Pagina dell'autore

Domenico Caldarelli

Cybersecurity Expert. Possiede più di 10 anni di esperienza in progetti di assistenza tecnica alla pubblica amministrazione italiana.
Ha ricoperto il ruolo Head of Cybersecurity in ITI srl e Cybersecurity Consultant in Maticmind.

/domenico-caldarelli-5aa36b44

BitUnlocker e Windows 11: quando BitLocker è attivo, ma la catena di boot si fida troppo

BitLocker non è morto. E, per fortuna, non siamo davanti all’ennesimo “la cifratura è inutile” da bar sport della cybersecurity. Il caso BitUnlocker è più interessante, e anche più utile da capire: mostra cosa può accadere quando una protezione crittografica solida viene inserita dentro una catena di avvio che continua a fidarsi di componenti legacy. In altre parole, il problema non è solo “BitLocker è abilitato?”. La domanda vera è: “BitLocker è abilitato nel modo giusto, su una catena di boot realmente aggiornata e con le revoche Secure Boot applicate?”. La differenza sembra sottile. In realtà è enorme. A maggio…

access_time visibility

Windows Server 2025 e credential theft: perché proteggere LSASS è ancora una priorità

Quando si parla di nuove versioni di Windows Server, il rischio è sempre lo stesso: scambiare l’evoluzione della piattaforma per una protezione automatica. Windows Server 2025 porta con sé miglioramenti importanti, soprattutto sul fronte della sicurezza, dell’hardening e dell’integrazione con scenari moderni di gestione. Credential Guard, Virtualization-based Security, protezioni aggiuntive per LSA, Attack Surface Reduction e Microsoft Defender for Endpoint fanno ormai parte del vocabolario quotidiano di chi amministra infrastrutture Microsoft. Ma c’è una distinzione che vale la pena ribadire subito: una funzionalità disponibile non è necessariamente una funzionalità attiva, verificata, monitorata e coerente con il rischio dell’ambiente. È qui…

access_time visibility

Hardening delle azioni amministrative: cosa cambia per SID duplicati, imaging, Kerberos, NTLM e privilegi admin

Negli ultimi anni Microsoft sta seguendo una direzione abbastanza chiara: rendere Windows sempre meno tollerante verso configurazioni storicamente “funzionanti” ma non necessariamente sicure. Non parliamo solo di nuove funzionalità, nuove baseline o nuovi controlli opzionali. Parliamo di un cambio più profondo: Windows sta iniziando a trattare l’identità della macchina, il processo di autenticazione e l’elevazione amministrativa come superfici di sicurezza da proteggere in modo molto più rigoroso. Il recente articolo pubblicato sul Windows IT Pro Blog, “Hardening administrative actions: What IT pros need to know“, va esattamente in questa direzione. Microsoft segnala che alcune modifiche di hardening possono richiedere cambiamenti…

access_time visibility

Copilot su Windows ora si può rimuovere, ma la vera novità è il controllo centralizzato

C’è una frase che ogni amministratore IT ha imparato a temere: “È arrivato con un aggiornamento.” Non perché gli aggiornamenti siano un problema in sé, ovviamente. Il problema nasce quando, insieme a una patch, a una nuova build o a un’esperienza “migliorata”, compare anche una nuova funzionalità che entra direttamente nell’ambiente di lavoro degli utenti. Negli ultimi anni Microsoft Copilot è diventato uno degli esempi più evidenti di questa trasformazione. Non più una semplice funzionalità opzionale, non più soltanto un servizio web, ma un’esperienza sempre più integrata in Windows, Microsoft 365, Edge, Teams, Outlook e nel modo stesso in cui…

access_time visibility

Group Policy: quando Active Directory diventa il C2 dell’attaccante

Le Group Policy sono uno degli strumenti più potenti di Active Directory. E proprio per questo sono anche uno degli strumenti più delicati. Per anni le abbiamo considerate soprattutto per quello che fanno dal punto di vista amministrativo: applicano configurazioni, distribuiscono impostazioni di sicurezza, gestiscono script, controllano il firewall, modificano chiavi di registro, assegnano privilegi, configurano utenti e computer. Tutto corretto. Il problema è che, dal punto di vista di un attaccante, questa descrizione suona in modo molto diverso. Una Group Policy non è solo una configurazione centralizzata. È un meccanismo nativo, distribuito, ricorrente e considerato affidabile dai sistemi Windows…

access_time visibility

Patch Microsoft di aprile 2026 (KB5082063) e Domain Controller in reboot loop: cosa è successo davvero e come gestire il rischio

