30.5 C
Firenze
domenica, Giugno 14, 2026
Home Blog Page 4310

Ransomware Guide – Settembre 2020

Andrea C.
-
0

Queste pratiche e raccomandazioni sui ransomware si basano su informazioni operative fornite dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Multi-State Information Sharing and Analysis Center (MS-ISAC). Il pubblico di questa guida comprende professionisti della tecnologia dell’informazione (IT) e altri all’interno di un’organizzazione coinvolti nello sviluppo di politiche e procedure di risposta agli incidenti informatici o nel coordinamento della risposta agli incidenti informatici.

Fonte : https://www.cisa.gov/publication/ransomware-guide

Ransomware Guide, Ransomware, Ransomware 2020

Office 365 – Non è stato possibile verificare la firma dei file richiesti

Andrea C.
-
0

Se in fase di installazione di Microsoft Office 365 si riceve questo errore:

Non è stato possibile verificare la firma dei file richiesti per installare il prodotto Office.

è necessario verificare la propria connessione ad internet ma soprattutto le regole (firewall) in entrata ed in uscita.
Ad esempio può essere attivo un sistema che “filtra” le connessioni in uscita verso i server Microsoft (es. per bloccare Windows Update, ecc).
Verificare la propria connettività verso i server MS.

Permettere la Navigazione solo da IP italiani con web.config (IIS)

Andrea C.
-
0

E’ possibile utilizzare web.config di IIS per permettere la navigazione, di un determinato servizio, solo da IP di un certo paese (e/o escludere il range di IP di un paese)
Per farlo possiamo iniziare dal sito web : ip2location che ci fornirà una lista già adattata per Apache, Web.Config od altri sistemi (es. Ngnix, ecc.)
Per elaborare questa lista e generare questo files, vedere in fondo alla pagina : https://www.ip2location.com/free/visitor-blocker
Generare una lista dedicata a gli ip Italiani per web.config > Allow

Adesso dobbiamo apportare una modifica al sistema seguendo questo articolo:
Web.Config – Cannot read configuration file because it exceeds the maximum file size

questo perchè il web.config che si verrà a creare, con l’intera lista di IP al suo interno, avrà una dimensione tale da violare una policy sulla sicurezza (che istruisce il sistema sul fatto che il file web.config non deve essere più grande di tot bytes, altrimenti potrebbe essere compromesso).

Dopo questa modifica dobbiamo installare questo componente di IIS:

Senza questo componente, tutto quello che scriveremo in web.config > system.webServer> <security> > <ipSecurity allowUnlisted…. non sarà “considerato” dal sistema.
Pertanto l’installazione di questo componente è vitale alle istruzioni che si andranno a scrivere.

Se vogliamo permettere solo la navigazione da IP Italiani, l’istruzione principale a cui fare riferimento sarà : <ipSecurity allowUnlisted=”false”>
dobbiamo però modificare il file generato da ip2location in quanto ogni singola linea dovrà essere trasformata da:

<add ipAddress=”212.177.58.32″ subnetMask=”255.255.255.248″/>
<add ipAddress=”212.177.58.40″ subnetMask=”255.255.255.252″/>

alla forma : 

<add ipAddress=”212.177.58.32″ subnetMask=”255.255.255.248″ allowed=”true”/>
<add ipAddress=”212.177.58.40″ subnetMask=”255.255.255.252″ allowed=”true”/>

come ultimo step dobbiamo modificare il file : applicationHost.config
Ubicato in : %windir%\system32\inetsrv\config\applicationHost.config

sotituendo questa riga : <section name=”ipSecurity” overrideModeDefault=”Deny” />
con questa : <section name=”ipSecurity” overrideModeDefault=”Allow” />

se non lo facciamo otterremo un errore : HTTP Error 500.19 – Internal Server Error
The requested page cannot be accessed because the related configuration data for the page is invalid.
0x80070021
Sull’istruzione : <ipSecurity allowUnlisted=”false”>
Config Error This configuration section cannot be used at this path. This happens when the section is locked at a parent level. Locking is either by default (overrideModeDefault=”Deny”), or set explicitly by a location tag with overrideMode=”Deny” or the legacy allowOverride=”false”. 

