Windows Server 2019: Installare Windows Server Update Services (WSUS)

Nell'articolo  Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation abbiamo visto come impostare la schedulazione degli aggiornamenti di Windows sulle workstation. In un'azienda di dimensione medio-grandi è preferibile adibire uno o più server interni per la distribuzione degli aggiornamenti, in questo modo, oltre ad avere un maggiore controllo sulla distribuzione degli aggiornamenti, si evita un notevole traffico di dati verso server esterni che potrebbe portare a rallentamenti della connessione ad Internet.

Il primo passo nell'implementazione di un Server per la distribuzione degli aggiornamenti consiste nell'installazione di Windows Server Update Services (WSUS). Una volta stabilito il server da adibire allo scopo procedere come indicato di seguito:

• Da Server Manager selezionare Dashboard quindi cliccare su Aggiungi ruoli e funzionalità.
  

  

  FIG 1 - Server Manager, Aggiungi ruoli e funzionalità

  
  
• Apparirà la finestra del Wizard che ci guiderà nell'operazione. Cliccare su Avanti.
  

  

  FIG 2 - Aggiungi ruoli e funzionalità, Prima di iniziare

  
  
• Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti.
  

  

  FIG 3 - Selezione tipo di installazione

  
  
• Selezionare il server su cui installare la funzionalità e cliccare nuovamente su Avanti.
  

  

  FIG 4 - Selezione server di destinazione

  
  
• Scorrere l'elenco e selezionare il ruolo Windows Server Update Services.
  

  

  FIG 5 - Selezione ruoli server

  
  
• Nella finestra successiva, Windows ci avvisa su eventuali ruoli/funzionalità da installare per il corretto funzionamento di Windows Server Update Services. Cliccare sul pulsante Aggiungi funzionalità per accettare quelle proposte e ritornare alla schermata precedente di selezione ruoli del server.
  
  

  

  FIG 6 - Aggiungi funzionalità

  
  
• Cliccare su Avanti.
  

  

  FIG 7 - Selezione ruoli server

  
  
• Dato che non dobbiamo installare ulteriori funzioni, nella schermata di Selezione funzionalità cliccare su Avanti per proseguire.
  

  

  FIG 8 - Selezione funzionalità
  
  

• Nella schermata successiva ci vengono fornite alcune informazioni sul servizio WSUS. Cliccare sul pulsante Avanti.
  

  

  FIG 9 - Windows Server Update Services

  
  
• Tutti gli update che vengono gestiti dal server possono essere indicizzati nel database interno oppure è possibile utilizzare un database esterno come Microsoft SQL Server. Se si intende utilizzare SQL Server selezionare l'opzione SQL Server Connectivity. Nel nostro caso utilizzeremo il database interno pertanto nella schermata Selezione servizi ruolo andremo semplicemente a cliccare su Avanti senza effettuare alcuna modifica a quanto proposto in automatico.
  

  

  FIG 10 - Selezione servizi ruolo

  
  
• Nel passo successivo va specificato il percorso in cui salvare gli aggiornamenti scaricati e da distribuire. A tale scopo si preferisce adibire un disco diverso da quello in cui è installato il sistema operativo ma nel nostro caso facciamo un eccezione specificando come percorso C:\Aggiornamenti e cliccando su Avanti per proseguire.
  

  

  FIG 11 - Selezione percorso del contenuto

  
  
• Nella schermata Ruolo Server Web (IIS) veniamo avvisati che verrà installato il ruolo di server web e ci vengono fornite alcune informazioni relative al suo funzionamento. Cliccare su Avanti per proseguire.
  

  

  FIG 12 - Ruolo Server Web (IIS)

  
  
• Accettiamo le funzionalità di base relative al web server che vengono proposte di default e clicchiamo su Avanti.
  

  

  FIG 13 - Selezione servizi ruolo per Server Web (IIS)

  
  
• Nella schermata Conferma selezioni per l'installazione cliccare su Installa e attendere il completamento dell'operazione.
  

  

  FIG 14 - Conferma selezioni per l'installazione

  
  
• Al termine cliccare sul link Avvia attività successive all'installazione quindi su Chiudi.
  

  

  FIG 15 - Avvia attività successive a installazione

  
  
  

  

  FIG 16 - Installazione e attività successive completate

  
  

Adesso il servizio WSUS è installato sul server. Nel prossimo articolo vedremo come configurarlo. 

Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation

Avere un sistema operativo costantemente aggiornato è molto importante: oltre a migliorare la sicurezza, gli aggiornamenti consentono di disporre di nuove funzionalità e di un ottimizzazione delle prestazioni. In un azienda, al fine di non bloccare la produttività e non impattare sulle prestazioni della rete e sulla connessione ad Internet, gli aggiornamenti vanno attentamente schedulati. La norma, così come il buon senso, prevede che gli aggiornamenti vengano effettuati fuori dall'orario di lavoro e, nel caso di aziende con molte postazioni di lavoro, venga evitato il download contemporaneo da parte di tutti i computer presenti in azienda. In quest'articolo vedremo come schedulare gli aggiornamenti per una determinata unità organizzativa (la UO Direzione).

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 1 - Server Manager

Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.... 

FIG 2 - Crea un oggetto Criteri di gruppo

Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Windows_Update_Direzione e cliccare su OK. 

FIG 3 - GPO_Windows_Update_Direzione

Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

FIG 4 - Modifica GPO_Windows_Update_Direzione

Posizionarsi su Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Update controllo e cliccare due volte su Configura Aggiornamenti automatici.

FIG 5 - Configura Aggiornamenti automatici

Selezionare l'opzione Attivata quindi, nella casella Configura aggiornamento automatico, selezionare 4 - Download automatico e pianificazione dell'installazione.

FIG 6 - Configurazione aggiornamenti automatici

In Giorno pianificato per per l'installazione selezionare il giorno desiderato (ad es. 7 - Ogni sabato). Nella casella Orario pianificato per l'installazione selezionare l'ora in cui si desidera installare gli aggiornamenti (ad es. 19.00).

FIG 7 - Configura Aggiornamenti automatici, Giorno ed ora

Il passo successivo consiste nel'impostare la frequenza, in un mese, con cui Windows Update verifica e installa gli aggiornamenti: Ogni settimana, Prima settimana del mese, Seconda settimana del mese, Terza settimana del mese, Quarta settimana del mese. In questo esempio selezioniamo la casella Ogni settimana. Se si intende aggiornare anche altre applicazioni Microsoft tramite Windows Update spuntare la casella Installa gli aggiornamenti per altri prodotti Microsoft. Al termine cliccare su OK.

FIG 8 - Configura Aggiornamenti automatici, frequenza verifica aggiornamenti

Windows Server 2019: File Auditing

In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 1 - Server Manager

Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.... 

FIG 2 - Crea un oggetto Criteri di gruppo

Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK. 

FIG 3 - Nuovo oggetto Criteri di gruppo

Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

FIG 4 - Modifica GPO

Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.

FIG 5 - Controlla accesso agli oggetti

Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.

FIG 6 - Proprietà Controlla accesso agli oggetti

Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.

FIG 7 - Collega oggetto Criteri di gruppo esistente

Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.

FIG 8 - Seleziona oggetto Criteri di gruppo

Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.

FIG 8 - Visualizzazione proprietà Cartella condivisa

Nella scheda Sicurezza cliccare sul pulsante Avanzate.

FIG 9 - Proprietà Cartella condivisa

Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.

FIG 10 - Impostazioni avanzate di sicurezza

Cliccare sul link Seleziona un'entità.

FIG 11 - Voci di controllo per Cartella condivisa

Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.

FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.

FIG 13 - Voci di controllo per Cartella condivisa

Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.

FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.

Verificare il funzionamento del Audit

Non ci resta che testare il funzionamento del nostro audit. 

• Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
• Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
• Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
  

  

  FIG 15 - Visualizzatore eventi

  
  
• Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
  

  

  FIG 16 - Visualizzatore eventi, Trova

  
  

  

  FIG 17 - Informazioni Audit

  
  

Windows 10: Disabilitare la sfocatura dello sfondo al logon

A partire dalla versione 1903 di Windows 10 viene applicata una sfocatura all'immagine di benvenuto quando si effettua il logon o si sblocca il sistema.

FIG 1 - Sfocatura sfondo al logon

Per disabilitare tale effetto senza intaccare le altre impostazioni dell'interfaccia del sistema operativo è necessario procedere tramite il registro di sistema:

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'Editor del registro di sistema;
• Posizionarsi sulla chiave
  Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
  Se la chiave non esiste, crearla manualmente;
• In System creare un nuovo valore DWORD a 32-bit, assegnargli il nome DisableAcrylicBackgroundOnLogon e impostare il suo valore a 1;
  

  

  FIG 2 - Creazione valore DWORD DisableAcrylicBackgroundOnLogon

  
  
• Per rendere attiva la modifica riavviare il sistema

Dopo il riavvio l'effetto sfocatura dell'immagine sarà disattivato. Per chi non vuole mettere le mani all'interno del registro può scaricare, dal seguente link, i file .reg per attivare/disattivare l'effetto sfocatura.

