Articoli che trattano di Sicurezza

SQL Server e NTLM: quando Kerberos non trova il nome giusto

Nel precedente articolo abbiamo parlato di NTLM, Kerberos, IAKerb e LocalKDC, cioè del percorso con cui Microsoft sta cercando di ridurre sempre di più la dipendenza storica da NTLM negli ambienti Windows. Sotto l’articolo è arrivato un commento molto interessante: “… Utilizzando le hardening configurations di Defender avevo poco tempo fa usato le GPO “Network Security: Restrict NTLM – etc etc”, finendo per scoprire amaramente che i servizi SQL usano massicciamente NTLM, bloccando così ogni autenticazione dei client…” Il commento centra perfettamente il problema. Perché NTLM, in molte infrastrutture, non è semplicemente un vecchio protocollo ancora abilitato. È spesso il…

access_time visibility

Microsoft Purview DLP Network Data Security: guida pratica con Microsoft Entra Global Secure Access

L’adozione sempre più diffusa di strumenti di intelligenza artificiale generativa e servizi cloud non gestiti sta cambiando profondamente il perimetro della protezione dei dati. Se fino a poco tempo fa Data Loss Prevention (DLP) si concentrava principalmente su endpoint, email e servizi Microsoft 365 oggi diventa sempre più importante controllare anche il traffico web diretto verso applicazioni esterne come ChatGPT, servizi di file sharing e altre destinazioni internet. È proprio in questo scenario che entra in gioco DLP Network Data Security, una funzionalità che estende le capacità di Microsoft Purview a livello di rete, consentendo di analizzare e proteggere i…

access_time visibility

Microsoft Purview: Audit Log Retention Policy

È possibile creare e gestire i criteri di conservazione dei Log di Audit all’interno del portale di Microsoft Purview. I criteri di conservazione di questi log fanno parte delle nuove funzionalità di Microsoft Purview Audit (Premium). Un criterio di conservazione dei log di Audit consente di specificare quanto a lungo conservare i log all’interno dell’organizzazione ed è possibile conservarli per un massimo di 10 anni. È possibile creare criteri basati sui seguenti criteri: Tutte le attività in uno o più servizi Microsoft Attività specifiche in un servizio Microsoft eseguite da tutti gli utenti o da utenti specifici Livello di priorità…

access_time visibility

Verso un Windows senza NTLM: IAKerb, LocalKDC e il futuro dell’autenticazione

Negli ambienti Windows, l’autenticazione non è solo un dettaglio tecnico ma un meccanismo che definisce la fiducia nei servizi e nei dispositivi. Per decenni il protocollo NT LAN Manager (NTLM) ha rappresentato il “piano B”: una soluzione di ripiego quando il metodo consigliato, Kerberos, non era disponibile. Negli ultimi mesi Microsoft ha iniziato un percorso di modernizzazione che mira a ridurre, fino a eliminare, la dipendenza da NTLM introducendo due componenti chiave: IAKerb e Local KDC. L’obiettivo di questo articolo è spiegare perché NTLM è stato così importante, cosa offre Kerberos in più e come le nuove funzionalità cambieranno la gestione dell’autenticazione.…

access_time visibility

Defender for Identity: Migrate from Sensor V2 to Sensor V3.0 (Preview)

All’interno della community ho già trattato l’argomento del sensore di Defender for Identity V3.0, raccontando i benefici, ma anche le limitazioni attuali che ha lo strumento, vi riporto per comodità l’articolo della community Microsoft Defender for Identity: Active Logging from Defender Portal – ICT Power. All’interno dell’articolo trovate anche una descrizione approfondita di come lavora nel dettaglio questa funzionalità di Microsoft. L’identità è il primo punto di accesso alle organizzazioni proprio per questo in ottica Zero Trust è necessario proteggerla per evitare spiacevoli sorprese. Microsoft Defender for Identity consente alle organizzazioni di rilevare, analizzare e rispondere agli attacchi basati sulle…

