Per spegnare o riavviare i pc da remoto si può usare, da linea di comando, il comando shutdown (C:\Windows\system32\shutdown.exe) che se eseguito con l’opzione -i viene lanciato in modalità grafica.

Oppure si può installare lo Shutdown Manager presente nel Resource Kit.

Il più famoso tra i programmi di terze parti è Poweroff.

Ho notato che molti non lo sanno o tendono a dimenticarlo.

Copiare cartelle o file
Le cartelle o i file copiati nello stesso volume NTFS o tra diversi volumi acquisiscono le autorizzazioni della cartella di destinazione e l’utente che li copia ne diventa proprietario.

Spostare cartelle o file
Le cartelle o i file spostati all’interno dello stesso volume NTFS mantengono il proprietario e le autorizzazioni originali. Al contrario, le cartelle o i file spostati in un altro volume NTFS acquisiscono le autorizzazioni della cartella di destinazione e l’utente che li ha spostati ne diventa il proprietario, analogamente a quanto avviene per la copia di una cartella o di un file.

.
Riassumendo, l’unico caso in cui i permessi vengono mantenuti è quando si spostano le cartelle o i file all’interno dello stesso volume NTFS.

Ovviamente le cartelle e i file copiati o spostati in volumi FAT perdono le autorizzazioni assegnate perché tali volumi non supportano le autorizzazioni NTFS.

Quei due o tre lettori di questo blog, sito, spazio web, contenitore di deliri, forse ricorderanno la mia avversione per i presunti esperti informatici, purtroppo esiste anche di peggio: il piazzista informatico. Premetto che non sto parlando dei commerciali e/o dei venditori, ma di una figura ibrida, presuntuosa e fastidiosa, un essere che riunisce il peggio di varie figure semi-professionali, è il classico uomo che ha fatto carriera grazie al fatto che sa leccare e ungere bene, è un semi-dilettante pseudo programmatore che però conosce quello vero, il programmatore bravo, perché lui ha sì contribuito a realizzare il prodotto, ma da furbetto qual è, soprattutto lo piazza, perché lui ora ha fatto carriera e non si sporca più le mani programmando.

E’ stato anche divertente assistere alla demo che spiegava che la nuova versione avrà tra le varie migliorie anche il fatto che cambierà il colore dello sfondo del programma , ma è stato triste vedere magnificate le doti di quello che poi alla fin fine si è rivelato solo un database Microsoft Access con una gradevole interfaccia grafica e un banale sistema di protezione hardware. Io non ne capisco niente, ma senza offesa per nessuno, non si può dire che saper realizzare un database Access sia programmare ad alto livello.

Sarebbe stato divertente se il programma avesse funzionato bene, ma dopo averlo installato usando, ovviamente, i diritti amministrativi, ho candidamente chiesto se bisogna prendere particolari accorgimenti per far usare il programma ad un utente senza diritti amministrativi. Con una faccia tosta che però faceva trapelare evidenti segni di imbarazzo, mi è stato risposto che non ci sarebbero stati problemi, ma poiché ormai non mi fido di nessuno, ho fatto fare una verifica, e come sospettavo, il programma non funzionava. Il piazzista ha allora ammesso che il suo bellissimo programma funzionava solo con i diritti amministrativi, che era un po’ vecchiotto (ma ha ricordato che nella nuova versione cambierà il colore dello sfondo), che lui era lì solo per fare un favore e che, udite, udite:

Basta far sì che l’utente sia solo amministratore della macchina, attenzione, non del dominio e quindi di tutta la rete, ma solo della macchina.

