All’apertura della MMC di TGM 2010, infatti, si presentano diversi errori come, ad esempio, “A error occurred in the script on this page” oppure “member not found”, “refresh failed”.

Risoluzione del bug

L’errore di visualizzazione è dovuto alle maggiori sicurezze impostate in Internet Explorer 9: in attesa del rilascio da parte di Microsoft di una hotfix specifica è possibile agire in due modi diversi:

1. Disinstallare Internet Explorer 9 ed utilizzare nuovamente Internet Explorer 8;
2. Applicare le modifiche di seguito indicate:

• Aprire il file: “C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc”
• Cercare le 3 linee che contengono la stringa “paddingTop”, e modificrle aggiungendo il simbolo di commento “//” all’inizio di ognuna delle righe.
• Ad esempio: cambio la linea “m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;” in “// m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;”
• Salva il file e dopo riavvia la TMG management console.

Linkografia

Internet Explorer 9 breaks Forefront TMG Management Tools

Il rogue, che riesce a girare anche nell’ambito di sicurezza di un utente con minimi diritti sulla macchina, si presenta come un software antivirus che avvisa di infezioni in corso ed invita l’utente ad acquistare online un fantomatico prodotto con il fine di carpire i dati personali dell’incauto utente.

Rimozione

Non sono riuscito a trovare nessuna documentazione online relativa a questo rogue, pertanto ho dovuto fare un’analisi delle cartelle utente.

Basandomi sull’esperienza di altri rogue similari, ho esaminato la cartella Application Data dell’utente, trovando alla fine un eseguibile denominato “rehfce.exe” (anche se questi rogue generano normalmente ogni volta un nome random) nel percorso: C:Documents and SettingsnomeutenteApplication DataMicrosoft

Una volta rinominato il file eseguibile, ho effettuato una ricerca nei registri utente (questa può essere effettuata collegandosi al computer con le credenziali dell’utente infetto oppure, se si accede con un utente differente, caricando l’hive dell’utente infetto), individuando una chiamata all’eseguibile nella chiave di registro: CURRENT_USERSoftwareMicrosoftWindows NTCurrent VersionWinlogon

Conclusioni

In un ambito di sicurezza di basso livello (utente con diritti di semplice “User” sulla macchina) il rogue non è in grado di fare particolari danni, anche se può comunque rallentare il funzionamento del computer, fino a bloccarlo quasi completamente.

L’unica raccomandazione è quella di non trasmettere mai i propri dati personali e quelli della carta di credito, se non si vuole incorrere in problemi.

Ho infine caricato l’eseguibile del rogue sul sito di supporto di F-Secure, con l’obiettivo che venga inserita una valida protezione con il rilascio dei prossimi aggiornamenti delle impronte virali.

Linkografia

Rogue
Remove fake Microsoft Security Essentials Alert

Per maggiori informazioni puoi consultare la pagina dedicata “New Prices for Microsoft Certification Exams“.

La continuità tra i due prodotti è testimoniata anche dalla possibilità di migrare le regole e le impostazioni da ISA 2006 a TMG 2010: ecco come fare.

Migrazione da ISA 2006 a TMG 2010

Il primo consiglio che mi sento di dare è quello di affiancare al server ISA 2006 esistente un nuovo server per TMG 2010: considerando che ISA 2006 è supportato solo su Sistemi Operativi a 32 bit, mentre TMG 2010 è supportato solo su ambienti a 64 bit, l’approccio in parallelo (l’ideale è lavorare con macchine virtuali) consente di poter tornare indietro a ISA 2006 nel caso in cui si dovessero riscontrare problemi.

Backup ISA 2006

Una volta definita la strategia di migrazione più opportuna, puoi partire con l’esportazione delle impostazioni di ISA Server 2006: collegati al tuo server ISA 2006, lancia la console di management e fai click con il tasto destro sul nome del server per esportare le regole con la funzione “Export (Back Up)”.

Se è possibile fai la migrazione anche dei dati sensibili ed inserisci una password per proteggere il file

Scegli un nome per il file di backup che stai generando e salva.

Installazione e configurazione di TMG 2010

Adesso puoi finalmente lanciare il setup di Forefront TMG 2010: scegli lo scenario più consono alle tue esigenze e le features da installare.

Una volta ultimata l’installazione, al primo lancio della console, partirà automaticamente il Wizard di configurazione.

Dato che stai importando le configurazioni da un backup, puoi chiudere il Wizard senza proseguire. A questo punto puoi effettuare click, con il tasto destro del mouse, sul nome del server e selezione l’opzione “Import (Restore)”

A questo punto non resta che selezionare il file di backup precedentemente generato, durante la procedura di importazione comparirà un alert

dato che stiamo ripristinando un backup generato da ISA 2006, possiamo tranquillamente proseguire, inserire la password quando richiesto e aspettare che la procedura di importazione finisca.