access_time visibility

SMB over QUIC su Windows Server 2025

Ogni volta che arriva una nuova funzionalità nel mondo IT, qualcuno sente il bisogno di organizzare un funerale. È morta la VPN. È morto l’on-premises. È morto il file server. È morto Active Directory. È morto tutto, praticamente. Tranne il ticket aperto il lunedì mattina perché l’utente non riesce ad accedere alla cartella condivisa. SMB over QUIC rientra perfettamente in questa categoria di tecnologie che rischiano di essere raccontate male. Da una parte può essere banalizzata come “SMB su Internet”, che suona più o meno come “pubblichiamo TCP/445 e speriamo nella benevolenza dell’universo”. Dall’altra può essere venduta come alternativa definitiva…

access_time visibility

Windows Server 2025 e credential theft: perché proteggere LSASS è ancora una priorità

Quando si parla di nuove versioni di Windows Server, il rischio è sempre lo stesso: scambiare l’evoluzione della piattaforma per una protezione automatica. Windows Server 2025 porta con sé miglioramenti importanti, soprattutto sul fronte della sicurezza, dell’hardening e dell’integrazione con scenari moderni di gestione. Credential Guard, Virtualization-based Security, protezioni aggiuntive per LSA, Attack Surface Reduction e Microsoft Defender for Endpoint fanno ormai parte del vocabolario quotidiano di chi amministra infrastrutture Microsoft. Ma c’è una distinzione che vale la pena ribadire subito: una funzionalità disponibile non è necessariamente una funzionalità attiva, verificata, monitorata e coerente con il rischio dell’ambiente. È qui…

access_time visibility

Microsoft Defender for Endpoint: Client Analyzer

Il Client Analyzer di Microsoft Defender for Endpoint può essere utile per diagnosticare problemi di integrità o affidabilità dei sensori nei dispositivi su cui è stato eseguito l’onboarding di Microsoft Defender for Endpoint (MDE) e funziona sui seguenti sistemi operativi: Windows, Linux, macOS. Per esempio, è possibile eseguire il tools su un dispositivo che lato console di Microsoft Defender XDR ha un allarme sullo stato di integrità del sensore (Inattivo, No Data o Communication Problem). Client Analyzer oltre a rilevare eventuali problemi, può eseguire la raccolta di log ed informazioni utili per la diagnostica avanzata, operazione che viene richiesta anche…

access_time visibility

Hardening delle azioni amministrative: cosa cambia per SID duplicati, imaging, Kerberos, NTLM e privilegi admin

Negli ultimi anni Microsoft sta seguendo una direzione abbastanza chiara: rendere Windows sempre meno tollerante verso configurazioni storicamente “funzionanti” ma non necessariamente sicure. Non parliamo solo di nuove funzionalità, nuove baseline o nuovi controlli opzionali. Parliamo di un cambio più profondo: Windows sta iniziando a trattare l’identità della macchina, il processo di autenticazione e l’elevazione amministrativa come superfici di sicurezza da proteggere in modo molto più rigoroso. Il recente articolo pubblicato sul Windows IT Pro Blog, “Hardening administrative actions: What IT pros need to know“, va esattamente in questa direzione. Microsoft segnala che alcune modifiche di hardening possono richiedere cambiamenti…

access_time visibility

Migrazione di una Certification Authority (CA) a Windows Server 2025

La migrazione di una Certification Authority (CA) rappresenta un’attività critica all’interno di qualsiasi infrastruttura PKI. La CA è infatti il punto centrale di fiducia per l’emissione e la gestione dei certificati digitali, ed è progettata per operare per anni, spesso attraversando diversi cicli di vita hardware e software. Quando decidete di migrare una CA, non state semplicemente spostando un servizio, ma state garantendo la continuità operativa di tutti i sistemi che dipendono da essa: autenticazione, cifratura, firma digitale e identità dei servizi. Una migrazione eseguita correttamente consente di mantenere integrità, affidabilità e fiducia senza interruzioni percepibili dagli utenti o dai…

access_time visibility