Visualizzazione post con etichetta Windows 10. Mostra tutti i post
Visualizzazione post con etichetta Windows 10. Mostra tutti i post

mercoledì 19 ottobre 2022

Windows 10: Search Highlights

Con l'aggiornamento di aprile 2022, Microsoft ha introdotto in Windows 10 una nuova funzionalità denominata Search Highlights che visualizza informazioni contestuali che riguardano avvenimenti, fatti di attualità, luoghi, curiosità, informazioni su eventi o particolari anniversari.

Search Highlights permette la visualizzazione di tali informazioni attraverso una piccola illustrazione/icona aggiunta alla casella di ricerca: basta cliccare sull'icona o semplicemente soffermarsi sopra con il mouse per visualizzarle nel riquadro dei risultati e delle funzioni di ricerca.
Search Highlights
FIG 1 - Search Highlights


Search Highlights, News
FIG 2 - Search Highlights, News

Per disattivare tale funzionalità basta cliccare, con il tasto destro del mouse, sulla casella di ricerca e, dal menu contestuale, selezionare la voce Ricerca quindi rimuovere la spunta all'opzione Mostra ricerca elementi in evidenza.
Search Highlights, Mostra ricerca elementi in evidenza
FIG 3 - Search Highlights, Mostra ricerca elementi in evidenza





martedì 23 agosto 2022

Windows 10: Opzioni di condivisione di rete per Ottimizzazione recapito

Al fine di rendere il download degli aggiornamenti più veloce, Microsoft ha aggiunto una nuova funzionalità in Windows 10 che prevede il download peer-to-peer (P2P) per gli aggiornamenti e per le App. In pratica gli aggiornamenti possono essere scaricati automaticamente tanto dai server Microsoft quanto da altri computer sulla rete locale o su Internet. Questo velocizza la distribuzione degli aggiornamenti in quanto oltre ai server Microsoft, si potrà contare anche sulle risorse messe a disposizione dagli altri utenti. 

Solitamente la funzione prevede che gli aggiornamenti vengano distribuiti solo ad altri computer all'interno della rete locale ma con semplici passaggi è possibile disattivarla o modificarla:
  • Dal menu Start selezionare Impostazioni (oppure premere la combinazione di tasti WIN+I);
  • Cliccare su Aggiornamento e sicurezza;
    Impostazioni di Windows
    FIG 1 - Impostazioni di Windows

  • In Windows Update cliccare su Opzioni avanzate;
    Windows Update
    FIG 2 - Windows Update

  • Scorrere all'interno della pagina e cliccare su Ottimizzazione recapito;
    Opzioni avanzate
    FIG 3 - Opzioni avanzate

  • A questo punto possiamo agire sull'impostazione Consenti download da altri PC e decidere se:
    Disattivare la funzionalità. Gli aggiornamenti verranno scaricati solo dai server Microsoft e non verranno distribuiti su altri dispositivi.
    PC nella rete locale. Gli aggiornamenti verranno scaricati dai server Microsoft o da altri PC della rete locale. Gli aggiornamenti scaricati sul PC verranno condivisi tra tutti i PC della rete locale.
    PC nella rete locale e su Internet. Con tale opzione abilitata gli aggiornamenti possono essere scaricati dai server Microsoft, da PC della rete locale o da PC su Internet. Gli aggiornamenti scaricati verranno condivisi con altri PC sia sulla rete locale che su Internet.
    Ottimizzazione recapito
    FIG 4 - Ottimizzazione recapito





lunedì 15 agosto 2022

Windows 10: Riavviare il computer e visualizzare le opzioni di avvio avanzate

Quando il computer presenta problemi è possibile pianificare l'accesso alle opzioni di ripristino al successivo riavvio: 
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare Shutdown.exe /r /o seguito da invio.
  • Entro un minuto il sistema verrà riavviato. Dopo il riavvio verranno viusalizzate le opzioni di avvio avanzate.
    Opzioni di avvio avanzate
    FIG 1 - Opzioni di avvio avanzate

