Blog : Windows

Desktop Remoto senza disconnettere utente

Desktop Remoto senza disconnettere utente

Quando si abilita la funzionalità di Desktop Remoto in Windows Server si può avere la necessità di abilitare sessioni multiple concorrenti con lo stesso account.

Se infatti accediamo al server in Desktop Remoto utilizzando le credenziali di un utente, nel momento in cui tentiamo di loggarci con le stesse credenziali aprendo un’altra sessione, ci verrà richiesto quale utente attualmente connesso vogliamo disconnettere. Questo non rende possibile loggarsi a Windows Server da desktop remoto contemporaneamente.

Questo impedimento è sicuramente superabile modificando alcune impostazioni sul Server:

Come abilitare Sessioni Multiple Desktop Remoto

Per abilitare le sessioni concorrenti in RDP su Windows Server (2008, 2008 R2, 2012, 2012 R2) è sufficiente accedere alla finestra di ricerca posta sopra il menù di avvio e digitare la parola “regedit”.

Questa aprirà le chiavi di registro del Sistema Operativo. Andiamo quindi in 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Clicchiamo quindi con il tasto destro sulla voce : fSingleSessionPerUser

e successivamente sulla voce Modify. Si aprirà quindi una finestra dove possiamo modificare la voce di registro modificando il valore da 1 a 0

Ora sarà possibile creare sessioni simultanee di desktop remoto senza dover scollegare altri utenti

SSD lento o lentissimo? Come Ottimizzare SSD

SSD lento o lentissimo? Come Ottimizzare SSD

Eccoci qua, avevamo il nostro bel PC a cui siamo tanto affezionati ma l’evoluzione di sistemi operativi e software ci fanno capire che il nostro amato PC è un pò lent0. La prima cosa quindi è solitamente quella di chiamare “ammiocugino” il quale ti dirà: “Non preoccuparti… basta che installi i nuovi Hard Disk a stato solido o SSD, puoi inserirli anche al posto del tuo lettore CD… vedrai che velocità”.

Quindi compri… installi e ti accordi che il tuo PC con SSD è particolarmente lento o addirittura lentissimo… peggio di prima 🙁

Il problema è che “ammiocugino” molto probabilmente ti ha consigliato bene, ma non ti ha detto tutto.

I PC o i Notebook, soprattutto quando non molto recenti, hanno bisogno di alcuni settaggi per far riconoscere il nuovo hard disk a stato solido e quindi lavorarci al massimo delle prestazioni.

Ecco quindi una guida con le principali impostazioni da settare nel proprio PC per far riconoscere al meglio il nuovo dispositivo SDD.

 

Update firmware di SSD lento

Il primo passo è sicuramente quello di aggiornare il firmware dell’SSD per assicurarci che la comunicazione tra il dispositivo ed il nostro PC possa essere la più aggiornata possibile e priva di errori riscontati. Inutile dire che ogni hard disk dispone di un firmware a lui dedicato rilasciato dalla propria casa madre. Per la casa madre Samsung, ad esempio, è possibile utilizzare il Tool Samsung Magician che si occuperà di aggiornare il firmware del nostro ssd e apportare ulteriori ottimizzazioni al dispositivo.

Nel caso in cui non ci conosca marca e/o modello del nostro hard disk, è possibile utilizzare il tool  gratuito CrystalDiskInfo, il quale ci mostrerà la marca ed il modello dell’SSD nonché la versione del firmware in uso. Ottenuta questa informazione, possiamo quindi effettuare una ricerca online o recarci sul sito del produttore per scaricare l’ultima versione aggiornata del firmware.

 

Abilitare AHCI per SSD

L’AHCI è un acronimo che sta per Advanced Host Controller Interface ed una un aspetto fondamentale affinchè Windows possa interfacciarsi regolarmente con le funzionalità di un SSD lento assicurando che venga utilizzata la funzionalità TRIM che consente la corretta cancellazione di dati dal dispositivo. Per attivare l’AHCI è necessario intervenire sul BIOS del PC con una procedura ciascuna diversa in base alla propria versione.

