HEAD NERDS – Martedì patch di marzo 2021: Microsoft affronta Exchange Zero-Day e altro ancora

Questa patch di martedì è come le ultime: meno di 100 vulnerabilità corrette, con alcune vulnerabilità ad alta gravità e un mix di vulnerabilità del sistema operativo e di altre applicazioni. Ciò che colpisce davvero questo mese è un gruppo di quattro vulnerabilità rilasciate da Microsoft la settimana prima che sembrano essere parte di un attacco a catena contro i server Exchange. Se non lo hai già fatto, assicurati di applicare la patch ai tuoi server Exchange poiché è una priorità immediata.

In tutto, Microsoft ha risolto 82 vulnerabilità (più le quattro del 2 marzo). Dieci di loro sono contrassegnati come critici , mentre il resto è elencato come importante . Esaminiamo alcuni dettagli dell’attacco a Exchange, quindi esamineremo le patch critiche e alcune altre che meritano la tua attenzione questo mese.

Exchange Zero Day

Il 2 marzo Microsoft ha divulgato e rilasciato correzioni per quattro vulnerabilità: CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065 .

Queste vulnerabilità sono state osservate in un attacco concatenato eseguito da Hafnium, un gruppo APT attribuito alla Cina, per installare shell web ed eseguire codice su un server Exchange con la porta 443 aperta e disponibile. Il giorno dopo, il CISA ha emesso una direttiva di emergenza per tutte le organizzazioni per distribuire le patch e cercare eventuali indicatori di compromissione. In questo momento, Microsoft ha pubblicato linee guida e script da utilizzare per verificare se sei stato compromesso. Il nostro Lewis Pope, responsabile tecnico senior del marketing del prodotto, ha creato alcuni oggetti di gestione dell’automazione che puoi utilizzare per cercare le prove iniziali che la prima vulnerabilità (CVE-2021-26855) è stata sfruttata. Puoi trovare l’oggetto:

Se vuoi saperne di più leggi il suo articolo (clicca qui). Se scopri di essere stato colpito (dopo aver applicato le patch, ovviamente), l’FBI ti ha chiesto di contattarli per assistere nelle indagini. Questo tipo di cooperazione può aiutare a migliorare gli sforzi e le protezioni per la sicurezza informatica in futuro.

Sistemi operativi

Tornando alla patch di martedì, ecco le patch del sistema operativo elencate come critiche .

  • CVE-2021-26897 è una vulnerabilità legata all’esecuzione di codice in modalità remota nel server DNS di Windows che Microsoft elenca come sfruttamento più probabile . Si tratta di un attacco a bassa complessità che non richiede interazione da parte dell’utente. Questa vulnerabilità interessa Server 2008 fino alle versioni correnti di Windows Server in cui è abilitato il ruolo del server DNS. Questa vulnerabilità ha un punteggio CVSS di 9,8. Secondo Microsoft, abilitare gli aggiornamenti di Secure Zone può mitigare il rischio, ma solo l’applicazione della patch può prevenire completamente lo sfruttamento.
  • CVE-2021-26867 è intitolato Vulnerabilità di esecuzione di codice in modalità remota Windows Hyper-V. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità sul client Hyper-V ed eseguire codice sul server Hyper-V senza alcuna interazione da parte dell’utente. Sebbene questo abbia un punteggio CVSS elevato di 9,9, Microsoft lo ha elencato come Exploitation Less Likely . Dovresti notare che Microsoft afferma che Hyper-V è vulnerabile solo se utilizza il file system Plan 9.
  • Le prossime patch critiche sono un trio di correzioni per una vulnerabilità legata all’esecuzione di codice remoto delle estensioni video HEVC. CVE-2021-27061 , CVE-2021-24089 e CVE-2021-26902 hanno la stessa descrizione e dettagli. Si trovano nelle estensioni video HEVC utilizzate dalle app di Windows Store. Microsoft li elenca come Sfruttamento meno probabile e va notato che le app di Windows Store si aggiornano automaticamente.
  • L’ultima vulnerabilità critica del sistema operativo è CVE-2021-26876 , una vulnerabilità legata all’esecuzione di codice in modalità remota di analisi dei caratteri OpenType. Questa vulnerabilità CVSS 8.8 richiede l’interazione dell’utente, come la visita di un sito Web dannoso o l’apertura di un documento dannoso e garantirebbe all’aggressore il pieno controllo sul sistema di destinazione. Questa vulnerabilità interessa tutte le versioni supportate di Windows 10, incluso Server.

Browser

L’unica correzione critica nella categoria dei browser è una vulnerabilità legata al danneggiamento della memoria di Internet Explorer , CVE-2021-26411 . Microsoft lo elenca come Exploitation Detected e ha un punteggio CVSS di 8,8. Interessa Internet Explorer 9, Internet Explorer 11 e la versione Edge-HTML di Microsoft Edge.

Il 4 marzo, Microsoft ha pubblicato un elenco di 33 numeri CVE che sono stati corretti nella versione più recente del loro Microsoft Edge basato su Chromium. Sono stati corretti nel ramo principale di Chromium e verranno aggiornati automaticamente: assicurati semplicemente di eseguire almeno la versione 89.0.774.45 di Edge.

Altre applicazioni

CVE-2021-21300 è una vulnerabilità legata all’esecuzione di codice in modalità remota in Git per Visual Studio. È un attacco a bassa complessità con un CVSS di 8.8 e colpisce gli strumenti di sviluppo su tutte le versioni supportate di Windows 10 e Server.

Microsoft ha anche rilasciato correzioni per due vulnerabilità in Azure Sphere per dispositivi IoT. Qualsiasi dispositivo che esegue i servizi Azure Sphere verrà aggiornato automaticamente, quindi non è richiesta alcuna azione.

Importante ma necessita di attenzione

Ci sono altre due vulnerabilità questo mese con attributi che meritano attenzione, anche se non sono elencate come critiche.

Innanzitutto abbiamo CVE-2021-26863 , che è una vulnerabilità legata all’elevazione dei privilegi di Windows Win32k. Sebbene non sia richiesta l’interazione dell’utente, dovresti sapere che l’esecuzione di questa vulnerabilità richiede l’accesso al sistema, il che significa che un cattivo attore dovrebbe utilizzare un altro metodo per ottenere un punto d’appoggio (come un attacco a catena). Questa vulnerabilità interessa tutte le versioni supportate di Windows 10 fino alle attuali, inclusi Server e Core. Microsoft lo elenca come Sfruttamento più probabile .

Infine, abbiamo una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft SharePoint Server , CVE-2021-27076 . Questa vulnerabilità consentirebbe a un utente malintenzionato di creare un sito su SharePoint ed eseguire codice arbitrario. Sebbene questo sia anche elencato come Sfruttamento più probabile , richiede che l’autore dell’attacco abbia accesso alle credenziali che gli consentirebbero di creare un sito sul server.

Conclusioni

Non lo sottolineerò mai abbastanza: se esegui Exchange in locale, l’applicazione di patch a questi sistemi dovrebbe essere la tua priorità assoluta oggi. Una volta fatto, esegui gli script di rilevamento per vedere se i tuoi server o quelli dei tuoi clienti sono stati interessati. In caso contrario, continua con il resto delle priorità. Se rilevi indicatori di compromissione, contatta l’FBI e considera la possibilità di coinvolgere specialisti della sicurezza per esaminare i tuoi ambienti per altri indicatori della presenza di cattivi attori.

Per il resto delle patch, ti consiglio di iniziare concentrandoti sui tuoi server DNS e su eventuali server Hyper-V. Quindi rivolgi la tua attenzione alle workstation per affrontare l’elevazione dei privilegi di vulnerabilità e le vulnerabilità del browser.

Come sempre, stai al sicuro là fuori!