Alla visione della mia faccia a dir poco perplessa, il piazzista ribadiva il concetto appena espresso e alla mia affermazione che questo violava le più elementari norme di gestione di una rete informatica, mi faceva capire quanto fossi ingenuo e mi racconta come in reti di enti molto grossi abbia fatto inserire tutti gli utenti come amministratori locali. Tralasciando di fare i miei complimenti ai presunti sistemisti che hanno permesso una cosa simile, gli ho semplicemente detto che secondo me sarebbe stato meglio trovare un altro metodo. Ma ovviamente ero io dalla parte del torto anche per il fatto che nonostante abbia tentato, nel pochissimo tempo che avevo a disposizione, di usare certi banali trucchetti come dare i diritti in scrittura sulla cartella del programma e cose simili, non riuscivo a far funzionare lo splendido prodotto – evidentemente progettato per sistemi Windows 9.x – su un pc con Windows XP Professional SP2.

Perché dopo anni che esistono i profili utente e i livelli di protezione preoccuparsi di tali banalità? Lasciamo tutti amministratori, facciamo installare e scaricare tutto, lasciamo che sorga il caos più completo e forse, come dal caos è nato l’universo, così nel caos scompariranno le figure oneste e professionali per lasciare il posto solo ai dilettanti furbetti.

Se si cambia il Domain Controller bisogna modificare le voci presenti in:

• System Manager
• Recipients
• Recipients Update Services

SMTP (Simple Mail Transfer Protocol) è lo standard internet per il trasporto e il recapito di messaggi elettronici. SMTP si basa sulle specifiche contenute nelle RFC 2821 e 2822. Poiché SMTP è spesso obbiettivo di attacchi e poiché per sua natura non è sufficientemente sicuro, di solito è necessario proteggerlo non solo limitandone le impostazioni sul server di posta, ma anche utilizzando DMZ, firewall, SMTP gateway, ecc..

Anche se sembrerebbe scontato, molti non tengono conto che lavorare in uno scenario con un unico server espone ad una maggiore vulnerabilità.

Anche se non amo molto Exchange, in questo primo articolo parlerò prevalentemente di esso, tenendo conto che le regole descritte valgono per tutti i tipi di mail server.

Se si prevede di utilizzare un unico server Exchange, è necessario posizionarlo nella Lan in quanto non bisogna mai posizionarlo direttamente nella DMZ altrimenti lo si esporrà al contatto diretto con internet con i conseguenti problemi descritti di seguito:

- Il server contiene le caselle di posta e nel caso di Exchange le cartelle pubbliche della società che devono essere protette nel miglior modo possibile.

- Nel caso di Exchange, il server deve comunicare con il Dominio Active Directory sia per permettere di autenticare gli utenti sia per altre operazioni, quindi potrebbe essere necessario aprire diverse porte sul firewall esterno per consentire l’accesso ai Domain Controller presenti all’interno della Lan.

Con un unico server Exchange, sarebbe necessario posizionare un ISA Server nella DMZ in modo da pubblicare OWA e tutti gli altri protocolli necessari direttamente sul server ISA stesso, ma ISA è costoso e non tutti se lo possono permettere e quindi poiché è fondamentale limitare il numero di porte esposte sul server Exchange interno, è necessario configurare un SMTP gateway nella DMZ. In questo caso si può utilizzare un server Windows 2000/2003 che ha un supporto SMTP nativo oppure un server di posta Unix, Linux o FreeBSD. In questo modo sarà sufficiente aprire verso internet solo la porta 443 (SSL) o la porta 80 (HTTP), ma è altamente consigliabile usare SSL. Questa configurazione è praticamente obbligatoria quando si utilizza OWA.

Prossimamente parlerò di uno scenario Front-end e Back-end (FE/BE) che offre numerosi vantaggi, ma che, anche per una questione di costi, potrebbe risultare eccessivo e dispendioso per piccole organizzazioni e quindi è particolarmente adatto a società di grosse dimensioni.

La distribuzione di Exchange 2003 con una topologia Front-end e Back-end (FE/BE), con un server FE che accetta le richieste e le indirizza ai server BE che hanno il compito di elaborarle, migliora la protezione, offre uno spazio dei nomi unico, offre un’elaborazione senza sovraccarichi e una migliore scalabilità. Come regola generale, per ogni server FE ci dovrebbero essere quattro server BE. E’ inoltre consigliato l’utilizzo di un firewall avanzato.