mercoledì 4 agosto 2021

Windows 10: Visualizzare i tentativi di accesso al sistema

Una volta attivato l'audit (si veda l'articolo Windows 10: Attivazione audit) Windows traccerà, all'interno dei propri log, i tentativi di accesso al sistema, sia quelli avvenuti con successo sia gli accessi falliti a causa di utenza o password errata. 

Dato che verranno tracciati un numero elevato di eventi è opportuno anche valutare se non sia il caso di aumentare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi

Per analizzare i log ed individuare possibili tentativi di intrusione è possibile procedere come indicato di seguito:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. In tale registro sono presenti un numero elevato di eventi. Per cercarne uno in particolare possiamo farlo tramite l'ID associato. Ciascun evento, infatti, è associato un ID che lo caratterizza e che ci permette di individuare facilmente quello di nostro interesse (la lista degli ID è pubblica).Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella nuova finestra è possibile specificare le caratteristiche degli eventi di nostro interesse. Per ricercare un evento con un particolare ID basta specificarlo nell'apposita casella contrassegnata dall'etichetta <Tutti gli ID evento>. Ad esempio, è possibile ricercare l'evento con ID 4776: il computer ha tentato di convalidare le credenziali per un account. Questo evento viene generato ogni volta che viene eseguita una convalida delle credenziali utilizzando l'autenticazione NTLM e tiene traccia dei tentativi di convalida delle credenziali riusciti e non riusciti. L'evento si verifica solo nel computer autorevole per le credenziali fornite dunque per gli account di dominio l'evento verrà generato sul controller di dominio mentre per gli account locali l'evento verrà generato sul computer locale. Se un tentativo di convalida delle credenziali fallisce, verrà visualizzato un evento con il valore del parametro Codice Errore diverso da "0x0" e come parola chiave Controllo non riuscito. I Codice Errore di nostro interesse sono:
    - 0x0 logon eseguito con successo;
    - 0xC0000064 tentativo di logon fallito in quanto l'utente è inesistente;
    - 0xC000006A tentativo di logon fallito a causa di password errata.
    Filtro registro corrente
    FIG 2 - Filtro registro corrente

    Controllo non riuscito, Password errata
    FIG 3 - Controllo non riuscito, Password errata (Codice Errore  0xC000006A)

    Controllo riuscito, Logon riuscito (Codice Errore 0x0)
    FIG 4 - Controllo riuscito, Logon riuscito (Codice Errore 0x0)

  • Gli accessi tracciati con evento ID 4776 sono quelli in cui l'utente si trova fisicamente dinanzi alla macchina. Per verificare se qualche utente ha eseguito l'accesso da remoto, ad esempio attraverso l'utilizzo del desktop remoto, bisogna ricercare gli eventi con ID 4624 (Accesso di un account riuscito). Con tale ricerca verranno mostrati un numero elevato di eventi molti dei quali non saranno di nostro interesse. Quello a cui dobbiamo prestare attenzione sono i campi Nome account e Tipo di accesso. In un’autenticazione di tipo interattivo il campo Tipo di accesso avrà valore 2 mentre il valore 10 è sinonimo di un accesso remoto tramite Terminal Service o Remote Desktop.
    Eventi Sicurezza ID 4624
    FIG 5 - Eventi Sicurezza ID 4624

  • PowerShell può facilitarci notevolmente la ricerca degli eventi di nostro interesse attraverso l'utilizzo del cmdlet Get-WinEvent. Basterà eseguire il comando
    Get-WinEvent -FilterHashtable @{LogName=’Security’;id=4624; data=’10’} | Format-List
    Le informazioni visualizzate ci consentono di individuare l'autore dell'accesso remoto, la data e l'ora dell'accesso e da quale IP è stata avviata la sessione di desktop remoto.
    PowerShell, Get-WinEvent
    FIG 6 - PowerShell, Get-WinEvent





Pubblicato da alle Nessun commento:
Etichette: , , , , , ,

martedì 3 agosto 2021

Windows 10: Attivazione audit

La tracciatura degli eventi impostata di default in Windows, a differenza di altri sistemi operativi come GNU/Linux, risulta troppo limitata per consentire di individuare con certezza un eventuale intrusione fornendo informazioni dettagliate.

