domenica 13 dicembre 2020

Windows Server 2019: Installare Windows Server Update Services (WSUS)

Nell'articolo  Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation abbiamo visto come impostare la schedulazione degli aggiornamenti di Windows sulle workstation. In un'azienda di dimensione medio-grandi è preferibile adibire uno o più server interni per la distribuzione degli aggiornamenti, in questo modo, oltre ad avere un maggiore controllo sulla distribuzione degli aggiornamenti, si evita un notevole traffico di dati verso server esterni che potrebbe portare a rallentamenti della connessione ad Internet.

Il primo passo nell'implementazione di un Server per la distribuzione degli aggiornamenti consiste nell'installazione di Windows Server Update Services (WSUS). Una volta stabilito il server da adibire allo scopo procedere come indicato di seguito:

  • Da Server Manager selezionare Dashboard quindi cliccare su Aggiungi ruoli e funzionalità.
    Server Manager, Aggiungi ruoli e funzionalità
    FIG 1 - Server Manager, Aggiungi ruoli e funzionalità

  • Apparirà la finestra del Wizard che ci guiderà nell'operazione. Cliccare su Avanti.
    Aggiungi ruoli e funzionalità, Prima di iniziare
    FIG 2 - Aggiungi ruoli e funzionalità, Prima di iniziare

  • Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti.
    Selezione tipo di installazione
    FIG 3 - Selezione tipo di installazione

  • Selezionare il server su cui installare la funzionalità e cliccare nuovamente su Avanti.
    Selezione server di destinazione
    FIG 4 - Selezione server di destinazione

  • Scorrere l'elenco e selezionare il ruolo Windows Server Update Services.
    Selezione ruoli server
    FIG 5 - Selezione ruoli server

  • Nella finestra successiva, Windows ci avvisa su eventuali ruoli/funzionalità da installare per il corretto funzionamento di Windows Server Update Services. Cliccare sul pulsante Aggiungi funzionalità per accettare quelle proposte e ritornare alla schermata precedente di selezione ruoli del server.

    Aggiungi funzionalità
    FIG 6 - Aggiungi funzionalità

  • Cliccare su Avanti.
    Selezione ruoli server
    FIG 7 - Selezione ruoli server

  • Dato che non dobbiamo installare ulteriori funzioni, nella schermata di Selezione funzionalità cliccare su Avanti per proseguire.
    Selezione funzionalità
    FIG 8 - Selezione funzionalità

  • Nella schermata successiva ci vengono fornite alcune informazioni sul servizio WSUS. Cliccare sul pulsante Avanti.
    Windows Server Update Services
    FIG 9 - Windows Server Update Services

  • Tutti gli update che vengono gestiti dal server possono essere indicizzati nel database interno oppure è possibile utilizzare un database esterno come Microsoft SQL Server. Se si intende utilizzare SQL Server selezionare l'opzione SQL Server Connectivity. Nel nostro caso utilizzeremo il database interno pertanto nella schermata Selezione servizi ruolo andremo semplicemente a cliccare su Avanti senza effettuare alcuna modifica a quanto proposto in automatico.
    Selezione servizi ruolo
    FIG 10 - Selezione servizi ruolo

  • Nel passo successivo va specificato il percorso in cui salvare gli aggiornamenti scaricati e da distribuire. A tale scopo si preferisce adibire un disco diverso da quello in cui è installato il sistema operativo ma nel nostro caso facciamo un eccezione specificando come percorso C:\Aggiornamenti e cliccando su Avanti per proseguire.
    Selezione percorso del contenuto
    FIG 11 - Selezione percorso del contenuto

  • Nella schermata Ruolo Server Web (IIS) veniamo avvisati che verrà installato il ruolo di server web e ci vengono fornite alcune informazioni relative al suo funzionamento. Cliccare su Avanti per proseguire.
    Ruolo Server Web (IIS)
    FIG 12 - Ruolo Server Web (IIS)

  • Accettiamo le funzionalità di base relative al web server che vengono proposte di default e clicchiamo su Avanti.
    Selezione servizi ruolo per Server Web (IIS)
    FIG 13 - Selezione servizi ruolo per Server Web (IIS)

  • Nella schermata Conferma selezioni per l'installazione cliccare su Installa e attendere il completamento dell'operazione.
    Conferma selezioni per l'installazione
    FIG 14 - Conferma selezioni per l'installazione