 

FONTE: Solarwinds MSP BLOG BY Gill Langston – Capo nerd della sicurezza per SolarWinds MSP. Puoi seguire Gill su Twitter all’indirizzo  @cybersec_nerd

TRADUZINE ED ADATTAMENTO: N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

AUTOMAZIONE E SUPPORTO IT – Exchange, Hafnium e tu. Come rispondere

Come probabilmente ormai tutti avranno sentito, Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza il 2 marzo 2021 per Microsoft Exchange. Questi aggiornamenti hanno risolto quattro vulnerabilità zero-day che venivano sfruttate come parte di una campagna di attacco che è stata attribuita ad Hafnium , un attore di Advanced Persistent Threat (APT) sostenuto da uno stato nazionale.

Cos’è successo

Sfruttando le vulnerabilità di seguito, gli attori delle minacce sono in grado di eseguire un attacco denominato ProxyLogon che consente la pre-autenticazione dell’esecuzione di codice in modalità remota (RCE)  su qualsiasi Exchange Server 2013, 2016 o 2019, e tutto ciò che serve è che la porta 443 sia aperta:

  • CVE-2021-26855 : falsificazione di richieste lato server (SSRF) che consentiva l’autenticazione di richieste HTTP arbitrarie
  • CVE-2021-26857 – vulnerabilità di deserializzazione non sicura che consente agli aggressori di eseguire codice come SYSTEM
  • CVE-2021-26858 – scrittura arbitraria di file post-autenticazione, consente agli aggressori di scrivere file in qualsiasi percorso sul server
  • CVE-2021-27065 : scrittura arbitraria di file dopo l’autenticazione, consente agli aggressori di scrivere file su qualsiasi percorso una volta autenticati, sfruttando CVE-2021-26855 o credenziali di amministratore valide

Ciò che si ottiene è la capacità di un utente malintenzionato non solo di esfiltrare dati, come le e-mail, ma anche di impostare la persistenza nell’ambiente e iniziare a fare movimenti laterali per compromettere ulteriormente l’ambiente.

Come puoi rispondere

La maggior parte degli incidenti di sicurezza richiede di rispondere con una serie di azioni comuni. Questo in genere si riduce a (in termini più semplici) identificazione, riparazione, mitigazione e ripresa delle normali attività. Può esserci un numero qualsiasi di suddivisioni o una ricategorizzazione di queste azioni, ma queste sono le basi. La prima parte di questa risposta globale agli incidenti è già stata fatta per te. La minaccia è stata individuata, ora è il momento di agire.

Patch

Questa è una di quelle rare situazioni “all-hands-on deck”. Indipendentemente da come lo raggiungi, il tuo primo passo dovrebbe essere l’applicazione degli aggiornamenti di sicurezza di Microsoft per affrontare queste vulnerabilità poiché è il passaggio più semplice e ti aiuta a evitare di essere compromesso da queste vulnerabilità se non sei già stato attaccato. Se, per qualsiasi motivo, gli aggiornamenti non possono essere applicati ai sistemi esposti, sono disponibili mitigazioni alternative da Microsoft.

Fortunatamente per i nostri partner che utilizzano SolarWinds MM o N-central ® e hanno la gestione delle patch abilitata, dovrebbe essere facile  approvare, implementare e verificare che gli aggiornamenti siano installati. Se è necessario applicare manualmente le patch per qualsiasi motivo, occorre seguire le indicazioni di Microsoft.

Le patch vengono applicate, cosa succederà?

L’applicazione degli aggiornamenti da sola non è sufficiente, questo è solo un passaggio di mitigazione che aiuta a proteggere un sistema dagli attacchi tramite queste vulnerabilità. È ancora necessario determinare se un sistema è stato compromesso da questo attacco. Per questo, dovrai sapere quali sono gli indicatori di compromesso (IoC) per questo attacco. Il Microsoft Intelligence Center (MSTIC) li ha forniti qui se desideri cercare manualmente gli IoC o automatizzare la tua soluzione.

Per risparmiarti qualche problema, abbiamo preparato un controllo 24×7 per RMM e un monitor di servizio per N-central che possono essere utilizzati per verificare uno degli indicatori primari relativi alla compromissione iniziale di un sistema utilizzando la vulnerabilità CVE-2021-26855. Sebbene ciò possa aiutarti a far ripartire i tuoi sforzi, dovrai comunque eseguire un’ulteriore valutazione dei tuoi server Exchange per verificare che non siano stati compromessi.

Puoi scaricare gli script qui:

CVE-2021-26855 IOC per N-Central

CVE-2021-26855 IOC per RMM

Microsoft ha anche aggiornato il suo Microsoft Security Scanner (MSERT) con nuove firme per identificare le web shell associate a ProxyLogon. Dato quanto è semplice da usare, sarebbe una buona idea eseguirlo anche su tutti i sistemi sospetti.

Sono stati trovati indicatori di compromesso. E adesso cosa occorre fare?

Poiché questo attacco consente agli attori della minaccia di ottenere un punto d’appoggio persistente in un ambiente, un presupposto sicuro su cui operare è che gli aggressori lo abbiano fatto se si trovano IoC.

Isolare l’Exchange Server interessato e seguire le indicazioni fornite da Microsoft qui . 

Potrebbe essere necessario e una buona idea coinvolgere un team esterno di risposta agli incidenti per assistere a questo punto, poiché lo sfratto di un attaccante che ha già accesso può rivelarsi difficile per coloro che non hanno le competenze necessarie per trattare con i gruppi APT.

 

FONTE: SolarWinds MSP BLOG – BY Lewis Pope – Head RMM Nerd per SolarWinds MSP. 

TRADUZIONE E ADATTAMENTO: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

HEAD NERDS – Perché gli SLA e gli SLO sono importanti per l’efficienza

Il concetto di accordi sul livello di servizio (SLA) non è nuovo. Sono stati utilizzati per la prima volta in ambienti mission-critical e come incentivi per i fornitori di servizi per fornire servizi tempestivi (a rischio di penalizzazione finanziaria se non sono stati completati in tempo). Ora si sono diffusi in diversi altri settori dei servizi in cui lunghi tempi di risposta possono creare tempi di inattività che potrebbero influire sulla produzione.

Gli SLA sono anche usati come differenziatori competitivi: un fornitore di servizi gestiti (MSP) che ha uno SLA nel proprio contratto ha maggiori probabilità di vincere un contratto rispetto a un concorrente che non lo fa. Ciò è particolarmente vero per i clienti più grandi e maturi.

Avere o non avere uno SLA

Quando si aggiunge uno SLA al contratto di servizi gestiti, è necessario fornire livelli di servizio specifici o rischiare una sanzione finanziaria. Come ho accennato in precedenza, gli SLA possono essere un vantaggio competitivo, ma dovresti dedicare molta attenzione e dati alla loro creazione. Per motivi di efficienza, non è necessario che siano SLA, possono semplicemente essere obiettivi a livello di servizio (SLO). Potresti anche avere una combinazione o implementare gli SLO e convertirli successivamente in SLA. Gli SLO sono interni piuttosto che esterni e non comportano una sanzione finanziaria diretta per la tua attività. Personalmente consiglio di creare SLO e testarli per diversi mesi per essere sicuro dei livelli che puoi mantenere prima di convertirli in SLA. 

Perché gli SLA e gli SLO sono importanti per l’efficienza?

