Microsoft System Center Configuration Manager è un software che permette di gestire in maniera completa sistemi operativi server, desktop, computer portatili e dispositivi mobili.

Nel mese di Novembre 2018 è stato rilasciato da parte di Microsoft l’aggiornamento 1810 per System Center Configuration Manager (Current Branch) che include nuove funzionalità e la risoluzione di alcuni bug. È possibile aggiornare solo dalle versioni 1710, 1802 e 1806.

Prima di procedere con l’aggiornamento, vi invito a controllare tutti i prerequisiti.

Di seguito un elenco delle novità, ritenute da me di maggior rilevanza.

Infrastruttura

• Supporto per il sistema operativo Windows Server 2019 per la configurazione di un site server;
• Possibilità di installare il server primario di Configuration Manager su un nodo di un Failover Cluster ( requisito per un SQL Always on);
• Alta affidabilità: Su SCCM CAS (Central administration sites) e SCCM child primary sites, è possibile installare un server aggiuntivo in modalità passiva.

SCCM Console

Si può specificare il livello minimo di autenticazione per l’accesso degli amministratori in Console ed aggiungere eventuali esclusioni di utenti o gruppi.

Distribuzione dei contenuti

Tra le opzioni di un boundary group sono state aggiunte le seguenti opzioni:

• Preferire sulla stessa subnet la distribuzione dei contenuti con i DP (distribution points) invece della peer cache;
• Preferire i CDP (cloud distribution points) ai DP on-prem.

  
  

Wake on Lan

Nelle azioni disponibili in client notification, troviamo “Wake up”, con la quale sarà possibile accendere il PC tramite wake on lan anche su subnet differenti dal site server. SCCM 1810 sfrutterà un altro client presente sulla stessa subnet del destinatario per inviare la richiesta di wake on lan.

Gestione applicazioni

Nella nuova versione di Configuration Manager, nei deployment settings di un’applicazione, troviamo 2 nuove opzioni:

• Abilitazione per l’utente finale di riparare autonomamente l’applicazione;
• Un amministratore deve approvare la richiesta per questa applicazione sul dispositivo.

Inoltre, è possibile convertire le installazioni .msi esistenti nel formato .msix ( Windows 10 app).

Software Updates

Dalla versione 1802 era stata implementata la phased-deployment per le applicazioni. Con la nuova versione 1810 è stata estesa anche agli aggiornamenti.

Tra i client settings in “Software Updates”, troveremo la nuova voce “Enable installation of updates in “All deployments” maintenance window when “Software update” maintenance window is available“.

Autopilot support

È possibile creare una task sequence per il supporto della funzionalità Autopilot per i dispositivi esistenti.

Reporting

Implementata una nuova dashboard che include informazioni riguardanti il ciclo di vita dei prodotti da SCCM 2012 e successivi.

Tra i reports troveremo “Lifecycle 05A – Product lifecycle dashboard” che contiene informazioni simili alla dashboard.

Conclusioni

Con questo aggiornamento si evidenziano interessanti novità che riguardano l’alta affidabilità, il pieno supporto a Windows Server 2019 ed il livello minimo di autenticazione per gli amministratori.

Per approfondire tutte le altre funzionalità e bug-fixes, è disponibile l’articolo ufficiale What’s new in version 1810 of Configuration Manager.

Per chi volesse provare Configuration Manager, si può scaricare una prova gratuita di 180 giorni da Evaluation Center.

Gestire macchine virtuali è divenuta ormai una consuetudine. Client Hyper-V in Windows 10 viene usato da tantissime figure professionali nei modi più disparati. Ciò che spesso avviene, però, è una configurazione della rete superficiale che può generare diversi problemi di connessione alle VM.

In questo articolo vedremo come creare un NAT Virtual Switch (disponibile dalla versione 1607 Anniversary Update) e relative regole per standardizzare alcune procedure o rispolverare argomenti di networking per capire meglio, ad esempio, come sia possibile raggiungere una macchina virtuale su Azure configurando lo specifico endpoint.

Il NAT è una tecnica utilizzata nel mondo delle reti che permette la modifica di un indirizzo IP contenuto nell’header di un pacchetto in transito su un apparato di rete all’interno di una comunicazione in corso tra due o più nodi della rete. Per maggiori informazioni clicca qui.

Hyper-V consente di creare facilmente Virtual Switch esterni, interni o privati, tramite GUI. Con pochi comandi powershell possiamo ampliare il raggio d’azione.

Come prima cosa creeremo un Virtual Switch interno, ossia uno switch non connesso ad una interfaccia fisica sull’host. In questo modo tutte le VM che utilizzeranno questo Virtual Switch potranno parlarsi tra loro ma non potranno parlare con la rete a cui è connesso l’host. Nel mio caso il nome sarà “NATSwitch”.

Il secondo passo sarà configurare un IP al nuovo Virtual Switch, una subnet ed un alias.

Infine sarà necessario assegnare una rete al Virtual Switch che sarà utilizzata dalle VM.

Per comodità utilizzeremo rete 10.0.0.0/24 assegnando 10.0.0.1 come IP del Virtual Switch.

Per fare ciò eseguiamo Powershell (o Powershell ISE) con privilegi elevati ed eseguiamo i comandi:

New-VMSwitch -SwitchName “NATSwitch” -SwitchType Internal

New-NetIPAddress -IPAddress 10.0.0.1 -PrefixLength 24 -InterfaceAlias “vEthernet (NATSwitch)”

New-NetNAT -Name “NATNetwork” -InternalIPInterfaceAddressPrefix 10.0.0.0/24

Figura 1: PowerShell ISE – Script di configurazione

Al termine dell’operazione è possibile utilizzare la console di Hyper-V per assegnare il nuovo commutatore virtuale alle VM

Figura 2: Hyper-V – Proprietà commutatore virtuale

Figura 3: Hyper-V – Proprietà della VM win2019

Per verificare che tutto funzioni correttamente configuriamo l’IP statico 10.0.0.2 sull’interfaccia di una VM

Figura 4: VM – Configurazione scheda di rete

Perché assegniamo un IP statico?

Le VM connesse al NAT Virtual Switch sono isolate in un dominio broadcast differente da quello dell’host fisico. Lo switch non fa routing tra la subnet 10.0.0.0/24 e quella a cui è connesso l’host di conseguenza un servizio DHCP ubicato sulla rete LAN non sarà fruibile.

Per configurare la scheda di rete della VM evitando l’accesso in desktop remoto possiamo utilizzare PowerShell Direct introdotto da Windows Server 2016.

Eseguiamo il comando

Enter-PSSession -VMName win2019

Figura 5: PowerShell ISE – PowerShell Direct – Login

Inserendo le credenziali avremo accesso alla macchina “win2019”

Figura 6: PowerShell ISE – PowerShell Direct

Recuperiamo le informazioni sulla scheda di rete da configurare con il comando

Get-NetAdapter

Figura 7: PowerShell ISE – Informazioni sulla scheda di rete

Configuriamo IP, subnet mask e gateway sull’interfaccia “Ethernet”

New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 10.0.0.2 -PrefixLength 24 -DefaultGateway 10.0.0.1

Figura 8: PowerShell ISE – Configurazione scheda di rete

Successivamente, configuriamo il DNS

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "8.8.8.8"

Verifichiamo con il comando

ipconfig /all

Figura 9: PowerShell ISE – Riepilogo

L’immagine seguente mostra quanto configurato fino ad ora

Figura 10: Schema architetturale

A questo punto, per riuscire a raggiungere uno dei servizi erogati dalla VM, possiamo utilizzare una NAT Rule con Port Forwarding.

