WUAUCLT

Client Troubleshooting Tool Requirement

I’d like to see either one tool (i.e wuauclt.exe) that does “everything”, or two tools: wuauclt (that runs client stuff) and waucltLINT (that sorts out issues, ala DNSLINT, etc). I can live with either, although there might be value in having 2. But in what follows, I’ve assumed that JUST wuauclt.exe is to be used.

The following feartures/switches are needed.

1. /? – list parameters and usage

/? – describes usage of wuauclt.exe

The /? switch should be supported and give details of wuauclt usage. If client options are in error, this summary is displayed following an explanation of why the error occured. ALL command line tools should support this option.

2. Verbose mode console logging, with multiple levels

/v – verbose mode
/vv – very verbose mode

Both switches cause wuauclt to output normal log information to the command line (STDIO). /v provides basic information, while /vv logs greater detail. /vv is what is logged in normal logs. While wuauclt can log to a log file, it’s more work for the admin when troubleshooting, The admin has to run the command, then navigate over to another folder, find the log, the navigate to the end of it, to find out where the run began. This is harder than it needs to be, and the /v, /vv options could just pipe log entries to stdio.

3. List client configuration

/configlist – lists WUAUCLT configuration.

This option lists all configuration items current by the client, and includes the client version number, AU policy/registry settings and provide details of all AU clients files, version numbers, file dates, etc.

This helps admins (and MS) to ensure that the right client versions are loaded.

4. Install the correct AU client by force

/installAUclient
/installAUclientFromMicrosoft

This option causes the system to contact either the confiugred WSUS server, or Microsoft’s WU server, and to reinstall forefully the latest version of the AU client.

This enables admins (and MS) to ensure that the latest client versions are loaded, and enables download from Microsoft for roaming systems.

5. Make /DetectNow a little less silent

/DetectNow – forces a client AU detection and logs details

The /detectnow option should log to stdio what it is doing. This includes what WU server is it contacting, how many updates are on the WU server, and how many are needed by the client, etc, and any information being sent back the server. This is really no change, just requesing some level of output to stdio. This makes troubleshooting quicker.

6. Clear Log File

/clearlogfile – clears the client update log file
/clearandsaveogfile – saves the current client update log file to a named file, then clears the update log.

Currently, the client log appears to be non deletableand just grows. This is a potential DOS vector. Also, for troubleshooting, it’s helpful to be able to clear the log (possibly saving it first for later detailed exam).

7. Download Updates Now

/downloadnow – initiates an immiate downoad of any requried update using BITS
/downloanowfast – initiates an initiates an immiate downoad of any requried update using HTTP.

This option forces the AU client to start downloading of any outstanding updates. the secton version downloads using HTTP, and is therefore much faster in elapsed time and is mainly used for troubleshooting isues (or possibly to speed up larger updates). Often, expecially for laptops that have been ‘abroad’ for awhile, you want to just get all the approved updates NOW, and not wait for the next detection time.

8. Stop Downloading AU Updates

/stopdownload – stops any AU updates being downloaded (either using HTTP, or BITS).

This option stops the downloading of any AU updates either queued, or in progress. Just as you can invoke a download, you need to be able to stop it.

9. Test WSUS Server Connecttion

/TestWSUSServer – checks connection with configured WU Server

This option attempts to coonect to the WSUS server configured, and checks that a connection can be made, and that communcations between AU client and WSUS server is working. This would be useful for example, to diagnose network communications failures, or an internal firewall that might be accientally blocking some traffic between client and server.

 

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo articolo e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

SP3 Office 2003

Introduzione
Come ci si aspettava, la Service Pack 3 di Office System 2003 è finalmente giunta al pubblico. Come ogni SP, al suo interno sono contenute le varie patch comulative ed una serie di miglioramenti del prodotto. Eppure analizzando il prodotto, ci si accorge che forse il lavoro non è stato fatto alla perfezione, per via di alcune disabilitazioni o per la mancanza di qualche funzione.

Partiamo con ordine….vediamo cosa introduce la Service Pack 3:

Office 2003 Service Pack 1
Office 2003 Service Pack 2
Update for Office 2003
Update for Office 2003
Update for Office 2003
Update for Office 2003
Security Update for Office 2003
Security Update for Office 2003
Security Update for Office 2003
Security Update for Office 2003
Security Update for Office 2003
Update for Office 2003
Security Update for Office 2003
Update for Office 2003
Security Update for Excel 2003
Security Update for Excel 2003
Update for InfoPath 2003
Update for Outlook 2003
Security Update for Outlook 2003
Security Update for PowerPoint 2003
Security Update for Publisher 2003
Security Update for Word 2003
Security Update for Excel 2003
Security Update for Office 2003

Ovviamente sono esclusi i vari aggiornamenti, di Outlook 2003, legati alle impostazioni della cartella Junk Email, che escono con cadenza mensile.