  • Al termine cliccare sul link Avvia attività successive all'installazione quindi su Chiudi.
    Avvia attività successive a installazione
    FIG 15 - Avvia attività successive a installazione


    Installazione e attività successive completate
    FIG 16 - Installazione e attività successive completate


Adesso il servizio WSUS è installato sul server. Nel prossimo articolo vedremo come configurarlo. 







martedì 8 dicembre 2020

Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation

Avere un sistema operativo costantemente aggiornato è molto importante: oltre a migliorare la sicurezza, gli aggiornamenti consentono di disporre di nuove funzionalità e di un ottimizzazione delle prestazioni. In un azienda, al fine di non bloccare la produttività e non impattare sulle prestazioni della rete e sulla connessione ad Internet, gli aggiornamenti vanno attentamente schedulati. La norma, così come il buon senso, prevede che gli aggiornamenti vengano effettuati fuori dall'orario di lavoro e, nel caso di aziende con molte postazioni di lavoro, venga evitato il download contemporaneo da parte di tutti i computer presenti in azienda. In quest'articolo vedremo come schedulare gli aggiornamenti per una determinata unità organizzativa (la UO Direzione).

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento...

    Crea un oggetto Criteri di gruppo
    FIG 2 - Crea un oggetto Criteri di gruppo

  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Windows_Update_Direzione e cliccare su OK
    GPO_Windows_Update_Direzione
    FIG 3 - GPO_Windows_Update_Direzione

  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 
    Modifica GPO_Windows_Update_Direzione
    FIG 4 - Modifica GPO_Windows_Update_Direzione

  • Posizionarsi su Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Update controllo e cliccare due volte su Configura Aggiornamenti automatici.

    Configura Aggiornamenti automatici
    FIG 5 - Configura Aggiornamenti automatici
  • Selezionare l'opzione Attivata quindi, nella casella Configura aggiornamento automatico, selezionare 4 - Download automatico e pianificazione dell'installazione.
    Configurazione aggiornamenti automatici
    FIG 6 - Configurazione aggiornamenti automatici
  • In Giorno pianificato per per l'installazione selezionare il giorno desiderato (ad es. 7 - Ogni sabato). Nella casella Orario pianificato per l'installazione selezionare l'ora in cui si desidera installare gli aggiornamenti (ad es. 19.00).
    Configura Aggiornamenti automatici, Giorno ed ora
    FIG 7 - Configura Aggiornamenti automatici, Giorno ed ora

  • Il passo successivo consiste nel'impostare la frequenza, in un mese, con cui Windows Update verifica e installa gli aggiornamenti: Ogni settimana, Prima settimana del mese, Seconda settimana del mese, Terza settimana del mese, Quarta settimana del mese. In questo esempio selezioniamo la casella Ogni settimana. Se si intende aggiornare anche altre applicazioni Microsoft tramite Windows Update spuntare la casella Installa gli aggiornamenti per altri prodotti Microsoft. Al termine cliccare su OK.
    Configura Aggiornamenti automatici, frequenza verifica aggiornamenti
    FIG 8 - Configura Aggiornamenti automatici, frequenza verifica aggiornamenti



  • giovedì 3 dicembre 2020

    Windows Server 2019: File Auditing

    In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento...

    Crea un oggetto Criteri di gruppo
    FIG 2 - Crea un oggetto Criteri di gruppo

  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK

    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo

  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 
    Modifica GPO
    FIG 4 - Modifica GPO

  • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.
    Controlla accesso agli oggetti
    FIG 5 - Controlla accesso agli oggetti

  • Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.
    Proprietà Controlla accesso agli oggetti
    FIG 6 - Proprietà Controlla accesso agli oggetti

  • Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.
    Collega oggetto Criteri di gruppo esistente
    FIG 7 - Collega oggetto Criteri di gruppo esistente

  • Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.
    Seleziona oggetto Criteri di gruppo
    FIG 8 - Seleziona oggetto Criteri di gruppo

  • Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.
    Visualizzazione proprietà Cartella condivisa
    FIG 8 - Visualizzazione proprietà Cartella condivisa

  • Nella scheda Sicurezza cliccare sul pulsante Avanzate.
    Proprietà Cartella condivisa
    FIG 9 - Proprietà Cartella condivisa

  • Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.
    Impostazioni avanzate di sicurezza
    FIG 10 - Impostazioni avanzate di sicurezza
  • Cliccare sul link Seleziona un'entità.
    Voci di controllo per Cartella condivisa
    FIG 11 - Voci di controllo per Cartella condivisa
  • Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.
    Seleziona Utente, Computer, Account servizio o Gruppo
    FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

  • All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.
    Voci di controllo per Cartella condivisa
    FIG 13 - Voci di controllo per Cartella condivisa

  • Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.
    Voci di controllo per Cartella condivisa, Autorizzazioni avanzate
    FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

  • Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.