Per poter creare una NAT Rule è necessario specificare quattro parametri:

• ExternalIPAddress: Specifica l’host a cui sarà indirizzato il traffico. Nel nostro caso utilizzeremo 0.0.0.0/0, ovvero tutti gli indirizzi;
• ExternalPort: Specifica la porta che sarà esposta dall’host, nel nostro caso utilizzeremo la 5000;
• InternalIPAddress: Specifica l’IP della V, nel nostro caso l’IP è 10.0.0.2;
• InternalPort: Specifica la porta che espone il servizio che vogliamo raggiungere nella VM, nel nostro caso 3389 (RDP).

Il comando da utilizzare è il seguente

Add-NetNatStaticMapping -ExternalIPAddress "0.0.0.0/24" -ExternalPort 5000 -Protocol TCP -InternalIPAddress "10.0.0.2" -InternalPort 3389 -NatName NATNetwork

Figura 11: PowerShell ISE – Configurazione NAT Rule

Proviamo a collegarci in RDP alla macchina

Figura 12: Login RDP

La connessione viene effettuata correttamente

Figura 13: Connessione in desktop remoto

Conclusioni

Questa tecnica di solito viene utilizzata per nascondere dietro un solo indirizzo IP diversi servizi, per fini di sicurezza, per rispettare standard, per evitare di “consumare” un numero enorme di IP e tanto altro. Ci sono diversi approcci e diverse tipologie di NAT da utilizzare in base alle proprie esigenze. Sapere cos’è e come funziona è un requisito minimo indispensabile per ogni sistemista, molto utile nel troubleshooting e nella gestione delle nostre architetture di rete.

In questa guida vedremo come creare uno Scale-out File Server (SoFS) in Windows Server 2019, una funzionalità già introdotta in Windows Server 2012 e ideale per poter ospitare workload di Hyper-V o di SQL Server.

Uno Scale-ouf File Server permette di assicurare disponibilità continua dello storage per tutte quelle applicazioni che possono usare le condivisioni di rete per conservare i propri dati. Un file server cluster classico permette ai client di potersi connettere solo ad un nodo alla volta. Invece uno Scale-out File Server (SoFS) permette di poter utilizzare tutti i nodi contemporaneamente (Cluster attivo-attivo). Per funzionare SOFS utilizza la funzionalità di Failover Clustering di Windows Server e le nuove capacità del protocollo SMB 3.0.

Per approfondimenti vi rimando alla lettura dell’articolo Scale-Out File Server for application data overview

Figura 1: Utilizzo di uno Scale-out File Server e numero massimo di nodi utilizzabili nel cluster

In Windows Server 2019 sono state aggiunte diverse funzionalità e migliorie rispetto alle versioni precedenti. Potete visualizzarne i dettagli leggendo l’articolo Scale-Out File Server Improvements in Windows Server 2019

Schema di funzionamento del laboratorio

Per realizzare questo articolo ho creato un domain controller (DC1.demo.lab) e due File Server che verranno poi clusterizzati (FS1.demo.lab e FS2.demo.lab). Ho anche creato una macchina che farà da ISCSI target (ISCSI1.demo.lab) ed ospiterà lo storage condiviso dei due nodi del cluster. Nella figura sotto è riassiunto lo schema del laboratorio realizzato.

Figura 2: Schema del laboratorio realizzato

Configurazione dello storage

Ad ogni nodo del cluster deve essere collegato storage condiviso, cioè visibile da tutti i nodi. È possibile presentare lo storage ai diversi nodi tramite ISCSI, SAN Fiber Channel, Shared SAS oppure tramite gli Storage Spaces. Ho già avuto modo di parlarvi degli Storage Spaces nell’articolo Implementare Storage Spaces Direct in Windows Server 2016 con Microsoft Azure e nell’articolo Storage Spaces Tiering in Windows Server 2016

Fate riferimento alla pagina Plan for Storage in Scale-Out File Server per maggiori informazioni sugli scenari supportati per lo storage e le relative configurazioni.

In questo laboratorio mi servirò di un ISCSI Target installato sulla macchina ISCSI1.demo.lab che pubblica due dischi: un disco di quorum da 10 GB e un disco dati da 500GB. La configurazione dell’ISCSI Target esula dai contenuti di questa guida. Per approfondimenti vi rimando alla lettura dell’articolo Configure Windows 2012 R2 as iSCSI target

Sui due nodi del cluster, FS1.demo.lab ed FS2.demo.lab, ho collegato i dischi ISCSI utilizzando l’ISCSI Initiator, come mostrato in figura:

Figura 3: Configurazione dell’ISCSI Initiator sui due nodi del cluster

Dopo aver collegato i dischi tramite l’ISCSI Initiator, ho provveduto sulla macchina FS1.demo.lab ad inizializzare i dischi e a formattarli, come mostrato nelle figure sotto:

Figura 4: Inizializzazione dei dischi ISCSI sulla macchina FS2.demo.lab

Figura 5: Formattazione dei due dischi ISCSI sulla macchina FS1.demo.lab

Poiché si tratta di dischi ISCSI, sulla macchina FS2.demo.lab i due dischi risulteranno formattati ma saranno visti offline. Windows infatti non supporta la clusterizzazione dei dischi NTFS. Provvederemo più tardi ad utilizzare la funzionalità di Cluster Shared Volume per permettere ad entrambi i nodi di poter scrivere contemporaneamente sullo stesso disco.

Configurazione della rete

I due nodi sono collegati tramite due schede di rete: una di management ed una dedicata all’heartbeat. Vi consiglio la lettura dell’articolo Plan for Networking in Scale-Out File Server per approfondire tutti i requisiti di rete necessari per il corretto funzionamento del Cluster.

Installazione e configurazione del Cluster

Per configurare uno Scale-out File Server è necessario che su entrambi i nodi venga installata la funzionalità di File Server e di Failover Clustering. Potete servirvi del Server Manager per installare le funzionalità su entrambi i nodi, oppure potete utilizzare il comando PowerShell

$servers = "fs1.demo.lab", "fs2.demo.lab"

foreach ($server in $servers)
{
    Install-WindowsFeature -Computername $server –Name File-Services, Failover-Clustering –IncludeManagementTools
}

Figura 6: Aggiunta del secondo nodo al Server Manager di FS1.demo.lab per poterlo gestire

Figura 7: Aggiunta del ruolo File Server

Figura 8: Aggiunta della funzionalità di Failover Clustering

Effettuate l’installazione del ruolo di File Server e della funzionalità di Failover Clustering anche sul secondo nodo.

Figura 9: Installazione del ruolo di File Server e della funzionalità di Failover Clustering anche sul secondo nodo

Terminata l’installazione dei ruoli e della funzionalità, utilizzate la console del Failover Cluster Manager per testare la configurazione dei due nodi e per creare il nuovo cluster. Vi consiglio di verificare i prerequisiti elencati alla pagina Creare un cluster di failover

Lanciate quindi il wizard per la validazione del cluster, in modo tale da essere sicuri che tutti i prerequisiti siano stati rispettati.

Figura 10: Validazione dei nodi del cluster

Figura 11: Validazione effettuata

Terminata la validazione potete creare il nuovo cluster. Cliccate su Create the cluster now using the validates nodes e seguite il wizard di creazione. Indicate il nome del cluster (nel mio caso CLUSTER1) e l’indirizzo IP da assegnargli, come mostrato nelle figure sotto. Io ho anche scelto di aggiungere al cluster tutti i dischi condivisi che sono stati agganciati ai nodi, utilizzando Add all eligible storage to the cluster.

