Articoli che trattano di Windows Server 2016

Consentire solo dispositivi USB autorizzati (pendrive e non solo) tramite GPO e Microsoft Intune

La sicurezza dei dati aziendali è una priorità essenziale. Una delle principali minacce deriva dall’utilizzo incontrollato di dispositivi di archiviazione USB, che possono causare perdite accidentali o intenzionali di informazioni sensibili. In questa guida illustrerò come configurare una policy di sicurezza che consenta esclusivamente l’uso di pendrive USB autorizzati (ma non solo), utilizzando sia Group Policy Object (GPO) in ambiente Active Directory, sia Microsoft Intune per ambienti cloud-managed. Ottenere VID e PID dei dispositivi autorizzati Per ottenere il Vendor ID (VID) e il Product ID (PID) di un dispositivo USB, si inserisce il dispositivo USB nel computer e si avvia…

access_time visibility

Passwordless RDP con Windows Hello for Business

Se utilizzate Windows Hello for Business, potete sfruttare un’autenticazione più sicura e senza password anche per le sessioni di Remote Desktop Protocol (RDP). Questo vi permette di accedere ai vostri dispositivi in remoto senza dover digitare una password, affidandovi invece a metodi di autenticazione multi-fattore come il riconoscimento facciale, l’impronta digitale o un PIN sicuro. Per abilitare questa funzionalità, è essenziale che i dispositivi siano configurati correttamente e che supportino le credenziali basate su certificato o chiavi di sicurezza. La connessione remota con Windows Hello for Business avviene attraverso un meccanismo che verifica l’identità dell’utente senza esporre password a possibili…

access_time visibility

RDP e la sicurezza delle credenziali: come funziona la modalità Restricted Admin e i rischi del Pass-the-Hash

La Restricted Admin Mode è una modalità di sicurezza per Remote Desktop Protocol (RDP) introdotta con Windows 8.1 e Windows Server 2012 R2. Il suo scopo principale è proteggere le credenziali degli utenti quando si connettono a un sistema remoto tramite Remote Desktop Connection (mstsc), prevenendo attacchi di tipo Pass-the-Hash (PtH). Normalmente, quando vi connettete a un host remoto tramite RDP, il sistema remoto riceve e memorizza le vostre credenziali, esponendole al rischio di furto se il computer è compromesso. Con la Restricted Admin Mode, invece, le credenziali non vengono mai trasmesse all’host remoto. Come funziona una connessione RDP normale…

access_time visibility

Windows Defender Remote Credential Guard: connessioni RDP sicure e in SSO

Windows Defender Remote Credential Guard è una funzionalità che aiuta a proteggere le credenziali di accesso degli utenti durante le connessioni remote RDP, impedendo attacchi come il pass-the-hash e il pass-the-ticket. Questa funzionalità garantisce che le credenziali complete non vengano mai trasmesse ai dispositivi remoti. Se il dispositivo di destinazione viene compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione. Remote Credential Guard offre anche esperienze di accesso Single Sign-On per le sessioni di Desktop remoto. NOTA: È consigliabile usare Remote Credential Guard invece di…

access_time visibility

Utilizzare Windows Hello for Business per l’accesso ad Active Directory: MFA per l’on-premises

Windows Hello for Business rappresenta una soluzione sicura ed efficace per l’autenticazione all’ambiente on-premises, garantendo un accesso protetto ad Active Directory tramite autenticazione a più fattori (MFA). Implementando questa tecnologia, sostituite le tradizionali credenziali basate su password con metodi più avanzati e resilienti, riducendo significativamente i rischi di attacchi informatici. Quando configurate Windows Hello for Business nel vostro ambiente on-premises, abilitate l’autenticazione forte tramite certificati o chiavi di sicurezza basate su TPM, assicurando che ogni accesso sia verificato attraverso elementi biometrici o PIN. Questo metodo non solo migliora la sicurezza, ma ottimizza anche l’esperienza utente, eliminando la necessità di ricordare…