Come detto prima, per aumentare la sicurezza del prodotto, e per facilitare la vita agli amministratori, sono state disabilitate alcune funzioni, tra cui:

Office 2003 can no longer open or save certain file formats
MAPI forms do not run in public folders and user folders
Office 2003 can now be configured to allow or deny specific COM components
Some COM components with unusual characteristics may not function as expected
Changes have been made to the behavior of Microsoft Office Document Imaging
Attachments with the .gadget extension can no longer be opened in Outlook
Access add-ins can no longer be configured for use by all users
The Fast Save setting in Microsoft Office Word has been removed
Documents saved in certain formats no longer contain the version number of Office
Certain macros in older Excel file formats have increased security

Certo, alcune di queste cose sono utili, ma altre sicuramente potevano essere risparmiate come, per esempio, la disabilitazione del salvataggio automatico di Word. Sotto il punto di vista della sicurezza è una cosa positiva, ma se pensiamo ad un ipotetico crash/blocco del computer, allora automaticamente il sistema di salvataggio automatico può diventare una vera e propria salvezza.

Questo un esempio su tutti, ma il problema è esteso a quasi tutti i problemi segnalati nella KB. Per ovviare ai vari problemi, bisogna lavorare a livello di registro, anche se, probabilmente, alcuni di questi difetti si potranno correggere via GPO, usando i file ADM di Office 2003 SP3.

Tra tutte queste novità, non è stata inserita una delle maggiori features utile a molti utenti, ovvero il compatibility pack per i file di Office System 2007. Questo pack permette, come molti sanno, di aprire i file creati con Office 2007. Eppure questo aggiornamento è rimasto fuori dalla Service Pack e quindi chi lo volesse, dovrà scaricarlo a parte.

Conclusioni
Di solito le Service Pack sono prese come un aggiornamento utile e da fare quasi subito, ma forse questa volta non sarà così. Sopratutto se il rischio è quello di avere dei problemi tecnici (parlo di una realtà aziendale) e di bloccare il lavoro dei propri colleghi e quindi la produttività aziendale. Comunque sicuramente l’aggiornamento sarà da fare.

Autore: Silvio Di Benedetto

 

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo articolo e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

UAC (raccolta di articoli)

Eliminare UAC da Vista e potenziare i diritti di Amministratore come in 2000/XP

Se si desidera eliminare definitivamete lo User Access Control (UAC) di Vista, potenziando allo stesso tempo l’account Administrator dandogli gli stessi privilegi di root esattamente come nelle precedenti versioni di Windows, in modo che possa avere controllo completo su qualsiasi parte del sistema, è sufficiente seguire queste indicazioni:

1. effettuare il log con l’account creato durante l’installazione
2. dal menu Start, andare in “Tutti i programmi”, poi “Accessori”
3. clic col tasto destro su “Prompt dei comandi” e scegliere “Esegui come Amministratore”
4. clic su “Permetti” dal prompt ConsentUI
5. nella finestra che si aprirà, scrivere “regedit” e premere <invio>
6. nel RegEdit, andare alla chiave HKLM\Software\Microsoft\WinodwsNT\CurrentVersion\Winlogon
7. aggiungere una nuova chiave a quel livello chiamata “SpecialAccounts”
8. nella chiave “SpecialAccounts” appena creata, creare una sotto-chiave chiamata “UserList”
9. a questo punto il percorso è: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList
10. nella chiave “UserList” appena creata, creare un nuovo valore DWORD (32 bit) chiamato “Administrator” e impostare il valore a “1″
11. dal prompt dei comandi inserire: “net user Administrator /Active:yes”
12. riavviare il sistema
13. adesso è possibile loggarsi all’account Administrator con i massimi privilegi

Non ho verificato queste istruzioni personalmente, ma sembrano avere successo in molte occasioni.

A parte questo, aggiungo che, secondo me, il sistema di protezione di Windows Vista, UAC, in abbinamento alle limitazioni ai permessi utenti compreso l’account amministrativo, non dovrebbero essere disabilitate (se non in particolari condizioni), pena una potenziale maggiore vulnerabilità dell’intero sistema a possibili attacchi maliziosi interni o esterni.

In ogni caso, alcuni utenti sentono la necessità di disporre di tutti i permessi che garantiva loro l’account Administrator nei sistemi 2000 e XP, senza che il sistema chieda conferma o, peggio, neghi del tutto l’esecuzione di certe operazioni. Per questo motivo fornisco queste informazioni, che sfiorano il confine dell’hacking e sono da eseguire in piena consapevolezza e assumendosene la completa responsabilità.

Ho pensato fosse doveroso, da parte mia, fare queste puntualizzazioni.
Detto questo, auguro una buona “Vista experience” a tutti!

(Dal blog di Sergio Pappalardo, l’autore di CyberInstaller Suite (CIS))

 

Abilitare l’account Administrator su Windows Vista

Se stai pensando che l’utente che Vista crea dopo il suo setup sia un administrator, allora ti sbagli alla grande.

L’utente che viene creato è – per parlare in stile XP – un incrocio tra un Power User e un Administrator, al quale con l’aggiunta delle UAC Vista sega parecchio le gambe.

Per tornare ai vecchi amori, specie per chi sviluppa, la soluzione è quella di abilitare l’utente Administrator di default disabilitato. Per fare questa operazione bisogna:

1. Disabilitare le UAC e riavviare la macchina
2. A macchina riavviata, con l’utente finto amministratore, aprire una shell di dos
3. digitare net user administrator /actve:yes

Da questo momento, avrete il vostro account pronto all’uso per tutto quello che si faceva un tempo.