 

Attivare TRIM per SSD

Come forse già saprete, quando si elimina un file da un PC questo non viene realmente cancellato ma viene dichiarato il suo settore come libero quindi sovrascrivibile da un altro dato. Sui supporti SSD, questo è l’aspetto più dolente in quanto i dati che permangono senza essere effettivamente cancellati, mirano alla durata dell’SSD. A tal fine, è possibile attivare il supporto TRIM SSD che consente di scrivere nuovi file pulendo lo spazio disponibile quindi mantenendo il dispositivo più efficiente.  Per verificare che la funzione TRIM sia effettivamente abilitata si può procedere come segue:

Start -> casella di ricerca -> scrivere “cmd” (procedura da fare come amministratore)

scrivere quindi il comando

fsutil behavior query disabledeletenotify

e dare Invio.

Se il risultato è

DisableDeleteNotify = 0

Trim è abilitato mentre se ha valore  1, vuol dire che è disattivato disattivato.

Per abilitare  Trim il comando da impartire nel prompt è:

fsutil behavior set disablenotify 0

 

Procedura Software per SSD lento

Se nonostante questi accorgimenti il nostro SSD è lento o lentissimo è possibile provare dei software come  SSD Tweaker  il quale si occuperà di apportare le dovute modifiche al nostro sistema operativo affinché possa regolare ed ottimizzare al meglio la comunicazione con il nuovo hard disk.

 

Doppio Indirizzo IP su Windows: due indirizzi IP sullo stesso PC

Doppio Indirizzo IP su Windows: due indirizzi IP sullo stesso PC

Quando ci si avvicina per le prime volte al mondo del networking, alcuni concetti chiave prevedono che un PC (o elaboratore di altro genere) può avere diverse interfacce di rete. Ciascuna di esse può essere settata per lavorare in una sola sottomaschera di rete. Per fortuna non è così 😉 A volte si può avere la necessita di far “navigare” il proprio device su due sottomaschere di rete differenti con una sola interfaccia di rete, rendendo quindi indispensabile usare un doppio indirizzo IP sullo stesso PC.

Un esempio che mi è capitato in un’azienda è quello in cui la rete LAN locale fosse settata su indirizzo IP 192.168.2.0/24  mentre il sistema di video sorveglianza basato su telecamere a IP fosse settato su IP 192.168.1.0/24  . Il committente richiedeva di poter utilizzare il proprio PC all’interno della rete locale quindi interfacciarsi con gli altri PC e device di rete e allo stesso tempo visionare il sistema di videosorveglianza sullo stesso PC.  La soluzione al problema è quella di utilizzare un alias IP o IP aliasing. Vediamo quindi come muoverci su SO Windows.

Doppio Indirizzo IP su Windows

Per utilizzare due indirizzi IP sullo stesso PC, è necessario anzitutto impostare un indirizzo statico alla macchina. Accedendo alle proprietà della scheda, bisogna quindi impostare i parametri specificando indirizzo IP statico, sottomaschera e gateway (avendo cura di non creare conflitti di indirizzi con altri device)

 

Successivamente possiamo passare a settare il secondo indirizzo IP utilizzando il pulsante “Avanzate” in basso a destra. Si aprirà una finestra dove possiamo aggiungere un secondo indirizzo IP su un’altra sottomaschera di rete (avendo cura anche qui di non creare conflitti con altri dispositivi). Premiamo quindi sul pulsante “Aggiungi” e inseriamo il secondo indirizzo IP desiderato.

Con questo semplice espediente riusciremo ad utilizzare un doppio indirizzo IP su Windows 😉

 

Rimozione Eset outlook plugin: impossibile caricare il componente aggiuntivo eset outlook plugin

Rimozione Eset outlook plugin: impossibile caricare il componente aggiuntivo eset outlook plugin

In molti, dopo aver installato l’antivirus Eset Nod32 segnalano un problema con il client di Posta Outlook di Windows.

Il problema è dato da un’estensione che viene installata all’interno di Outlook che perde però il riferimento alla libreria.