  • Cliccando su Risoluzione dei problemi sarà possibile reimpostare il sistema o selezionare un'opzione avanzata
    Risoluzione dei problemi
    FIG 2 - Risoluzione dei problemi

    Risoluzione dei problemi, Opzioni avanzate
    FIG 3 - Risoluzione dei problemi, Opzioni avanzate





mercoledì 10 agosto 2022

Windows 10: Riavvio di emergenza

In alcune situazioni potrebbe essere necessario riavviare il sistema Windows con urgenza oppure potrebbe verificarsi la situazione in cui il sistema operativo non si riavvia normalmente. In questi casi si può fare ricorso al riavvio di emergenza: un opzione di alimentazione nascosta di Windows 10 che può essere utilizzata quando è necessario un riavvio immediato.

Il riavvio di emergenza rappresenta un'opzione migliore rispetto allo spegnimento forzato del sistema, infatti forzare lo spegnimento del sistema togliendo l'alimentazione (nel caso di PC desktop) o tenendo premuto il tasto di accensione finché il pc non si spegne, può causare danni al sistema. Durante un "riavvio di emergenza" il sistema operativo terminerà qualsiasi applicazione in esecuzione e non verrà visualizzato alcun messaggio di avviso per salvare il lavoro svolto, il che significa che tutti i dati non salvati andranno persi.

Per eseguire un riavvio di emergenza:
  • Premere la combinazione di tasti CTRL+ALT+CANC;
  • Nella pagina mostrata in FIG 1, tenere premuto il tasto CTRL e cliccare sull'icona dell'alimentazione in basso a destra;
    CTRL+ALT+CANC
    FIG 1 - CTRL+ALT+CANC

  • Confermare il riavvio di emergenza cliccato sul pulsante OK
    Riavvio di emergenza
    FIG 2 - Riavvio di emergenza





martedì 12 luglio 2022

PowerShell: Visualizzare il Product Key di Windows 10

Un modo semplice per visualizzare il Product Key di Windows 10 consiste nell'utilizzare il seguente comando da PowerShell
(Get-CimInstance -ClassName SoftwareLicensingService).OA3xOriginalProductKey 

Se il comando non restituisce alcun risultato allora il Product Key non è memorizzato sulla macchina.




mercoledì 29 giugno 2022

Windows 10: Scaricare l'ISO di Windows 10 da browser

In alcuni articoli precedenti (come Windows 10: Windows Installation Media Creation Tool e Windows 10: Scaricare e installare una delle versioni precedenti di Windows) è stato già mostrato come recuperare le ISO di Windows mediante l'utilizzo di appositi tool.

In questo articolo vedremo come scaricare le ISO ufficiali di Windows 10 direttamente dal sito Microsoft tramite browser.

Accedendo all'indirizzo https://www.microsoft.com/it-it/software-download/windows10 da un ambiente Windows non vengono visualizzati i link diretti per il download delle immagini del sistema operativo Microsoft. Per aggirare questa restrizione basta andare a modificare l'user agent del proprio browser come visto nell'articolo Google Chrome: Modificare l'User Agent. Impostando come user agent Safari – iPad iOS 13.2 e aggiornando la pagina sarà possibile selezionare il download della versione Windows 10 (multi-edition ISO)
Windows 10 (multi-edition ISO)
FIG 1 - Windows 10 (multi-edition ISO)


Cliccando su Conferma ci verrà chiesto di selezionare la lingua desiderata e successivamente ci verranno proposti i link per il download della versione a 32bit e a 64 bit del sistema operativo.
Selezione lingua del prodotto
FIG 2 - Selezione lingua del prodotto

Link della versione a 32 e 64 bit di Windows 10
FIG 3 - Link della versione a 32 e 64 bit di Windows 10






venerdì 25 marzo 2022

Windows 10: Errore nell'installazione Language Pack. Codice errore: 0x80073D01

Tentando di aggiungere una nuova lingua in un sistema Windows 10 Enterprise collegato ad un dominio ci si può imbattere nell'errore 0x80073D01. Generalmente questo problema è dovuto ad una policy che impedisce il download da Internet degli aggiornamenti e dei Language Pack.
Installazione Language Pack, Codice errore 0x80073D01
FIG 1 - Installazione Language Pack, Codice errore 0x80073D01