Il motivo principale per elencare gli SLA e gli SLO come importanti per l’efficienza è che consentono di creare un processo formale e definito attorno alle misurazioni chiave delle prestazioni. Rendono chiare le aspettative per il tuo team e per i tuoi clienti. Inoltre, molti sistemi PSA e di ticketing dispongono di funzionalità integrate per la gestione degli SLA, incluso un processo di escalation per notificare alla direzione eventuali violazioni degli SLA. Anche se non stai utilizzando un PSA o un sistema di ticketing per gli SLA con i tuoi clienti, puoi utilizzarli per tenere traccia dell’efficienza del tuo team e assicurarti che il tuo team risolva i problemi in tempo. Ciò consente ai gestori e ai proprietari di gestire per eccezione piuttosto che cercare i biglietti scaduti.

Indipendentemente dal fatto che utilizzi SLA o SLO, entrambi aiutano a definire le aspettative con il tuo team e l’utente finale. Se disponi di uno SLA per la prima risposta e gli aggiornamenti successivi, probabilmente avrai meno telefonate durante il giorno per gli aggiornamenti di stato. Se dici che risponderai a tutti i ticket entro 30 minuti durante l’orario di lavoro e fornirai aggiornamenti alla fine di ogni giornata lavorativa, gli utenti finali saranno meno propensi a prendere il telefono o inviare un’e-mail per chiedere un aggiornamento. Per il tuo team, stabilire aspettative su quando le cose dovrebbero essere fatte rimuove ogni ambiguità su quando un determinato compito deve essere fatto. È anche qualcosa che puoi cercare di migliorare nel tempo. Questi miglioramenti verranno solo dal miglioramento dei processi e dell’automazione che ti consente di svolgere lo stesso lavoro più velocemente.

Cosa non fare con gli SLA

Con gli SLA, è importante non promettere troppo, e in particolare non fare promesse su cose che non puoi controllare. Definisci chiaramente le aspettative definendo metriche e sanzioni. Affrontare le responsabilità. Chiarire eventuali obblighi del cliente o di terze parti che potrebbero influire sullo SLA. E assicurati di coinvolgere un avvocato per esaminare i tuoi SLA. 

Gli SLA possono essere utili per te e per i tuoi clienti. Raramente vengono richiesti tranne che da clienti grandi. Ma quando lo chiedono, gli SLA possono essere essenziali per vincere il contratto. Se non hai bisogno di SLA, utilizza invece SLO ma utilizza le stesse funzionalità del tuo strumento PSA per monitorare, generare rapporti e intensificare queste importanti metriche delle prestazioni.

FONTE: SolarWinds MSP BLOG – di Eric Anthony*

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

* Eric Anthony è il capo delle operazioni nerd di  SolarWinds MSP . Prima di entrare in SolarWinds, Eric ha gestito la propria attività di provider di servizi gestiti per oltre sei anni.

Read More

HEAD NERDS – Il costo reale del servizio sul campo

Una domanda comune che vedo nei forum dei social media è come i diversi fornitori di servizi gestiscono i servizi in loco. Le domande sulle spese di viaggio , sui minimi e sulla percentuale di lavoro remoto rispetto a quello in loco sono comuni. La cosa più interessante per me dal punto di vista dell’efficienza è la percentuale di lavoro in loco rispetto a quello remoto. In questo articolo, analizzerò tre costi che i fornitori di servizi spesso trascurano quando cercano di determinare quanto siano davvero costosi i mezzi

Costo del mezzo aziendale

Quando si pensa al costo di un mezzo, è necessario aggiungere i costi di assicurazione, manutenzione e carburante al prezzo di acquisto / leasing. Se svolgi molto lavoro in loco, probabilmente ha senso acquistare un veicolo. Ma penso che la maggior parte di noi possa essere d’accordo che stiamo effettivamente cercando di ridurre il numero di viaggi dei mezzi. Pertanto, il nostro obiettivo dal punto di vista della produttività è quello di mantenere il mezzo inattivo il più possibile.

Se sei un proprietario, potrebbe avere senso per l’azienda acquistare un veicolo disponibile anche fuori orario. Lo svantaggio di questo è che non scala. Ad un certo punto potresti crescere fino a che il tuo lavoro in loco è una percentuale bassa del tuo servizio complessivo, ma hai abbastanza lavoro in loco per utilizzare in modo efficiente un veicolo aziendale. Questo è l’obiettivo al quale vogliamo arrivare quando si tratta di un corretto utilizzo dei veicoli aziendali e dell’assistenza in loco.

Le chiamate sul posto comportano intrinsecamente ritardi

Questo può essere un costo meno tangibile, ma il calo del sentimento dei clienti ha grandi costi finanziari. I clienti iniziano a perdere tempo a causa dei tempi di risposta lenti e del tempo prolungato per le metriche di risoluzione. Perdere clienti perché i tuoi tecnici sono impegnati a guidare da un posto all’altro non è necessario. Assicurati di fare tutto il possibile per risolvere un problema da remoto prima di trasformare un ticket in un potenziale problema.

Il tempo di guida è uguale al tempo di inattività

Infine, i tempi di inattività dei tecnici non causano solo ritardi che possono contrariare i clienti. Finanziariamente, ogni minuto che i tuoi tecnici trascorrono alla guida è un minuto che non guadagnano lavorando per un altro cliente. Questo è molto importante per i fornitori di servizi completamente gestiti (MSP). Quando si passa dagli altri modelli di fornitura di servizi a quelli completamente gestiti, uno dei principali cambiamenti nella mentalità è quello dei dollari per tecnologia a quello degli utenti finali per tecnologia.

Nei modelli non completamente gestiti, è possibile recuperare le entrate perse a causa della mancanza di efficienza addebitando costi di viaggio, tariffe orarie o minimi perché la misura che conta sono i dollari per tecnico.

D’altra parte, i modelli completamente gestiti utilizzano una metrica diversa poiché il tempo di un tecnico non è legato a una tariffa oraria di fatturazione. La nuova metrica si basa sul numero di problemi del cliente che un tecnico può risolvere in un determinato periodo di tempo. Maggiore è il numero di problemi degli utenti finali che un tecnico può gestire all’ora, più utenti finali (e quindi clienti) l’MSP può supportare per tecnico. Se il tempo di inattività in un mezzo riduce il numero di problemi degli utenti finali che il tecnico può gestire, riduce le entrate complessive perché l’MSP non può gestire il maggior numero di utenti finali.

Spero che questo ti dia un’idea di alcuni dei costi meno ovvi per svolgere il servizio di campo. Non si tratta sempre di costi visibili: si tratta più di tassi di utilizzo, soprattutto in un modello completamente gestito. Cerca modi per assicurarti di ottenere il massimo dalle tue risorse e mantenere i clienti soddisfatti fornendo un ottimo servizio, che non sempre include l’andare in loco.

FONTE: SolarWinds MSP BLOG – di Eric Anthony*

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

*Eric Anthony è il capo nerd delle operazioni presso  SolarWinds MSP . Prima di entrare in SolarWinds, Eric ha gestito la propria attività di provider di servizi gestiti per oltre sei anni.

Puoi seguire Eric su Twitter  @operations_nerd

 

Read More

HEAD NERDS – In qualità di MSP, come addebitate il viaggio?

Assicurarsi di coprire i costi di gestione degli affari è di fondamentale importanza. Ci sono molti costi che rimangono coerenti da cliente a cliente, ma uno che non lo è è il viaggio.

I costi di viaggio possono essere notevoli e incoerenti. I tuoi dipendenti sono i tuoi beni più preziosi, ma possono anche essere la tua spesa più costosa se non utilizzati in modo efficiente. Non è raro che i tecnici trascorrano fino a metà della loro giornata alla guida. Ciò significa che se tutto il loro tempo non è coperto dalla tua fatturazione, hai un problema serio. Fortunatamente, il tempo di viaggio viene facilmente attribuito a un cliente specifico e quindi può essere fatturato con precisione a quel cliente.

