Articoli che trattano di Active Directory

Quando Kerberos smette di essere indulgente. L’addio a RC4

Ci sono cambiamenti che arrivano con un annuncio ufficiale, una roadmap ben evidenziata, una slide rossa che dice breaking change. Poi ci sono quelli che arrivano come una variazione di tono: nessuno se ne accorge subito, ma dopo un po’ l’aria è diversa. L’aggiornamento di Windows di gennaio 2026 è uno di questi. Nessun servizio cade, nessuna autenticazione che smette di funzionare. Eppure, nel cuore dei Domain Controller, qualcosa smette di essere concesso per abitudine. Microsoft ha avviato il ritiro progressivo di RC4 da Kerberos introducendo meccanismi che rendono osservabile un comportamento fino a oggi implicito. RC4 e Kerberos: una…

access_time visibility

Verifica degli IoC tramite hashr e le group policy

Gli Indicatori di Compromissione (IoC) costituiscono un elemento chiave nei processi di threat detection e incident response. Tra le varie tipologie di IoC, gli hash dei file (MD5, SHA-1, SHA-256) sono particolarmente rilevanti in quanto permettono di identificare in maniera univoca un artefatto digitale e di confrontarlo con database di threat intelligence o con baseline interne. La loro validazione è essenziale per distinguere rapidamente file legittimi da file legati ad attività malevole, riducendo il rischio di falsi negativi e facilitando l’automazione delle attività di triage. Figura 1: Indicatori di Compromissione basati su file hash La verifica degli Indicatori di Compromissione…

access_time visibility

NTLM: cos’è, come funziona, perché esiste ancora e come disattivarlo

In un mondo IT che corre verso Zero Trust, passwordless e autenticazioni moderne come OAuth2 e Kerberos, il solo sentire nominare NTLM fa spesso sollevare un sopracciglio. Eppure, continua a vivere, annidato nei sistemi Windows, nelle applicazioni legacy e in più infrastrutture di quanto si voglia ammettere. Capirlo non è un esercizio accademico: è una verifica di maturità di sicurezza. In questo articolo vediamo: che cos’è NTLM; come funziona; a cosa serve oggi; perché è ancora così diffuso; quali rischi introduce in un ambiente moderno; come individuarlo e, soprattutto, come disattivarlo in modo controllato. NTLM e Passwordless: quando il passato…

access_time visibility

Sostituire DFS Replication con Azure File Sync: dalla replica locale di Windows Server alla sincronizzazione ibrida nel cloud

Molte infrastrutture Windows oggi usano DFS Replication (DFSR) per replicare file tra server (spesso con namespace DFS-N). Tuttavia DFSR presenta dei limiti, soprattutto su larga scala, in scenari WAN con latenza, gestione del riavvio, failover, consapevolezza della rete e backup centralizzato. Azure File Sync (AFS) può diventare un ottimo sostituto o complemento: mantiene la compatibilità SMB/Windows, consente un backup centralizzato su Azure Files, offre il cloud tiering per ridurre lo storage on-premises e semplifica la continuità e la scalabilità della replica su sedi remote. Questa guida mostra come migrare un deployment DFSR a Azure File Sync mantenendo le best practice…

access_time visibility

Windows Server 2025 – Delegated Managed Service Accounts (dMSA)

Microsoft continua a evolvere la gestione delle identità di servizio in ambienti Windows Server introducendo, con Windows Server 2025, una nuova tipologia di account gestito: i Delegated Managed Service Accounts (dMSA). Questa novità rappresenta un passo importante verso un modello di sicurezza moderno e allineato ai principi di Zero Trust e Credential Guard, offrendo un meccanismo più sicuro, flessibile e decentralizzato per l’esecuzione dei servizi di sistema. In questa guida vedremo cosa sono i dMSA, come si differenziano dai tradizionali Managed Service Accounts (sMSA) e Group Managed Service Accounts (gMSA) e come configurarli in un ambiente Windows Server 2025. Introduzione…

access_time visibility

Windows Server 2025 – IP Address Management (IPAM)