Figura 12: indicazione del nome e dell’indirizzo IP del cluster

Figura 13: Aggiunta dello storage condiviso da tutti i nodi del cluster

Figura 14: Creazione del cluster completata

Verificate la creazione del cluster dalla console del Failover Cluster Manager e verificate che i dischi condivisi siano stati aggiunti. Come si vede dalla figura sotto, il disco da 10GB viene utilizzato per il quorum, mentre quello da 500GB è disponibile per i dati e può essere trasformato in un Cluster Shared Volume (CSV). I CSV permettono a tutti i nodi di un cluster di failover di poter accedere contemporaneamente sia in lettura che in scrittura ad un disco formattato NTFS o ReFS. NTFS ed ReFS non sono infatti file system clusterizzabili. Per approfondimenti vi rimando alla lettura dell’articolo Utilizzare volumi condivisi del Cluster in un cluster di failover

Cliccate col tasto destro sul disco da utilizzare e scegliete la voce Add to Cluster Shared Volume.

Figura 15: Aggiunta del disco condiviso al Cluster Shared Volume

Il processo è praticamente istantaneo e permette di trasformare il disco in un mount point. Adesso tutti i nodi del cluster potranno accedere al disco utilizzando il percorso predefinito C:\ClusterStorage\Volume1 e potranno leggere e scrivere contemporaneamente nello storage condiviso.

Figura 16: il disco è stato trasformato in un Cluster Shred Volume

Verificate anche la configurazione delle schede di rete per controllare che ognuna delle schede sia utilizzata nel modo corretto per il management, lo scambio dati e per l’heartbeat.

Figura 17: Configurazione delle reti del cluster

Il cluster è ora configurato e possiamo procedere all’installazione dello Scale-out File Server.

Configurazione dello Scale-Out File Server

Una volta che avete installato tutti i prerequisiti per lo Scale-out File Server, utilizzate il Failover Cluster Manager per aggiungere il ruolo di File Server, per definire il File Server Type e per dichiarare il nome che utilizzeranno i client per accedere allo Scale-out File Server, come mostrato nelle figure sotto:

Figura 18: Aggiunta del ruolo clusterizzato di file server

Figura 19: Scelta del tipo di file server clusterizzato che si vuole creare

Figura 20: Nome dello Scale-out File Server

Figura 21: Conferma dei parametri di configurazione del SOFS

Figura 22: Creazione del SOFS completata

Durante il wizard di creazione non vi è stato chiesto quale indirizzo IP utilizzare per il SOFS perché verrà utilizzato il DNS Round Robin per la risoluzione del nome scelto per lo Scale-out File Server.

Figura 23: Nel server DNS sono stati creati due record per entrambi i nodi del cluster

Creazione della condivisione di rete

Una volta che avete creato lo Scale-out File Server non vi rimane altro che creare la cartella condivisa dentro la quale inserire le vostre applicazioni, i vostri database o le vostre macchine virtuali Hyper-V. Dalla console del Failover Cluster Manager cliccate col tastro destro sul nome dello Scale-out File Server e scegliete la voce Add File Share. Seguite il wizard di creazione della condivisione di rete, come mostrato nelle figure sotto:

Figura 24: Aggiunta della File Share al SOFS

Figura 25: Scelta del profilo della cartella condivisa

Figura 26: Percorso dove verrà creata la cartella condivisa

Figura 27: Scelta del nome della cartella condivisa

Figura 28: Configurazione dei parametri di condivisione

Figura 29: Permessi di accesso alla condivisione di rete

Figura 30: Conferma della creazione della cartella condivisa

Nella console del Failover Cluster Manager la cartella condivisa ed il suo percorso sono facilmente visualizzabili.

Figura 31: Visualizzazione delle cartelle condivise dal SOFS dalla console del Failover Cluster Manager

La cartella è raggiungibile da Esplora Risorse semplicemente indicando il percorso \\SOFS1\VMs

Figura 32: La cartella è condivisa è raggiungibile da Esplora Risorse

Gestione tramite Windows Admin Center

Windows Admin Center è un’applicazione basata su browser, distribuita a livello locale per la gestione di server, cluster, infrastrutture iper-convergenti e client. Un’evoluzione delle console di gestione, Server Manager o MMC, facile da installare e senza costi aggiuntivi. Se non conoscete il prodotto o le sue potenzialità vi consiglio di leggere l’articolo Windows Admin Center: la rivoluzione della gestione di Windows Server

Alla data di stesura di questo articolo, è disponibile la versione 1809.5, che permette di gestire il Failover Cluster ma non permette di creare delle condivisioni di rete. Sarà quindi necessario utilizzare il Failover Cluster Manager.

Figura 33: Gestione del cluster utilizzando Windows Admin Center

Conclusioni

Lo Scale-out File Server (SOFS) è una funzionalità progettata per offrire condivisioni di file con scalabilità orizzontale che siano continuamente disponibili per memorizzare i dati gestiti da applicazioni che usano i file server, come ad esempio Hyper-V e SQL Server. SOFS permette di ottenere un livello di affidabilità, disponibilità, gestibilità e alte prestazioni in maniera simile a quello che ci si aspetta da una SAN (Storage Area Network). Tutte le condivisioni di file sono in linea contemporaneamente in tutti i nodi e l’eventuale problematica di un nodo del cluster non crea indisponibilità per i workload, permettendo quindi di continuare a lavorare in maniera trasparente. In più la larghezza di banda massima disponibile per le condivisioni di rete è la larghezza di banda totale di tutti i nodi del cluster di file server, diversamente da quanto accadeva per le versioni precedenti di Windows Server, in cui la larghezza di banda totale era vincolata alla larghezza di banda di un singolo nodo del cluster.

OneDrive for Business e Office 365 rendono più semplice la collaborazione e la condivisione dei file in azienda. L’accesso ai file è disponibile ovunque e da molteplici piattaforme: Windows, Mac, Xbox, iOS e Android. È possibile creare, visualizzare e modificare i file ovunque vi troviate grazie a comode App, che vi permettono anche di condividere in maniera rapida ed efficace i documenti sia all’interno che all’esterno della vostra azienda. I file possono essere gestiti in tutta sicurezza e possono essere modificati in tempo reale e da più utenti contemporaneamente con Word, Excel e PowerPoint. Utilissima anche la funzionalità di “versioning” che permette di recuperare i dati da modifiche/cancellazioni accidentali o da ransomware.

OneDrive for Business è disponibile in tutti i piani di Office365 oppure può essere acquistato separatamente. Alla pagina https://products.office.com/it-it/onedrive-for-business/onedrive-online-plans potete verificare tutte le opzioni di acquisto.

L’obiettivo di questo articolo è quello di darvi una panoramica generale di come configurare OneDrive in un ambiente enterprise.

Installazione App

Su Windows 10 di default l’applicazione è già installata. Per i sistemi operativi Windows 7 e 8.1 è disponibile alla pagina https://onedrive.live.com/about/it-IT/download/

Una volta avviato, OneDrive for Business provvederà automaticamente ad aggiornarsi alla versione più recente (è necessario che il client sia connesso ad Internet).

È possibile distribuire l’applicazione anche tramite System Center Configuration Manager ed Intune.

Per gestire e configurare OneDrive for Business in un ambiente Enterprise ci serviremo delle Group Policy e degli Administrative Templates che Microsoft ci mette a disposizione per facilitare le operazioni e per permettere di standardizzare il comportamento dell’applicazione in tutti i client del nostro dominio.

Configurazione GPO

Gli Administrative Templates (file OneDrive.admx e OneDrive.adml) di OneDrive for Business possono essere recuperati dalla cartella “%localappdata%\Microsoft\OneDrive\numeroversione\adm”, prendendoli da una postazione in cui è installato il client di OneDrive, e dovranno essere copiati nella cartella “C:\Windows\PolicyDefinitions” del vostro domain controller (il file OneDrive.adml dovrà essere posizionato all’interno della sottocartella della lingua, ad esempio en-us) oppure nel Group Policy central store del vostro dominio (i file devono essere incollati nel percorso “\domain\sysvol\domain\Policies\PolicyDefinitions”). Trovate maggiori dettagli alla pagina https://docs.microsoft.com/en-us/onedrive/use-group-policy

Figura 1: Administrative templates utili a configurare OneDrive for Business tramite Group Policy

Tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\OneDrive, ho configurato le seguenti impostazioni:

• “Silently configure OneDrive using the primary Windows Account“: all’avvio OneDrive utilizzerà l’account Windows per accedere tramite Modern Authentication.