È importante che gli MSP trovino un metodo per catturare questi costi con cui sono a loro agio e che non pregiudichi il loro profitto. Tuttavia, tale decisione non è sempre semplice. Ecco alcuni dei fattori che devi considerare quando prendi questa decisione:

  1. Ogni cliente è a una distanza diversa
  2. Non parti sempre dallo stesso punto
  3. Il tempo dei dipendenti è costoso
  4. Monitorare il viaggio è un lavoro significativo
  5. Rimborso ai dipendenti per l’utilizzo dei loro veicoli personali

Il primo problema da considerare è che i clienti sono tutti a distanze diverse dal tuo ufficio, quindi creare una tariffa globale è difficile e sembra ingiusto nei confronti dei clienti più vicini. Ciò è ulteriormente complicato dal fatto che i tecnici non sempre iniziano il loro viaggio dal tuo ufficio. In effetti, la maggior parte delle volte, i tecnici viaggeranno da un cliente all’altro. Questo ti lascia con due opzioni principali:

  • Una tariffa di viaggio uguale per tutti
  • Fatturazione in base al tempo effettivo o al chilometraggio

Costo del viaggio standard

Una tariffa di viaggio standard è più facile da gestire su base giornaliera, ma può essere altamente imprecisa. Se è impostato troppo basso, puoi perdere i tuoi obiettivi di profitto; se è impostato troppo alto, puoi turbare i clienti. Se decidi di procedere in questo modo, dovresti disegnare un cerchio di X miglia intorno al tuo ufficio e assicurarti che i clienti al di fuori di quel raggio capiscano che pagheranno un extra.

Tempo di tracciamento / chilometraggio

La fatturazione basata sul tempo di viaggio o sul chilometraggio è il metodo più accurato. Se scegli di procedere in questo modo, preferisco far pagare il tempo, perché il traffico può essere un fattore importante e la tua spesa maggiore è il tempo del tuo dipendente. Monitorare il tempo di viaggio non è così difficile come una volta. Con l’avvento degli smartphone, la maggior parte delle app PSA ha il monitoraggio del tempo che può essere utilizzato per catturare facilmente i viaggi.

Tuttavia, questo dipende dai tuoi tecnici che monitorano attivamente il loro tempo, quindi perdi un po ‘di controllo / precisione. In una nota a margine, è qui che il tuo amministratore che gestisce la fatturazione vale il suo stipendio. Dovrebbero controllare tutte le tue fatture per assicurarsi che tutte le visite in loco includano le spese di viaggio o le spese appropriate per il tempo di viaggio.

Rimborso dei dipendenti

Se stai rimborsando i dipendenti per l’utilizzo dei propri veicoli, devono comunque tenere traccia del loro chilometraggio, quindi questo è l’unico caso in cui prenderei in considerazione la fatturazione al cliente in base al chilometraggio. Questo è semplicemente perché il dipendente è incentivato a monitorare il proprio chilometraggio e quindi dovrebbe essere accurato. Personalmente, sconsiglio di consentire ai dipendenti di utilizzare i propri veicoli privati ​​a causa di problemi di responsabilità. Ho amici imprenditori che hanno avuto grossi problemi a causa di incidenti, in cui l’attività non era adeguatamente assicurata per i dipendenti che utilizzavano i propri veicoli per lavoro.

Altre opzioni

Ci sono altre due opzioni che sono facili da capire per il cliente e quindi potrebbero essere più facili per te.

Tempo minimo

Questo è quello che ho usato quando ho eseguito il mio MSP. A ogni cliente entro 10 miglia dal mio ufficio è stato fatturato un minimo di un’ora. Questo ha avuto tre vantaggi chiave: è stato facile per il cliente capire, si sente come se stesse ottenendo il massimo valore anche se la tecnologia è in loco solo per 30 minuti, ed è stato facile per me fatturare e incoraggiare più lavoro da remoto, quindi meno attività on-site. Ai clienti al di fuori del raggio veniva fatturato il tempo di viaggio.

Aumenta le tariffe per coprire i viaggi

L’altra opzione è semplicemente aumentare le tariffe per coprire i viaggi. Fondamentalmente si tratta di prendere una tariffa di viaggio e di inserirla nella tariffa oraria. Presenta alcuni dei vantaggi del metodo precedente, ma uno dei principali svantaggi; potrebbe gonfiare i tuoi prezzi al di sopra della concorrenza. Non dovresti mai essere il prezzo più basso nel tuo mercato, ma non puoi nemmeno valutare te stesso troppo al di sopra.

Conclusione

Il metodo che utilizzi dipende in ultima analisi da ciò che funziona meglio per la tua azienda e per i tuoi clienti. Il mio consiglio sarebbe di assicurarti che sia facile da fare. Soprattutto, assicurati che non solo copra i tuoi costi, ma soddisfi anche i tuoi obiettivi di margine di profitto. Se sei in pareggio solo nel tempo di viaggio dei tuoi dipendenti, non ti fanno guadagnare.

 

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Eric Anthony è il capo nerd delle operazioni presso  SolarWinds MSP . Prima di entrare in SolarWinds, Eric ha gestito la propria attività di provider di servizi gestiti per oltre sei anni.

Puoi seguire Eric su Twitter  @operations_nerd

 

 

Read More

BACKUP E RISPRISTINO DI EMERGENZA – Monitoraggio del backup: parte sesta: protezione dei dispositivi di backup

In post precedenti, così come durante le mie ore di ufficio mensili e le sessioni di boot camp trimestrali, ho toccato una serie di argomenti sulla sicurezza in relazione a SolarWinds ® Backup. Questo sembra sempre attirare molte domande, quindi ho ritenuto opportuno espandere un po ‘di più questi argomenti in un post sul blog dedicato e fornire alcune indicazioni e risorse aggiuntive per coloro che desiderano maggiori informazioni.

Controllo dell’accesso alla piattaforma

Un metodo per proteggere i backup consiste nel limitare l’accesso alla piattaforma di backup. Ora, a seconda della piattaforma utilizzata per distribuire e monitorare SolarWinds Backup, avrai diverse opzioni, ma tutte condividono un terreno comune.

  • Il primo passo è utilizzare le funzionalità di sicurezza basate sui ruoli della piattaforma per consentire l’accesso solo a chi ne ha bisogno: in questo modo il numero di persone che possono aggiungere, rimuovere, modificare o eseguire il ripristino dal backup diventa una quantità nota e gestibile . Ricorda, non è necessario concedere a tutti l’accesso a livello di amministratore o super utente per svolgere il proprio lavoro quotidiano e non c’è niente di sbagliato nell’avere un secondo login per accedere alle funzioni critiche.
  • Se non lo hai già fatto, abilita completamente le funzionalità di autenticazione a due fattori ( 2FA ) della piattaforma. Per favore, non aspettare un altro giorno su questo in quanto è uno dei maggiori ostacoli per un individuo che cerca di ottenere un accesso non autorizzato alla tua piattaforma.
  • Ora che ci sei, affrontiamo l’argomento del riutilizzo delle password. È una cattiva idea; lo sai già, quindi per favore smettila. Le tue password per i tuoi account non dovrebbero essere mescolate con le password per i tuoi clienti. Richiedi le tue credenziali laddove possibile in modo che durante un controllo di sicurezza puoi distinguere esattamente chi ha fatto cosa e quando.
  • Infine, investi in un’applicazione di gestione delle password che puoi utilizzare per la tua vita personale e tienila separata dall’applicazione o dall’istanza che utilizzi per gestire le password per i tuoi clienti. Quindi, chiedi ai tuoi clienti di fare la stessa cosa, perché basta una sola password trapelata o compromessa perché i malintenzionati abbiano accesso.