(by Andrea Moro)

 

Quattro comandi per convivere meglio con UAC

Da convinto sostenitore del principio di “least privilege”, sono molto contento dello User Account Control di Windows Vista, però ci sono un paio di cose che non mi piacciono:

• L’utente creato durante il setup del sistema operativo fa parte del gruppo Administrators .
• Se un utente fa parte del gruppo Administrators e non è Administrator, l’UAC chiede comunque conferma in tutte le operazioni che richiedono elevazione di privilegi.

Io preferisco una gestione del tipo: se un utente non fa parte di Administrators ed esegue un’operazione che richiede maggiori permessi, viene chiesta la password dell’utente Administrator, mentre se un utente si mette parte del gruppo Administrators, significa che ha deciso di farsi del male da solo , quindi UAC non deve intervenire. Per ottenere questo tipo di funzionamento, si possono usare questi quattro comandi, da impartire possibilmente subito dopo il setup di Vista:

1. Prima di tutto abilitiamo l’account Administrator: net user Administrator /active:Yes
2. Poi proteggiamolo con una password: net user Administrator *
3. Togliamo l’account creato durante il setup dal gruppo Administrators: net localgroup Administrators <nomeutente> /delete
4. Aggiungiamo l’utente creato durante il setup al gruppo Users: net localgroup Users <nomeutente> /add

In questo modo, al login verranno mostrati entrambi gli accounts, con l’Administrator avente pieni poteri (e non stressato dallo UAC), mentre l’account personale potrà fare solo il minimo necessario, con prompt di UAC nel caso di attività importanti.

(Dal blog di Alberto Dallagiacoma)

 

 

 

 

Disabilitare UAC, user account control
Microsoft ha cercato di rendere uno dei pilastri di Windows Vista la sicurezza, purtroppo  però l’eccesso crea qualche seccatura in uso quotidiano che richiede magari una certa rapidità e semplicità nelle operazioni. Il problema è che anche se il vostro è un account con privilegi da amministratore del sistema, il sistema vi identificherà come utente standard e dovrete confermare i permessi ogni volta che eseguite qualcosa per cui avete i relativi privilegi, per esempio lanciare un’applicazione o un installer. Per ovviare a tutto questo vi basta disabilitare la User account control e tutto ritornerà normale come era in windows xp.

Primo metodo

* Andate su Start > Run, scrivete nella casella msconfig e poi confermate. Tra le schede della finestra che vi si apre andate su Tools e li troverete Enable UAC e DisableUAC.

Secondo metodo

* Aprite il Pannello di controllo, non nella forma Classic, e nella Home del Pannello digitate UAC; ciò vi farà vedere la finestra dove sarà possibile fare la disabilitazione voluta (immagine sotto).

Terzo metodo (più radicale)

Se non vi riesce in altro modo operate così:
* Andate su Start > Search for files or folder, nella finestra che compare digitate Local Security Policy, ciccate lo shortcut corrispondente al risultato e vi apparirà la schermata omonima.

* Navigando nel menù di sinistra andate su Security Options; scorrete le stringhe sulla destra fino ad arrivare a User Account Control: Behavior of the elevation prompt for administrator in admin approval model.
* Apritela e vi apparirà una nuova finestra con un menù a discesa, dal quale dovete scegliere Elevate without prompting. Confermate e chiudete il tutto.

Vi consiglio di provare in sequenza i tre metodi, in generale dopo aver applicato tutti e tre il problema è risolto.

DA MICROSOFT

Che cosa è UAC (User Account Control)?

UAC (User Account Control) è un nuovo componente di protezione di Windows Vista. UAC consente agli utenti di eseguire attività comuni in qualità di non amministratori, chiamati utenti standard in Windows Vista, e in qualità di amministratori senza la necessità di cambiare utente, disconnettersi o utilizzare il comando Esegui come. Un account utente standard è sinonimo di account utente in Windows XP. Gli account utente che sono membri del gruppo Administrators locale eseguiranno la maggior parte delle applicazioni come utente standard. UAC costituisce un importante miglioramento per Windows Vista grazie alla separazione delle funzioni di utente e amministratore senza intaccare la produttività.

Quando un amministratore accede a un computer che esegue Windows Vista Beta 2, all’utente vengono assegnati due token di accesso separati. I token di accesso, che contengono l’appartenenza di gruppo e i dati di autorizzazione e accesso di un utente, vengono utilizzati da Windows® per controllare le risorse e i task ai quale può accedere un utente. Prima di Windows Vista, un account di amministratore riceveva solo un token di accesso, che comprendeva i dati per consentire all’utente di accedere a tutte le risorse di Windows. Questo modello di controllo dell’accesso non comprendeva alcun controllo di sicurezza per garantire che gli utenti desiderassero effettivamente eseguire un’attività che richiedeva il proprio token di accesso amministrativo. La conseguenza era che i programmi dannosi potevano installarsi sui computer degli utenti senza alcun avviso. Questo comportamento veniva spesso indicato come installazione invisibile.

Gli effetti erano ancor più dannosi in quanto, essendo l’utente un amministratore, i programmi dannosi potevano utilizzare i relativi dati di controllo dell’accesso per infettare file di base del sistema operativo e, in alcuni casi, diventare quasi impossibili da rimuovere.

La differenza principale tra un utente standard e un amministratore in Windows Vista è costituita dal livello di accesso disponibile sulle aree centrali protette del computer. Gli amministratori sono in grado di modificare lo stato del sistema, disattivare il firewall, configurare criteri di protezione, installare un servizio o un driver che ha effetto su tutti gli utenti del computer e installare software per l’intero computer. Gli utenti standard non possono eseguire queste attività e possono solo installare software per il singolo utente.