Figura 2: all’avvio OneDrive utilizzerà l’account Windows per accedere tramite Modern Authentication

• “Silently move Windows known folders to OneDrive“: è la nuova funzionalità di “Autosave”, che permette la sincronizzazione automatica delle principali cartella utilizzate dagli utenti (Windows known folders) dal client su OneDrive dalla versione 18.171.0823.0001 e successive.

È sicuramente vantaggioso effettuare lo spostamento o il reindirizzamento delle Windows Known Folders (Desktop, Documenti, Immagini, Schermate e Camera Roll) a OneDrive for Business per gli utenti nel dominio:

• Gli utenti possono continuare a utilizzare le cartelle con cui hanno più familiarità (Desktop e Documenti in primis) e non devono ricordarsi di salvare i file in OneDrive.
  
• Il salvataggio dei file in OneDrive consente di eseguire il backup dei dati degli utenti nel cloud e fornisce l’accesso ai propri file da qualsiasi dispositivo.
  

Trovate un approfondimento alla pagina https://docs.microsoft.com/it-it/onedrive/redirect-known-folders

Figura 3: Configurazione “Autosave”, che permette la sincronizzazione automatica di Desktop, Documenti ed Immagini dal client su OneDrive

Tra le impostazioni disponibili lato computer troviamo anche la gestione dei limiti di banda in upload/download e le “features on demand” che approfondiremo successivamente.

Tra le impostazioni utente, nel percorso della GPO User Configuration\Policies\Administrative Templates\OneDrive, ho configurato le seguenti impostazioni:

• “Prevent users from synchronizing personal OneDrive account“: inibisce la possibilità di configurare l’account personale OneDrive.
• “Prevent users from changing the location of their OneDrive folder“: per evitare che l’utente possa modificare la destinazione della cartella OneDrive.

Figura 4: Disabilitazione della possibilità di modificare la destinazione della cartella di OneDrive for Business

Per la corretta configurazione delle policy “Silently move Windows known folders to OneDrive” e “Prevent users from changing the location of their OneDrive folder“, sarà fondamentale recuperare il GUID del proprio tenant di Office 365. È possibile trovarlo tra le proprietà in Azure Active Directory, seguendo le indicazioni della pagina https://docs.microsoft.com/it-it/onedrive/find-your-office-365-tenant-id

Figura 5: Individuazione del Directory ID dal portale di Azure Active Directory

Una volta terminate le modifiche e collegata la policy alle OU interessate o direttamente al dominio, sul client partirà automaticamente il processo di “Autosave” e la configurazione automatica dell’account.

Funzionalità “Autosave”

Questa funzionalità, disponibile dalla versione OneDrive 18.171.0823.0001 e successive, effettua la sincronizzazione automatica dei file delle cartelle Desktop, Documenti ed Immagini in Cloud.

Prima di implementare l’Autosave, ho preferito escludere tutti i file con delle determinate estensioni. Dalla pagina https://admin.onedrive.com/ possiamo modificare tutte le impostazioni dell’organizzazione.

Figura 6: Disabilitazione dalla sincronizzazione di file con determinate estensioni dall’admin center di OneDrive

Quando vengono disabilitati alcuni tipi di file gli utenti verranno notificati con un messaggio di errore e potrebbero essere richieste delle operazioni manuali da parte dell’utente affinché il processo di upload vada a buon fine.

Ad esempio, simulando che l’utente abbia sul proprio desktop un file .ISO (che ha un’estensione che è stata bloccata) , OneDrive notificherà all’utente il seguente messaggio di errore:

Figura 7: Notifica di OneDrive relativa all’impossibilità di caricare online un file con estensione proibita

Cliccando su “Can’t upload files” appariranno i files che causano la problematica e verrà fornito all’utente la risoluzione del problema, come mostrato in figura:

Figura 8: Individuazione dei file che provocano la problematica e relativa risoluzione

I dettagli sui files non supportati da OneDrive sono disponibili alla pagina Nomi e tipi di file non validi in OneDrive, OneDrive for Business e SharePoint

Files On-Demand

Questa funzionalità permette di accedere ai file in OneDrive senza doverli scaricare, evitando così l’utilizzo di spazio disco sul client. È possibile impostare eccezioni su singoli file che possono essere disponibili anche offline.

Files On-Demand è disponibile da Windows 10, versione 1709 (Fall Creators Update) ed è configurabile tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\OneDrive:

Figura 9: Configurare Files On-Demand tramite GPO

Per maggiori informazioni sulla funzionalità vi rimando alla lettura dell’articolo Learn about OneDrive Files On-Demand

Conclusioni

OneDrive è uno strumento sempre più indispensabile in un’organizzazione e non necessita di operazioni complesse da parte del reparto IT per l’implementazione.

Con le funzionalità di “Autosave” e “Files On-Demand”, rende più facile il lavoro agli utenti per il salvataggio, la condivisione e la fruibilità dei dati da qualsiasi device.

Una delle frasi che più mi è rimasta impressa dell’insediamento di Satya Nadella alla guida di Microsoft è “mobile-first, cloud-first”. A distanza di più di 5 anni da quando ha pronunciato quella frase, devo dire che l’investimento tecnologico che Microsoft ha fatto nelle tecnologie Cloud è stato davvero imponente e anche il nostro modo di lavorare è cambiato tanto in questi anni.

Siamo sempre collegati allo smartphone e lo usiamo tantissimo per lavorare, per essere sempre connessi al nostro business e ai nostri clienti e ormai non ne possiamo più fare a meno.

Lo Smart working, fenomeno che si sta diffondendo nelle aziende intaliane e nella pubblica amministrazione, ci permette di lavorare da casa e di essere flessibii negli orari e negli spazi dove lavorare.

Ma per lavorare abbiamo bisogno di un device, che sia un portatile, un tablet o un PC e abbiamo bisogno di poter controllare gli accessi da questi dispositivi.

In questa guida voglio affrontare la gestione dei dispositivi mobili e dei computer che non sono collegati al dominio aziendale e che pertanto risultano più difficili da gestire. Il BYOD (Bring Your Own Device) da quasi 10 anni permette di portare i propri dispositivi personali nel posto di lavoro e usarli per avere accesso alle informazioni aziendali e alle loro applicazioni.

Affronterò in particolare il caso in cui, in un dominio federato con Office 365, io voglia consentire l’autenticazione e l’accesso alle risorse solo per quei dispositivi che conosco e che ho autorizzato, inseguendo un duplice obiettivo:

• Fare in modo che gli utenti finali siano produttivi sempre e ovunque
• Proteggere gli asset aziendali in qualsiasi momento

E per proteggere le risorse aziendali dobbiamo verificare che gli utenti accedano da dispositivi che soddisfino gli standard per sicurezza e conformità.

Controllo dei dispositivi tramite Azure AD

Per controllare un dispositivo tramite Azure Active Directory, sono disponibili due opzioni:

• Registrazione
• Aggiunta (Join)

La registrazione di un dispositivo in Azure AD (Device Registration) consente di gestire l’identità di un dispositivo. Quando un dispositivo viene registrato, Azure AD Device Registration fornisce al dispositivo un’identità che viene usata per autenticare il dispositivo quando un utente accede ad Azure AD. È possibile usare l’identità creata per abilitare o disabilitare un dispositivo all’accesso ad Azure AD.

