Articoli che trattano di Windows Server 2025

Group Policy: quando Active Directory diventa il C2 dell’attaccante

Le Group Policy sono uno degli strumenti più potenti di Active Directory. E proprio per questo sono anche uno degli strumenti più delicati. Per anni le abbiamo considerate soprattutto per quello che fanno dal punto di vista amministrativo: applicano configurazioni, distribuiscono impostazioni di sicurezza, gestiscono script, controllano il firewall, modificano chiavi di registro, assegnano privilegi, configurano utenti e computer. Tutto corretto. Il problema è che, dal punto di vista di un attaccante, questa descrizione suona in modo molto diverso. Una Group Policy non è solo una configurazione centralizzata. È un meccanismo nativo, distribuito, ricorrente e considerato affidabile dai sistemi Windows…

Patch Microsoft di aprile 2026 (KB5082063) e Domain Controller in reboot loop: cosa è successo davvero e come gestire il rischio

Un Domain Controller non è un server come gli altri. Può avere lo stesso sistema operativo, lo stesso ciclo di patching e magari la stessa finestra di manutenzione degli altri server Windows. Ma il suo impatto è diverso: se smette di funzionare, non si ferma solo una macchina. Si interrompe una parte dell’identità aziendale. Il caso KB5082063, emerso con gli aggiornamenti Microsoft di aprile 2026, è un buon promemoria tecnico: il patch management dei Domain Controller deve essere trattato come un processo separato, controllato e verificabile. Gli aggiornamenti di sicurezza sono necessari. Su questo non si discute. Il problema è…

Accesso RDP sicuro alle VM Azure tramite Azure Bastion e Microsoft Entra ID

Negli ultimi anni abbiamo smesso di esporre le VM su Internet tramite IP pubblici e porte aperte. RDP e SSH accessibili dall’esterno non sono più accettabili in un modello di sicurezza moderno, dove l’identità diventa il vero perimetro. Azure Bastion ha già risolto buona parte del problema, permettendovi di accedere alle macchine direttamente dal portale senza esporle. Tuttavia, fino a poco tempo fa, l’autenticazione continuava a basarsi su credenziali locali della VM. La novità è l’integrazione con Microsoft Entra ID, attualmente in preview. Questo vi permette di autenticarvi usando direttamente la vostra identità aziendale, applicando MFA e Conditional Access, senza…

Hardening Kerberos e aggiornamenti di aprile 2026

Nell’articolo Quando Kerberos smette di essere indulgente. L’addio a RC4 – ICT Power avevamo lasciato Kerberos in una fase quasi psicologica: meno indulgente, più esplicito, meno disposto a coprire silenziosamente incoerenze che per anni sono rimaste in produzione senza fare troppo rumore. Gennaio 2026 aveva introdotto più visibilità. Aprile 2026, invece, è il momento in cui quella visibilità si trasforma in comportamento concreto. Non è più solo una questione di “osservare RC4”: è il punto in cui il fallback implicito smette di essere una stampella affidabile. Il cambiamento da capire è semplice solo in apparenza: quando l’attributo msDS-SupportedEncryptionTypes non è…

Secure DNS Client e DNS over HTTPS (DoH) in Windows Server 2025

Il DNS è uno dei servizi fondamentali della rete, ma per impostazione predefinita le query vengono inviate in chiaro, rendendo possibile l’intercettazione o la manipolazione del traffico. Questo espone i client a rischi come DNS spoofing, intercettazione e profilazione delle richieste. Con DNS over HTTPS (DoH) le query DNS vengono trasmesse tramite HTTPS cifrato, migliorando sicurezza e privacy. Il traffico DNS non è più visibile in chiaro e viene protetto allo stesso modo delle normali connessioni web. Microsoft ha introdotto il Secure DNS Client nelle versioni recenti di Windows (sia server che client), permettendo ai sistemi di utilizzare resolver compatibili…