Fortunatamente è possibile ovviare a questa mancanza in maniera molto semplice attraverso l'utilizzo dell'Editor Criteri di gruppo locali:
  • Avviare, con un utente amministratore, l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Selezionare il percorso Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo;
    Editor Criteri di gruppo locali
    FIG 1 - Editor Criteri di gruppo locali

  • Bisogna attivare tutte le voci che appaiono sul pannello destro ad eccezione di Controlla accesso al servizio directory  in quanto, in questo caso, il PC non è connesso al dominio. Per l'attivazione basta cliccare due volte sul criterio e selezionare le caselle Operazioni riuscite e Operazioni non riuscite.
    Proprietà criterio di controllo


Di seguito i dettagli dei criteri di controllo.

Controlla accesso agli oggetti
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory.

Controlla accesso al servizio directory
Specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Nel caso di PC non connesso a dominio tale controllo non va attivato.

Controlla eventi accesso account
Specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Controlla eventi di accesso
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  

Controlla eventi di sistema
Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 
  • Tentativo di modifica dell'ora di sistema
  • Tentativo di avvio o arresto del sistema di sicurezza
  • Tentativo di caricare componenti di autenticazione estendibili
  • Perdita di eventi controllati a causa di un errore del sistema di controllo
  • Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Controlla gestione degli account
Specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:
  • Creazione, modifica o eliminazione di un account utente o di un gruppo.
  • Ridenominazione, attivazione o disattivazione di un account utente.
  • Impostazione o modifica di una password.

Controlla modifica ai criteri
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 


Controlla esito processi
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 


Controlla uso dei privilegi
Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.




Pubblicato da alle Nessun commento:
Etichette: , , ,

lunedì 2 agosto 2021

MS Outlook: Modificare il percorso della Rubrica Offline (OAB)

La Rubrica Offline di Outlook, spesso chiamata anche OAB (Offline Address Book), Offline Global Address List o GAL, si trova di default nel seguente percorso: 
C:\Users\%username%\AppData\Local\Microsoft\Outlook\Offline Address Books\

La cartella Offline Address Books sopra indicata può contenere una o più sottocartelle a seconda di quanti account Exchange sono configurati sul sistema. I nomi delle sottocartelle sono basati su GUID e ciò rende difficile individuare a quale account Exchange appartengono.

Per individuare la cartella che contiene la Rubrica offline del proprio account Outlook basta procedere come indicato di seguito:
  • Avviare Outlook e aprire la Rubrica cliccando sull'apposita icona presente sulla barra multifunzione o tramite la combinazione di tasti CTRL+MAIUSC+B;
  • Dall'elenco a discesa della Rubrica, selezionare il proprio Elenco indirizzi globale offline (Offline Global Address list);
  • Una volta selezionato, cliccare con il tasto destro del mouse sull'elenco a discesa e selezionare Proprietà;
    Rubrica
    FIG 1 - Rubrica

  • Nella casella Server corrente viene mostrato l'intero percorso della cartella contenente i file della nostra Rubrica Offline (inclusa la cartella GUID).
    Cartella contenente i file OAB
    FIG 2 - Cartella contenente i file OAB

La posizione dei file OAB può essere modificata tramite il registro di sistema:
  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Creare, se non presente la seguente chiave di registro
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\office\16.0\Outlook\Cached Mode
  • Posizionandosi sulla chiave sopra indicata, creare un nuovo valore STRINGA e rinominarlo in SpecifyOfflineAddressBookPath
  • All'interno del valore stringa appena creato digitare il nuovo percorso della Rubrica offline (bisogna specificare una cartella esistente) e cliccare su OK per confermare la modifica.
    SpecifyOfflineAddressBookPath
    FIG 3 - SpecifyOfflineAddressBookPath

  • Al termine della modifica va ricreato il profilo outlook




Pubblicato da alle Nessun commento:
Etichette: , , , , , , ,

sabato 31 luglio 2021

MS Outlook: Disattivare o limitare l'elenco degli elementi recenti nel menu Allega file