Permettere la Navigazione solo da IP italiani con web.config, IP italiani con web.config, blocco web.config ip, web.config ip blocco, permit italian ip web.config, italian ip classes, list mask italian ip, lista ip italiani, tutti lista ip italiani, lista tutti ip italiani, indirizzi ip italiani, permit italian ip IIS, Permettere la Navigazione solo da IP italiani con IIS, IP italiani con IIS, blocco IIS ip

Assegnare Sempre lo Stesso ip ad un utente via VPN

Andrea C.
-
0

Nella scheda Dial-In dell’utente è possibile specificare un indirizzo Ip Statico che sarà sempre assegnato al medesimo utente/sistema che si collegherà in VPN.

Assign a Windows VPN Client a Static IP, static ip user pptp windows, fixed ip user pptp windows, same ip user pptp windows, same ip user pptp, static ip user pptp, pptp static ip

Come Generare un Report delle Connessioni PPTP/IPSEC di Windows VPN

Andrea C.
-
0

Se una VPN viene erogata da Windows Server è possibile utilizzare Remote Access Reporting per creare una reportistica dell’utilizzo, delle connessioni, date, indirizzi Ip, ecc.
Il software da utilizzare è sotto : Server Manager >Tools > Remote Access Management (gestione accesso remoto, in Italiano).
Alla prima configurazione sarà necessario inserire alcune informazioni per la reportistica :

Io scelgo sempre “usa Accounting di Posta in Arrivo”. E’ possibile scegliere anche per quanto tempo conservare mi registri (di Default 12 mesi).
Per attivare la funzione di reportistica è necessario riavviare il servizio “Routing e Accesso remoto” pertanto attenzione alle persone “connesse” o saranno sgollegate da eventuali collegamenti VPN attivi.

Verrà visualizzato l’elenco degli utenti che si sono connessi al server di accesso remoto entro il tempo selezionato e le statistiche dettagliate su di essi. Fare clic sulla prima riga dell’elenco. Quando si seleziona una riga, l’attività dell’utente remoto viene visualizzata nel riquadro di anteprima. La scheda “Statistiche di carico del server” nel riquadro di anteprima mostra il carico storico sul server.

Attenzione alle sessioni

Il database di accesso remoto si basa sul concetto di sessioni . A differenza di una connessione , una sessione è identificata in modo univoco da una combinazione di indirizzo IP del client remoto e nome utente. Ad esempio, se un tunnel viene formato dal client remoto, denominato “Client1”, verrà creata una sessione e memorizzata nel database. Quando un utente denominato “Utente1” si connette da quel client dopo un certo periodo di tempo (ma il tunnel del computer è ancora attivo), la sessione viene registrata come sessione separata. La distinzione delle sessioni consiste nel mantenere la distinzione tra tunnel macchina e tunnel utente.

Per i fanatici della riga di comando:

PS> Get-RemoteAccessConnectionStatisticsSummary -StartDateTime “1 October 2010 00:00:00” -EndDateTime “14 October 2010 00:00:00” Shows server load statistics.
PS> Get-RemoteAccessUserActivity -HostIPAddress 10.0.0.1 -StartDateTime “1 October 2010 00:00:00” -EndDateTime “14 October 2010 00:00:00”

Come Generare un Report delle Connessioni PPTP/IPSEC di Windows VPN, Report delle Connessioni PPTP, Log delle Connessioni PPTP, Log Pptp utente, registro connessioni PPTP, registro connessioni PPTP vpn, vpn registro connessioni PPTP, pptp

How to fix – Web.Config – Cannot read configuration file because it exceeds the maximum file size

Andrea C.
-
0

Se in fase di modifica del file di configurazione di IIS ri riceve l’errore : Cannot read configuration file because it exceeds the maximum file size
abbiamo superato i 250Kb consentiti per le istruzioni di configurazione. Microsoft ha aggiunto questa limitazione della dimensione del file per impedire a un utente malintenzionato di caricare file di configurazione di grandi dimensioni sul server e avviare un possibile attacco Denial of Service (DOS).
Per effettuare modifiche oltre la dimensione consentita è possibile ampliarla intervenendo sulla chiave di registro : MaxWebConfigFileSizeInKB