Controllo dell’accesso client

Potresti pensare che l’accesso diretto o remoto al server o alla workstation locale consentirebbe a qualcuno di danneggiare accidentalmente o intenzionalmente il backup e la cronologia di backup, ma non deve essere così. SolarWinds ha adottato diversi passaggi per controllare o impedire l’accesso non autorizzato al client di backup locale. Una delle prime cose che un virus o un ransomware proverà a fare è rimuovere o danneggiare la tua capacità di recupero dall’infezione. Lo fanno in molti modi, eliminando istantanee, corrompendo o crittografando i file di backup, disinstallando applicazioni, ecc. prima che danneggino o crittografino i tuoi dati e volumi.

Poiché SolarWinds Backup è una soluzione di backup “cloud-first”, il danno ai dati sul sistema locale ha un impatto minimo o nullo sui backup già completati che vengono archiviati in modo sicuro nei nostri data center regionali. ovvero “SolarWinds Cloud”.

L’atto di disinstallare il software di backup non comporta la rimozione di nessuno dei backup cloud storici e nemmeno una pulizia forzata dei backup in conservazione non può essere ottenuta senza prima fornire la chiave di crittografia privata o la passphrase del singolo dispositivo .

A parte la disinstallazione del software di backup, che potrebbe essere facilmente reinstallato, il peggio che un cattivo attore potrebbe essere in grado di fare è regolare le selezioni di backup, modificare i filtri di esclusione, rimuovere una pianificazione di backup, regolare un’impostazione o attivare un ripristino. Tutto questo può essere facilmente bloccato impostando una password della GUI locale o bloccato in modo granulare attraverso l’uso di profili di backup .

La sicurezza dei dati

La sicurezza, tuttavia, non riguarda solo l’accesso; riguarda anche il modo in cui i dati sono protetti e dove sono protetti. Quindi, per espandere questo argomento, iniziamo con il fatto che tutti i dati di backup, sia in movimento che a riposo, vengono prima deduplicati, compressi e quindi crittografati sul client locale utilizzando un algoritmo di crittografia AES-256 bit prima di essere inviati al locale disco o sulla porta SSL 443 tramite un tunnel TLS versione 1.2 al SolarWinds Cloud. Il processo viene invertito durante il ripristino, con i dati crittografati recuperati da SolarWinds Cloud tramite una connessione SSL e quindi decrittografati da un dispositivo locale che possiede una chiave di crittografia o una passphrase valida.

Al momento della pubblicazione, SolarWinds gestisce oltre 30 data center in 17 paesi e quattro continenti. Le nostre strutture del data center mantengono numerose certificazioni, come ISO 27001, ISO 9001 e altre certificazioni a seconda della regione scelta. Le certificazioni specifiche per ogni data center sono disponibili nel nostro documento sulla sicurezza del data center , che include anche informazioni sulla scelta delle posizioni di archiviazione e le misure di sicurezza fisica presso i data center.

Conservazione dei dati

La conservazione dei dati è una componente della sicurezza; garantisce la presenza di più punti di ripristino da cui recuperare i dati persi o danneggiati. Tutte le edizioni di SolarWinds Backup utilizzano un modello standard di conservazione del calendario di 28 giorni che può essere espanso, utilizzando regole di archiviazione opzionali per conservare i punti di ripristino mensili o trimestrali. Inoltre, la versione integrata N-central di SolarWinds Backup supporta anche opzioni di conservazione del prodotto di 60 e 90 giorni , mentre la versione standalone di SolarWinds Backup offre modelli di conservazione personalizzati e definiti dall’utente per 12 mesi ed oltre.

Frequenza di backup

Poiché è possibile ripristinare solo i dati protetti, un altro modo per proteggere i dati dei clienti consiste nel ridurre il tempo tra i backup. Ciò può essere ottenuto riducendo il Recovery Point Objective (RPO) ed eseguendo più backup durante il giorno utilizzando la nostra tecnologia Backup Accelerator , che tiene traccia delle modifiche ai file tra i backup. Questo, combinato con i profili di backup che consentono una pianificazione dei backup ad alta frequenza, consente l’esecuzione di più backup giornalieri con un impatto minimo sul sistema di produzione.

Ridondanza

La ridondanza del backup può essere ottenuta utilizzando un LocalSpeedVault (LSV) opzionale . La copia effettuata tramite LSV funge da backup locale e ripristina la cache dei dati protetti e può puntare a quasi tutte le origini del disco locale. Il LSV, se configurato direttamente su un volume collegato direttamente, può essere a rischio di crittografia o eliminazione a livello di volume, proprio come qualsiasi altro volume, quindi si consiglia di utilizzare un NAS centrale che non si trova nel dominio, che utilizza la sicurezza a livello di gruppo di lavoro, e non viene utilizzato per altri scopi, senza condivisioni utente o unità mappate. L’unico accesso al LSV dovrebbe essere l’account utilizzato dal gestore di backup per accedere ai dati.

Sono stati compiuti sforzi speciali per garantire che il client di backup non carichi dati corrotti o danneggiati da un LSV se i dati sono riusciti a essere corrotti o danneggiati prima di poter essere sincronizzati nel cloud. Inoltre, se il LSV rimane offline in uno stato di errore per 14 giorni (impostazione predefinita) con dati non sincronizzati, intraprenderemo un’azione per disabilitare il vault e riparare automaticamente la copia cloud dal dispositivo locale nel miglior modo possibile.

Accesso non autorizzato o cancellazione accidentale

Contatta immediatamente l’assistenza se sospetti che siano stati apportati accessi non autorizzati o modifiche alla tua piattaforma di backup. Ciò include dispositivi mancanti o eliminati, accidentali o dannosi. Il team dovrebbe essere in grado di aiutarti nella revisione di tali modifiche e / o nel tentativo di ripristinare i dispositivi.

Se vuoi leggere le puntate precedenti relative al Monitoraggio del Backup clicca sui titoli:

 

Eric Harless è Head Backup Nerd di SolarWinds MSP. Eric lavora con SolarWinds Backup dal 2013 e vanta oltre 25 anni di esperienza nel settore della protezione dei dati in vendite, supporto, marketing, ingegneria dei sistemi e gestione dei prodotti.

Puoi seguire Eric su Twitter @backup_nerd

FONTE: Solarwinds MSP BLOG

Traduzione: N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

BACKUP & DISASTER RECOVERY – Monitoraggio del backup: parte quinta: ottimizzazione delle selezioni di backup

Nella quarta parte , ho discusso del monitoraggio dell’utilizzo e della regolazione delle selezioni di backup come metodi di controllo potenziale dei costi, fornendo comunque protezione affidabile dei dati. Continuerò quella discussione in questa puntata aiutandoti a trovare dati duplicati.

Esclusione della replica DFS e della deduplicazione dei dati dal backup dello stato del sistema

I dispositivi basati su sistema operativo Windows Server con replica DFS o deduplicazione dati Windows sono configurati per il backup automatico di tali componenti. Queste selezioni potrebbero aumentare significativamente le dimensioni selezionate del backup dello stato del sistema. Se si desidera proteggere questi componenti, le dimensioni aumentate potrebbero andare bene. Ma la loro selezione potrebbe anche essere ridondante se i dati sono già selezionati come parte del backup di file e cartelle su questo o un altro dispositivo di backup protetto. Per identificare rapidamente i dispositivi di backup con selezioni DFS o Dedupe, è possibile cercare manualmente i dispositivi con una dimensione dello stato del sistema selezionata superiore a circa 70 GB o utilizzare il seguente filtro di ricerca avanzata .

 Espressione  Descrizione
 S3> 70.gibi ()  (Dimensione dello stato del sistema selezionata Maggiore di 70 Gigabyte)

 

È possibile deselezionare DFS e Dedupe modificando le selezioni dello stato del sistema nella scheda Backup di Gestione backup locale. I dispositivi di backup con lo stato del sistema impostato tramite un profilo dovranno averlo rimosso o regolato per mantenere le impostazioni locali prima di poter effettuare le esclusioni dello stato del sistema locale.

