Pagina dell'autore

Roberto Massa

Si occupa di Informatica dal 1989 in particolare nella gestione di sistemi Windows, Linux, e Netware. Ha approfondito la conoscenza di ambienti di monitoraggio Open-Source in particolare Nagios e Zenoss.
Roberto è certificato sulle tecnologie Microsoft Hyper-V e da alcuni anni si occupa di sicurezza implementando soluzioni basate su sistemi OpenBSD e OpenVPN.

Attualmente è impiegato come sistemista presso l’Azienda Ospedaliera S. Croce e Carle di Cuneo.

Dal 2006 interviene come speaker ad eventi tecnici come Linuxday, Microsoft ITCamp, Server Infrastructure Days.
Dal 2016 al 2019 è stato Microsoft MVP per la categoria Cloud and Datacenter Management.

https://massarobi.wordpress.com

/robimassa

Protezione dell’ambiente PowerShell mediante Script Firmati (con certificati richiesti ad una Certification Authority interna)

Abbiamo già visto nell’articolo Protezione dell’ambiente PowerShell mediante Script Firmati (con certificati Self-Signed), relativo alla firma di Script in PowerShell, le considerazioni generali inerenti gli aspetti di sicurezza, che portano alla scelta di utilizzare la firma digitale di questa tipologia di Script. In questo nuovo articolo ci occuperemo di come è possibile utilizzare una Certification Authority, installata nell’infrastruttura aziendale, allo scopo di ottenere un certificato da utilizzare nel processo di firma. Non tratteremo qui, gli aspetti legati alla installazione in Dominio di una Certification Authority, e per questo scopo rimandiamo agli articoli scritti e pubblicati dalla nostra Community Deploy PKI…

event

Protezione dell’ambiente PowerShell mediante Script Firmati (con certificati Self-Signed)

L’esecuzione di script in PowerShell può rappresentare un problema dal punto di vista della sicurezza. In molte situazioni gli script vengono eseguiti in contesto macchina e quindi con privilegi elevati, è prassi comune mantenere gli script in una share di rete da cui eseguirli, è da considerare anche il fatto che molti degli attacchi Cyber e delle tecniche utilizzate hanno PowerShell come veicolo principale. Se ad esempio uno script che viene eseguito su tutte le postazioni di lavoro è residente su una share di rete e questa non è adeguatamente protetta da accessi illeciti, è sufficiente modificarlo per far eseguire…

event

Local User profiles, Roaming User profiles, Mandatory profiles: facciamo un po’ di chiarezza

Windows, in qualunque versione, definisce per ogni utente che si connette al sistema un profilo utente che contiene le informazioni base, le impostazioni e più in generale l’ambiente che identifica e modella l’utente stesso sul sistema. Normalmente, se non intervengono configurazioni particolari, il profilo utente è contenuto su ogni sistema al quale l’utente fa accesso e quindi le impostazioni ed i contenuti saranno differenti da sistema a sistema. Tuttavia, in ambienti distribuiti o con una elevata mobilità degli utenti è possibile configurare i profili in modo che siano decentrati rispetto ad un singolo sistema, e quindi l’utente abbia le medesime…

event

Livelli funzionali di Active Directory: a cosa servono ed implicazioni sulla sicurezza

Ogni volta che affrontiamo le tematiche di migrazione di Active Directory dobbiamo in qualche modo fare i conti con i livelli funzionali. Ne abbiamo anche fatto cenno in occasione della recente #POWERCON2020 durante la sessione Migrare Active Directory a Windows Server 2019. In parole molto semplici il livello funzionale è un insieme di caratteristiche che Active Directory mette a disposizione degli amministratori, ma anche una forma di protezione che impedisce la promozione a Domain Controller di versioni obsolete di sistema operativo. Active Directory è strutturata in domini e foreste; il primo dominio che viene installato quando si esegue la “promozione”…

event

Gestione avanzata delle Group Policy in Windows Server: Filtri WMI, backup e restore