Nello specifico, l’errore che compare è: “Impossibile caricare il componente aggiuntivo “Eset Outlook Plugin” ( C:\PROGRA 1 \ESET\ESETSM 1\X86\EPLGOU 3.DLL)

Cliccando su Ok il client di posta si apre regolarmente ma il messaggio di avviso ad ogni apertura può risultare fastidioso.

Vediamo quindi come eliminare l’estensione Eset su Outlook:

 

Rimozione estensione Eset da Outlook 2016 a Microsoft Outlook 2010

Cliccare su File → Opzioni.

Cliccare su Componenti Aggiuntivi.

Selezionare Estensione Outlook Eset e cliccare su Vai

Deselezionare il box di spunta Estensione ESET Outlook e confermare cliccando su OK

 

Rimozione estensione Eset da Outlook 2007

Cliccare su Strumenti → Centro Protezione

Dal menù a sinistra selezionare Componenti Aggiuntivi

In basso alla videata selezionare Componenti Aggiuntivi COM

Togliere quindi la spunta alla casella relativa a ESET e premere OK

 

Rimozione estensione Eset da Outlook 2003

Cliccare su Strumenti →  Opzioni e selezionare la scheda Altro

Cliccare su Impostazioni Avanzate → Gestione Componenti aggiuntivi e deselezionare ESET Outlook.

Premere OK per confermare

Impossibile aggiornare la password di Windows Server

Impossibile aggiornare la password di Windows Server

Spesso capita che degli utenti non riescano più ad accedere ad un Server Remoto con SO Windows in quanto la password è scaduta ma non riescono ad impostarne un’altra.

L’avviso presenta il seguente messaggio: “Impossibile aggiornare la password. Il valore specificato per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio

Questo avviene per 2 motivi:

Scadenza password Windows Server

Durante la generazione di un utente, bisogna specificare se questo ha facoltà di modificare la password e/o se la stessa avrà una data di scadenza dopo il quale l’accesso verrà inibito. Bisogna quindi settare correttamente questi valori accedendo alla scheda proprietà dell’Utente come da immagine.

 

Criteri Password e Controllo Complessità Windows Server

All’interno delle Policy di Windows sono specificati i criteri password per stabilire la complessità che queste devono avere per gli utenti. La funzionalità può anche essere disabilitata (fortemente sconsigliato) o comunque ridotta impostando la lunghezza minima e massima, il tipo di caratteri che devono essere presenti ecc. Nel Server Manager bisognerà quindi recarsi in Gestione Criteri di Gruppo e nella finestra che compare recarsi in Foresta ⇒ Domini ⇒ nome del proprio dominio ⇒ Default Domain Policy . Cliccare quindi con il tasto destro su Default Domain Policy e selezionare Modifica.

 

Vaccino anti ransomware

Vaccino anti ransomware

La BitDefender, società produttrice di antivirus, ha da ieri distribuito un software che sembrerebbe in grado di “vaccinare” il PC da alcune famiglie di ransomware come CTB-Locker, Locky e TeslaCrypt. Il software è attualmente disponibile gratuitamente a questo link Anti Ransomware  anche per chi non possiede l’antivirus prodotto dalla stessa casa.

Il vaccino dovrebbe quindi inibire alcuni funzionamenti utilizzati dai virus ransomware e quindi impedire la cifratura dei file con conseguente riscatto monetario. La tecnica utilizzata è quello di informare i virus CTB-Locker, Locky e TeslaCrypt che il PC è già stato infettato facendoli quindi desistere dal procedere nell’infezione.

 

 

Il software di AntiRansomware di BitDefender inganna i controlli dei ransomware CTB-Locker, Locky e TeslaCrypt in modo che questi rilevino il PC come già infettato e quindi si disattivino o comunque non inizino a criptare i documenti della vittima.

Personalmente, ho tentato un test di funzionalità su macchine virtuali Win XP e  Win 8 avviando quindi l’ultima versione di TeslaCrypt. Dai primi risultati il virus non è partito nella crittografia dei file nè nell’intaccamento delle chiavi di registro.