Sostituzione dei certificati ADFS con Microsoft Entra Connect Sync

Nel corso delle attività di gestione delle infrastrutture di identità ibride può rendersi necessario sostituire i certificati digitali utilizzati da Active Directory Federation Services (ADFS), in particolare i certificati Service Communications, Token-Signing e Token-Decrypting. Questa operazione, se non eseguita correttamente, può causare interruzioni dell’autenticazione federata verso Microsoft Entra ID e conseguenti disservizi per gli utenti. In questa guida descrivo la procedura operativa per effettuare la sostituzione dei certificati ADFS utilizzando Microsoft Entra Connect Sync, mantenendo la continuità del servizio e verificando la corretta propagazione delle modifiche. Avvio del wizard di Microsoft Entra Connect Sync Il primo passo consiste nell’avviare il…

Installare Microsoft Office in Remote Desktop Services (RDS): guida completa passo-passo

Chi lavora quotidianamente con i Remote Desktop Services (RDS) sa bene che l’installazione di Microsoft Office in ambienti multi-utente non è sempre immediata. La documentazione ufficiale Microsoft esiste ed è completa, ma risulta spesso frammentata su più articoli, con riferimenti incrociati tra licensing, support lifecycle, Office Deployment Tool e configurazioni specifiche per l’attivazione condivisa. Questo approccio rende difficile avere una visione chiara e lineare dei passaggi necessari, soprattutto quando si deve implementare rapidamente una farm RDS o aggiornare un’infrastruttura esistente. Inoltre, alcune indicazioni presenti nella documentazione Microsoft possono risultare poco chiare o distribuite tra scenari diversi (Remote Desktop Services, Azure…

Dynamic Access Control in Windows Server

Il Dynamic Access Control (DAC) rappresenta una delle funzionalità più interessanti introdotte per migliorare la gestione dell’accesso ai dati nei file server basati su Windows. In ambienti aziendali moderni, infatti, non è più sufficiente controllare l’accesso ai file utilizzando esclusivamente ACL NTFS o gruppi di sicurezza tradizionali: le organizzazioni richiedono un controllo più dinamico, basato su attributi dell’utente, del dispositivo e delle risorse. Il DAC nasce proprio con questo obiettivo: definire criteri centralizzati per l’accesso ai dati, applicati in modo coerente su più file server, riducendo la complessità amministrativa e migliorando il livello di sicurezza complessivo. Questa funzionalità è stata…

Aggiungere nomi alternativi ad un computer Windows

Durante una migrazione di server o workstation capita spesso di dover mantenere attivo sia il vecchio hostname sia il nuovo nome del computer. Questo approccio consente di evitare interruzioni dei servizi mentre si aggiornano gradualmente script, mapping e configurazioni applicative. In pratica, il sistema deve rispondere a due nomi contemporaneamente, riducendo il rischio di downtime. Il concetto è semplice: Windows può gestire nomi DNS alternativi associati allo stesso computer. Una delle modalità più corrette consiste nell’aggiungere un alias DNS o un nome alternativo gestito dal sistema, evitando soluzioni improvvisate che potrebbero causare problemi di autenticazione o risoluzione dei nomi. Aggiungere…

Come rinominare correttamente un Domain Controller in Active Directory

Rinominare un Domain Controller non è un’operazione banale e non dovrebbe essere eseguita con leggerezza. Un cambio di nome effettuato nel modo sbagliato può causare problemi di autenticazione, replica non coerente e in alcuni casi richiedere addirittura la reinstallazione del server. Per questo motivo è fondamentale seguire una procedura controllata e supportata dagli strumenti di Active Directory. Prima di iniziare assicuratevi di avere almeno un backup completo del System State di un controller di dominio funzionante. Questo passaggio è cruciale soprattutto se l’ambiente dispone di un solo DC, perché un errore durante il rename potrebbe compromettere l’intero dominio. In generale,…