Filtraggio dei percorsi di rete

Sui dispositivi Mac e Linux, le condivisioni SMB / Samba montate possono essere visualizzate come parte del file system locale. Una volta connessi, queste condivisioni possono aumentare in modo significativo le dimensioni selezionate del backup totale. Per evitare che questi montaggi di rete vengano inclusi nel backup, è possibile deselezionare le rispettive condivisioni o impostare i filtri di esclusione. Consultare la documentazione per la propria specifica distribuzione MacOS o Linux per percorsi di montaggio alternativi o aggiuntivi.

 Sistema operativo  Percorso di esclusione di esempio
 Mac OS  / Volumes / *
 Linux  / Mnt / *

Ignorare LocalSpeedVaults e seed drive

Per impostazione predefinita, Gestione backup locale è abbastanza intelligente da identificare un’unità seed configurata o LocalSpeedVault, indipendentemente dal fatto che sia direttamente collegato o connesso tramite una condivisione di rete. Tuttavia, quando si apportano modifiche alla configurazione, si sposta o si ricollega questa unità seed o LocalSpeedVault su un altro sistema con un gestore di backup attivo, si esegue la possibilità che quel dispositivo veda accidentalmente il volume o la condivisione come dati da proteggere. È possibile impostare un filtro di esclusione locale, di profilo o basato su criteri per impedire il backup accidentale di un’unità seed o LocalSpeedVault.

 Tipo di dati  Percorso di esclusione di esempio
 LocalSpeedVault & Seed Drives  * \ Storage \ cabs \ gen * \ *

Esclusione delle unità USB

I sistemi Windows considerano i dischi fissi dei dischi rigidi USB, il che significa che sono automaticamente inclusi quando si seleziona l’intero file system per il backup. Se si conoscono le lettere di unità che verranno assegnate, è possibile regolare le selezioni in modo da eseguire il backup solo di volumi specifici oppure è possibile impostare esclusioni per limitare le lettere di unità specifiche. Tuttavia, poiché le unità USB sono collegabili, potresti non conoscere la lettera dell’unità. In tal caso, avrai bisogno di un altro approccio per identificarli in modo dinamico ed escluderli dai tuoi backup. Con questo obiettivo in mente, ho progettato uno script PowerShell di esempio che è possibile utilizzare per inventario di un sistema e impostare esclusioni o chiavi di registro per impedire il backup dell’unità.

Prevenire i backup dei backup

Potresti pensare che avere più applicazioni di backup sullo stesso sistema raddoppi il tuo livello di protezione. Ma in molti casi, in realtà ti costa più tempo, denaro e larghezza di banda e può effettivamente ridurre le possibilità di un backup riuscito. Ciò è dovuto a fattori quali pianificazioni sovrapposte, snapshot VSS di conflitto, gestione dei log non corretta e doppia elaborazione dei file di backup. In genere, se si dispone di una soluzione di backup funzionante, si consiglia di disabilitare la seconda. Per lo meno, impostare programmi per evitare sovrapposizioni ed escludere l’altra soluzione dall’elaborazione e dal backup dei file di destinazione del backup. Dovresti esaminare i tuoi dispositivi di backup, cercando applicazioni di backup legacy, dischi di dump, file tar, file nativi Windows, SQL .BAK e .BKF,

Se vuoi leggere le puntate precedenti relative al Monitoraggio del Backup clicca sui titoli:

Eric Harless è Head Nerd di Backup presso MSP SolarWinds. Eric collabora con SolarWinds Backup dal 2013 e ha oltre 25 anni di esperienza nel settore della protezione dei dati nelle vendite, supporto, marketing, ingegneria dei sistemi e gestione dei prodotti.

Puoi seguire Eric su Twitter all’indirizzo @backup_nerd

FONTE: Solarwinds MSP BLOG – BY Eric Harless

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP

 

Read More

BACKUP & DISASTER RECOVERY – Monitoraggio del backup, parte quarta: rilevamento e controllo dell’utilizzo

Oggi nella quarta puntata relativa al monitoraggio del Backup daremo uno sguardo profondo ad uno dei motivi più comuni per monitorare i dispositivi: tenere traccia e controllare l’utilizzo. Di seguito utilizzo il monitoraggio e le regolazioni per la selezione del backup come due metodi per controllare potenzialmente i costi, ridurre i tempi di elaborazione e ridurre le finestre di backup, pur mantenendo la protezione dei dati ai fini della conformità e del ripristino di emergenza.

Se vuoi leggere le puntate precedenti relative al Monitoraggio del Backup clicca sui titoli:

Monitoraggio delle politiche di utilizzo corretto

La politica di utilizzo corretto del backup di SolarWinds ® delinea i limiti tipici di utilizzo corretto per un account. I limiti del fair use per il tuo account potrebbero essere diversi, quindi ti preghiamo di consultare il team del tuo account se hai bisogno di chiarimenti. Indipendentemente da ciò, supponiamo che tu voglia un preavviso che un dispositivo è vicino o ha superato una politica di fair use di dimensioni selezionate. Per visualizzarlo nella console di gestione del backup è possibile creare nuove visualizzazioni della dashboard utilizzando le varianti delle  espressioni dei filtri di ricerca avanzata disponibili di seguito. È inoltre possibile impostare avvisi e-mail periodici impostando visualizzazioni e-mail programmate quotidiane o settimanali da consegnare solo quando i dispositivi soddisfano o superano i criteri definiti. Consiglio sempre di utilizzare come supporto il manuale on line Solarwinds Backup Help

 

Espressione Descrizione
T3> 500.gibi () E OT == 2 La dimensione totale selezionata superiore a 500 GB e il tipo di sistema operativo è uguale al server (vale a dire, i server sulla politica di utilizzo corretto)
T3 <= 500.gibi () E OT == 2 La dimensione totale selezionata è inferiore o uguale a 500 GB e il tipo di sistema operativo è uguale al server (vale a dire, i server in base al criterio del fair use)
T3> 100.gibi () E OT == 1 E OP! = “Documenti” La dimensione selezionata è superiore a 100 GB con un sistema operativo della workstation e un profilo non documentale (ovvero workstation con criteri di utilizzo corretto)
T3 <= 100.gibi () E OT == 1 E OP! = “Documenti” La dimensione selezionata è inferiore a 100 GB con un sistema operativo della workstation e un profilo non documentale (ovvero workstation con criteri di utilizzo corretto)
(T3> 500.gibi () E OT == 2) OPPURE (T3> 100.gibi () E OT == 1 E OP! = “Documenti”)

 

Server o workstation combinati sulla politica di fair use
(T3 <= 100.gibi () E OT == 1 E OP! = “Documenti”) OPPURE (T3 <= 500.gibi () E OT == 2) Server o workstation combinati secondo la politica del fair use

 

Prevenire la doppia selezione

Un altro modo per controllare la dimensione dei dati è deselezionare, filtrare o escludere i dati per assicurarsi di non proteggere gli stessi dati utilizzando più origini dati. Ad esempio, una macchina virtuale Hyper-V da 300 GB o database MS SQL di cui è stato anche eseguito il backup come parte del file system potrebbero influire in modo significativo sulla dimensione totale selezionata, sul costo mensile e sulla durata complessiva della finestra di backup.

Prima di applicare qualsiasi filtro di backup , è molto importante rivedere eventuali esclusioni pianificate che verranno applicate all’origine dati di file e cartelle. Prima di aggiungere esclusioni, assicurarsi che i backup che utilizzano l’origine dati specifica dell’applicazione siano già configurati e proteggano correttamente i dati. In caso contrario, potrebbe non essere possibile eseguire il recupero dei dati in un secondo momento.