Se si dispone di un utenza amministrativa è possibile risolvere procedendo nel seguente modo:
  • Avviare l'Editor del Registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi sulla chiave di registro
    HKEY_
    LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  • Modificare il DWORD nominato DoNotConnectToWindowsUpdateInternetLocations valorizzandolo a 0
    Valore Dword: DoNotConnectToWindowsUpdateInternetLocations
    FIG 2 - Valore Dword: DoNotConnectToWindowsUpdateInternetLocations

  • Posizionarsi sulla chiave di registro
    HKEY_
    LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  • Modificare, se presente (se non presente non è necessario crearlo), il DWORD nominato UseWUServer valorizzandolo a 0.
La modifica non richiede il riavvio. Riprovando a scaricare il language pack l'operazione verrà eseguita correttamente. Una volta terminata l'operazione è opportuno ripristinare i valori iniziali di DoNotConnectToWindowsUpdateInternetLocationsUseWUServer.








domenica 5 dicembre 2021

Windows 10: Disabilitare l'invio di file sospetti da Defender

L'antivirus Microsoft Defender, noto anche come Windows Defender, è integrato nei sistemi operativi Windows e fornisce una protezione base contro le minacce informatiche. L'antivirus di Microsoft, così come prodotti di terze parti, è progettato per aggiornarsi costantemente e inviare, in automatico, campioni di file sospetti alla casa madre. Per disabilitare l'invio automatico dei file sospetti:
  • Avviare Sicurezza di Windows dal menu Start;
  • Selezionare Protezione da virus e minacce;
    Sicurezza di Windows
    FIG 1 - Sicurezza di Windows

  • In Impostazioni di Protezione da virus e minacce cliccare sul link Gestisci impostazioni;
    Protezione da virus e minacce
    FIG 2 - Protezione da virus e minacce

  • Disattivare l'opzione Invio automatico di file di esempio.
    Invio automatico di file di esempio
    FIG 3 - Invio automatico di file di esempio

A questo punto i file sospetti non verranno inviati automaticamente a Microsoft ma sarà possibile inviarli manualmente tramite il link Invia un campione manualmente presente nell'app Sicurezza di Windows (FIG 4). Ovviamente la disattivazione riguarda esclusivamente Microsoft Defender e non gli eventuali antivirus di terze parti installati.
Invia un campione manualmente
FIG 4 - Invia un campione manualmente







giovedì 25 novembre 2021

Windows 10: Ripristinare le applicazioni all'avvio

Durante una sessione di lavoro potrebbe presentarsi la necessità di dover riavviare il sistema, ad esempio per l'installazione di un aggiornamento o a seguito dell'installazione di un nuovo driver/programma. Il riavvio comporta la chiusura di tutte le applicazioni aperte e di conseguenza la necessità di doverle riaprire al successivo logon. Per ovviare a questo inconveniente e fare in modo che il sistema ricordi e riapra automaticamente le finestre all'avvio, si può attivare la funzione Riattiva app:
  • Avviare l'app Impostazioni (WIN+I) quindi cliccare su Account;
    Windows 10, Impostazioni
    FIG 1 - Windows 10, Impostazioni

  • Cliccare su Opzioni di accesso;
    Account
    FIG 2 - Account

  • Attivare l'opzione Riavvia app.
    Riavvia app
    FIG 3 - Riavvia app

Al riavvio successivo, tutte le app attive al momento della disconnessione verranno riaperte nuovamente dopo il logon. Tale opzione non funziona con tutte le applicazioni Windows ma solo con quelle che supportano Riavvia app (ad esempio i browser web).

