L’inserimento di un computer in un dominio Active Directory è una operazione che deve essere eseguita on-line, cioè il client deve poter raggiungere il Dominio nella fase di join. Questo comporta alcuni problemi logistici in caso di deploy di client in sedi remote ad esempio.

Con Windows 2008 R2 e Windows 7 è stata aggiunta la possibilità di eseguire questa operazione inmodalità off-line, cioè il computer può essere unito al dominio mentre è scollegato dalla rete.

I requisiti minimi sono avere un domain controller con Windows Server 2008 R2 e un client con Windows 7 o Windows Server 2008 R2.

L’operazione si divide in due step, nel primo passaggio viene creato un file criptato con i metadata necessari per unire il computer al dominio e nel secondo questo file viene letto dal computer da unire al dominio.

Quindi una volta entrati su un computer già inserito nel dominio apriamo una prompt dei comandi e digitiamo il comando:

djoin /provision /domain contoso.internal /machine Win7Pro /savefile c:\Win7Pro_join.txt

se tutto è andato a buon fine avremo un output del tipo:

Provisioning the computer account…
Successfully provisioned [Win7Pro] in the domain [contoso.internal].
Provisioning data was saved successfully to [c:\Win7Pro_join.txt].

Computer account provisioning completed successfully.
The operation completed successfully.

Nell’esempio il parametro /domain specifica il nome del dominio dove vogliamo inserire il computer, il parametro /machine è il nome che vogliamo assegnare al computer (verrà già creato un account computer in Active Directory) e il prametro /savefile indica dove deve essere salvato il file contenente i metadati. Tra i parametri opzionali possiamo anche specificare la OU dove inserire il computer e il nome di un domain controller specifico.

Una volta creato il file dobbiamo copiarlo nel computer di destinazione e anche senza una connessione di rete lanciare il comando:

djoin /requestodj /loadfile c:\Win7Pro_join.txt /windowspath %windir% /localos

dove il parametro /loadfile indica il percorso del file copiato dal computer sorgente. L’output del comando sarà qualcosa del tipo:

Caricamento dei dati di provisioning dal file seguente: [c:\Win7Pro_join.txt].

Richiesta di aggiunta a dominio offline completata.
Per applicare le modifiche è necessario riavviare il sistema.
Operazione completata.

A questo punto possiamo spegnere il computer e collocarlo nella posizione definitiva. Una volta acceso il computer verrà unito al dominio senza nessun intervento da parte dell’utente.

Quando si gestisce un sistema informativo, bisogna fare in modo che questo sia protetto da attacchi più o meno subdoli. Una delle precauzioni principali da prendere riguarda la gestione delle credenziali d’accesso al sistema, che devono rispondere a specifici criteri di sicurezza che prevengano accessi non autorizzati, in ottemperanza alle elementari regole di sicurezza informatica ed al D. Lgs. 196 del 2003 conosciuto anche come “Testo Unico sulla Privacy“. Pur esistendo dispositivi che permettono di fornire le proprie credenziali in modo sicuro, come ad esempio smart card e dispositivi biometrici, in realtà il metodo più usato consiste ancora nel fornire un’accoppiata Nome Utente – Password come credenziali d’accesso al sistema informativo.

In particolare, è centrale il problema di come gestire le password associate ad ogni account, che rappresentano il punto debole e maggiormente attaccabile da parte di un malintenzionato, per cui è necessario prendere alcuni accorgimenti nella scelta e gestione delle password:

• segretezza della password: la password deve essere segreta, e nota solamente al legittimo utilizzatore di quelle determinate credenziali d’accesso ed al responsabile delle password, inoltre, l’utente non deve lasciare in giro appunti o post-it con in bella mostra la propria password, come troppo spesso succede;
• lunghezza della password: se un ipotetico “attaccante” cerca di scoprire la password di un utente tramite “tentativi” automatizzati (il cosidetto attacco a forza bruta), l’attacco avrà maggior successo se la password attaccata è breve, a differenza di una password lunga che, ovviamente, per essere indovinata necessita di un maggior numero di tentativi;
• complessità della password: l’utente, scegliendo una password, dovrà fare in modo che questa non contenga riferimenti a sé stesso o all’ambito familiare, infatti un malintenzionato, utilizzando eventualmente tecniche di ingegneria sociale, potrà scoprire riferimenti della vita privata dell’utente che riutilizzerà immediatamente come tentativo di accesso non autorizzato, se poi l’attaccante è un nostro collega di lavoro (cosa possibile anche se non frequente) non dovrà sforzarsi molto per conoscere particolari che ci riguardano; altro accorgimento in questo senso può essere quello di utilizzare caratteri non standard (come segni di interpunzione o spazi) nella composizione della password, misura utile anche nei casi di attacchi “brute force”;
• durata della password: una password, per essere considerata sicura, dev’essere cambiata entro un periodo di tempo ragionevole, ciò rende la vita più difficile ad un malintenzionato che intende “rubare” la password, inoltre consente di “richiudere fuori” un attaccante venuto in possesso delle nostre credenziali, anche se in questo caso probabilmente il danno è già stato fatto

Continue Reading »

Il “pizzo” adesso si sposta anche su Internet e potrebbe colpire qualsiasi sito presente sulla Rete. Se i pirati informatici non ricevono una certa somma di denaro, il proprietario del Web può dire addio al suo lavoro, perché sferreranno un attacco ai server che ospita il dominio della vittima.

Gli attacchi sono studiati alla perfezione, per mettere in ginocchio un server in pochissimo tempo, inviando un’infinità di richieste (es. Denial Of Service), in modo da occupare la banda di navigazione del server che ospita il sito, facendo esaurire le risorse disponibili per la visualizzazione del portale.

Paolo Geymonat, proprietario del portale Bakeca.it, durante una recente intervista, ha dimostrato quanto il fenomeno sia in costante crescita…..

Si utilizza il comando NETDOM che non è “di serie” su W2003 ma fa parte dei WINDOWS SUPPORT TOOLS.
La corretta sintassi di uso:

Verrà richiesta la password per l’utente che hai inserito. Il numero 20 indica i secondi che trascorreranno fino a quando il pc “target” verrà riavviato indipendentemente da ciò che evenualmente l’utente starà facendo sopra.