 

Dati dell’applicazione Estensioni di file Percorso di esclusione di esempio Percorso di esclusione di esempio
Microsoft HyperV VHD

.avhd

.vhdx

.avhdx

.bidone

.vsv

.xml

.vmrs

.vmcx

* \ Virtual Hard Disks \ * \ *. Vhd

* \ Dischi rigidi virtuali \ * \ *. Avhd

* \ Dischi rigidi virtuali \ * \ *. Vhdx

* \ Dischi rigidi virtuali \ * \ *. Avhdx

* \ Virtual Hard Disks \ *. Vhd

* \ Virtual Hard Disks \ *. Avhd

* \ Virtual Hard Disks \ *. Vhdx

* \ Virtual Hard Disks \ *. Avhdx

* \ Snapshots \ * \ *. Bin

* \ Snapshots \ * \ *. VSV

* \ Snapshot \ *. Xml

* \ snapshots \ *. VMRS

* \ Snapshot \ *. Vmcx

* \ Tipi di risorse \ *. Vmcx

* \ Macchine virtuali \ * \ *. Vhd

* \ Macchine virtuali \ * \ *. Avhd

* \ Macchine virtuali \ * \ *. Vhdx

* \ Macchine virtuali \ * \ *. Avhdx

* \ Macchine virtuali \ *. Vhd

* \ Macchine virtuali \ *. Avhd

* \ Macchine virtuali \ *. Vhdx

* \ Macchine virtuali \ *. Avhdx

* \ Macchine virtuali \ * \ *. Bin

* \ Macchine virtuali \ * \ *. Vsv

* \ Macchine virtuali \ *. Xml

* \ Macchine virtuali \ *. Vmrs

* \ Macchine virtuali \ *. Vmcx

* \ Tipi di risorse \ *. Xml

Microsoft SQL mdf

.ndf

ldf

* \ MSSQL \ DATA \ *. Mdf

* \ MSSQL \ DATA \ *. NDF

* \ MSSQL \ DATA \ *. LDF

* \ MSSQL \ LOG \ *. LDF

 

Microsoft Exchange edb

log

* \ Database delle cassette postali * \ *. Edb

* \ Database delle cassette postali * \ *. Log

* \ Mailbox * \ *. Edb

* \ Mailbox * \ *. Log

 

Ho fornito alcuni esempi di percorsi di file di dati di applicazioni comuni sopra che potresti utilizzare come base per la creazione di filtri di esclusione specifici dei clienti. Tuttavia, prima di applicare questi filtri di backup a un dispositivo a livello locale, tramite:

si prega di confrontare questi contro i dispositivi di backup individuali e regolare i percorsi dei file in base alle esigenze.

È possibile individuare un elenco di file elaborati nel Backup Manager locale o nella Console di gestione e utilizzarlo per fare riferimento ai percorsi dei file attualmente protetti.

Figura 1 – Visualizzazione dei file elaborati per identificare eventuali percorsi di esclusione

Questa è solo la punta dell’iceberg quando si tratta di perfezionare la selezione del backup e le impostazioni di esclusione. Ricontrolla la nostra prossima puntata in cui copriamo le esclusioni delle impostazioni per unità, volumi e condivisioni.

FONTE: Solarwinds MSP BLOG – BY Eric Harless

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP

Eric Harless è Head Nerd di Backup presso MSP SolarWinds. Eric collabora con SolarWinds Backup dal 2013 e ha oltre 25 anni di esperienza nel settore della protezione dei dati nelle vendite, supporto, marketing, ingegneria dei sistemi e gestione dei prodotti.

Read More

AUTOMAZIONE IT – Come decidere quando programmare il patching – Parte 2

Continuando la nostra conversazione dalla prima parte di questa serie , programmare il patching può essere una vera sfida. Per farlo, è necessario gestire un gran numero di dispositivi diversi, destreggiarsi tra disponibilità, rispettare una serie di criteri e bilanciare la protezione dell’ambiente con la soddisfazione dei clienti.

In questo blog, tratteremo i seguenti elementi delle attività del processo di patching e come programmarli:

  • approvazione delle patch (manualmente o automaticamente)
  • installazione di patch
  • riavvio dopo l’applicazione di patch

Approvazione delle patch 

Esistono diversi modi per approvare le patch. Sebbene non sia spesso un processo pianificato, ecco alcuni dei modi più comuni in cui vediamo gli MSP approvare le patch:

  • manualmente ogni giorno / settimana / mese
  • automaticamente
  • automaticamente quando vengono rilevati e il resto è manuale
  • automaticamente con un ritardo (se l’RMM lo consente) e il resto è manuale

Nota: alcuni modi per approvare le patch potrebbero essere o non essere disponibili nella piattaforma RMM, ma l’idea generale è la stessa indipendentemente dalla piattaforma utilizzata.

La maggior parte dei clienti con cui parlo approvare le patch è ingombrante. Nessuno ha il tempo di leggere su ogni patch per determinare se vogliono installarlo o meno. Inoltre, quasi nessuno ha il tempo di testare le patch una per una.

Quindi cosa dovresti fare? È comune approvare manualmente tutte le patch. Se questo funziona per te, fallo almeno una volta alla settimana a causa del crescente numero di patch fuori banda che Microsoft continua a rilasciare. Ti consiglio inoltre di approvare e installare automaticamente gli aggiornamenti delle definizioni per Microsoft Defender (l’antivirus gratuito (AV) incorporato di Microsoft) nel caso in cui il tuo cliente lo utilizzi.

Se si desidera approvare automaticamente alcune patch (con o senza ritardo), le persone in genere approvano automaticamente la sicurezza e le patch critiche. Probabilmente dovrai approvarli a prescindere, quindi potresti anche risparmiare tempo e approvarli automaticamente. È quindi possibile rivedere il resto manualmente.

Infine, alcuni partner approvano automaticamente tutto. Questo può essere aggressivo ma se funziona per te, allora fantastico.

Sia che approvi le patch manualmente o automaticamente, prova ad aderire a questi tre principi:

  • Non lasciare le patch non approvate: approvale, rifiutale o impostale come ignorate per assicurarti di avere un rapporto pulito e una dashboard
  • Fallo spesso: controlla almeno una volta alla settimana: il mercoledì è di solito un buon giorno poiché la maggior parte delle patch esce martedì
  • Scrivi una procedura standard: una procedura standard consente a chiunque nel tuo team di fare l’approvazione / il rifiuto in modo affidabile e coerente poiché il processo rimane lo stesso

Installazione di patch

Questo è un altro che ha alcune idee sbagliate. Molte persone dicono di poter installare patch solo di notte nei fine settimana, ma quando vedi mai un laptop acceso di notte durante un fine settimana? se sei come me, il tuo laptop è in una borsa a casa e si è spento il sabato sera.

Fortunatamente, le installazioni di patch odierne non si comportano come una volta. Ai vecchi tempi, vedevamo che le patch erano dirompenti, causavano l’arresto anomalo dei programmi mentre sostituivano i file bloccati e generalmente causavano danni in altri modi. Di recente, le patch sono diventate molto più stabili, richiedendo quasi sempre un riavvio in seguito, quindi la patch può essere installata senza interruzioni poiché non avrà effetto fino al riavvio.

Per questo motivo, posso consigliare di installare patch sui desktop durante il giorno. Se la soluzione di monitoraggio e gestione remota (RMM) la supporta, è possibile eseguire le patch settimanalmente in un giorno a scelta e impostarle per la patch al successivo riavvio del dispositivo nel caso in cui manchi la finestra. È possibile installare patch ogni giorno alle 11:30 (intorno all’ora di pranzo in modo da ridurre al minimo potenziali interruzioni) e installarlo in seguito se l’utente è in viaggio o offline.