Figura 1: On-Premises Conditional Access utilizzando i registered devices

Prima di poter aggiungere un dispositivo ad Azure AD è necessario verificare di aver abilitato il join dal portale di Azure Active Directory.

Collegatevi al portale di amministrazione di Office 365 e successivamente accedete al’Azure Active Directory Admin Center. Dalla sezione Manage, cliccate su Devices e successivamente su Device Settings. Decidete se abilitare la possibilità di joinare i dispositivi sia valida per tutti gli utenti del tenant o solo per alcuni utenti. Potete scegliere anche quale sarà il numero massimo di dispositivi che ogni utente potrà aggiungere e se sia necessario utilizzare la Multi-Factor Authentication, come mostrato in figura:

Figura 2: Abilitazione della registrazione dispositivi in Azure Active Directory

Per una panoramica sulla gestione dei dispositivi nel portale di Azure AD, vi rimando alla lettura della guida Gestione dei dispositivi tramite il portale di Azure

Registrare il dispositivo personale in Azure AD

Per registrare il proprio dispositivo in Azure AD e quindi poter avere accesso alle risorse della propria azienda sono necessari pochissimi passaggi. Ovviamente la procedura cambia se volete collegare uno smartphone con Android, con iOS oppure se vi collegate da un pc con Windows.

In questa guida mi occuperò di registrare un dispositivo Windows 10 di proprietà dell’utente e che è in workgroup.

Per registrare il dispositivo personale Windows 10 vi basterà aprire Settings e quindi selezionare Account. Selezionate Access work or school e quindi selezionate Connect. Nella schermata Set up a work or school account digitate l’indirizzo di posta elettronica del vostro account aziendale.

Figura 3: Connessione del computer Windows 10 ad Azure AD

Il dominio che sto utilizzando (nicolaferrini.com) è un dominio federato (Informazioni sulla gestione delle identità di Office 365 e Azure Active Directory) quindi le credenziali verranno passate direttamente al Federation Server interno della mio dominio locale. Il prompt per la password infatti riporta il nome del server utilizzato (sts.nicolaferrini.com)

Figura 4: Inserimento delle credenziali da validare tramite Federation Server interno al dominio locale

Completate il resto del processo di registrazione, inclusa l’approvazione della richiesta di verifica dell’identità (se si usa la verifica in due passaggi) e attendete che il dispositivo risulti registrato.

Figura 5: Completamento del processo di registrazione del dispositivo in Azure AD

Dopo aver registrato il dispositivo personale in Azure AD sarà possibile visualizzare la connessione avvenuta visualizzando che l’account aziendale sia presente nella scheda Access work or school, come mostrato in figura:

Figura 6: Account aziendale collegato al dispositivo personale

Il vantaggio principale di registrare un dispositivo in Azure AD consiste certamente nel poter fare logon automatico a tutte quelle applicazioni che usano Azure AD per l’autenticazione, come ad esempio Office 365. In questo modo l’utente può entrare senza digitare la password. Se infatti l’utente apre il browser e si collega a https://www.office.com non gli verrà chiesta alcuna autenticazione.

Figura 7: L’accesso ai software che utilizzano Azure AD per l’autenticazione avviene in maniera automatica

Gli amministratori possono verificare in qualsiasi momento quali sono i dispositivi aggiunti ad Azure AD da ogni singolo utente, utilizzando il portale di amministrazione di Office 365 e successivamente accedendo all’Azure Active Directory Admin Center. Dalla sezione Manage, basta cliccare sul nome dell’utente e successivamente su Devices, come mostrato in figura:

Figura 8: Dispositivi personali aggiunti dall’utente ad Azure AD

Cliccando sul singolo dispositivo è possibile verificarne l’ID, è possibile disabilitarlo oppure cancellarlo.

Figura 9: ID del dispositivo aggiunto ad Azure AD

Preparazione della foresta di Active Directory per il supporto al device writeback

Per preparare la foresta Active Directory per supportare i dispositivi è necessario che l’Active Directory forest level sia almeno Windows Server 2012 R2. Potete verificare il livello semplicemente utilizzando la console Active Directory Domains and Trusts e cliccando col tasto destro scegliete Raise Forest Functional Level…, come mostrato in figura:

Figura 10: Verifica del livello funzionale della foresta di Active Diretory

Sul Federation Server eseguite, solo la prima volta, il comando Powershell Initialize-ADDeviceRegistration. Quando viene richiesto di specificare ServiceAccountName, immettete il nome dell’account di servizio utilizzato da AD FS. Se avete utilizzato un Group Managed Service Account usate il formato dominio\nomeaccount$, se invece avete utilizzato un utente di servizio normale usate il formato dominio\nomeaccount. Nel mio caso ho utilizzato un Group Managed Service Account:

Figura 11: Preparazione della foresta di Active Directory

È necessario anche preparare il Federation Server del vostro dominio interno a supportare la Device Authentication. Aprite la console di gestione di AD FS e in Authentication Policies selezionate Edit Global Primary Authentication. Cliccate su  Enable device authentication e confermate con OK.

Figura 12: Abilitazione della Device Authentication in AD FS

Per impostazione predefinita, AD FS rimuove periodicamente dall’ Active Directory interno i dispositivi inutilizzati. Disabilitate questa modalità quando si usa il servizio Azure Active Directory Device Registration, in modo che i dispositivi possano essere gestiti in Azure, lanciando sul Federation Server comando PowerShell Set-AdfsDeviceRegistration -MaximumInactiveDays 0

Figura 13: Disabilitazione della rimozione dei dispositivi inutilizzati in AD FS

Abilitazione del writeback dei dispositivi

Come anticipato all’inizio della guida, l’obiettivo è quello di filtrare gli accessi alle applicazioni gestite dal Federation Server e di consentirli solo se provenienti da dispositivi conosciuti e attendibili. Prima di cominciare assicuratevi di essere nello scenario giusto e di aver implementato Active Directory Federation Services per l’autenticazione ad Office 365. Vi rimando alla lettura della mia guida Configurare AD FS 2016 ed Office 365 con Azure AD Connect per conoscere tutti i passaggi necessari alla realizzazione dello scenario trattato in questo articolo.

Il writeback dei dispositivi, che permette di abilitare l’accesso condizionale alle applicazioni protette tramite AD FS 2012 R2 o versioni successive, serve quindi a registrare nel nostro dominio locale tutti i device che gli utenti hanno aggiunto ad Azure AD.

Lanciate il tool Azure AD Connect (che deve essere versione 1.1.819.0 o successiva) dal server interno su cui lo avete installato e selezionate Configure device options dalla pagina Additional tasks.

Figura 14: Configure Device Options in Azure AD Connect

Dopo esservi loggati al vostro tenant di Azure AD con le credenziali di un Global Administrator passate alla pagina delle opzioni del dispositivo e selezionate Configure device writeback. L’opzione Disable device writeback non sarà disponibile finché non viene abilitato il writeback dei dispositivi. 

Figura 15: Azure AD Connect dalla versione 1.1.819.0 e successive è capace di configurare l’Hybrid Azure AD Join e il Device Writeback

Figura 16: Connessione ad Azure AD con le credenziali di un Global Administrator

Figura 17: Scelta della configurazione del Device Writeback

Selezionate a questo punto la foresta ed il dominio locali dove volete che vengano aggiunti i vostri dispositivi registrati in Azure AD.

Figura 18: Foresta el dominio locali dove verranno aggiunti i dispositivi registrati in Azure AD

La pagina Device container consente di preparare l’Active Directory locale a ricevere i dispositivi registrati, tramite una delle due opzioni:

• Fornire le credenziali di amministratore di un Enterprise Admin: Azure AD Connect preparerà la foresta automaticamente durante la configurazione del writeback dei dispositivi.
• Scarica lo script di PowerShell: Azure AD Connect genera automaticamente uno script di PowerShell che può preparare Active Directory per il writeback dei dispositivi.