  • Verificare il funzionamento del Audit

    Non ci resta che testare il funzionamento del nostro audit. 
    • Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
    • Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
    • Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
      Visualizzatore eventi
      FIG 15 - Visualizzatore eventi

    • Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
      Visualizzatore eventi, Trova
      FIG 16 - Visualizzatore eventi, Trova

      Informazioni Audit
      FIG 17 - Informazioni Audit






    lunedì 30 novembre 2020

    Windows 10: Disabilitare la sfocatura dello sfondo al logon

    A partire dalla versione 1903 di Windows 10 viene applicata una sfocatura all'immagine di benvenuto quando si effettua il logon o si sblocca il sistema.

    Sfocatura sfondo al logon
    FIG 1 - Sfocatura sfondo al logon
    Per disabilitare tale effetto senza intaccare le altre impostazioni dell'interfaccia del sistema operativo è necessario procedere tramite il registro di sistema:

    • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'Editor del registro di sistema;
    • Posizionarsi sulla chiave
      Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
      Se la chiave non esiste, crearla manualmente;
    • In System creare un nuovo valore DWORD a 32-bit, assegnargli il nome DisableAcrylicBackgroundOnLogon e impostare il suo valore a 1;
      Creazione valore DWORD DisableAcrylicBackgroundOnLogon
      FIG 2 - Creazione valore DWORD DisableAcrylicBackgroundOnLogon

    • Per rendere attiva la modifica riavviare il sistema

    Dopo il riavvio l'effetto sfocatura dell'immagine sarà disattivato. Per chi non vuole mettere le mani all'interno del registro può scaricare, dal seguente link, i file .reg per attivare/disattivare l'effetto sfocatura.

    Effetto sfocatura sfondo disattivato
    FIG 3 - Effetto sfocatura sfondo disattivato







    sabato 28 novembre 2020

    Google: Aggiungere al proprio account un Drive condiviso con spazio illimitato

    Chi dispone di un account Google ha a disposizione il servizio Google Drive: un servizio di cloud storage che offre uno spazio gratuito di 15GB (condiviso con la casella di posta elettronica) espandibile a pagamento. Per quanto lo spazio messo a disposizione da tale servizio sia piuttosto generoso può risultare insufficiente nel caso si abbia la necessità di condividere numerosi file voluminosi.

    Google Drive
    FIG 1 - Google Drive
    Per gli account Google business c'è la possibilità di creare dei veri e propri Drive condivisi per archiviare e condividere file con un team. Lo spazio occupato dal Drive Condiviso è teoricamente illimitato con la possibilità, per ciascun utente che vi ha accesso, di caricare 750GB al giorno. Per maggiori informazioni sui Drive condivisi è possibile consultare la documentazione di Google cliccando QUI

    Anche se tale funzionalità è pensata per gli account G Suite Enterprise, Enterprise for Education, G Suite Essentials, Business, Education e G Suite per il non profit è possibile attivarlo, con un trucco, anche sugli account standard di Google:

    • Accedere alla pagina https://td.fastio.me
    • Nella casella Shared Drive Name digitare il nome che si intende attribuire al Drive condiviso (ad es. Disco Condiviso);
    • In Your Google email address specificare l'indirizzo email del proprio account Google;
    • In CH selezionare G Suite Enterprise (gdriveunlimited.net);
    • A questo punto non resta che eseguire il test CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) e cliccare su GET.
      Google, Attivazione Drive Condiviso
      FIG 2 - Google, Attivazione Drive Condiviso

    • Il Drive condiviso verrà automaticamente connesso al nostro account.
      Drive Condiviso aggiunto al proprio account Google
      FIG 3 - Drive Condiviso aggiunto al proprio account Google