Per aiutare e prevenire l’installazione invisibile di programmi dannosi e infezioni del computer, Microsoft ha sviluppato la funzionalità UAC per Windows Vista. Diversamente dalle versioni precedenti di Windows, quando un amministratore accede a un computer che esegue Windows Vista, il token di accesso amministratore completo dell’utente viene diviso in due token di accesso: un token di accesso amministratore completo e un token di accesso utente standard. Durante la procedura di accesso, i componenti di autorizzazione e controllo dell’accesso che identificano un amministratore vengono rimossi, determinando un token di accesso utente standard. Il token di accesso utente standard viene quindi utilizzato per avviare il desktop, il processo Explorer.exe. Poiché tutte le applicazioni ereditano i propri dati di controllo dell’accesso dall’esecuzione iniziale del desktop, vengono tutte eseguite in qualità di utente standard.

Dopo l’accesso di un amministratore, il token di accesso amministratore completo non viene richiamato fino a quando l’utente non tenta di eseguire un’attività amministrativa.

Diversamente da questa procedura, quando un utente standard accede, viene creato solo un token di accesso utente standard, che viene quindi utilizzato per avviare il desktop.

  Importante:

Poiché l’esperienza dell’utente è configurabile tramite lo snap-in Gestione criteri di protezione (secpol.msc) e Criteri di gruppo, non esiste un’unica esperienza utente UAC. Le scelte di configurazione eseguite nell’ambiente influiranno sui messaggi e le finestre di dialogo visualizzati a utenti standard, amministratori o entrambi.

Inizio pagina

Utilizzo della guida

Questa guida è rivolta ai seguenti destinatari:

•	Addetti alla pianificazione IT e analisti che stanno valutando il prodotto
•	Utenti sperimentali
•	Architetti della protezione che sono responsabili dell’implementazione di sistemi di elaborazione affidabili

Funzione della guida

I gruppi elencati in precedenza possono utilizzare questa guida per provare l’esecuzione delle proprie applicazioni LOB (Line-Of-Business) in Windows Vista. Poiché UAC crea una chiara distinzione tra i processi amministratore e utente standard, alcune applicazioni LOB esistenti possono richiedere un lavoro di reimpostazione da parte del produttore di software indipendente (ISV) o del team addetto agli strumenti interni o essere contrassegnate per l’esecuzione con privilegi elevati.

Inizio pagina

In questa guida

•	Requisiti di UAC (User Account Control)
•	Scenari principali di UAC (User Account Control)
•	Scenario 1: richiesta di una esecuzione di un’applicazione con privilegi elevati
•	Scenario 2: contrassegno di un’applicazione per essere eseguita sempre con privilegi elevati
•	Scenario 3: configurazione di UAC (User Account Control)
•	Registrazione degli errori e dei commenti
•	Ulteriori riferimenti

Inizio pagina

Requisiti di UAC (User Account Control)

È consigliabile che i passaggi descritti in questa guida vengano utilizzati prima in un ambiente di laboratorio per i test. Le guide dettagliate non sono intese necessariamente per essere utilizzate nella distribuzione di funzionalità di Windows Vista senza la documentazione accompagnatoria, come elencato in Ulteriori riferimenti, e vanno utilizzate con discrezione come documenti autonomi.

Configurazione dell’ambiente di laboratorio per i test

La configurazione necessaria per provare UAC comprende un controller di dominio che esegue Microsoft Windows Server® nome in codice “Longhorn” (o Microsoft Windows Server™ 2003), un server membro che esegue Windows Server “Longhorn” (o Windows Server 2003) e un computer client che esegue Windows Vista. Il controller di dominio, il server membro e il computer client devono essere situati in una rete isolata e devono essere connessi a un hub comune o a uno switch livello 2. Nella configurazione del laboratorio per i test devono essere utilizzati indirizzi privati.

Inizio pagina

Scenari principali di UAC (User Account Control)

Questa guida tratta i seguenti scenari per UAC:

•	Scenario 1: richiesta di una sola esecuzione di un’applicazione con privilegi elevati
•	Scenario 2: contrassegno di un’applicazione per essere eseguita sempre con privilegi elevati
•	Scenario 3: configurazione di UAC (User Account Control)

  Nota:

I tre scenari inclusi nella guida hanno lo scopo di aiutare gli amministratori ad acquisire familiarità con la funzionalità UAC di Windows Vista. Comprendono informazioni di base e procedure necessarie agli amministratori per iniziare a utilizzare UAC. In questa guida non sono incluse informazioni e procedure per configurazioni di UAC avanzate o personalizzate.

Inizio pagina

Scenario 1: richiesta di una sola esecuzione di un’applicazione con privilegi elevati

Per impostazione predefinita, in Windows Vista UAC e la relativa modalità Admin Approval Mode (modalità approvazione admin). Quando UAC è attivata, gli account di amministratore locale vengono eseguiti come account utente standard. Questo significa che i membri del gruppo Administrators locale che accedono vengono eseguiti con i relativi privilegi amministrativi disattivati. Ciò vale fino a quando essi non tentano di eseguire un’applicazione o un task provvisto di un token amministrativo. Quando un membro del gruppo Administrators locale tenta di avviare una tale applicazione, viene richiesto di confermare l’esecuzione con privilegi elevati. Lo scenario 1 descrive la procedura per consentire una sola esecuzione di un’applicazione o di un task con privilegi elevati.