In Outlook 2016, Outlook 2019 e Microsoft 365, per impostazioni predefinita e a seconda della risoluzione/dimensione dello schermo, vengono mostrati fino a 12 file nell'elenco degli elementi recenti del pulsante Allega file. Non è possibile filtrare direttamente tale elenco ma è possibile disattivarlo o limitare il numero di elementi visualizzati agendo tramite il registro di sistema.
Outlook, Elenco Allega file
FIG 1 - Outlook, Elenco Allega file


É possibile controllare quanti elementi recenti vengono mostrati nel menu Allega file tramite il valore di registro MaxAttachmentMenuItems:
  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Mail
  • Creare, se non presente, un valore DWORD e rinominarlo in MaxAttachmentMenuItems;
  • I valori accettati sono decimali da 0 a 20 che rappresentano il numero di file recenti visualizzati in elenco. Assegnando a MaxAttachmentMenuItems il valore 0 l'elenco verrà disattivato.
    MaxAttachmentMenuItems
    FIG 2 - MaxAttachmentMenuItems

Outlook, Elenco file recenti disattivato
FIG 3 - Outlook, Elenco file recenti disattivato




Pubblicato da alle Nessun commento:
Etichette: , , , , , ,

lunedì 26 luglio 2021

Ingannare i sistemi di riconoscimento automatico del testo

Quando si pubblica del testo online sui social questo viene analizzato da sistemi automatizzati in grado di individuare parole chiave (keyword) vietate o borderline. Un processo analogo avviene con i filtri antispam di posta elettronica. Ci sono diversi trucchi per ingannare i sistemi di riconoscimento automatico del testo e fare in modo che il nostro messaggio non venga subito intercettato evitando, almeno in un primo momento, la censura. La soluzione più veloce è quella di ricorrere alle lookalike letters, ovvero lettere che hanno un aspetto visivamente simile a quelle che si intende scrivere. Grazie ai caratteri Unicode le lettere vengono sostituite da altre apparentemente simili, prese dai dizionari di tutto il mondo, ma che vengono interpretate in modo completamente diverso da un computer. Uno dei tanti servizi gratuiti adatti allo scopo è SpiderArmy. Le funzioni offerte dal sito sono diverse:

Anti-monitoring
I caratteri vengono sostituiti con altri solo visivamente simili ma prelevati da altri dizionari Unicode.
SpiderArmy, Anti-monitoring
FIG 1 - SpiderArmy, Anti-monitoring


Secret encode
Permette di codificare e decodificare un messaggio, utilizzando una chiave simmetrica.
SpiderArmy, Secret encoder
FIG 2 - SpiderArmy, Secret encoder


Reduce
Riduce il numero di caratteri digitato sostituendo combinazioni di lettere con caratteri speciali che gli assomigliano.

Mirror
Permette di applicare l'effetto specchio al testo, invertirlo e capovolgerlo.

Shrink
Riduce le dimensioni del testo senza ricorrere a CSS o HTML.

Bubble
Trasforma il testo in bubble text.

Full width
Converte il testo ordinario nel suo equivalente Full Width: fa sembrare i caratteri a volte (a seconda del font) leggermente più grandi o più distanziati.

Bold/Italic 
Sostituisce il testo digitato con caratteri che hanno uno stile in grassetto o in corsivo.


Pubblicato da alle Nessun commento:
Etichette: , , , ,

lunedì 19 luglio 2021

Windows 10: Aumentare la dimensione dei registri eventi

Un'impostazione che viene spesso trascurata in ambiente Windows è quella della dimensione dei registri eventi. In Windows 10 la dimensione massima dei registri eventi come Applicazione, Sicurezza, Sistema è impostata di default a 20 MB. Tale dimensione, in alcuni contesti, potrebbe rivelarsi insufficiente portando alla sovrascrittura prematura degli eventi più vecchi e, di conseguenza, alla perdita di informazioni. Per incrementare le dimensioni dei registri eventi è possibile procedere in diversi modi.

