Visualizzazione post con etichetta Network Connectivity Status Indicator. Mostra tutti i post
Visualizzazione post con etichetta Network Connectivity Status Indicator. Mostra tutti i post

martedì 23 giugno 2015

Windows Quick Tip: Network Connectivity Status Indicator

A partire da Windows Vista e Windows Server 2008, Microsoft ha introdotto una nuova funzionalità che avvisa gli utenti in caso di problemi di accesso ad Internet con il messaggio Connettività Limitata. Tale funzione prende il nome di Network Connectivity Status Indicator (NCSI) e fa parte del servizio Network Location Awareness (NLA) che ha il compito di determinare il tipo di rete a cui la workstation è connessa.

Quando viene rilevata una connessione di rete, NCSI esegue le seguenti verifiche:
  • Esegue una query del DNS per il sito www.msftncsi.com
  • Esegue una richiesta HTTP GET per il contenuto del file http://www.msftncsi.com/ncsi.txt. Il file contiene la stringa Microsoft NCSI
  • Esegue una query del DNS per dns.msftncsi.com aspettandosi come risultato l'indirizzo IP 131.107.255.255

Questo processo prende il nome di Active probing. Se le verifiche terminano con successo allora NCSI indica che la workstation dispone di un accesso ad Internet altrimenti appare un messaggio di connettività limitata e un icona triangolare gialla con punto esclamativo sulla connessione di rete.

Per maggiori dettagli sul funzionamento di NCSI possiamo fare riferimento al link: https://technet.microsoft.com/en-us/library/cc766017%28v=WS.10%29.aspx

Come indicato da Microsoft sulla pagina sopra indicata, la comunicazione con il server NCSI non viene criptata inoltre i log di IIS su www.msftncsi.com contengono informazioni relative all'accesso in particolare data, ora e indirizzo IP. Questo può far storcere il naso a più di un esperto di sicurezza.

Disabilitare NCSI tramite registro di sistema
La stessa Microsoft ci indica un modo per impedire a NCSI di collegarsi ad Internet agendo tramite il registro di sistema:
  • Dal registro di sistema (regedit.exe) accedere alla chiave
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
    qui sono contenute le impostazioni di NCSI tra cui sito da contattare (www.msftncsi.com), server DNS (dns.msftncsi.com) con relativo IP (131.107.255.255)
  • Modificare il valore EnableActiveProbing impostandolo a 0
  • Riavviare il sistema operativo
NCSI Registro di sistema
FIG 1 - NCSI Registro di sistema

Disabilitare NCSI tramite group policy
Se intendiamo inibire l'accesso ad Internet da parte di NCSI agendo tramite l policy:
  • Da Start-> Esegui (WIN+R) digitare gpedit.msc
  • Posizionarsi su Configurazione computer->Modelli amministrativi->Sistema->Gestione comunicazioni Internet->Impostazioni di comunicazione Internet
  • Attivare la voce Disattiva test attivi dell'indicatore di stato della connettività di rete Windows

NCSI Group Policy
FIG 2 - NCSI Group Policy


Volendo possiamo creare un nostro server da utilizzare con NCSI. una volta salvato il file ncsi.txt sul nostro server possiamo modificare le impostazioni NCSI tramite registro di sistema o tramite group policy

Impostare un server personale per NCSI  tramite registro di sistema
  • Dal registro di sistema posizionarsi sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet  e modificare i seguenti valori: 
    ActiveWebProbeHost sostituire www.msftncsi.com con l'indirizzo web host che si intende utilizzare. 

    ActiveWebProbeHostV6 se si utilizza IPv6 è necessario modificare anche tale valore, valorizzandolo con l'indirizzo IPv6 del nostro server. 
    ActiveDnsProbeContent valorizzarlo con l'indirizzo IP del server DNS relativo al dominio che si sta utilizzando. 
    ActiveDnsProbeContentV6 assegnargli il valore dell'indirizzo IPv6 del server DNS relativo al dominio che si sta utilizzando.
    EnableActiveProbing assicurarsi che EnableActiveProbing è valorizzato ad 1.
Impostare un server personale per NCSI  tramite group policy
  • Eseguire gpedit.msc
  • posizionarsi su Configurazione computer->Modelli amministrativi->Rete->Indicatore stato connettività di rete
  • Modificare le seguenti voci
    Specifica indirizzo host probe DNS aziendale 
    Questa impostazione dei criteri consente di specificare l'indirizzo previsto del nome host utilizzato per il probe DNS 
    Specifica nome host probe DNS aziendale 
    Questa impostazione dei criteri consente di specificare il nome host di un PC notoriamente connesso alla rete aziendale. 
    Specifica elenco prefissi di sito aziendali 
    Questa impostazione dei criteri consente di specificare l'elenco dei prefissi di siti aziendali IPv6 da monitorare per la connettività aziendale. 
    Specifica URL probe sito Web aziendale 
    Questa impostazione dei criteri consente di specificare l'URL del sito Web aziendale su cui viene eseguito un probe attivo. 
    Specifica URL per determinazione percorso di dominio 
    Questa impostazione dei criteri consente di specificare l'URL HTTPS URL del sito Web aziendale utilizzato dai client per determinare il percorso corrente del dominio (vale a dire, se il computer si trova all'interno o all'esterno della rete aziendale).