Se stiamo lavorando con un application Pool a 64 Bit, la chiave “MaxWebConfigFileSizeInKB” dovrà essere caricata nel percorso:
HKLM\SOFTWARE\Microsoft\InetStp\Configuration\
fare attenzione perchè la key “Configuration” non esisterà. Dovrà essere creata.
La Key “MaxWebConfigFileSizeInKB” va creata in (REG_DWORD) con il nuovo valore di dimensione.

Se l’applicazione è a 32bit, la Key da creare è : HKLM\SOFTWARE\Microsoft\InetStp\Configuration\MaxWebConfigFileSizeInKB 

Ad ogni modifica è consigliabile un “iisreset” per far rileggere le modifiche al sistema.
Nota :  se avete la consolle di IIS aperta, chiudetela e ri-apritela altrimenti l’interfaccia continuerà a lamentare l’errore di “file exceeds the maximum file size”

web.config too large, web.config Cannot read configuration file because it exceeds the maximum file size, Web config size limit exceeded under IIS, Rewrite Maps in IIS Make web.config Too Large, web.config cannot read configuration file because it exceeds the maximum file size

 

Microsoft Digital Defense Report 2020

Andrea C.
-
0

Microsoft ha rilasciato un nuovo rapporto annuale che copre le tendenze della sicurezza informatica nell’ultimo anno.
Scarica il rapporto per esplorare le minacce più recenti e conoscere le tecniche di sicurezza che possono aiutare a fermare gli attacchi comuni.

https://www.microsoft.com/en-us/download/details.aspx?id=101738

Microsoft Digital Defense Report,Digital Defense Report

Micorosoft Laps – Password per Altri Account Administrators

Andrea C.
-
0

Quando si utilizza LAPS è possibile modificare la password per gli altri account “Administrators” con il parametro : AdminAccountName
Su Active Directory però l’attributo “ms-Mcs-AdmPwd” memorizza la password solo per un account.

Se si dispone di un account amministratore locale predefinito e si è indicato un account amministratore locale personalizzato, come nel nostro caso verrà gestita la password per l’account personalizzato.

Laps, password Laps, ms-Mcs-AdmPwd, AdminAccountName

Step per la Connessione ad una VPN di Tipo IPSEC

Andrea C.
-
0

Su centro connessioni di rete e condivisione di windows, cliccare su configura nuova connessione o rete

Cliccare su Connessione a una rete aziendale

Cliccare su Usa connessione internet esistente (VPN)

Inserire l’indirizzo IP o HOST alla voce indirizzo internet :

Una volta creata la connessione andare su Centro connessioni di rete e condivisione e cliccare sul menù
Modifica impostazioni scheda,fare clic con tasto DX e scegliere proprietà e a quel punto andare su sicurezza
modificando i parametri come da figura:

Sempre nel menù sicurezza,cliccate su impostazioni avanzate e scegliete Usa chiave già condivisa per l’autenticazione scrivendo la chiave dedicata (ricevuta):

Connessione ad una VPN di Tipo IPSEC,VPN di Tipo IPSEC, come connettersi VPN di Tipo IPSEC

Vulnerabilità di Zerologon: cos’è e come intervenire

Andrea C.
-
0
Vulnerabilità di Zerologon: cos’è e come intervenire

Nel settembre 2020 Secura ha pubblicato un articolo che rivelava una vulnerabilità in Windows Server (tutte le versioni conosciute) Netlogon Remote Protocol . Questa vulnerabilità è nota come CVE-2020-1472 o più comunemente Zerologon.

Rappresenta una grave minaccia per le organizzazioni poiché prende di mira il controller di dominio (DC), ove presente. Gli aggressori prendono di mira i controller di dominio per ottenere l’accesso all’account di amministratore e per controllare gli host e i server collegati al data center. Ciò consente di ottenere l’accesso all’intero ambiente compromesso.