Figura 19: Inserimento delle credenziali per la creazione dell’oggetto Device Container in Active Directory

Figura 20: Controllo delle impostaziomni prima della configurazione

Figura 21: Configurazione del Device Writeback completata

Verifica della creazione dei dispostivi nell’Active Directory locale

Dopo aver completato la configurazione, potrete aprire la console di Active Directory Users and Computer per verificare che sia stato creato un nuovo contenitore chiamato RegisteredDevices, con all’interno gli eventuali dispositivi che erano già stati registrati in Azure AD. Dalla documentazione ufficiale Microsoft risulta che ci potrebbero volere fino a 3 ore per vedere i dispositivi replicati all’interno del dominio locale. Nel mio caso è avvenuto tutto nel giro di pochi minuti. Nella schermata sotto si può vedere la console di Active Directory Users and Computer con evidenziato l’ID del dispositivo aggiunto prima (vedere la figura 9).

Figura 22: Container RegisteredDevices creato nell’Active Directory locale

Creazione di policy di accesso alle applicazioni

L’obiettivo è quello di creare una regola che consenta solo ai dispositivi registrati di poter accedere all’applicazione che usa AD FS per l’autenticazione. In particolare, noi modificheremo il Relying Party Trust che gestisce l’autenticazione di Office 365.

Dalla console di gestione di Active Directory Federation Services, in AD FS > Trust Relationships > Relying Party Trusts, individuate l’applicazione a cui applicare questa nuova regola di accesso (nel mio caso Microsoft Office 365 Identity Platform). Fate clic con il pulsante destro del mouse sull’applicazione e selezionate Edit Claim Rules.

Figura 23: Creazione della Application Access policy per Office 365

Selezionate il tab Issuance Authorization Rules e fate clic su Add Rule

Figura 24: Creazione di una nuova Issuance Authorization Rules

Dal Claim rule template selezionate Permit or Deny Users Based on an Incoming Claim.

Figura 25: Selezione del Rule Template

Date un nome alla Issuance Authorization Rule, dal menù a tendina di Rule Incoming claim type scegliete Is Registered Usere e nel campo In the Incoming claim value field scrivete true. Lasciate selezionato Permit access to users with this incoming claim

Figura 26: Creazione della regola con relative configurazioni

Cliccando su Finish verrà creata la nuova Issuance Authorization Rule

Figura 27: Issuance Authorization Rule creata

Rimuovete eventuali regole più permissive di quella creata. Ad esempio, io ho rimosso la regola predefinita Permit Access to all Users

Figura 28: Rimozione delle Issuance Authorization Rule più permissive

L’applicazione ora è configurata per consentire l’accesso solo quando l’utente opera da un dispositivo registrato al workplace.

NOTA: è possibile applicare il controllo degli accessi a QUALSIASI applicazione modificando il rispettivo Relying Party Trust. Office 365 è solo un esempio di applicazione che può utilizzare i Federation Services per l’autenticazione

Verifica dell’accesso da dispositivi NON registrati

Se l’utente cerca di autenticarsi da un dispositivo NON registrato, dopo aver fornito le credenziali al Federation Server (si sta collegato da una macchina in workgroup e non in dominio, quindi non può effettuare il Single Sing-on oppure si sta collegando da uno smartphone o da un tablet), riceverà un messaggio di errore e gli verrà impedito l’accesso.

Figura 29: Connessione al portale di autenticazione di Office 365

Figura 30: Poiché il dominio utilizzato è federato, la richiesta di autenticazione viene inoltrata al Federation Server del dominio interno

Figura 31: Inserimento delle credenziali da un dispositivo non registrato

Figura 32: Messaggio di errore da parte del Federation Server. Il dispositivo NON è registrato e quindi non è permesso l’accesso all’applicazione

Personalizzazione del messaggio di errore di accesso all’applicazione

Ho notato che il messaggio predefinito utilizzato dal Federation Server non avvisa gli utenti della reale problematica relativa all’accesso all’applicazione. Infatti, fa riferimento ad un problema di autorizzazione da parte dell’utente e non del fatto che si stia utilizzando un dispositivo NON registrato.

Potete quindi personalizzare il messaggio di errore. Il messaggio indicherà agli utenti che devono aggiungere il proprio dispositivo al workplace per poter accedere all’applicazione. È possibile usare codice HTML personalizzato e PowerShell per la personalizzazione.

Nel Federation Server lanciate il seguente comando PowerShell:

Set-AdfsRelyingPartyWebContent -Name "Microsoft Office 365 Identity Platform" -ErrorPageAuthorizationErrorMessage "È necessario prima registrare il proprio dispositivo per poter accedere al Portale di Office365, Per maggiori informazioni visitare la pagina <A href='https://docs.microsoft.com/it-it/azure/active-directory/user-help/user-help-register-device-on-network'>Registrare il dispositivo personale nella rete dell'organizzazione</A>"

Ovviamente personalizzate il messaggio di errore a vostro piacimento

Figura 33: Messaggio di errore personalizzato per gli utenti che non si connettono da dispositivi registrati nel workplace

Conclusioni

I criteri di accesso condizionale basati su dispositivo permettono di poter aumentare il livello di sicurezza per l’accesso alle applicazioni. Filtrare gli accessi alle applicazioni la cui autenticazione è gestita dal Federation Server (come ad esempio Office 365) e di consentirli solo se provenienti da dispositivi conosciuti e attendibili permette di proteggere gli assett aziendali e permette agli utenti di utilizzare i dispositivi personali senza rinunciare alla sicurezza.

PowerShell è sempre più uno strumento di governo e gestione dei sistemi che quotidianamente devono essere amministrati in un’infrastruttura IT.

A prescindere dalla dimensione e dal numero di postazioni gestite in ci si può trovare ad eseguire script in Powershell, le impostazioni di default non ne permettono l’esecuzione in modo automatico ed il comando che sovente viene eseguito è set-executionpolicy unrestricted, che permette da un lato l’esecuzione di uno script, ma dall’altro espone il sistema ad attacchi di Malware che sfruttano proprio PowerShell per infiltrarsi.

Proviamo a capire meglio quali sono i contesti di sicurezza in cui opera Powershell e quindi a capire quando e se è necessario “abbassare” i livelli di protezione per l’esecuzione degli script che devono essere eseguiti.

1) Execution Policy

Le execution policy determinano le condizioni per le quali l’ambiente PowerShell carica ed esegue uno script in modo automatico. Normalmente è richiesto che venga aperta una sessione PS e solo successivamente venga eseguito manualmente lo script.

Le Execution Policy possono, e sono, applicate a 5 contesti ben definiti che vengono identificati con il nome di Scope In questo modo è possibile essere ancora più precisi nella definizione del contesto in cui un particolare script deve operare; ad esempio è possibile definire che possano essere eseguiti esclusivamente script firmati digitalmente nel contesto Macchina mentre nel contesto Utente non sia ammessa l’esecuzione automatica di alcuno script.

Le Execution Policy possono essere:

• Restricted
  
• Unrestricted
  
• Allsigned
  
• RemoteSigned
  
• Bypass
  
• Undefined
  

ed ognuna di queste può essere applicata in un particolare Scope, che a sua volta può essere:

• CurrentUser
  
• LocalMachine
  
• Process
  
• MachinePolicy
  
• UserPolicy
  

Le impostazioni del contesto Utente e Macchina (CurrentUser, LocalMachine) trovano la loro collocazione all’interno del registry, rispettivamente nei rami HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE, mentre per il contesto Process, ossia la sessione di esecuzione, l’impostazione risiede in memoria e viene cancellata quando termina la sessione.