Una volta ultimata la procedura di importazione applica le impostazioni, verifica che tutte le regole siano state importate correttamente (alcune impostazioni differiscono tra ISA 2006 e TMG 2010).

Attività di chiusura

Non ti resta che spegnere il vecchio server ISA 2006, scollegare tutti i cavi di rete ad esso collegati e collegarli sulla macchina TMG 2010 (questa operazione è necessaria se lavori su server fisici) ed assegnare a TMG 2010 gli stessi indirizzi IP precedentemente assegnati ad ISA.
A questo punto effettua tutti i test di connettività necessari per verificare le regole: pubblicazione, traffico in uscita, connessioni VPN, etc.

Linkografia

Migrating from ISA Server 2004/2006 to Forefront TMG
How to migrate Microsoft ISA Server 2006 to Microsoft Forefront TMG

La classifica è basata su uno studio commissionato da Acronis e condotto da Ponemon Institute. La ricerca è basata su dati raccolti su un campione di tremila professionisti IT in Australia, Francia, Germania, Hong Kong, Italia, Giappone, Paesi Bassi, Norvegia, Singapore, Svezia, Svizzera, Regno Unito e Stati Uniti. Il campione è stato formato tenendo in considerazione una vasta gamma di tipologie di aziende.

Strategie di backup vincenti e non

L’analisi dei dati porta alla conclusione che le strategie di backup e ripristino d’emergenza è ulteriormente complicata dalla virtualizzazione e dall’attuale tendenza verso il cloud.

Alcune tra le strategie vincenti sono:

• Unica soluzione in ambienti fisici, virtuali e basati su cloud (76%)
• Maggiori investimenti in soluzioni per il ripristino d’emergenza (14% del budget IT) e investimenti in risorse che consentono di ottenere ripristini più affidabili (57%)
• Supporto totale da parte del gruppo dirigenziale (54%)
• Processi, procedure e controlli ben documentati, per ridurre al minimo i tempi di inattività (45%)
• Stesso livello di importanza attribuito alla regolarità di esecuzione di backup fisici e virtuali

Le strategie considerate meno efficaci, invece, risultano essere:

• Cinque o più soluzioni di disaster recovery non correlate tra loro in ambienti fisici e virtuali (oltre il 27%)
• Investimenti inferiori al necessario in soluzioni per il ripristino d’emergenza (6% del budget IT) che hanno come conseguenza ripristini meno affidabili (43%)
• Soluzioni alle quali non viene assegnata la necessaria priorità a causa della scarsità di budget e risorse (44%)
• Strategia di backup ad hoc o mancante (20%)
• Mancata esecuzione o esecuzione meno frequente del backup dei server virtuali rispetto a quelli fisici (55%)

Diversità Geografiche

Dall’indagine emerge un altro dato importante a livello geografico:

I paesi MIGLIORI con ripristini rapidi ed estremamente affidabili, hanno anche il completo supporto dei team dirigenziali, nonché i più elevati livelli di controllo e precedure con politiche ben documentate per le attività di backup e ripristino d’emergenza.

I paesi PEGGIORI hanno il livello di affidabilità più basso, spendono poco o molto poco sul backup e il ripristino d’emergenza, non hanno una strategia di DR, hanno il personale meno qualificato e con più probabilità si troveranno ad affrontare periodi di inattività importanti. Si prevede tuttavia che il cloud diventi parte della loro strategia di backup e ripristino d’emergenza nel corso del prossimo anno.

Linkografia

Le migliori e peggiori strategie di Ripristino di Emergenza

Crediti Fotografici

Backup Stacks di Jayimis

In queste occasioni può essere utile ricordarsi come è possibile effettuare il reset della stessa.

Domain Controller Windows Server 2003

La procedura da seguire per il reset su un server Windows 2003, valida anche per un domain controller Windows Server 2008, è dettagliata nella KB 322672 di Microsoft.

La procedura prevede l’utilizzo del tool Ntdsutil:

1. Da un prompt dei comandi digitare Ntdsutil;
2. Digitare “set dsrm password”;
3. Nella console DSRM digitare, a seconda dei casi:
   • se si vuole modificare la password sul server su cui si sta lavorando digitare “reset password on server null”;
   • se si vuole modificare la password su un server remoto digitare “reset password on server servername” [dove servername è il FQDN del server remoto su cui si vuole resettare la password].

Domain Controller Windows Server 2000

Nel caso di un Domain Controller Windows Server 2000 (se ancora ne dovessi trovare uno in giro può sempre tornare utile) la procedura è più semplice rispetto a quella del server Windows 2003 ed è documentata nella KB 239803 di Microsoft.

