Quando viene rilevata una connessione di rete, NCSI esegue le seguenti verifiche:
- Esegue una query del DNS per il sito www.msftncsi.com
- Esegue una richiesta HTTP GET per il contenuto del file http://www.msftncsi.com/ncsi.txt. Il file contiene la stringa Microsoft NCSI
- Esegue una query del DNS per dns.msftncsi.com aspettandosi come risultato l'indirizzo IP 131.107.255.255
Questo processo prende il nome di Active probing. Se le verifiche terminano con successo allora NCSI indica che la workstation dispone di un accesso ad Internet altrimenti appare un messaggio di connettività limitata e un icona triangolare gialla con punto esclamativo sulla connessione di rete.
Per maggiori dettagli sul funzionamento di NCSI possiamo fare riferimento al link: https://technet.microsoft.com/en-us/library/cc766017%28v=WS.10%29.aspx
Come indicato da Microsoft sulla pagina sopra indicata, la comunicazione con il server NCSI non viene criptata inoltre i log di IIS su www.msftncsi.com contengono informazioni relative all'accesso in particolare data, ora e indirizzo IP. Questo può far storcere il naso a più di un esperto di sicurezza.
Disabilitare NCSI tramite registro di sistema
La stessa Microsoft ci indica un modo per impedire a NCSI di collegarsi ad Internet agendo tramite il registro di sistema:
- Dal registro di sistema (regedit.exe) accedere alla chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
qui sono contenute le impostazioni di NCSI tra cui sito da contattare (www.msftncsi.com), server DNS (dns.msftncsi.com) con relativo IP (131.107.255.255) - Modificare il valore EnableActiveProbing impostandolo a 0
- Riavviare il sistema operativo
FIG 1 - NCSI Registro di sistema |
Disabilitare NCSI tramite group policy
Se intendiamo inibire l'accesso ad Internet da parte di NCSI agendo tramite l policy:
- Da Start-> Esegui (WIN+R) digitare gpedit.msc
- Posizionarsi su Configurazione computer->Modelli amministrativi->Sistema->Gestione comunicazioni Internet->Impostazioni di comunicazione Internet
- Attivare la voce Disattiva test attivi dell'indicatore di stato della connettività di rete Windows
FIG 2 - NCSI Group Policy |
Volendo possiamo creare un nostro server da utilizzare con NCSI. una volta salvato il file ncsi.txt sul nostro server possiamo modificare le impostazioni NCSI tramite registro di sistema o tramite group policy
Impostare un server personale per NCSI tramite registro di sistema
- Dal registro di sistema posizionarsi sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet e modificare i seguenti valori:
ActiveWebProbeHost sostituire www.msftncsi.com con l'indirizzo web host che si intende utilizzare.
ActiveWebProbeHostV6 se si utilizza IPv6 è necessario modificare anche tale valore, valorizzandolo con l'indirizzo IPv6 del nostro server.
ActiveDnsProbeContent valorizzarlo con l'indirizzo IP del server DNS relativo al dominio che si sta utilizzando.
ActiveDnsProbeContentV6 assegnargli il valore dell'indirizzo IPv6 del server DNS relativo al dominio che si sta utilizzando.
EnableActiveProbing assicurarsi che EnableActiveProbing è valorizzato ad 1.
- Eseguire gpedit.msc
- posizionarsi su Configurazione computer->Modelli amministrativi->Rete->Indicatore stato connettività di rete
- Modificare le seguenti voci
Specifica indirizzo host probe DNS aziendale Questa impostazione dei criteri consente di specificare l'indirizzo previsto del nome host utilizzato per il probe DNS
Specifica nome host probe DNS aziendale
Questa impostazione dei criteri consente di specificare il nome host di un PC notoriamente connesso alla rete aziendale.
Specifica elenco prefissi di sito aziendali
Questa impostazione dei criteri consente di specificare l'elenco dei prefissi di siti aziendali IPv6 da monitorare per la connettività aziendale.
Specifica URL probe sito Web aziendale
Questa impostazione dei criteri consente di specificare l'URL del sito Web aziendale su cui viene eseguito un probe attivo.
Specifica URL per determinazione percorso di dominio
Questa impostazione dei criteri consente di specificare l'URL HTTPS URL del sito Web aziendale utilizzato dai client per determinare il percorso corrente del dominio (vale a dire, se il computer si trova all'interno o all'esterno della rete aziendale).