 

Conoscere e curare (quando possibile) i Virus ransomware e varianti

Conoscere e curare (quando possibile) i Virus ransomware e varianti

Qualche accenno sui virus Ransomware

I virus ransomware sono tra i malware più temuti non solo per la loro enorme diffusione, ma per i danni che causano spesso in modo irreversibile. In soldoni, il virus cifra i file del nostro PC con un algoritmo di cifratura rendendone impossibile la loro apertura a meno che non si abbia la chiave per decifrare. Questa chiave viene “promessa” dallo stesso virus dopo aver pagato un riscatto che oscilla intorno ai 500 dollari.

 

Come si prendono i virus Ransomware

La quasi totalità dei virus, riesce a far breccia all’interno dei nostri computer per colpa di una nostra azione ovvero la prima esecuzione del virus. Spesso i virus ci arrivano per mail da un mittente che conosciamo (ma che ovviamente è sotto falso nome) e nel corpo della mail ci invitano all’azione: scaricare ed aprire una fattura, visualizzare un resoconto ecc. Aprendo questi file diamo vita al virus che comincerà a fare breccia all’interno del nostro PC. Di seguito alcune mail che contengono i virus Ransomware:

 

Cosa fanno i virus Ransomware

Una volta avviato il virus, esso effettuerà una cifratura dei file usando una crittografia RSA-2048 protetta con chiave privata. Superare l’ostacolo di una crittografia non è affatto semplice anzi forse quasi impossibile. Pensiamo che tutto il sistema bancario mondiale, gli acquisti online, le carte di credito ecc vivono grazie ai più recenti sistemi di crittografia. Ci fosse un modo universale per superare questo espediente si avrebbe il controllo mondiale 🙂  Dopo aver cifrato i nostri file, il virus ci guiderà al loro recupero ovvero ci “insegnerà” a creare una connessione ad internet anonima e ad utilizzare il metodo di pagamento basato su BitCoin per riscattare i nostri file. Di seguito alcune varianti dei messaggi forniti dal virus:

 

Proteggersi dai virus Ransomware: BitCryptor, CryptoDefense,
 CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt

Protezione Culturale:

Per far fronte a molti virus ed avere un sistema quanto più immune possibile dai malwere è necessario:

  • Mantenere sempre aggiornato l’antivirus del nostro sistema
  • Mantenere sempre aggiornato il sistema operativo scaricando ed installando gli aggiornamenti consigliati.
  • Installare un firewall sia in entrata che in uscita ad ogni PC
  • Educarsi ad esaminare in modo accurato le mail che si ricevono imparando a distinguere quelle reali da quelle fraudolente.
  • Effettuare periodicamente copie di backup salvandole su supporti esterni.

 

 

Protezione con SandBox

Soprattutto in ottica aziendale, è fondamentale fare utilizzo di SandBox. Questa tecnologia apre i file che arrivano tramite mail in un ambiente virtualizzato denominato sandbox. In questo ambiente protetto i file vengono monitorati cercando di scovare comportamenti insoliti come tentativi di modifica del registro di sistema o connessioni anomale. In caso di rilevazione di comportamenti anomali, questi file vengono messi in quarantena senza che possano arrecare danni ad altri utenti della rete.

Protezione Pro Attiva

HitmanPro Alert

Per proteggersi dai Ransomware come BitCryptor,CryptoDefense,CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt,può rivelarsi un’ottima strategia installare un software come HitmanPro Alert che garantisce la navigazione sicura su internet verificando che i collegamenti con banche, shopping online ecc siano in connessione protetta. HitmanPro Alert rileva quindi modifiche ai browser o sul sistema introducendo inoltre la funzione CryptoGuard che non rileva i malware in base alla loro staticità ma in base al comportamento attivo.

Cryptoprevent

Un altro software di protezione degno di nota è Cryptoprevent  che impedisce ai virus di modificare zone sensibili di Windows come le chiavi di registro.