I contesti MachinePolicy e UserPolicy sono impostati ed impostabili esclusivamente tramite GPO.

1.1) Visualizzazione delle impostazioni correnti

Tramite    PowerShell è possibile visualizzare le impostazioni di sicurezza dell’ambiente in esecuzione. La cmdlet da utilizzare è Get-ExecutionPolicy e se eseguita senza opzioni riporta le impostazioni correnti.

Figura 1: Rilevazione delle impostazioni correnti

Se vogliamo invece rilevare quelle che sono le impostazioni correnti per tutti gli Scope dovremo digitare Get-ExecutionPolicy -list oppure per un singolo Scope Get-ExecutionPolicy -Scope <NomeScope>

Figura 2: Rilevazione delle impostazioni per tutti gli scope

Osservando il risultato della cmdlet possiamo notare che è sostanzialmente diverso pur rilevando le impostazioni correnti. Questo è dovuto al fatto che in figura 1 è riportata la Execution Policy effettivamente attiva nel contesto utente che ha eseguito il comando, ossia Resticted, mentre in figura 2 è riportata l’impostazione della Execution Policy per tutti gli scope, ed in questo caso non vi è alcuna impostazione.

Nel caso di impostazione di default (Undefined ), PowerShell utilizza la policy di esecuzione Restricted a garanzia di un maggior grado di protezione, come si evince in figura 1 .

2) Modalità operative della Execution Policy

Come già accennato, ogni ExecutionPolicy permette di definire con precisione la tipologia di script che può essere eseguita e la modalità di esecuzione. Tutte le modalità sono attivabili con la cmdlet Set-ExecutionPolicy <Policy> -Scope <Scope>

2.1) Restricted

È la modalità di default e di fatto non permette l’esecuzione di nulla se non tramite l’esplicita azione dell’utente che, selezionato lo script deve effettuare la scelta “Esegui con Powershell”. Nel caso in cui si tenti l’esecuzione dello script il messaggio sarà il seguente:

Figura 3: Blocco di esecuzione Resticted

Di default non è permessa l’esecuzione di file di configurazione e formattazione (.ps1xml), Module script (.psm1), e Script (.ps1) mentre è permessa l’esecuzione in shell di singoli comandi.

2.2) Unrestricted

È l’impostazione esattamente contraria alla precedente, ossia qualunque esecuzione è permessa di qualunque tipo di script, l’impostazione Unrestricted è attivabile con il comando Set-ExecutionPolicy -unrestricted -Scope <Scope>

Figura 4: Set-executionpolicy Unrestricted

È sconsigliata l’appplicazione al contesto LocalMachine in quanto automaticamente sarebbe ereditata da tutti gli utenti che accedono al sistema come si può vedere nelle figg. 5/6

Set-ExecutionPolicy Unrestricted -Scope LocalMachine

Figura 5: Assegnazione al contesto di macchina

Get-executionPolicy -List

Figura 6: Impostazione ereditata dall’utente

Questa impostazione è sconsigliata come impostazione definitiva e potrebbe essere un buon compromesso l’applicazione nello Scope Process in modo che al termine della sessione di lavoro il contesto utente sul sistema abbia sempre il grado di protezione dei default.

2.3) AllSigned

Con questa impostazione è permessa l’esecuzione di Script e Configuration file a condizione che siano firmati da un certificato emesso da una CA attendibile. Ad esempio una CA di tipo enterprise con un Trust Level a livello di dominio o foresta potrebbe essere utilizzata per la firma di Script Powershell da utilizzare con questa impostazione di sicurezza. Viene proposto all’utente un Warning in caso di esecuzione di uno script firmato con un certificato di una CA non riconosciuta.

Figura 7: Ciclo di esecuzione e warning per file .ps1 firmato con certificato non attendibile

Mentre non viene eseguito nulla in caso di Script non firmato da certificato valido.

Figura 8: Blocco esecuzione per file non valido

Un residuo rischio per la sicurezza è possibile in quanto potrebbero essere eseguiti script firmati ma contenenti codice malevolo.

2.4) RemoteSigned

Questa impostazione è una via di mezzo tra l’esecuzione libera e quella più rigida di AllSigned. Il comportamento segue le condizioni ai punti qui sotto

• è permessa l’esecuzione di Script locali, dove per locali si intende non scaricati dal Web,
• è permessa l’esecuzione di script scaricati dal Web e non firmati digitalmente a patto che sia stato rimosso il blocco tramite il commandlet Ublock-File
• è l’impostazione predefinita per i sistemi Server

2.5) Bypass

Con questa impostazione nulla viene bloccato e dal punto di vista della sicurezza è l’impostazione più critica. È la policy di esecuzione che viene utilizzata quando Powershell è un componente di un ambiente più esteso e che dispone di un proprio modello di sicurezza.

2.6) Undefined

E’ l’impostazione che non prevede impostazioni, ma che di fatto come già detto in precedenza corrisponde a Restricted

3) Execution Policy Scope

Come accennato prima lo Scope di applicazione delle Policy di esecuzione può essere definito come il confine entro il quale vengono applicate le Execution Policy. È possibile utilizzare 3 scope differenti, Process, CurrentUser, LocalMachine.

Tuttavia, il command-let Get-ExecutionPolicy riporta altri due Scope MachinePolicy e UserPolicy che non sono direttamente modificabili ma vengono utilizzati quando l’impostazione delle Policy di Esecuzione avviene tramite GPO, come analizzeremo più avanti.

3.1) Process

Quanto impostato a questo livello è valido solamente per la sessione corrente del processo PowerShell. Contrariamente agli altri due Scope la sua impostazione non risiede nel registry, ma in una variabile di sistema che non può essere modificata all’interno della sessione, la sua eventuale modifica può avvenire esclusivamente tramite la cmdlet SetExecutionPolicy.

$env:PSExecutionPolicyPreference

Figura 9: Rilevazione impostazione dell’ambiente

Una nuova sessione PS avrà quindi le impostazioni di Default

3.2) CurrentUser

L’impostazione definita in questo Scope sarà valida per l’utente corrente e non per altri e la sua configurazione è definita in nella chiave di registro HKEY_CURRENT_USER\Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell

All’interno è definita una chiave con nome ExecutionPolicy che contiene l’effettiva Policy di Esecuzione.

Figura 10: Rilevazione impostazione da PS e tramite registry

Si noti che la chiave è presente solo se sono definite delle impostazioni differenti da Undefined, nel caso non sia dichiarato nulla la chiave non è presente, così come pure il ramo “Powershell”

3.3) LocalMachine

Questa impostazione è analoga alla precedente dal punto di vista della sua definizione, anche in questo caso è definita la stessa chiave di registro nel ramo LOCAL_MACHINE in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell

Figura 11: Impostazione a livello LocalMachine

4) Ordine di applicazione delle ExecutionPolicy

Nel caso vengano impostate regole differenti a livello utente, in contrasto con quelle definite a livello macchina, saranno applicate le prime.

Figura 12: Ordine di applicazione

Con questa particolare impostazione nel contesto utente l’effettivo permesso di esecuzione corrisponde a Bypass la reimpostazione a valori di default delle policy di esecuzione può essere effettuata con il comando

Set-ExecutionPolicy Unrestricted -Scope <Scope>

Se non viene specificato uno scope il default è applicato a LocalMachine

4.1) Avvio di una singola sessione con ExecutionPolicy particolari

Qualora si dovesse avviare una singola sessione, al di là dello Scope Process è possibile avviare Powershell con l’opzione -ExecutionPolicy specificando quella voluta, ad esempio per avviare lo scritp Samplescript.ps1 con le ExecutionPolicy Bypass dovremmo avviarlo con il comando

powershell.exe -ExecutionPolicy Bypass c:\samplescript\samplescript.ps1

5) Gestione delle Policy di Esecuzione tramite GPO

La descrizione delle impostazioni di sicurezza dell’ambiente viste finora rimane confinata all’interno di un singolo sistema, non sono disponibili in questo contesto impostazioni che possono essere distribuite su più postazioni.

