Sistemi Operativi

Verso un Windows senza NTLM: IAKerb, LocalKDC e il futuro dell’autenticazione

Negli ambienti Windows, l’autenticazione non è solo un dettaglio tecnico ma un meccanismo che definisce la fiducia nei servizi e nei dispositivi. Per decenni il protocollo NT LAN Manager (NTLM) ha rappresentato il “piano B”: una soluzione di ripiego quando il metodo consigliato, Kerberos, non era disponibile. Negli ultimi mesi Microsoft ha iniziato un percorso di modernizzazione che mira a ridurre, fino a eliminare, la dipendenza da NTLM introducendo due componenti chiave: IAKerb e Local KDC. L’obiettivo di questo articolo è spiegare perché NTLM è stato così importante, cosa offre Kerberos in più e come le nuove funzionalità cambieranno la gestione dell’autenticazione.…

access_time visibility

Hyper-V Live Migration tra cluster e foreste Active Directory diverse

In alcuni scenari può essere necessario spostare una o più macchine virtuali Hyper-V da un cluster a un altro senza interrompere i servizi erogati. Pensiamo, ad esempio, ad attività di consolidamento dell’infrastruttura, sostituzione dell’hardware, migrazione verso un nuovo datacenter, separazione di ambienti aziendali oppure integrazione tra infrastrutture appartenenti a foreste Active Directory diverse. La Live Migration consente di trasferire una macchina virtuale da un host Hyper-V a un altro mantenendola accesa, riducendo al minimo l’impatto sugli utenti e sulle applicazioni. Quando però i due host appartengono a cluster differenti e, soprattutto, a foreste diverse, la configurazione richiede qualche attenzione in…

access_time visibility

Strong Certificate Mapping in Active Directory: cosa cambia per certificati, SID e KDC

Per anni abbiamo raccontato i certificati come una garanzia quasi assoluta. Se il certificato è valido, se la chain è corretta, se la CA è attendibile, allora siamo a posto. Più o meno. In Active Directory, soprattutto quando entra in gioco l’autenticazione Kerberos basata su certificato, la domanda non è soltanto: “Questo certificato è valido?”. La domanda vera è un’altra: “Questo certificato appartiene davvero a questo utente o a questo computer?” Ed è qui che entra in gioco lo Strong Certificate Mapping. Il tema sembra piccolo, quasi da addetti ai lavori. In realtà può avere un impatto enorme su ambienti…

access_time visibility

Azure Local: Creare un ambiente di test a due nodi con Azure Arc Jumpstart LocalBox

Azure Local è la soluzione Microsoft pensata per portare le funzionalità di Azure direttamente nei vostri ambienti locali, nei datacenter aziendali, nelle sedi periferiche o negli scenari edge in cui avete bisogno di eseguire workload vicino agli utenti, ai dati o ai sistemi produttivi. In pratica vi permette di avere un’infrastruttura cloud-connected, gestita e governata tramite Azure Arc, ma eseguita su hardware locale o in ambienti controllati dall’organizzazione. Rispetto a un’infrastruttura tradizionale, Azure Local introduce un modello più moderno di gestione: potete distribuire macchine virtuali, servizi, workload containerizzati e scenari ibridi mantenendo un punto di controllo centralizzato dal portale Azure.…

access_time visibility

SMB over QUIC su Windows Server 2025

Ogni volta che arriva una nuova funzionalità nel mondo IT, qualcuno sente il bisogno di organizzare un funerale. È morta la VPN. È morto l’on-premises. È morto il file server. È morto Active Directory. È morto tutto, praticamente. Tranne il ticket aperto il lunedì mattina perché l’utente non riesce ad accedere alla cartella condivisa. SMB over QUIC rientra perfettamente in questa categoria di tecnologie che rischiano di essere raccontate male. Da una parte può essere banalizzata come “SMB su Internet”, che suona più o meno come “pubblichiamo TCP/445 e speriamo nella benevolenza dell’universo”. Dall’altra può essere venduta come alternativa definitiva…

access_time visibility

BitUnlocker e Windows 11: quando BitLocker è attivo, ma la catena di boot si fida troppo