Attivare/Disattivare Riavvia app tramite registro di sistema

  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Creare, se non presente, un valore DWORD (32 bit) e rinominarlo in RestartApps;
  • Assegnare a RestartApps il valore 0 per disattivare la funzione, 1 per attivarla.
    RestartApps
    FIG 4 - RestartApps

Dal seguente link è possibile scaricare i file .reg per abilitare e disabilitare la funzione Riavvia app





martedì 19 ottobre 2021

Windows 10: Modificare il titolo della finestra del Prompt dei comandi

Anche nel nuovo sistema operativo di Microsoft, il Prompt dei comandi continua a rivestire un ruolo importante soprattutto per gli utenti evoluti. La finestra del Prompt dei comandi, aperta tramite il comando cmd.exe è anonima: generalmente nella barra del titolo viene visualizzato il comando che ha aperto la finestra e l'eventuale esecuzione come amministratore.

La barra del titolo può essere personalizzata attraverso l'utilizzo del comando title. Basta digitare il comando seguito da una stringa di testo da impostare come titolo della finestra. Non ci sono vincoli particolari sui caratteri utilizzabili all'interno della stringa e si possono utilizzare gli spazi e caratteri speciali (non è necessario racchiudere il titolo all'interno di una coppia di virgolette).

Ad esempio, una volta aperta la finestra dei comandi è possibile personalizzare il titolo della finestra eseguendo un comando del tipo

title blog giovannilubrano.blogspot.com

Prompt dei comandi, Title
FIG 1 - Prompt dei comandi, Title




giovedì 7 ottobre 2021

Windows 10: Disabilitare l’integrazione di Bing

Sin dalle prime versioni di Windows 10 è presente una strettissima integrazione tra le ricerche dei contenuti in locale e quelle sul web tramite Bing. Tale connubio ha come risultato la comparsa di contenuti recuperati dal web quando si effettua una ricerca dal menu Start. L'integrazione di Bing Search può essere disabilitata agendo tramite il registro di sistema. 
Nel corso degli anni la chiave di registro utilizzata per disattivare la ricerca su web è cambiata più volte:

Per versioni di Windows 10 antecedenti alla 1607:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"ConnectedSearchUseWeb"=dword:00000000

Dalla versione Windows 10 1607:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000

A partire da Windows 10 1803:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search]
"BingSearchEnabled"=dword:00000000

Da Windows 10 2004:
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Explorer]
"DisableSearchBoxSuggestions"=dword:00000001


Disattivare l'integrazione di Bing tramite registro di sistema

Per disattivare l'integrazione di Bing tramite registro di sistema con le versioni aggiornate del sistema operativo è necessario procedere come indicato di seguito:
  • Avviare l'Editor del Registro di Sistema (WIN+R e digitare regedit seguito da invio); 
  • Raggiungere la chiave
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows
  • Se non presente, creare una nuova chiave chiamata Explorer;
    Nuova chiave di registro
    FIG 1 - Nuova chiave di registro

  • Posizionarsi sulla chiave appena creata e al suo interno creare un nuovo valore di tipo DWORD (32 bit), rinominarlo in DisableSearchBoxSuggestions e impostarlo al valore con un doppio click nella parte destra delle finestra.
    DisableSearchBoxSuggestions
    FIG 2 - DisableSearchBoxSuggestions

  • Riavviare il sistema.

A questo punto nelle ricerche locali non interverrà più Bing.



Disattivare l'integrazione di Bing tramite l'Editor Criteri di gruppo locali

  • Avviare il l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio).
  • Posizionarsi su Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Cerca
  • Eseguire un doppio click sul criterio Non cercare nel Web o visualizzare risultati Web per la ricerca
    GPO - Non cercare nel Web o visualizzare risultati Web per la ricerca
    FIG 3 - GPO, Non cercare nel Web o visualizzare risultati Web per la ricerca

  • Selezionare l'opzione Attivata e cliccare su OK.
    Attivazione GPO - Non cercare nel Web o visualizzare risultati Web per la ricerca
    FIG 4 - Attivazione GPO, Non cercare nel Web o visualizzare risultati Web per la ricerca



