi non ha più senso. Al tempo stesso non si tratta di un problema che riguarda la maggior parte degli utenti standard, che raramente avranno bisogno di creare strutture di cartelle annidate così lunghe.

Le cose cambiano non poco per gli sviluppatori e gli amministratori di sistema che hanno necessità di lavorare con strumenti pensati in ottica Linux, come ad esempio il package manager NPM, il quale viene utilizzato per distribuire numerosi software e librerie che fanno un largo uso di cartelle annidate: NodeJS, AngularJS, Angular2, React, SystemJS, solo per citarne alcuni. Le cose si aggravano ulteriormente se questi strumenti vengono utilizzati all’interno di Visual Studio 2015, il quale aggiunge la propria struttura (cartella soluzione + cartella progetto + altre sotto-cartelle come /src/ , /bin/ , /node_modules/  et. al.), che aumentano a dismisura le possibilità di raggiungere il suddetto limite.

 

(altro…)