IP Address Management (IPAM) è la suite integrata di Windows Server per pianificare, distribuire, gestire e monitorare l’infrastruttura IP (DHCP/DNS/DC/NPS) da un’unica console. IPAM scopre automaticamente i server infrastrutturali e consente l’amministrazione centralizzata, con controlli di sicurezza e role-based access control (RBAC). IPAM (IP Address Management) è stato introdotto per la prima volta in Windows Server 2012 e nelle versioni successive di Windows Server sonostate aggiunte alcune funzionalità: Versione Novità principali Windows Server 2012 Prima introduzione di IPAM come ruolo di sistema. Permetteva la scoperta automatica di DHCP, DNS, e Domain Controller, con database WID (Windows Internal Database) integrato. Windows…

access_time visibility

Windows Hello for Business: vantaggi, limiti e come risolvere i problemi più comuni

Molti clienti desiderano portare l’esperienza MFA anche sul logon di Windows, ma scoprono presto che non è così semplice. Il motivo è che il logon locale non supporta lo stesso flusso MFA che utilizziamo per accedere alle risorse cloud con un bel pop-up-one da MS Authenticator. Per rispondere a questa esigenza, Microsoft ha introdotto Windows Hello for Business (WHfB), una soluzione passwordless che negli anni si è evoluta per accompagnare le aziende verso il cloud-first. Ma, come spesso accade, la teoria è una cosa e la pratica un’altra: implementare WHfB in ambienti reali porta con sé vantaggi, limiti e una…

access_time visibility

Microsoft Defender for Endpoint: Configurare gli Indicators con le API

Microsoft Defender for Endpoint, uno strumento che al giorno d’oggi offre, attraverso i continui investimenti che la casa di Redmond stà effettuando, una protezione a 360 gradi degli Endpoint Aziendali. Microsoft, offre il collegamento tramite API al portale di Microsoft Defender XDR, in maniera veramente approfondita, dove è possibile vedere lo status dei device, le policy applicate e gli eventuali Incident, questo perché molte organizzazioni, magari con sviluppatori interni all’azienda integrano in modo nativo strumenti di Ticketing, software di reportistica con la componente XDR di casa Redmond. Oggi vorrei darvi evidenza di come tramite le API di Microsoft Defender for…

access_time visibility

Quando un UPN sbagliato apre comunque la porta: il fallback nascosto di Windows 11 e Windows Server 2025

È stato osservato che su Windows 11 24H2 e Windows Server 2025 un utente può autenticarsi anche se inserisce come nome utente un UPN con suffisso errato o non definito in Active Directory. In pratica, quando il suffisso del UPN non corrisponde ad alcun dominio noto o configurato, il sistema tenta comunque di autenticare l’utente usando la parte prima della @ come sAMAccountName nel dominio locale joinato. In altre parole, Windows segue una procedura di autenticazione multi-step: prima prova con l’UPN fornito (Kerberos), e se questo fallisce o il dominio del UPN non viene trovato, effettua automaticamente un fallback al formato legacy DOMINIO\nomeutente (utilizzando il…

access_time visibility

Procedure di Ripristino di Domain Controller – Parte V

In questa serie di articoli affrontiamo vari scenari di perdita di un Domain Controller e le relative procedure per rimediarvi: Primo articolo (https://www.ictpower.it/sistemi-operativi/procedure-di-ripristino-di-domain-controller-parte-i.htm): introduzione ad Active Directory e ai ruoli critici in carico ai Domain Controller della Foresta Secondo articolo (https://www.ictpower.it/sistemi-operativi/procedure-di-ripristino-di-domain-controller-parte-ii.htm): creazione di un inventario dei ruoli critici Terzo articolo (https://www.ictpower.it/sistemi-operativi/procedure-di-ripristino-di-domain-controller-parte-iii.htm): rimozione “pulita” dei riferimenti ad un DC non più presente in Active Directory per prevenire problemi di replica e autenticazione (Metadata Cleanup) Quarto articolo (https://www.ictpower.it/sistemi-operativi/procedure-di-ripristino-di-domain-controller-parte-iv.htm): procedure per riassegnare ad altri Domain Controller i ruoli critici a livello di Dominio e di Forest: Global Catalog e FSMO Proseguiamo nei nostri…

access_time visibility