Disattivare l'integrazione di Bing tramite PowerShell e per tutti gli utenti

Per disattivare l'integrazione di Bing utilizzando PowerShell, basta eseguire il seguente script:

if( -not (Test-Path -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer)){
  New-Item HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer
}
Set-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer -Name "DisableSearchBoxSuggestions" -Value 1 -Type DWord






lunedì 16 agosto 2021

Windows 10: Bloccare l'account dopo tentativi di accesso falliti e verifica registro eventi

Per proteggere il nostro sistema è buona norma impostare l’Account lockout policy, ovvero un criterio di gruppo che prevede il blocco temporaneo di un account a seguito di diversi tentativi di accesso con credenziali errate (indice di un attacco da parte di un malintenzionato). Generalmente si tratta di una protezione che viene attivata sulle macchine appartenenti ad un dominio (Windows Server 2019: Usare le Group Policy per impostare le password e blocco account) ma utilizzando l'Editor Criteri di gruppo locali e un'utenza amministrativa può essere attivata anche su una postazione standalone.

Attivare il criterio di blocco account
  • Avviare il l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio).
  • Posizionarsi su Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri account -> Criterio di blocco account
    Criterio di blocco account
    FIG 1 - Criterio di blocco account

  • Eseguire un doppio click sul criterio Soglia di blocchi dell'account.
  • All'interno della casella L'account verrà bloccato dopo, specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato (ad es. 3) e cliccare su OK.
    Proprietà Soglia di blocchi dell'account
    FIG 2 - Proprietà Soglia di blocchi dell'account

  • Subito dopo aver cliccato su OK, una finestra di dialogo ci avvisa che sono stati modificati automaticamente anche gli altri due criteri: Blocca account per ( criterio che specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente) e Reimposta contatore blocco account dopo (criterio che specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga azzerato). Per entrambi i criteri viene impostato un tempo di 30 minuti che può essere modificato attraverso le loro proprietà. Cliccare su OK.
    Cambiamenti ai valori suggeriti
    FIG 3 - Cambiamenti ai valori suggeriti
Da questo momento, al terzo tentativo di accesso non riuscito, l'account verrà bloccato per 30 minuti complicando la vita ad un eventuale malintenzionato che sta tentando un attacco brute force.


Verificare account bloccati (Evento ID 4740)
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 4 - Registro eventi Sicurezza

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4740 (l'ID corrisponde all'evento: Un account utente è stato bloccato) e cliccare su OK.
    Filtro registro corrente
    FIG 5 - Filtro registro corrente

  • L'evento riporta l'account bloccato (sezione Soggetto, Nome Account: Test2), la data e l'ora dell'evento.
    Account bloccato
    FIG 6 - Account bloccato

  • Se intendiamo utilizzare PowerShell per ricercare tutti gli eventi con ID 4740 basta eseguire il comando
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4740;} | Format-List
    PowerShell, ricerca eventi ID 4740
    FIG 7 PowerShell, ricerca eventi ID 4740

  • Se intendiamo ricercare gli eventi ID 4740 relativi ad uno specifico utente il comando da eseguire è
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4740; data='account_bloccato'} | Format-List
    ovviamente sostituendo account_bloccato con l'account di nostro interesse.
    PowerShell, ricerca eventi ID 4740 di un account specifico
    FIG 8 - PowerShell, ricerca eventi ID 4740 di un account specifico


Sbloccare un account bloccato
L'account bloccato verrà automaticamente sbloccato trascorso l'intervallo di tempo impostato. Se si intende affrettare i tempi e sbloccare subito l'account basta procedere come indicato di seguito:
  • Eseguire il logon con un utente amministratore e avviare il tool Utenti e gruppi locali (WIN+R e digitare lusrmgr.msc seguito da invio).
  • Nel riquadro sinistro, selezionare utenti quindi cliccare, con il tasto destro del mouse, sull'account che si intende sbloccare e selezionare Proprietà dal menu contestuale.
    Utenti e gruppi locali
    FIG 9 - Utenti e gruppi locali

  • Rimuovere la spunta alla voce Account bloccato e cliccare su OK.
    Proprietà Account bloccato
    FIG 10 - Proprietà Account bloccato







giovedì 5 agosto 2021

Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi

Quest'articolo prosegue gli argomenti trattati negli articoli Windows 10: Attivazione audit e Windows 10: Visualizzare i tentativi di accesso al sistema nei quali abbiamo visto come attivare l'audit e come visualizzare gli accessi riusciti e non riusciti al nostro sistema. 