    Dato che si tratta di un Drive pensato per condividere informazioni/documenti con un team e non è ufficialmente supportato da Google per gli account semplici, evitare di caricare documenti personali, dati sensibili o documenti importanti in quanto il servizio potrebbe essere bloccato dal colosso di Mountain View.




    venerdì 27 novembre 2020

    Windows Server 2019: Impostare l'audit sul logon/logoff degli utenti

    Per verificare le informazioni relative ai logon riusciti, tentativi di accesso falliti e logoff degli account utente all'interno del dominio è possibile attivare l'audit sugli eventi di accesso:
    • Avviare Gestione Criteri di gruppo.
    • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
      Default Domain Policy
      FIG 1 - Default Domain Policy
    • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo ed eseguire un doppio click su Controlla eventi di accesso.
      Controlla eventi di accesso
      FIG 2 - Controlla eventi di accesso
    • Selezionare la casella Definisci le impostazioni relative ai criteri. Dato che ci interessa monitorare sia i logon riusciti che i tentativi falliti selezionare la casella Operazioni riuscite (già selezionata di default) e Operazioni non riuscite. Cliccare su OK per confermare l'attivazione.
      Attivazione controllo eventi di accesso
      FIG 3 - Attivazione controllo eventi di accesso

    A questo punto tutti i logon, i tentativi di logon e i logoff degli utenti dalle postazioni del dominio verranno registrate. Provare ad eseguire il logon/logoff su una postazione del dominio quindi posizionarsi sul server e avviare il Visualizzatore eventi:
    • Premere la combinazione di tasti WIN+R e nella finestra di dialogo Esegui digitare eventvwr seguito da Invio.
    • Cliccare su Registri di Windows quindi su Sicurezza.
      Visualizzatore eventi, Registri di Windows
      FIG 4 - Visualizzatore eventi, Registri di Windows
    • Dato che le informazioni in tale registro sono numerose è opportuno aiutarsi con la funzione trova o con un filtro per cercare l'informazioni di proprio interesse. Cliccare sul tasto Trova, digitare l'account che si intende verificare (ad es. giovanni.lubrano) e cliccare su Trova successivo. Si verrà posizionati sull'ultimo evento riguardante l'account specificato. In questo caso bisogna prestare attenzione agli eventi in cui il campo Categoria attività sia Logon o Logoff.
      Evento Logon utente
      FIG 5 - Evento Logon utente



    giovedì 26 novembre 2020

    Windows 10: Rimozione file DumpStack. log e DumpStack.log.tmp

    I file DumpStack.log e DumpStack.log.tmp che generalmente si trovano nella directory principale dell'unità su cui è installato il sistema operativo, vengono generati dalla funzionalità Dump stack logging introdotta da Microsoft a partire da Windows 8. Tale funzionalità, se abilitata, raccoglie informazioni utili a individuare eventuali problemi hardware/software che portano alla visualizzazione delle BSOD (Blue Screen of Death ovvero le schermate blu di errore di Windows). Il componente di sistema che si occupa della diagnostica è Crashdmp.sys, ed è possibile ottenere informazioni più o meno dettagliate in base al livello impostato.

    Generalmente il file DumpStack.log può essere cancellato senza problemi mentre il file DumpStack.log.tmp risulta bloccato in quanto il suo contenuto viene aggiornato continuamente dal sistema operativo.
    Impossibile eliminare il file DumpStack.log.tmp
    FIG 1 - Impossibile eliminare il file DumpStack.log.tmp


    Tranne in casi particolari, la dimensione dei due file è trascurabile (pochi KB) e la loro presenza può essere tranquillamente ignorata. In caso contrario, prima di poterli eliminare, è necessario disabilitare la funzione Dump stack logging procedendo con i seguenti passaggi:
    • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'Editor del registro di sistema;
    • Posizionarsi sulla chiave 
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
    • Eseguire un doppio click sul valore DWORD nominato EnableLogFile e nel campo Dati valore digitare 0 (se il valore DWORD non è presente crearlo manualmente) e confermare cliccando su OK;
      Modifica valore DWORD EnableLogFile
      FIG 2- Modifica valore DWORD EnableLogFile
    • Riavviare il sistema.

    Dopo questa operazione sarà possibile eliminare entrambi i file.
    Dal seguente link è possibile scaricare il file .reg per disattivare la funzionalità Dump stack logging di Windows.