  Nota:

Per svolgere la procedura seguente, è necessario avere effettuato l’accesso a un computer client come membro del gruppo Administrators locale. Non è possibile accedere tramite l’account di amministratore del computer o incorporato in quanto la modalità Admin Approval Mode (modalità approvazione admin) non ha valore per tale account. Nelle nuove installazioni di Windows Vista l’account di amministratore incorporato è disattivato.

Per richiedere una sola esecuzione di un’applicazione con privilegi elevati

1.	Avviare un’applicazione alla quale è assegnato un token amministrativo, come Pulitura disco di Microsoft Windows. Viene visualizzata una richiesta di Controllo account utente.
2.	Verificare che i dettagli presentati corrispondano alla richiesta avviata.
3.	Nella finestra di dialogo Controllo account utente, fare clic su Continua per avviare l’applicazione.

Inizio pagina

Scenario 2: contrassegno di un’applicazione per essere eseguita sempre con privilegi elevati

Lo scenario 2 è simile a quello precedente in quanto si desidera eseguire un’applicazione o un processo con privilegi elevati tramite il token di accesso amministratore. Tuttavia, in questo scenario l’applicazione da eseguire non è stata contrassegnata dallo sviluppatore o identificata dal sistema operativo come applicazione amministrativa. Alcune applicazioni, come le applicazioni line-of-business per uso interno o prodotti non Microsoft possono richiedere diritti amministrativi senza però essere identificate come tali. In questo scenario un’applicazione viene contrassegnata per chiedere conferma all’utente e, in caso affermativo, essere eseguita come applicazione amministrativa. Di seguito è descritta la procedura dettagliata.

  Nota:

Per svolgere la procedura seguente, è necessario avere effettuato l’accesso a un computer client come membro del gruppo Administrators locale. Non è possibile accedere tramite l’account di amministratore del computer o incorporato in quanto la modalità Admin Approval Mode (modalità approvazione admin) non ha valore per tale account.

  Importante:

Questa procedura non può essere utilizzata per impedire a UAC di chiedere conferma per l’esecuzione di un’applicazione amministrativa.

Per contrassegnare un’applicazione per essere eseguita sempre con privilegi elevati

1.	Fare clic con il pulsante destro del mouse su un’applicazione alla quale è assegnato un token amministrativo, come un programma di elaborazione testi.
2.	Fare clic su Proprietà, quindi selezionare la scheda Compatibilità.
3.	In Privilege Level (Livello di privilegio), selezionare Run this program as an administrator (Esegui questo programma come amministratore), quindi fare clic su OK.   Nota: Se l’opzione Run this program as an administrator (Esegui questo programma come amministratore) non è disponibile, significa che l’esecuzione dell’applicazione con privilegi elevati è sempre bloccata, non richiede credenziali amministrative, fa parte della versione corrente di Windows Vista o l’utente non ha effettuato l’accesso al computer in qualità di amministratore.

Inizio pagina

Scenario 3: configurazione di UAC (User Account Control)

Lo scenario 3 delinea tre attività comuni che vengono svolte dagli amministratori locali durante l’installazione e la configurazione dei computer client che eseguono Windows Vista. Le procedure seguenti descrivono le operazioni da svolgere per disattivare la Admin Approval Mode (modalità approvazione admin), disattivare la richiesta da parte di UAC della richiesta di credenziali per installare applicazioni e modificare il comportamento della richiesta di privilegi elevati.

Disattivazione della Admin Approval Mode (modalità approvazione admin)

Utilizzare la procedura seguente per disattivare Admin Approval Mode (modalità approvazione admin).

  Nota:

Per svolgere la procedura seguente, è necessario avere effettuato l’accesso a un computer client come amministratore locale.

Per disattivare la Admin Approval Mode (modalità approvazione admin)

1.	Fare clic su Start, Tutti i programmi, Accessori, Esegui, digitare secpol.msc nella casella di testo Apri, quindi fare clic su OK.
2.	Se la funzionalità UAC è attiva, verrà visualizzata una finestra di dialogo Controllo account utente. In caso affermativo, verificare che i dettagli presentati corrispondano alla richiesta avviata, quindi fare clic su Continua.
3.	Dalla struttura della console Impostazioni protezione locale, fare clic su Criteri locali, quindi fare clic su Opzioni di protezione.
4.	Scorrere verso il basso e fare doppio clic su User Account Control: Run all administrators in Admin Approval Mode (Controllo account utente: esegui tutti gli amministratori in modalità approvazione admin).
5.	Dalla finestra di dialogo User Account Control: Run all administrators in Admin Approval Mode Properties (Controllo account utente: proprietà esegui tutti gli amministratori in modalità approvazione admin), fare clic su Disattivata, quindi fare clic su OK.
6.	Chiudere la finestra Impostazioni protezione locale.

Disattivazione della richiesta delle credenziali per l’installazione di applicazioni da parte di UAC

Utilizzare la procedura seguente per disattivare la richiesta di credenziali per l’installazione di applicazioni da parte di UAC.

  Nota:

Per svolgere la procedura seguente, è necessario avere effettuato l’accesso a un computer client come amministratore locale.