Un Domain Controller non è un server come gli altri. Può avere lo stesso sistema operativo, lo stesso ciclo di patching e magari la stessa finestra di manutenzione degli altri server Windows. Ma il suo impatto è diverso: se smette di funzionare, non si ferma solo una macchina. Si interrompe una parte dell’identità aziendale. Il caso KB5082063, emerso con gli aggiornamenti Microsoft di aprile 2026, è un buon promemoria tecnico: il patch management dei Domain Controller deve essere trattato come un processo separato, controllato e verificabile. Gli aggiornamenti di sicurezza sono necessari. Su questo non si discute. Il problema è…

access_time visibility

Hardening Kerberos e aggiornamenti di aprile 2026

Nell’articolo Quando Kerberos smette di essere indulgente. L’addio a RC4 – ICT Power avevamo lasciato Kerberos in una fase quasi psicologica: meno indulgente, più esplicito, meno disposto a coprire silenziosamente incoerenze che per anni sono rimaste in produzione senza fare troppo rumore. Gennaio 2026 aveva introdotto più visibilità. Aprile 2026, invece, è il momento in cui quella visibilità si trasforma in comportamento concreto. Non è più solo una questione di “osservare RC4”: è il punto in cui il fallback implicito smette di essere una stampella affidabile. Il cambiamento da capire è semplice solo in apparenza: quando l’attributo msDS-SupportedEncryptionTypes non è…

access_time visibility

Quando Kerberos smette di essere indulgente. L’addio a RC4

Ci sono cambiamenti che arrivano con un annuncio ufficiale, una roadmap ben evidenziata, una slide rossa che dice breaking change. Poi ci sono quelli che arrivano come una variazione di tono: nessuno se ne accorge subito, ma dopo un po’ l’aria è diversa. L’aggiornamento di Windows di gennaio 2026 è uno di questi. Nessun servizio cade, nessuna autenticazione che smette di funzionare. Eppure, nel cuore dei Domain Controller, qualcosa smette di essere concesso per abitudine. Microsoft ha avviato il ritiro progressivo di RC4 da Kerberos introducendo meccanismi che rendono osservabile un comportamento fino a oggi implicito. RC4 e Kerberos: una…

access_time visibility

Phishing OAuth e 2FA bypassata

In questo mese (gennaio 2026) lo YouTuber italiano Andrea Galeazzi, noto per le recensioni tech, ha subito il furto del suo account Google e dei suoi canali YouTube a causa di un attacco informatico. Gli hacker sono riusciti a prendere il controllo totale del suo profilo nel giro di pochi secondi, nonostante Galeazzi avesse attiva l’autenticazione a due fattori (2FA). Questo caso clamoroso dimostra come una e-mail di phishing ben congegnata (in questo caso realizzata con l’aiuto dell’intelligenza artificiale) e un falso meccanismo di autorizzazione OAuth possano ingannare anche utenti esperti, aggirando le difese tradizionali come la 2FA. Cos’è successo…

access_time visibility

Quando i dati rallentano il PC: la crittografia invisibile e la svolta hardware di BitLocker

Il PC che rallenta dopo mesi di utilizzo è sempre stata una costante. Sono centinaia i commenti e i messaggi che ricevo con domande su questo comportamento: “All’inizio era velocissimo, poi…”. In genere un tecnico riesce a manutenere il proprio sistema in modo corretto: driver aggiornati, spazio disco sotto controllo, servizi inutili disattivati. Con qualche accortezza, il problema resta spesso minimo. Eppure, durante le classiche “pulizie di Natale”, ho notato qualcosa di curioso. Più i dati aumentavano, più Windows sembrava perdere reattività. Più il disco si riempiva, più la CPU iniziava a lavorare in modo anomalo. Più il carico I/O…

access_time visibility