La procedura ufficiale prevede, se è installata almeno la Service Pack 2, di utilizzare il comando “setpwd.exe”:

• Per modificare la password del server locale, da un prompt dei comandi,  posizionarsi nella cartella “%SystemRoot%System32″ e poi digitare “setpwd” ed invio;
• Per modificare la password di un server remoto dopo essersi posizionato nella cartella “%SystemRoot%System32″ digitare “setpwd /s:nomeserver” ed invio [dove servername è il nome del server remoto su cui si vuole resettare la password].

Crediti Fotografici

Backup di Newsongny

Una panoramica interessante delle opportunità offerte dai nuovi servizi online e dei relativi vantaggi sono illustrate in questo video ufficiale di Microsoft:

• Solutions based on F-Secure Protection Service for Consumers version 9;
• Solutions based on F-Secure Protection Service for Business – Workstation security version 9;
• Solutions based on F-Secure Protection Service for Business – Email and Server Security version 9;
• Solutions based on F-Secure Protection Service for Business – Server Security version 9;
• F-Secure Internet Security 2010 and 2011;
• F-Secure Anti-Virus 2010 and 2011;
• F-Secure Client Security 9.00-9.01;
• F-Secure Anti-Virus for Workstations 9.00-9.01;
• F-Secure Anti-Virus for Windows Servers 9.00;
• F-Secure Anti-Virus for Citrix Servers 9.00.

La Descrizione del Problema

In alcune circostanze, i laboratori di F-Secure hanno riscontrato che un hacker potrebbe ingannare il sistema riuscendo ad eseguire un file binario posizionato nel disco al quale il computer può accedere.

F-Secure, ha rilasciato in data 15/12 l’avviso di sicurezza FSC-2010-4 e le relative hotfixes per risolvere il problema.

I prodotti della serie PSB e home (IS e AV), riceveranno o hanno già ricevuto la patch in automatico mediante gli aggiornamenti automatici.Il problema non coinvolge i prodotti per Linux e i prodotti Gateway.

Il consiglio è quello di controllare immediatamente la nota ed il link sopra indicato: valutare se i tuoi sistemi siano stati coinvolti ed installare, in ogni caso, immediatamente le hotfixes messe a disposizione da F-Secure.

Se con i pc fisici questa attività andava effettuata solo nel caso di sostituzione fisica della scheda, in un ambiente virtuale questo è sicuramente più frequente.

La scheda di rete nascosta

In particolare quando si effettua la migrazione di una macchina virtuale da un sistema Virtual Server 2005 R2 SP2 ad Hyper-V, questa azione andrà effettuata praticamente sempre (salvo il caso in cui su Hyper-V non si configuri una scheda di rete “legacy”, scelta comunque sconsigliata): i driver utilizzati dai due sistemi di virtualizzazione sono infatti differenti e, pertanto, la macchina su Hyper-V vedrà una nuova network device, mentre la vecchia scheda di rete risulterà rimossa.

Se la macchina migrata, inoltre, dovesse essere configurata con un IP statico, nel momento in cui andrai a configurare la nuova scheda, ti comparirà il seguente avviso:

The IP address XXX.XXX.XXX.XXX you have entered for this network adapter is already assigned to another adapter Name of adapter. Name of adapter is hidden from the network and Dial-up Connections folder because it is not physically in the computer or is a legacy adapter that is not working. If the same address is assigned to both adapters and they become active, only one of them will use this address. This may result in incorrect system configuration. Do you want to enter a different IP address for this adapter in the list of IP addresses in the advanced dialog box?

La vecchia scheda di rete, infatti, pur non essendo visibile è ancora presente nel sistema.
Per rimuoverla è necessario eseguire le seguenti azioni:

1. Premi Start, premi Esegui, digita cmd.exe, ed infine premi INVIO.
2. Nel prompt dei comandi digita il comando set devmgr_show_nonpresent_devices=1, e premi INVIO.
3. Digita Start DEVMGMT.MSC, e premi INVIO.
4. Premi su View e dopo seleziona Mostra Periferiche Nascoste.
5. Espandi la scheda relativa alle Schede di Rete.
6. Fai click con il tasto destro sulla scheda di rete non più presente e selezione Disinstalla.

Linkografia

Supporto Microsoft KB 269155

Crediti Fotografici

Networked di jessicafm

Per abilitare la funzionalità “fuori sede” anche per le mail provenienti da altri domini è necessario seguire i seguenti passaggi:

1. Avvia il System Manager di Exchange;
2. Fai doppio click su Global Settings e dopo fai click su Internet Message Formats;
3. nel Detail Pane fai click con il tasto destro sul nome del tuo dominio (il dominio SMTP di default è “*”) e poi clicca su Proprietà;
4. nel Box della proprietà seleziona il Tab “Avanzate” e poi seleziona l’opzione “Out of office responses” per abilitarla. Questa operazione abilita le risposte fuori sede per le mail provenienti da Internet.

Linkografia

How to enable Out-of-Office replies to the Internet in Exchange 2000 Server