Per disattivare la richiesta delle credenziali per l’installazione di applicazioni da parte di UAC

1.	Fare clic su Start, Tutti i programmi, Accessori, Esegui, digitare secpol.msc nella casella di testo Apri, quindi fare clic su OK.
2.	Dalla struttura della console Impostazioni protezione locale, fare clic su Criteri locali, quindi su Opzioni di protezione.
3.	Scorrere verso il basso e fare doppio clic su User Account Control: Detect application installations and prompt for elevation (Controllo account utente: rileva installazione applicazioni e richiedi privilegi elevati).
4.	Dalla finestra di dialogo User Account Control: Detect application installations and prompt for elevation Properties (Controllo account utente: proprietà rileva installazione applicazioni e richiedi privilegi elevati), fare clic su Disattivata, quindi fare clic su OK.
5.	Chiudere la finestra Impostazioni protezione locale.

Modifica del comportamento per la richiesta di elevazione

Utilizzare la procedura seguente per modificare il comportamento della richiesta di elevazione di UAC.

  Nota:

Per svolgere la procedura seguente, è necessario avere effettuato l’accesso a un computer client come amministratore locale.

Per modificare il comportamento per la richiesta di elevazione

1.	Fare clic su Start, Accessori, Esegui, digitare secpol.msc nella casella di testo Open, quindi fare clic su OK.
2.	Dalla struttura della console Impostazioni protezione locale, fare clic su Criteri locali, quindi su Opzioni di protezione.
3.	Scorrere verso il basso e fare doppio clic su User Account Control: Behavior of the elevation prompt for administrators Behavior of the elevation prompt (Controllo account utente: comportamento della richiesta di elevazione) o User Account Control: Behavior of the elevation prompt for standard users (Controllo account utente: comportamento della richiesta di elevazione per utenti standard).
4.	Dal menu a discesa, selezionare una delle seguenti impostazioni: • Nessuna richiesta • Richiedi credenziali (questa impostazione richiede l’immissione di nome utente e password prima che un’applicazione o un task venga eseguito con privilegi elevati ed è predefinita per gli utenti standard) • Prompt for consent (Richiedi consenso) (impostazione predefinita solo per gli amministratori)
5.	Fare clic su OK.
6.	Chiudere la finestra Impostazioni protezione locale.

Inizio pagina

Registrazione degli errori e dei commenti

Poiché UAC è una nuova funzionalità di Windows Vista, è estremamente interessante conoscere i commenti e le esperienze degli utenti con UAC, i problemi che si verificano e l’utilità della documentazione.

Per segnalare errori, utilizzare le istruzioni riportate nel sito Web Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). È inoltre importante conoscere qualsiasi richiesta e commento generale riguardante UAC.

 

 

 

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo articolo e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

 

DFS

Per sapere i nomi dei server collegati a un certo DFS: 

dfscmd /view \\name_DFS\DFS /full

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo documento e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

Modifiche IE 7 su WinVista

• Opzioni Internet -> Protezione -> Attiva/Disattiva modalità protetta.

Salvare in un file *.reg le seguenti impostazioni:

Attiva:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“2500″=dword:00000000

Disattiva:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“2500″=dword:00000003

• Opzioni Internet -> Connessioni -> Non utilizzare mai connessioni remote

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“NoNetAutodial”=dword:00000000
“EnableAutodial”=dword:00000000

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo documento e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

Error: “Error 1920: Service Symantec AntiVirus Server…” durante l’installazione

Error: “Error 1920: Service Symantec AntiVirus Server…” appears when installing Symantec AntiVirus Corporate Edition client

 
Question/Issue:
When you install Symantec AntiVirus client, you see the error message “Error 1920: Service Symantec AntiVirus Server (Symantec AntiVirus Server) failed to start. Verify that you have sufficient privileges to start system services.” The installation then fails and rolls back.

Solution:
This problem has more than one cause, so more than one solution is provided. To fix the problem, try each of the following solutions in the order that they appear.

• Confirm that you have the correct rights and permissions to perform the installation.
  For directions, read Troubleshooting Symantec AntiVirus Corporate Edition installations: Checking rights and permissions.
• Make sure that the Event Log service is started on the target computer.
• Confirm that the computer’s date is correct and that the year is not set far into the future (such as 2059).
• Update the Symevent files. For directions, read Updating the Symevent files.
• Make sure that the computer is not infected with a virus. Even if you do not have a previous version of Symantec AntiVirus installed, you can run an online scan. The online scan detects known viruses and security risks, but it cannot remove them.
  To run a full online scan, go the Symantec Security Check Web site and follow the prompts.
  Note that the online scan is not supported on server operating systems. For server operating systems, use the document Common loading points for viruses, worms, and Trojan horse programs on Windows NT/2000/XP/2003.
• If a previous version of Symantec or Norton AntiVirus is installed, uninstall the program by using Add/Remove Programs in the Control Panel. Then, manually remove any leftover files and registry keys.
  To find directions for your product version, read Manual uninstallation documents for Symantec Client Security products.
• If you use Windows 2003, follow the directions in the Microsoft document Error 0×80092026: The cryptographic operation failed due to a local security option setting (article ID 555374).
• If you use the eToken Runtime Environment (RTE), upgrade to version 3.65 or later.