Nell’articolo Funzionamento delle Group Policy in Windows Server Nicola Ferrini ha affrontato in modo approfondito le tematiche di gestione ed uso delle GPO. In questo articolo affronteremo alcuni altri aspetti relativi all’uso ed alla gestione delle GPO, soffermandoci sulle modalità di applicazione di queste ultime in relazione ai filtri di sicurezza ed ai filtri WMI. Se nella definizione delle Group Policy Preference abbiamo a disposizione la funzione di Item Level Targeting per determinare con precisione dove applicare le impostazioni della GPO, in una Group Policy “tradizionale” questo strumento non è presente e dovremo impiegare altre modalità di selezione o filtraggio…

event

Migrare Active Directory da Windows Server 2008 / 2008 R2 a Windows Server 2019

Nel gennaio 2020 i prodotti Windows Server 2008 e Windows Server 2008 R2 hanno raggiunto il limite del supporto esteso da parte di Microsoft. È quindi tempo di migrazione in quanto queste versioni di sistema operativo non sono più aggiornati ed aggiornabili. Numerose normative, non ultimo il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), seppur non scendendo in dettagli tecnici, impongono al Titolare del Trattamento l’adozione di idonee misure di sicurezza. Ed il costante aggiornamento dei sistemi operativi è un tassello importante della protezione dei dati personali. Active Directory (AD) è di fatto il sistema di autenticazione maggiormente utilizzato…

event

Considerazioni sul ritorno all’operatività normale dopo lunghi periodi di telelavoro e problematiche relative al Secure Channel di Kerberos e all’Expired Machine Account Password

Il passato recente ha imposto, quasi senza dare il tempo di interrogarsi sulle scelte tecnologiche da adottare, modalità di lavoro che per molti non erano impensabili anche soltanto pochi mesi fa. Ci si è trovati a ridefinire le modalità di accesso alle infrastrutture informatiche aziendali e non solo. In questo contesto di lavoro a distanza sono stati adottati scenari molto differenti; in alcuni casi sono state installate batterie di Remote Desktop Services esposti tramite un portale WEB, in altri casi i servizi RDP sono sati connessi direttamente in internet. Tuttavia la configurazione di collegamenti tramite con VPN sono probabilmente i…

event

Attivare un Workspace Log Analytics gratuito (per 30 giorni) in Microsoft Azure

Le possibilità offerte da Azure sono decisamente molte, una di queste è il servizio che permette l’archiviazione di log eventi dalle diverse macchine monitorate sia in cloud che on-prem e permette successivamente di creare report ed analisi di eventi con strumenti di ricerca molto potenti e veloci ma soprattutto con sintassi intuitive ed un autocompletamento delle query che consente anche a chi si avvicina a questo ambiente per la prima volta, di apprezzarne la sua potenza. Log Analytics è il prodotto che conosciamo ora, ma inizialmente era stato sviluppato e proposto con il nome di OMS (Operations Management Suite) e…

event

Remote Desktop Services – Funzionalità di Shadowing delle Sessioni ed implementazione di Assistenza Remota

La funzionalità di Shadowing delle sessioni remote è presente da diverso tempo in RDS, sebbene abbia vissuto fasi alterne nel tempo, come è possibile leggere in questo Post di Ermanno Goletto. Per chi non la conoscesse, si tratta della possibilità di accedere, in modalità visualizzazione o controllo, ad una sessione RDP attiva su un session Host. In una infrastruttura RDS è possibile sfruttare questa funzione per fornire assistenza e supporto agli utenti, interagendo con le loro attività. Di default è attiva ed è utilizzabile direttamente da Server Manager nel contesto di gestione della Farm RDS, è sufficiente individuare la Collection,…

event

Windows Admin Center – Modifica del certificato digitale e utilizzo di una Certification Authority interna

Circa un anno fa in ICTPower è comparso il primo articolo sulla nuova console di gestione centralizzata di Windows Server chiamata Windows Admin Center (WAC). Gli articoli ripropongono approfondimenti sulle versioni, sugli scenari di utilizzo e sui metodi di implementazione. In questo approfondimento vogliamo analizzare la gestione del certificato di accesso al Portale, che utilizza di default un certificato di tipo Self-Signed. Lo scenario che riproponiamo di seguito si basa, in un ambiente Enterprise, sulla diponibilità di una CA integrata in AD e configurata secondo le guide proposte anch’esse su ICTPower Di norma l’installazione di WAC consente la scelta di…

event