Se non ti senti a tuo agio o devi farlo in un momento specifico, segui il tuo processo e la tua procedura per assicurarti di essere in grado di installare patch in modo efficace ed efficiente.

Dal momento che i server sono sempre aperti, l’applicazione di patch nel fine settimana è in genere la migliore. Se hai server in cluster o in gruppi (come avere due controller di dominio) esegui prima uno. Al termine e riavviato, fai l’altro. Ciò minimizzerà eventuali tempi di fermo.

Riavvio

Il riavvio è complicato in quanto influenzerà l’utente. Negli ultimi anni, Microsoft ha introdotto cose come l’avvio rapido e l’ibernazione, il che significa che gli utenti pensano di aver riavviato i loro computer quando in realtà non lo hanno fatto. Poiché la maggior parte delle patch in questi giorni richiede il riavvio, la patch non avrà effetto fino al completo riavvio del dispositivo. Ciò significa che la vulnerabilità di sicurezza che corregge continuerà a essere una vulnerabilità fino a un giorno o una settimana dopo (ogni volta che il dispositivo si riavvia in seguito). Quindi è importante pianificare correttamente il riavvio delle patch.

Per contrastare questo problema, è possibile pianificare un riavvio forzato una volta alla settimana di notte se i dispositivi sono in genere online. Tuttavia, questo non funziona molto bene nella mia esperienza. Per questo motivo, raccomando un paio di altre opzioni. Innanzitutto, è possibile monitorare quanto tempo è trascorso dall’ultimo riavvio e utilizzare un popup automatico per ricordare all’utente di riavviare. In alternativa, è possibile eseguire un riavvio durante il giorno (al mattino presto, a pranzo o alla fine della giornata lavorativa dell’utente). A seconda delle capacità del tuo RMM, puoi consentire loro di ritardare il riavvio, vedere un avviso popup (o meno) o annullarlo.

Come puoi vedere, il patching non è molto complicato da pianificare, ma i partner possono farlo in vari modi. Spero che questa scomposizione possa aiutarti a pensare a come farlo all’interno della tua attività o come migliorare il tuo processo attuale.

Come sempre, non dimenticare di consultare il Cookbook di automazione su www.solarwindsmsp.com/cookbook se sei interessato ad altre politiche di automazione, controlli degli script e servizi personalizzati.

 

FONTE: Solarwinds MSP BLOG – BY Marc-Andre Tanguay è nerd capo dell’automazione.

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

AUTOMAZIONE IT – Come decidere quando programmare il patching, parte 1

Negli ultimi mesi ho lavorato a distanza con molti partner. Il patching è uno degli argomenti in cui ho sentito che i partner esprimono più interesse negli ultimi tempi. Sembra che la gente voglia migliorare nel patching, cosa per cui sono tutto. Ho molte domande sull’automazione del patching, (leggi i post sulle best practice – PARTE 1 e PARTE 2) quindi ho lavorato alla creazione di un bootcamp di patching. Mentre è in lavorazione, vorrei discutere con voi la pianificazione delle patch.

Una lotta comune che vedo con l’applicazione di patch e la pianificazione riguarda le numerose parti mobili che devono essere programmate in modo logico. A seconda della soluzione di monitoraggio e gestione remota (RMM), potrebbe essere necessario pianificare le seguenti attività:

  • scansione / rilevamento patch
  • pre-download (memorizzazione nella cache)
  • approvazione delle patch (manualmente o automaticamente)
  • installazione di patch
  • riavvio dopo l’applicazione di patch

Tratterò i primi due in questo articolo e gli ultimi tre nel mio prossimo blog.

Indipendentemente dall’RMM che usi (o anche se installi le patch manualmente accedendo a ciascun dispositivo) dovrai eseguire almeno alcune di queste attività.

Scansione / rilevamento patch

Questo è qualcosa che i professionisti IT pianificano in vari modi in base a esigenze e preoccupazioni. Ricordo che l’applicazione di patch su Windows 7 e precedenti era faticosa sui computer. In alcuni casi ha reso il sistema operativo lento e quasi non rispondente. Questa preoccupazione è principalmente un ricordo del passato a causa dei miglioramenti in Windows 8, 10 e Windows Server. Il motore di aggiornamento di Windows è molto più ottimizzato e performante. Ciò significa che è possibile pianificare il rilevamento delle patch quotidianamente (o più spesso se necessario) senza troppi rischi di problemi di prestazioni.

Potresti pensare che le patch settimanali o mensili siano sufficienti e ti chiedi perché dovresti considerare le patch giornaliere o anche due volte al giorno. Ci sono tre ragioni principali per aumentare la frequenza.

  1. Visibilità: è bello sapere cosa è necessario in tempo quasi reale ogni volta che il cliente chiama.
  2. Patch di emergenza: come abbiamo visto nel gennaio 2020 quando alcune patch dovevano essere installate al di fuori del programma normale.
  3. Microsoft AV integrato: rilasciano aggiornamenti molto frequentemente. Se i tuoi clienti utilizzano questa soluzione, dovresti installare gli aggiornamenti non appena vengono pubblicati. Altrimenti, sarebbe come evitare di aggiornare i prodotti AV di terze parti, il che è generalmente una cattiva idea.

Raccomando la scansione due volte al giorno ogni volta che i dispositivi sono online. Questo è necessario per  permettere la scanzione alle persone diverse che lavorano su turni diversi. Se programmi uan scanzione alle 10 del mattino tutti i giorni, ma qualcuno è offline in quel momento dal momento che lavorano nel turno pomeridiano o serale, allora non li intercetterai. Per questo motivo, in genere ti consiglio di rilevare alle 10 e alle 14 su tutti i dispositivi (inclusi server, workstation e laptop).

Patch pre-download

La seconda attività, se supportata dal prodotto RMM, è pre-scaricare o memorizzare nella cache le patch. Ancora una volta, a seconda del prodotto RMM, potresti o meno essere in grado di farlo. È inoltre possibile o meno essere in grado di programmarlo di notte poiché il dispositivo deve in genere essere online per attivare il processo di memorizzazione nella cache. In tal caso, di solito consiglio di programmare la pre-cache quasi all’ora di pranzo per evitare potenziali picchi di traffico di rete verso mezzogiorno. Per workstation e laptop, le 11 di mattina tendono a essere un buon momento. Poiché i server sono in genere online 24 ore su 24, 7 giorni su 7, è possibile pianificarli per un po ‘di notte, ad esempio le 23:00 o l’01: 00 (purché si eviti di impilarlo in cima ad altre attività ad alta intensità di banda come il backup sul cloud e le sincronizzazioni del sito remoto) .

Nel mio prossimo blog tratterò le attività rimanenti, tra cui l’approvazione delle patch, l’installazione delle patch e il riavvio dopo l’applicazione delle patch.

Monitoraggio automatico del malware Vollgar Miner

Vorrei mostrare rapidamente una politica di automazione / servizio di monitoraggio che abbiamo costruito sulla raccomandazione del nostro responsabile della sicurezza, Gill Langston.

Il malware Vollgar Miner è un malware destinato ai server SQL, che può essere presente su alcuni dispositivi dei tuoi clienti a tua insaputa. Abbiamo creato uno script di rilevamento che puoi impostare come servizio personalizzato. Puoi distribuirlo e utilizzarlo su tutti i server SQL dei tuoi clienti e monitorare in caso di infezione.

Ecco il link alla politica di remediation:

https://success.solarwindsmsp.com/kb/solarwinds_n-central/Vollgar-Miner-Detection

Come sempre, non dimenticare di consultare il ricettario di automazione se sei interessato ad altre politiche di automazione, controlli di script e servizi personalizzati.

 

FONTE. Solarwinds MSP BLOG – BY Marc-Andre Tanguay è nerd capo dell’automazione. 

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP

 

Read More