Verificare gli accessi al sistema può non bastare ed è opportuno approfondire l'indagine al fine di individuare eventuali falle di sicurezza del sistema operativo o di uno dei software presenti sulla macchina. Per tale motivo è bene indagare anche su cosa ha effettuato il malintenzionato una volta avuto accesso al sistema come:
  • Programmi eseguiti.
  • Accessi al disco.
  • Cancellazione dei registri eventi e log al fine di nascondere l'intrusione.
  • Creazione di account utente e modifica di gruppi per lasciarsi una via di accesso nel caso in cui la vulnerabilità sfruttata per ottenere l'accesso venisse patchata.
  • Cancellazione di account utente (che potrebbero ricondurre all'intrusione).

Verificare account eliminati (Evento ID 4726)
Per verificare se qualche account è stato eliminato e chi ha eseguito l'operazione possiamo procedere nel seguente modo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4726 (l'ID corrisponde all'evento: Un account utente è stato eliminato) e cliccare su OK.
    Filtro registro corrente, ID 4726
    FIG 2 - Filtro registro corrente, ID 4726

  • Come visibile in figura l'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), il nome e il SID dell’utente rimosso (sezione Account di destinazione, ID sicurezza:S-1-5-21....., Nome account:Test) oltre ad altre informazioni come la data e l'ora in cui l'operazione è stata eseguita.
    Un account utente è stato eliminato
    FIG 3 - Un account utente è stato eliminato


Verificare account rimossi da gruppi (Evento ID 4733)
Per verificare se qualche utente è stato rimosso da qualche gruppo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4733 (l'ID corrisponde all'evento: È stato rimosso un membro da un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), l'account rimosso dal gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato rimosso (Sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato rimosso un membro da un gruppo locale con sicurezza attivata
    FIG 4 - È stato rimosso un membro da un gruppo locale con sicurezza attivata


Verificare account inseriti in gruppi (Evento ID 4732)
Nei seguenti passaggi viene mostrato come verificare se un account è stato inserito all'interno di un gruppo. Un malintenzionato può aver aggiunto un normale account utente, con privilegi limitati, al gruppo amministratore, con privilegi elevati:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4732 (l'ID corrisponde all'evento: È stato aggiunto un membro a un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account aggiunto al gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato aggiunto (sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato aggiunto un membro a un gruppo locale con sicurezza attivata
    FIG 5 - È stato aggiunto un membro a un gruppo locale con sicurezza attivata


Verificare creazione nuovo account (Evento ID 4720)
Per verificare se sono stati creati nuovi account utente:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4720 (l'ID corrisponde all'evento: È stato creato un account utente) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account creato (sezione Membro, ID sicurezza: DELL-XPS/Test2, Nome account: Test2)e ulteriori informazioni.
    È stato creato un account utente
    FIG 6 - È stato creato un account utente

Verifica disconnessione dell'utente (Evento ID 4647)
Per verificare quando un utente ha effettuato il logoff basta ricercare l'evento con ID 4647:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4647 (l'ID corrisponde all'evento: Disconnessione avviata dall'utente) e cliccare su OK.
  • L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Disconnessione avviata dall'utente
    FIG 7 - Disconnessione avviata dall'utente


Verifica cancellazione del registro (Evento ID 1120)
Un utente con privilegi amministrativi sulla macchina può cancellare completamente il contenuto del registro per nascondere le proprie tracce. L'operazione, tuttavia, genera un evento con ID 1120. Per verificare se il registro è stato svuotato e da chi:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 1120 (l'ID corrisponde all'evento: Registro di controllo cancellato) e cliccare su OK.
  •  L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Registro di controllo cancellato
    FIG 8 - Registro di controllo cancellato





mercoledì 4 agosto 2021

Windows 10: Visualizzare i tentativi di accesso al sistema

Una volta attivato l'audit (si veda l'articolo Windows 10: Attivazione audit) Windows traccerà, all'interno dei propri log, i tentativi di accesso al sistema, sia quelli avvenuti con successo sia gli accessi falliti a causa di utenza o password errata. 