L’attacco utilizza difetti in un protocollo di autenticazione che convalida l’autenticità e l’identità di un computer aggiunto a un dominio nel controller di dominio. A causa dell’uso errato di una modalità operativa AES è possibile falsificare l’identità di qualsiasi account computer (incluso quello del controller di dominio stesso) e impostare una password vuota per quell’account nel dominio. Lo sfruttamento consiste nell’invio di una grande quantità di richieste di autenticazione a un controller di dominio tramite NetLogon. Questi contengono una richiesta del client che contiene solo 0 per le credenziali e risulta in un accesso riuscito quando una buona chiave viene scelta casualmente dal server. Una buona chiave viene scelta in media 1 su 256 volte.

Gli attacchi ransomware possono essere eseguiti facilmente una volta acquisiti questi privilegi, rendendo questo attacco potenzialmente devastante per un’organizzazione.

Microsoft ha già rilasciato un aggiornamento di patch di sicurezzanel mese di agosto 2020. Questo aggiornamento è il primo di un aggiornamento in due parti (è prevista la seconda parte per essere rilasciato il 2 febbraio ° 2021) e fornisce le seguenti modifiche al protocollo NetLogon:

  • Impone l’utilizzo sicuro di RPC per gli account macchina sui dispositivi basati su Windows.
  • Impone l’utilizzo sicuro di RPC per gli account.
  • Impone l’utilizzo sicuro di RPC per tutti i controller di dominio Windows e non Windows.
  • Include un nuovo criterio di gruppo per consentire gli account dei dispositivi non conformi (quelli che utilizzano connessioni di canali protetti di Netlogon vulnerabili). 

Cosa facciamo adesso??

Nell’aggiornamento di agosto, Microsoft ha aggiunto cinque nuovi ID evento per notificare le connessioni di Netlogon vulnerabili. Ad esempio, l’ID evento 5829 viene generato quando una connessione al canale protetto “Accesso rete vulnerabile” è consentita durante una fase di distribuzione iniziale.

La registrazione di eventi specifici per questa vulnerabilità è fornita da eventi di Windows con i seguenti riferimenti:

  • EventID 5827,
  • EventID 5828,
  • EventID 5829,
  • EventID 5830,
  • ID evento 5831

Gli amministratori possono monitorare gli ID evento 5827 e 5828 ​​quando le connessioni di accesso alla rete vulnerabili vengono negate e gli ID evento 5830 e 5831, attivati ​​quando le connessioni di accesso alla rete vulnerabili sono consentite dai controller di dominio, con patch tramite Criteri di gruppo. 

Sono interessate le seguenti versioni del server:

  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
  • Windows Server 2012
  • Windows Server 2012 (installazione Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (installazione Server Core)
  • Windows Server 2016
  • Windows Server 2016 (installazione Server Core)
  • Windows Server 2019
  • Windows Server 2019 (installazione Server Core)
  • Windows Server, versione 1903 (installazione Server Core)
  • Windows Server, versione 1909 (installazione Server Core)
  • Windows Server, versione 2004 (installazione Server Core)

E’ necessario individuare tutti i dispositivi che eseguono connessioni con questi EventID e verificare se è possibile “correggere” il loro comportamento (es. aggiornamenti, firmware update, ecc.). All’uscita della patch di Febbraio sarà imposto l’utilizzo sicuro di RPC e questi dispositivi potrebbero non funzionare correttamente.

Vulnerabilità di Zerologon, Vulnerabilità Zerologon, Zerologon, Zerologon vulnerability, zerologon event id, Detecting the Zerologon vulnerability, What is Zerologon, Cos’è Zerologon vulnerability, Microsoft’s Zerologon vulnerability fix, Zerologon vulnerability domain controller

1...4.3094.3104.311...4.425Page 4.310 of 4.425

Ultime dal Nostro BLog

Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.

Contact us: andrea.c@serverbay.it

© Copyright 2022 - Serverbay.it - Eteon.it