access_time visibility

Come cancellare la cache delle Group Policy su un computer Windows

Le Group Policy (GPO) sono strumenti essenziali nell’amministrazione di un ambiente Windows, permettendo agli amministratori di rete di applicare configurazioni e restrizioni ai dispositivi aziendali. Ho già avuto modo in passato di trattare l’argomento nella mia guida Funzionamento delle Group Policy in Windows Server: facciamo un po’ di chiarezza – ICT Power. Questa guida fornisce una panoramica completa sul funzionamento delle Group Policy in Windows Server, offrendo chiarimenti su aspetti fondamentali e avanzati della loro gestione. Tuttavia, a volte possono verificarsi problemi dovuti alla cache delle GPO memorizzata localmente su un computer. In questi casi, svuotare la cache può aiutare…

access_time visibility

Migrare Active Directory da Windows Server 2016/2019/2022 a Windows Server 2025

La migrazione di Active Directory Domain Services (AD DS) da Windows Server 2016/2019/2022 a Windows Server 2025 è un’operazione critica per garantire la continuità dei servizi di autenticazione, autorizzazione e gestione delle risorse all’interno di un dominio Windows. Questo processo prevede l’installazione di nuovi Domain Controller (DC), la replica dei dati di Active Directory, la gestione dei ruoli FSMO (Flexible Single Master Operations) e la successiva rimozione dei vecchi server. Seguire una strategia di migrazione ben pianificata riduce i tempi di inattività e minimizza i rischi di interruzione dei servizi, mantenendo la sicurezza e l’integrità dell’ambiente Active Directory. In questo…

access_time visibility

Active Directory Hardening: Best practices “from the field”

L’Active Directory (AD) è il cuore dell’infrastruttura IT di molte organizzazioni, ma spesso rappresenta anche un obiettivo primario per attaccanti sofisticati. La sua compromissione può avere conseguenze devastanti, consentendo escalation di privilegi, movimenti laterali e l’accesso a dati critici. In questo articolo, condividiamo alcune best practice direttamente dal campo, basate su esperienze reali e scenari affrontati in ambienti aziendali. Dall’implementazione di controlli avanzati alla segmentazione dei privilegi, fino alla protezione delle credenziali e alla difesa dagli attacchi più comuni, esploreremo strategie concrete per rafforzare la sicurezza del tuo Active Directory e ridurre al minimo i rischi. 1. Sicurezza del sistema…

access_time visibility

Gestire le macchine Windows con Windows Admin Center (v2)

Windows Admin Center è una piattaforma di gestione centralizzata per l’amministrazione di server e dispositivi Windows, progettata per semplificare la gestione di reti e infrastrutture IT. È uno strumento basato su web che consente agli amministratori di monitorare, configurare e gestire diversi aspetti dei sistemi Windows, come server, macchine virtuali, dispositivi di storage, e altro ancora, tutto da un’interfaccia intuitiva e centralizzata. Ne abbiamo già parlato in precedenti guide. Ecco alcune delle sue caratteristiche principali: Gestione remota: consente di amministrare server e workstation a distanza, senza bisogno di una connessione remota o di accedere fisicamente ai dispositivi. Monitoraggio delle performance:…

access_time visibility

Azure Local: Creazione e gestione di Virtual Machine con Windows Admin Center

In precedenza abbiamo visto come gestire le Azure Arc Virtual Machine tramite Azure Portal, oggi utilizzeremo un approccio più “classico” utilizzando Windows Admin Center (WAC). Prima di iniziare è importante sottolineare che le macchine virtuali create con questo metodo non sono abilitate per Azure Arc, di conseguenza hanno capacità di gestione limitate e usufruiscono di meno vantaggi Azure Hybrid come, ad esempio, l’assenza dell’uso gratuito di Azure Update Manager. Il primo punto da smarcare è l’installazione di WAC su una macchina Windows, preferibilmente in join nello stesso dominio Active Directory dell’infrastruttura. Possiamo scaricare il software direttamente da questo indirizzo, successivamente…

access_time visibility