Metodo 1 - Tramite GUI

Questo è il metodo più semplice e consiste nel procedere tramite l'interfaccia grafica di Windows:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr seguito da invio); 
  • Espandere la voce Registri di Windows quindi cliccare, con il tasto destro del mouse, sul registro su cui si intende intervenire e selezionare Proprietà dal menu contestuale;
    Visualizzatore eventi
    FIG 1 - Visualizzatore eventi

  • Nella finestra delle proprietà possiamo modificare il percorso del registro, impostare la dimensione massima (in KB) e decidere cosa fare al raggiungimento della dimensione massima scegliendo tra una delle 3 opzioni messe a disposizione:
      1. Sovrascrivi eventi se necessario (dal più vecchio),
      2. Archivia il registro quando è pieno (non sovrascrive gli eventi),
      3. Non sovrascrivere gli eventi (cancella i registri manualmente).
    Cliccando sul pulsante Cancella registro il contenuto del registro corrente verrà eliminato. Prima, però, ci verrà richiesto se salvare una copia.
    Proprietà registro
    FIG 2 - Proprietà registro


Metodo 2 - Tramite registro di sistema

  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
    ed espandere l'alberatura in modo da visualizzare le sottochiavi.
  • All'interno della chiave EventLog troviamo altre sottochiavi relative ai registri eventi. Supponiamo di voler ridimensionare il registro eventi Sistema. Selezionare la sottochiave System ed eseguire un doppio click sul valore DWORD con nome MaxSize. Selezionare la base decimale e specificare, in byte, la dimensione massima che si intende impostare.
    Editor del Registro di sistema, Eventlog
    FIG 3 - Editor del Registro di sistema, Eventlog


Metodo 3 - Tramite group policy

Questo metodo prevede l'utilizzo dell'Editor di Criteri di gruppo locali pertanto può essere eseguito solo sulle versioni Professional e Enterprise di Windows 10:
  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Criteri Computer locale -> Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Servizio Registro eventi. All'interno di quest'ultima voce troviamo i registri eventi principali.
  • Selezionare il registro eventi su cui si intende operare (ad es. Sistema) quindi eseguire un doppio click su Specifica dimensione massima file di registro (KB)
    Editor Criteri di gruppo locali
    FIG 4 - Editor Criteri di gruppo locali

  • Selezionare l'opzione Attivata quindi, nell'apposita casella, specificare la dimensione massima desiderata in KB. Terminata la modifica cliccare su Applica.
    Specifica dimensione massima file di registro (KB)
    FIG 5 - Specifica dimensione massima file di registro (KB)
     



Pubblicato da alle Nessun commento:
Etichette: , , , , ,

giovedì 15 luglio 2021

Verificare un URL prima di aprirlo sul proprio sistema

Una buona parte dei tentativi di truffa e di attacco da parte dei criminali informatici utilizzano collegamenti web camuffati. Prima di cliccare su un collegamento ricevuto tramite email, sms, WhatsApp o altre applicazioni è buona norma assicurarsi che il link non sia pericoloso (anche se il mittente è una persona a noi nota e attendibile).

Nell'articolo Verificare se un sito web è sicuro con Zulu URL Risk Analyzer abbiamo già visto come analizzare la sicurezza di un URL attraverso il servizio zscalerIn questo articolo vedremo altri due strumenti che ci vengono in aiuto per la nostra analisi.

WhereGoes
Il primo tool è WhereGoes che consente di tracciare i percorsi di reindirizzamento completi di un URL permettendo di verificare il sito reale a cui punta. In questo modo si risale facilmente all'indirizzo completo a cui punta un URL accorciata da servizi come TinyUrl e bitly.
WhereGoes
FIG 1 - WhereGoes


Browserling
Il sito Browserling mette a disposizione una mini virtual machine temporanea in cui è possibile selezionare il sistema operativo e il browser da utilizzare per la verifica dell'URL sospetto senza mettere a rischio il proprio sistema. La versione gratuita del tool richiede l'attesa di una coda dalla durata variabile (generalmente un minuto o poco più) e la scelta del sistema operativo e del browser è limitata. Una volta scaduto il tempo di attesa, verrà caricato il sistema operativo e il browser selezionato per un periodo di tempo limitato ma comunque più che sufficiente per testare il nostro URL.
browserling
FIG 2 - Browserling




Pubblicato da alle 2 commenti:
Etichette: , , , , ,
Iscriviti a: Post (Atom)