References:
Additional documents that may be useful

• Installation of Symantec AntiVirus Corporate Edition rolls back when the status bar displays “Preparing Virus Definition Files”
• Error: “1920 Service Defwatch failed to start. Verify that you have sufficient privileges to start system services.”

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo documento e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

Tips & Tricks

Per chi si avvicina per la prima volta a Windows Vista, noterà la mancanza di alcuni tool familiari, che era abituato utilizzare nelle versioni precedenti di Windows.

Il comando Esegui, onnipresente nel menu Start, per esempio non c’è più. È vero, si può utilizzare la nuova funzione di ricerca intelligente presente nel menu Start, ma per chi ha nostalgia, può ripristinarlo in questo modo:

• fare click con il tasto destro sulla barra delle applicazioni, selezionare “Proprietà”
• andare alla sezione “Menu Start”
• premere il bottone “Personalizza” e scovare la voce “Esegui”
• mettere un segno di spunta in corrispondenza di “Esegui”

Sempre per chi ha nostalgia della vecchia schermata di logon (ora sostituita da una bella quanto complicata interfaccia grafica), può farla riapparire seguendo questi passi:

• Digitare secpol.msc in “Esegui” (se l’avete ripristinato) o nel campo di ricerca intelligente del menu Start
• espandere la voce “Criteri locali” e “Opzioni di protezione”
• fare doppio click su “Accesso interattivo: non visualizzare l’ultimo nome utente” e attivare la funzione

Le modifiche saranno apportate al successivo logon. È interessante osservare che l’interfaccia grafica di logon rimane anche dopo l’associazione del client al dominio. In Windows XP Professional, invece, l’accesso grafico lasciava il posto ad un logon più spartano quando la macchina veniva inserita in un dominio. Consigliamo di attivare l’opzione descritta più sopra soprattutto quando Vista è connesso ad un dominio. Infatti, con la “vecchia” interfaccia risulta più intuitivo passare da un utente di dominio ad un utente definito localmente e viceversa.

In Windows Vista sono previsti spesso duplici avvisi di protezione. Inizialmente questo può far piacere: ma dopo un po’ di tempo, specie per chi ha dimestichezza, questi avvisi possono stancare. Vediamo come disattivarne alcuni.

Centro di sicurezza

• fare doppio click sull’icona, vicino all’orologio, “Avvisi di protezione Windows”
• nella finestra di dialogo, sulla sinistra, selezionare “Cambia le impostazioni degli avvisi…”
• da qui è possibile disattivare sia l’icona, sia gli avvisi

Avvisi cancellazione di un file

Quando si cerca di cancellare file importanti, si ricevono due avvertimenti: uno del sistema UAC (User Account Control), l’altro del classico sistema di sicurezza. Vediamo come disattivare la conferma di cancellazione dei file.

• Cliccare col destro sul Cestino e scegliere “Proprietà”
• Togliere il segno di spunta su “Visualizza conferma eliminazione”

Disabilitare lo UAC

Lo User Account Control è quanto di più noioso possa esserci, per chi ha destrezza nell’usare il PC. Di seguito mostriamo come disattivarlo. Un consiglio: fatelo solo sulla vostra macchina, per una semplice ragione. È assodato che la maggior parte dei guai siano combinati proprio da utenti maldestri e poco accorti… A loro, un avviso in più non fa mai male!

ATTENZIONE Noi sconsigliamo VIVAMENTE di disattivare lo UAC, poiché si disattiverebbe anche il protected mode, una tecnologia di Microsoft (simile alla sandbox di Java) che consente di far girare in modalità protetta i programmi, tra i quali IE 7. È in circolazione una gravissima vulnerabilità di Windows che consente, semplicemente navigando in Internet (anche su siti attendibili), di dare accesso ad un virus che potenzialmente può causare gravi danni al sistema e alla privacy. Ne sarebbero immuni proprio gli utilizzatori di Vista con lo UAC e il Protected Mode attivi!

Lo User Access Control è stato introdotto sulla scia dei sistemi Linux. In tali sistemi operativi, infatti, normalmente l’utente non può installare alcun driver, alcuna periferica, a meno di innalzare i privilegi del proprio account utente a quelli di amministratore. Le versioni precedenti di Windows soffrivano infatti della grave pecca che, sebbene ci fosse la possibilità di creare utenti con bassi privilegi, più o meno tutti si trovavano a lavorare come Amministratori sulla macchina. In più, nei sistemi Windows XP, l’utente amministratore (Administrator) era onnipresente, anche se non compariva mai nella schermata d’accesso, per cui poteva dare l’illusione di non esistere. Un errore comune era quello di creare una password per l’utente che normalmente si utilizzava per accedere alla macchina, ma dimenticarsi di crearla per l’utente Administrator, che, sprovvisto di password, rimaneva alla mercè di chiunque!

Questo errore è stato finalmente eliminato alla radice con Vista. Gli avvisi però dello UAC possono, a nostro modesto parere, essere controproducenti, soprattutto se non si è abituati a lavorare in questo modo (gli utenti di Linux Ubuntu sanno bene a cosa mi riferisco!). Infatti, dopo un po’ di tempo, o li si ignora o li si disattiva. Per chi è ben conscio dei rischi che corre, può continuare la lettura e disattivarli. Per gli altri, il nostro consiglio è di lasciare attivo l’UAC.