Dato che verranno tracciati un numero elevato di eventi è opportuno anche valutare se non sia il caso di aumentare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi

Per analizzare i log ed individuare possibili tentativi di intrusione è possibile procedere come indicato di seguito:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. In tale registro sono presenti un numero elevato di eventi. Per cercarne uno in particolare possiamo farlo tramite l'ID associato. Ciascun evento, infatti, è associato un ID che lo caratterizza e che ci permette di individuare facilmente quello di nostro interesse (la lista degli ID è pubblica).Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella nuova finestra è possibile specificare le caratteristiche degli eventi di nostro interesse. Per ricercare un evento con un particolare ID basta specificarlo nell'apposita casella contrassegnata dall'etichetta <Tutti gli ID evento>. Ad esempio, è possibile ricercare l'evento con ID 4776: il computer ha tentato di convalidare le credenziali per un account. Questo evento viene generato ogni volta che viene eseguita una convalida delle credenziali utilizzando l'autenticazione NTLM e tiene traccia dei tentativi di convalida delle credenziali riusciti e non riusciti. L'evento si verifica solo nel computer autorevole per le credenziali fornite dunque per gli account di dominio l'evento verrà generato sul controller di dominio mentre per gli account locali l'evento verrà generato sul computer locale. Se un tentativo di convalida delle credenziali fallisce, verrà visualizzato un evento con il valore del parametro Codice Errore diverso da "0x0" e come parola chiave Controllo non riuscito. I Codice Errore di nostro interesse sono:
    - 0x0 logon eseguito con successo;
    - 0xC0000064 tentativo di logon fallito in quanto l'utente è inesistente;
    - 0xC000006A tentativo di logon fallito a causa di password errata.
    Filtro registro corrente
    FIG 2 - Filtro registro corrente

    Controllo non riuscito, Password errata
    FIG 3 - Controllo non riuscito, Password errata (Codice Errore  0xC000006A)

    Controllo riuscito, Logon riuscito (Codice Errore 0x0)
    FIG 4 - Controllo riuscito, Logon riuscito (Codice Errore 0x0)

  • Gli accessi tracciati con evento ID 4776 sono quelli in cui l'utente si trova fisicamente dinanzi alla macchina. Per verificare se qualche utente ha eseguito l'accesso da remoto, ad esempio attraverso l'utilizzo del desktop remoto, bisogna ricercare gli eventi con ID 4624 (Accesso di un account riuscito). Con tale ricerca verranno mostrati un numero elevato di eventi molti dei quali non saranno di nostro interesse. Quello a cui dobbiamo prestare attenzione sono i campi Nome account e Tipo di accesso. In un’autenticazione di tipo interattivo il campo Tipo di accesso avrà valore 2 mentre il valore 10 è sinonimo di un accesso remoto tramite Terminal Service o Remote Desktop.
    Eventi Sicurezza ID 4624
    FIG 5 - Eventi Sicurezza ID 4624

  • PowerShell può facilitarci notevolmente la ricerca degli eventi di nostro interesse attraverso l'utilizzo del cmdlet Get-WinEvent. Basterà eseguire il comando
    Get-WinEvent -FilterHashtable @{LogName=’Security’;id=4624; data=’10’} | Format-List
    Le informazioni visualizzate ci consentono di individuare l'autore dell'accesso remoto, la data e l'ora dell'accesso e da quale IP è stata avviata la sessione di desktop remoto.
    PowerShell, Get-WinEvent
    FIG 6 - PowerShell, Get-WinEvent