Il Riccio e tutti i suoi pasticci!!

Le Group Policy ( o criteri di gruppo per chi è abituato a gestire sitemi non di lingua inglese [ e di conseguenza sistemi non server ...ma non necessariamente  ] ) sono uno strumento davvero potente: implementare una group policy vuol dire decidere di far si, per esempio che tutte le macchine coinvolte in questo cambiamento si comportino ad una determinata maniera…che loggino determinati eventi…che abbiano tutte una determinata stampante…ma ( e c’è sempre un “Ma” quando si parla di strumenti a così alto potenziale )…cosa succede se si decide di implementare questa tipologia di tecnologia senza avere bene in mente cosa veramente si voglia fare e soprattutto senza averne calcolato tutti i rischi e, magari , senza aver nemmeno implementato suddette funzioni e funzionalità in un ambiente di laboratorio appositamente isolato dall’ambiente di produzione e che riproduca anche in minima parte l’ambiente di produzione?

Risposta: Disastri!

E la riprova purtroppo l’ho avuta questa mattina in ufficio dove, senza copo ferire e soprattutto senza avvisare nessuno è stata una policy che andava ad incrementare le attività da monitorare su tutti i computer. Lo scenario è stato abbastanza inquietante, l’allarme è scattato alla seconda chiamata per eccessivo ed inaspettato quanto ingiustificato rllentamento di client e serve definiti ad alte prestazioni…log di sicurezza pieni con una frequenza di circa 40 eventi loggati al secondo ed evento di tipo 5447.

5447	A Windows Filtering Platform filter has been changed.

 

Ma come vanno affrontate situazioni del genere? Innanzitutto sempre con calma e sangue freddo ( perchè tanto il panico è deicsamente inutile e dannoso per la Nostra concentrazione che comunque deve essere massima ) poi, cerchiamo di andare per gradi:

- Cercare il nostro errore su internet nelle maniera più dettagliata possibile cercando anche di restringere l campo d’azione dei vari motori di  ricerca ( ad esempio Google )

es:

“security event 5447 windows 7 site:microsoft.com” 

Questa tipologia di dicitura restringerà il campo delle ricerche ai siti Microsoft.com ed ai suoi derivati nonchè ci darà la possibilità di accedere in maniera più rapida agli articoli tecnici che ci spiegheranno probabilmente come risolvere il nostro problema. Nel caso specifico la nostra ricerca ci porta dritti ad un articolo tecnico che sembra fare al caso nostro:

http://support.microsoft.com/kb/977519/en-us - Description of security events in Windows 7 and in Windows Server 2008 R2

dal quale si interpreta che..

“This article describes various security-related and auditing-related events in Windows 7 and in Windows Server 2008 R2. This article also provides information about how to interpret these events. All these events appear in the Security log and are logged with a source of Security-Auditing. This article also describes how to retrieve more descriptive data about individual events.”

..ossia , parlando di Security Auditing , è facilmente deducibile che l’incremento di logging è sicuramente dovuto all’implementazione di policy di sicurezza e ,nello specifico nella sottocategoria “Subcategory: Other Policy Change Events”sia nella categoria “Category: Policy Change”.

Non ci resta quindi da individuare dove, cosa e soprattutto come è stato attivato questo criterio. Indivinduando un Domain Controller avente installato Windows Server 2008 R2 è possibile procedere come segue lanciando la console delle policy del domain controller e verificare i nostri sospetti; nello specifico la policy “incriminata ” è la “audit policy change” che si trova in “Local Policy”->”Audit Policy”.

Potrete notare che a questa policy è associata la possibilità di loggare eventi sia di casistiche positive che di casistiche negative  ossia, nel caso in cui si decidesse di attivare entrambe le voci, di creare un gran macello ( i dischi sono a rischio di rapida saturazione nonchè di essere a rischio stress elevato e quindi di rapido collasso di tutta la struttura ).

Nel caso specifico il problema si è risolto a monte ovvero, essendo le policy state propagate e quindi non più gestibili localmente si è proceduto a verificare con le sicurezze informatiche le motivazioni che hanno portato a questo cambiamento senza nessua interpellanza.