• Entrare nel pannello di controllo, scegliere “Account utente e protezione per la famiglia”, quindi “Account utente” (probabilmente se avete attivato la visualizzazione classica, potete accedere direttamente ad “Account utente”)
• cercare tra le caratteristiche dell’utente administrator la voce “Attiva o disattiva Controllo account utente” e fare la propria scelta.

Oppure

• è possibile ottenere il medesimo risultato, aprendo regedit e modificando a 0 il valore della chiave EnableLUA in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

Se invece si desidera fare il tuning dello UAC, cioè tenerlo attivo, ma facendo sì che riduca gli avvisi, allora è possibile configurare alcune sue opzioni digitando secpol.msc dalla casella di testo Apri del menu Start. Se si desidera disattivare la “modalità approvazione admin” (admin approval mode), nella finestra di dialogo “Controllo Account Utente” (che compare solo se lo UAC è attivo), fare click su Criteri Locali -> Opzioni di protezione, scorrere verso il basso e fare doppio clic su User Account Control: Run all administrators in Admin Approval Mode (Controllo account utente: esegui tutti gli amministratori in modalità approvazione admin). Dalla finestra di dialogo che appare, selezionare “Disattiva”, quindi OK.

Abilitare Telnet

In Windows Vista, Telnet non è abilitato. È possibile attivarlo in questa maniera:

Spuntare la casella “Client Telnet” presente in Pannello di controllo->Programmi e funzionalità -> Attivazione e disattivazione delle funzionalità di Windows.

 

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo documento e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

Test Shockwave e flash

http://www.adobe.com/shockwave/welcome/

Troubleshooting WSUS 3.0

Introduzione

Il seguente articolo analizza alcune situazioni che possono insorgere durante il deployment di WSUS (Windows Server Update Services) e descrive quali strumenti si hanno a disposizione per risolvere le problematiche e monitorare la funzionalità del servizio.

Sommario

• SID duplicati
• Errore durante il download di alcuni aggiornamenti da parte del server di WSUS
• Elevato utilizzo della CPU sui client WSUS
• Strumenti per l’analisi delle funzionalità dei client WSUS
  • Log client Wsus
  • Client Diagnostic Tool
• Strumenti per l’analisi delle funzionalità del server WSUS
  • Logs server WSUS
  • Server Diagnostic Tool
• Conclusioni

SID duplicati

Nel caso in cui nella rete si abbiano computer con SID (Security ID) identici, dovuto al fatto che l’installazione è stata eseguite tramite il restore di un’immagine identica su più computer si riscontreranno malfunzionamenti dovuti al fatto che WSUS distribuirà gli aggiornamenti solo ad una macchina in quanto non sarà in grado di distinguerle.

Se ci si trova in questa situazione la cosa migliore è quella di modificare il SID su computer prima che questi vengano assegnati al server WSUS utilizzando il tool SysPrep (a riguardo si faccia riferimento al seguente articolo Utilizzo dello strumento Sysprep per automatizzare la corretta distribuzione di Windows XP) oppure tramite l’utility NewSID che permette l’operazione in modo più agevole, ma che non gode del supporto tecnico Microsoft. Se i computer appartengono ad un dominio occorrerà rimuoverli dal dominio prima di rigenerare il SID e quindi aggiungerli successivamente. Per controllare il SID assegnato ad un computer è possibile utilizzare l’utility PSGetSID.

Se invece i computer con SID identico sono già stati assegnati al server WSUS oltre a modificare il Security ID come descritto precedentemente occorrerà arrestare il servizio wuauserv (Aggiornamenti automatici), eliminare il riferimento al SID utilizzato da WSUS e memorizzato nel registro, riavviare il servizio wuauserv quindi resettare l’Authorization Cookie di WSUS e avviare il processo di rilevamento. Uno script che esegue le operazioni descritte è disponibile al seguente link Delete Duplicate SUS Client IDs.

In allegato all’articolo è disponibile un esempio di applicazione scritta utilizzando il .NET Framework 1.1 che mediante l’uso della API LookupAccountName ottiene il SID del computer e lo memorizza in un database access e consente di visualizzare in forma tabellare i SID raccolti evidenziando quelli duplicati come mostrato in figura 1. E’ anche possibile avviare l’applicazione con il parametro /q per registrare il sid della macchina corrente senza visualizzare alcuna interfaccia grafica in modo da porla inserire ad esempio in uno script di avvio per fare un’analisi di computer che dovranno essere gestiti da WSUS. Scarica l’utility da qui!

 

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo documento e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.

 

Abilitare il Remote Desktop da remoto

Questo script vi permetterà di abilitare il Remoto Desktop su una macchina, da remoto. Sarà sufficiente salvare questo script (ad esempio remoteon.cmd, aprire una shell dos, e digitare remoteon nome_macchina.

@echo off setlocal if {%1}=={} goto syntax :loop if {%1}=={} goto finish set remote=”\\%1\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” shift reg.exe ADD %remote% /v fDenyTSConnections /t REG_DWORD /d 0 /f>nul 2>&1 if NOT %ERRORLEVEL% EQU 0 @echo %remote% NOT found. goto loop :syntax @echo Syntax: RemoteDesktop Computer1 [Computer2 .... Computern] goto loop :finish endlocal

 

ictpociar.wordpress.com non è responsabile per l’utilizzo improprio di questo script e per i danni che le informazioni contenute in questo blog possono arrecare al vostro sistema.