DOWNLOAD

FIG 3 - Effetto sfocatura sfondo disattivato

Google: Aggiungere al proprio account un Drive condiviso con spazio illimitato

Chi dispone di un account Google ha a disposizione il servizio Google Drive: un servizio di cloud storage che offre uno spazio gratuito di 15GB (condiviso con la casella di posta elettronica) espandibile a pagamento. Per quanto lo spazio messo a disposizione da tale servizio sia piuttosto generoso può risultare insufficiente nel caso si abbia la necessità di condividere numerosi file voluminosi.

FIG 1 - Google Drive

Per gli account Google business c'è la possibilità di creare dei veri e propri Drive condivisi per archiviare e condividere file con un team. Lo spazio occupato dal Drive Condiviso è teoricamente illimitato con la possibilità, per ciascun utente che vi ha accesso, di caricare 750GB al giorno. Per maggiori informazioni sui Drive condivisi è possibile consultare la documentazione di Google cliccando QUI. 

Anche se tale funzionalità è pensata per gli account G Suite Enterprise, Enterprise for Education, G Suite Essentials, Business, Education e G Suite per il non profit è possibile attivarlo, con un trucco, anche sugli account standard di Google:

• Accedere alla pagina https://td.fastio.me
• Nella casella Shared Drive Name digitare il nome che si intende attribuire al Drive condiviso (ad es. Disco Condiviso);
• In Your Google email address specificare l'indirizzo email del proprio account Google;
• In CH selezionare G Suite Enterprise (gdriveunlimited.net);
• A questo punto non resta che eseguire il test CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) e cliccare su GET.
  

  

  FIG 2 - Google, Attivazione Drive Condiviso

  
  
• Il Drive condiviso verrà automaticamente connesso al nostro account.
  

  

  FIG 3 - Drive Condiviso aggiunto al proprio account Google

  
  

Dato che si tratta di un Drive pensato per condividere informazioni/documenti con un team e non è ufficialmente supportato da Google per gli account semplici, evitare di caricare documenti personali, dati sensibili o documenti importanti in quanto il servizio potrebbe essere bloccato dal colosso di Mountain View.

Windows Server 2019: Impostare l'audit sul logon/logoff degli utenti

Per verificare le informazioni relative ai logon riusciti, tentativi di accesso falliti e logoff degli account utente all'interno del dominio è possibile attivare l'audit sugli eventi di accesso:

• Avviare Gestione Criteri di gruppo.
• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
  

  

  FIG 1 - Default Domain Policy

• Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo ed eseguire un doppio click su Controlla eventi di accesso.
  

  

  FIG 2 - Controlla eventi di accesso

• Selezionare la casella Definisci le impostazioni relative ai criteri. Dato che ci interessa monitorare sia i logon riusciti che i tentativi falliti selezionare la casella Operazioni riuscite (già selezionata di default) e Operazioni non riuscite. Cliccare su OK per confermare l'attivazione.
  

  

  FIG 3 - Attivazione controllo eventi di accesso

A questo punto tutti i logon, i tentativi di logon e i logoff degli utenti dalle postazioni del dominio verranno registrate. Provare ad eseguire il logon/logoff su una postazione del dominio quindi posizionarsi sul server e avviare il Visualizzatore eventi:

• Premere la combinazione di tasti WIN+R e nella finestra di dialogo Esegui digitare eventvwr seguito da Invio.
• Cliccare su Registri di Windows quindi su Sicurezza.
  

  

  FIG 4 - Visualizzatore eventi, Registri di Windows

• Dato che le informazioni in tale registro sono numerose è opportuno aiutarsi con la funzione trova o con un filtro per cercare l'informazioni di proprio interesse. Cliccare sul tasto Trova, digitare l'account che si intende verificare (ad es. giovanni.lubrano) e cliccare su Trova successivo. Si verrà posizionati sull'ultimo evento riguardante l'account specificato. In questo caso bisogna prestare attenzione agli eventi in cui il campo Categoria attività sia Logon o Logoff.
  

  

  FIG 5 - Evento Logon utente