Ricordatevi quindi che come prima regola per evitare pasticci similari è buona norma avere un ambiente virtuale parallelo di test debitamente separato dalla produzione ma che ne rispecchi almeno in minima parte la realtà infrastrutturale dove poter provare le Vostre migliorie e poterne misurare gli effetti prima che questi siano causa di discreti disatri per la Vostra posizione lavorativa

Ossia, prevenire è meglio che curare!

Il Vostro Riccio

…e come non citare il prodotto di posta elettronica per antonomasia Microsoft Exchange Server?Furono in molti, all’uscita di Windows Server 2008 R2 a chiedere la supportabilità per la versione 2007 su questo rivoluzionario sistema operativo di casa Microsoft.

Ebbene, in molti hanno chiesto e….. Ta-daaaaa con l’uscita del service pack 3 di Exchange 2007 è stata rilasciata la sua compatibilità su Wndows Server 2008 R2 come riportato da Kevin Allison nel blog ufficiale del team di suporto Microsoft per Exchange.

“I am very pleased to let you all know that Exchange Server 2007 SP3 is available for download. As we highlighted in Updates to the Exchange Supportability Matrix this past November, this third service pack for Exchange 2007 enables Exchange 2007 to be installed on the Windows Server 2008 R2 version of the operating system. We heard you loud and clear that this is enormously important to our Exchange 2007 customers, so we worked quickly to deliver SP3 in order to meet this requirement.”

Per chi quindi non è ancora pronto ad affrontare troppe novità tutte insieme ( sto parlando di Exchange 2010 e Windows Server 2008 R2 ) c’è modo di prendere confidenza con un sistema nuovo sfruttando una vecchia conoscenza come Exchange Server 2007
Inutile dire che ci si aspetta fiumi di commenti…

Che state aspettando,correte a provarlo!!

Il Vostro Riccio

Finalmente dopo anni di indecisioni , tira e molla e quant’altro, ho deciso di posizionare le chiappette del mio blog sul sito di Blogspot…però datosi che alcune funzioni basilari non funzionavano a meno che (forse) non utilizzassi un browser diverso, ho provato ad approvare su Splinder (perchè un caro amico, sentendo le mie lamentele mi ha detto “Ma scusa, hai provato Splinder?? ” e così ho provato a traslocarmi su Splinder ma…peccato che lo spazio massimo a disposizione ( a meno che uno non decida di upgradare l’account a “pro” ) sia di soli 100Mb….

 Ora, io di blog davvero non me ne intendo ma a me sembrano davvero un po pochini e quindi mi sono messo alla ricerca di una nuova casetta per il mio blog e, alla fine tra ricerche e tentativi andati miseramente a male mi sono imbattuto in Bloog ( che non è altro che un sito “wordpress-like” )e dunque,  ora che sembro aver trovato una degna sistemazione, mi seguirete Voi? Massì, sù , un piccolo sforzo per voi e per me perchè anch’io nonostante tutto ho bisogno di essere incoraggiato, cullato e spronato come il più normale dei bimbi.

Che cosa troverete su questo blog? Innanzitutto argomenti di tipo assolutamente e strettamente informatico ( articoli tecnici in italiano e magari anche in inglese ) serie, semiserie e..perchè no, anche facete e poi..tante chiacchiere e commenti personali a notizie prese da internet o fatti realmente accaduti al sottoscritto… insomma: di-tutto-un-pò !!

Siate dunque i benvenuti in questo mio umile spazio, ricordatevi la buona educazione, di pulirvi i piedi prima di entrare e lavarvi le mani prima di toccare qualsiasi cosa!!

Insulti e quant’altro si possa definire volgare ed oltraggioso verranno debitamente filtrati!

Se volete contattarmi direttamente potete farlo in questa maniera:
- skype: ricciopasticcio
- msn: ricciopasticcio@hotmail.it
- twitter: ricciopasticcio

Direi che con il mio primo post di presentazione vi ho tediato abbastanza e dunque, di nuovo, benvenuti e buon divertimento!
Il Vostro Riccio