BitLocker non è morto. E, per fortuna, non siamo davanti all’ennesimo “la cifratura è inutile” da bar sport della cybersecurity. Il caso BitUnlocker è più interessante, e anche più utile da capire: mostra cosa può accadere quando una protezione crittografica solida viene inserita dentro una catena di avvio che continua a fidarsi di componenti legacy. In altre parole, il problema non è solo “BitLocker è abilitato?”. La domanda vera è: “BitLocker è abilitato nel modo giusto, su una catena di boot realmente aggiornata e con le revoche Secure Boot applicate?”. La differenza sembra sottile. In realtà è enorme. A maggio…

access_time visibility

Windows Server 2025 e credential theft: perché proteggere LSASS è ancora una priorità

Quando si parla di nuove versioni di Windows Server, il rischio è sempre lo stesso: scambiare l’evoluzione della piattaforma per una protezione automatica. Windows Server 2025 porta con sé miglioramenti importanti, soprattutto sul fronte della sicurezza, dell’hardening e dell’integrazione con scenari moderni di gestione. Credential Guard, Virtualization-based Security, protezioni aggiuntive per LSA, Attack Surface Reduction e Microsoft Defender for Endpoint fanno ormai parte del vocabolario quotidiano di chi amministra infrastrutture Microsoft. Ma c’è una distinzione che vale la pena ribadire subito: una funzionalità disponibile non è necessariamente una funzionalità attiva, verificata, monitorata e coerente con il rischio dell’ambiente. È qui…

access_time visibility

Usare cloud-init per personalizzare una macchina virtuale Linux in Hyper-V al primo avvio

Quando create una macchina virtuale Linux su Hyper-V, una parte del lavoro consiste sempre nella configurazione iniziale del sistema operativo. Hostname, utenti, rete, chiavi SSH e pacchetti richiedono tempo e rendono ogni distribuzione ripetitiva, soprattutto nei laboratori o negli ambienti di test. Con cloud-init potete automatizzare completamente questa fase. Anche se nasce per i cloud pubblici, cloud-init funziona perfettamente anche su Hyper-V e permette di personalizzare una VM Linux già al primo avvio. In questa guida vi mostrerò come utilizzare cloud-init per preparare e configurare automaticamente una macchina virtuale su Hyper-V, creando una base riutilizzabile per deployment più rapidi, coerenti…

access_time visibility

Usare cloud-init per personalizzare una macchina virtuale Linux in Azure al primo avvio

Quando create una macchina virtuale Linux in Azure, spesso è necessario eseguire attività ripetitive come installare pacchetti, creare utenti oppure configurare servizi. Fare tutto manualmente richiede tempo e aumenta il rischio di errori. Per automatizzare queste operazioni Microsoft supporta cloud-init, uno standard open source utilizzato per configurare automaticamente le VM Linux durante il primo avvio. Con cloud-init potete definire in un file YAML tutte le attività che la macchina dovrà eseguire automaticamente, ad esempio: installazione di software; configurazione degli utenti; aggiunta delle chiavi SSH; esecuzione di script Bash. Questo approccio consente di ottenere deployment più rapidi, coerenti e ripetibili, soprattutto…

access_time visibility

Hardening delle azioni amministrative: cosa cambia per SID duplicati, imaging, Kerberos, NTLM e privilegi admin

Negli ultimi anni Microsoft sta seguendo una direzione abbastanza chiara: rendere Windows sempre meno tollerante verso configurazioni storicamente “funzionanti” ma non necessariamente sicure. Non parliamo solo di nuove funzionalità, nuove baseline o nuovi controlli opzionali. Parliamo di un cambio più profondo: Windows sta iniziando a trattare l’identità della macchina, il processo di autenticazione e l’elevazione amministrativa come superfici di sicurezza da proteggere in modo molto più rigoroso. Il recente articolo pubblicato sul Windows IT Pro Blog, “Hardening administrative actions: What IT pros need to know“, va esattamente in questa direzione. Microsoft segnala che alcune modifiche di hardening possono richiedere cambiamenti…

access_time visibility