 

Come rimuovere i virus  Ransomware BitCryptor, CoinVault,
 CryptoDefense,CryptoLocker, Cryptorbit,
CryptoWall, CTB-Locker, Locker, PClock,
 TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder,
 Randamant

La prima cosa da fare è sicuramente scollegare il PC da internet e tentare quindi connessioni con Kaspersky Virus Removal Tool, poi RKill e, in seguito , con Combofix. In caso non avessimo accesso al PC o peggio ancora alla modalità provvisoria, sarà necessario eseguire i software in modalità Live ovvero eseguendoli da una penna USB eseguendo il boot della pennetta dal BIOS.

 

Come recuperare i file crittografati da Ransomware TeslaCrypt

Recupero di variante Ransomware TeslaCrypt 2.2.0 file con estensione: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv

  • Nella versione del virus sopra menzionata, vi è la possibilità di recuperare i file grazie ad una falla scoperta nel virus stesso che ha consentito la decodifica dei file.  La falla riscontrato consta nel fatto che il virus genera le chiavi di crittografia e decodifica  all’interno dei file cifrati usando numeri non primi rendendo quindi plausibile un attacco mirato anche con PC con potenza normale per gli standard attuali. Fattorizzando quindi i numeri primi è stato possibile ricostruire la chiave di decodifica. Questa operazione è però molto lenta. E’ quindi possibile utilizzare il software TeslaDecoder per recuperare i file cifrati da TeslaCrypt 2.2.0.
  • Altra soluzione è quella di fare riferimento a Dr. Web, società russa attiva nel contrasto ai malware
  • Come soluzione alternativa, è possibile ricorrere alle Shadow Copy di Windows. Questo sistema operativo ha introdotto questa funzione a partire da Windows XP SP1 che permette di effettuare copier di backup dei file in modo automatico. Per visualizzare le shadow copy è sufficiente lanciare il tool Shadow Copy Viewer cercando i file che ci interessano e di salvarli in una directory che preferiamo. In alcuni casi questa funzione non è utilizzabile in quanto i virus prima di ultimare il loro “lavoro” eseguono il comando ‘vssadmin delete shadows /all‘ che elimina tutte le shadow copy

 

Recupero di variante Ransomware TeslaCrypt 3 file con estensione: .XXX, .TTT e .MICRO.

Questa versione di virus Ransomware è stata rilasciata il 31 Gennaio 2016 correggendo le falle trovate nella precedente versione. Per tale motivo non si conoscono attualmente metodi di decodifica dei file che sono attualmente da considerare persi.

 

Glossario su Varianti Ransomware

BitCryptor, CoinVault, CryptoDefense,CryptoLocker, Cryptorbit, CryptoWall, CTB-Locker, Locker, PClock, TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder, Randamant

Ripristino WMI Windows e System. Management.ManagementException

Ripristino WMI Windows e System. Management.ManagementException

Talvolta, installando software in ambiente windows o utilizzandoli, vi è la possibilità di corrompere la strumentazione di gestione del Sistema Operativo denominato WMI causando errori del tipo System.Management.ManagementException.

Una soluzione a questo problema, consiste nel ripristinare il WMI di Windows. A tal fine, è sufficiente creare un file .cmd (es. repair_wmi.cmd) e scriverci dentro questa porzione di codice.

WMI windows repair

net stop winmgmt
pause
c:
cd c:windowssystem32wbem
rd /S /Q repository
regsvr32 /s %systemroot%system32scecli.dll
regsvr32 /s %systemroot%system32userenv.dll
mofcomp cimwin32.mof
mofcomp cimwin32.mfl
mofcomp rsop.mof
mofcomp rsop.mfl
for /f %%s in ('dir /b /s *.dll') do regsvr32 /s %%s
for /f %%s in ('dir /b *.mof') do mofcomp %%s
for /f %%s in ('dir /b *.mfl') do mofcomp %%s 
REM Con Windows XP le seguenti linee sono inutili
REM mofcomp exwmi.mof
REM mofcomp -n:rootcimv2applicationsexchange wbemcons.mof
REM mofcomp -n:rootcimv2applicationsexchange smtpcons.mof
REM mofcomp exmgmt.mof
pause

ed eseguire il file appena creato come amministratori.