All’interno di un Dominio Active Directory è possibile configurare GPO che possono essere applicate al contesto Utente o al contesto Macchina, queste impostazioni permettono di definire le Policy di Esecuzione dell’ambiente PowerShell in modo centralizzato e con gli stessi risultati che si otterrebbero tramite le cmdlet visti sopra.

Nel paragrafo 3 abbiamo analizzato i vari scope di applicazione locale, vedremo adesso, tramite GPO, le impostazioni degli scope MachinePolicy e UserPolicy, che sono utilizzati in relazione alla corrispondente GPO attivata in AD.

Figura 13: Impostazione di GPO per macchina

Quando vengono attivate queste GPO è bene sapere che alcuni comportamenti vengono modificati nel modo seguente

• Quando viene applicata una Execution Policy tramite GPO nello scope MachinePolicy non è più possibile modificare il comportamento dello Scope CurrentUser
• Quando viene applicata una Execution Policy tramite GPO nello scope MachinePolicy non è più possibile modificare il comportamento dello Scope Process
• Quando viene applicata una Execution Policy tramite GPO nelle scope MachinePolicy le impostazioni eventualmente presenti localmente vengono ignorate

Figura 14: GPO assegnata MachinePolicy

In questo esempio è riportato il warning che informa della presenza di impostazioni “esterne” che sono applicate a prescindere da quello locali

• Quando vengono applicate due policy di esecuzione, una all’utente ed una alla macchina tramite GPO, l’impostazione contenuta nella Policy di macchina determina il comportamento dell’ambiente

5.1) Creazione delle Group Policy Object (GPO)

All’interno dei componenti di Windows, sia di macchine che di utente in WindowsComponents\WindowsPowershell sono disponibili le impostazioni relative all’ambiente PS, per definire le policy di esecuzione è necessario attivare “Turn on Script Execution” e sceglierne l’impostazione

Figura 15: Impostazione della sicurezza relativa alla Execution Policy di PowerShell

All’interno sono presenti le scelte

• Allow only signed scripts
• Allow local scripts and remote signed scripts
• Allow all scripts

Ognuno di questi attiva i comportamenti visti sopra al punto 2 con le corrispondenze seguenti

• Allow only signed scripts à AllSigned
• Allow local scripts and remote signed scripts à RemoteSigned
• Allow all scripts à Bypass

Figura 16: Definizione della GPO Machine

Conclusioni

L’ambiente Powershell è ormai il principale linguaggio di scripting e di gestione degli ambienti Windows, tuttavia le considerazioni in merito alla sua sicurezza rischiano di essere marginali ed in questo modo il rischio di esposizione ad exploit e malware che lo sfruttano è reale concreto.

Il malware Poshspy backdoor, ad esempio, sfrutta l’ambiente Powershell per la sua diffusione.

Riferimenti

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-6

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-6

Introduzione

Internet Explorer e Microsoft Edge possono essere usati per supportare le app Web legacy, infatti utilizzando l’elenco dei siti modalità Enterprise è possibile fare in modo che determinati siti Web si aprano automaticamente in Internet Explorer 11 anziché in Microsoft Edge oppure eseguirne il rendering con una configurazione del browser modificata, progettata per emulare Windows Internet Explorer 7 o Windows Internet Explorer 8.

Per informazioni sull’Enterprise Mode Internet Explorer 11 è possibile fare riferimento alla sezione Enterprise Mode for Internet Explorer 11 su Microsoft Docs, mentre nell’articolo Gestione della Modalità Enterprise di Internet Explorer Versione 11 pubblicato su ICTPower.it vengono illustrati i passi per implementare tale funzionalità.

In questo articolo analizzeremo più in dettaglio il funzionamento dell’Enterprise Mode di Internet Explorer 11 e come risolvere eventuali problematiche che possono verificarsi.

Argomenti

• Prerequisti per l’utilizzo dell’Enterprise Mode per Internet Explorer
• Creazione di una Enterprise Mode site list
• Modifica del rendering dei siti web tramite l’Enterprise Mode per Internet Explorer 11
• Testing dei i siti per la compatibilità
• Utilizzo della Enterprise Mode site list in Internet Explorer
• Utilizzo dell’Enterprise Mode per i Siti Intranet e Visualizzazione di Compatibilità

Prerequisti per l’utilizzo dell’Enterprise Mode per Internet Explorer

L’Enterprise Mode per Internet Explorer è supportata nei sistemi operativi Windows 7, Windows 8.1 e Windows 10 e per essere attivata richiede una site list che può essere impostata tramite Group Policy o tramite chiave di registro.

Per quanto riguarda la group policy esiste la seguente disponibile sia a livello computer che utente:

Administrative Templates\Windows Components\Internet Explorer\Use the Enterprise Mode IE website list

Mentre per quanto riguarda le chiavi di registro è possibile utilizzare la seguente chiave per specificare la site list per l’utente corrente:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode

Oppure utilizzare la seguente chiave per specificare la site list per tutti gli utenti:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode

La site list può essere memorizzata in una delle posizioni:

• Server web HTTPS (per esempio https://srvweb.ictpower.it/emie/sites.xml), questa è la posizione consigliata per una maggiore protezione da eventuali manomissioni dei dati.
• Share nella rete locale (per esempio \\ictpower.it\NETLOGON\emie\sites.xml)
• File locale (per esempio file:///c:\\Users\\<user>\\Documents\\emie\\sites.xml)

Si noti che tutte le configurazioni gestite centralmente avranno la priorità su quelle impostate localmente.

Per maggiori dettagli si veda Turn on Enterprise Mode and use a site list.

Creazione di una Enterprise Mode site list

Per la creazione di una Site List occorre utilizzare il tool Enterprise Mode Site List Manager di cui attualmente esistono due versioni l’Enterprise Mode Site List Manager (schema v.2) o l’Enterprise Mode Site List Manager (schema v.1) che permettono di creare file xml con due versioni di schema differenti:

Sia lo schema per la modalità Enterprise versione 1 (v.1) che lo schema per la modalità Enterprise versione 2 (v.2) supportato su Windows 7, 8.1 e 10, la versione 2 è stata introdotta con Windows 10 1511 e prevede una serie di miglioramenti quindi è consigliabile utilizzare la seconda versione, a riguardo si vedano i post New Enterprise improvements coming to IE11 on Windows 7 and 8.1 e How Microsoft Edge and Internet Explorer 11 on Windows 10 work better together in the Enterprise.

E’ anche possibile non utilizzare l’Enterprise Mode Site List Manager per creare il file XML per la Site List, ma utilizzare semplicemente il Blocco note o un’altra applicazione per modificare i file XML. Inoltre come indicato in Add multiple sites to the Enterprise Mode site list using a file and the Enterprise Mode Site List Manager (schema v.2) è anche possibile creare un file TXT che potrà poi essere utilizzato con l’Enterprise Mode Site List Manager (schema v.2) per aggiungere più siti contemporaneamente tramite la voce di menù Bulk add from file, ma si noti che tale file di testo consente solo di aggiungere più siti contemporaneamente e non è possibile utilizzarlo per distribuire l’Enterprise Mode per Internet Explorer.

Modifica del rendering dei siti web tramite l’Enterprise Mode per Internet Explorer 11

L’Enterprise Mode consente di eseguire il rendering dei siti usando versioni emulate di Internet Explorer 7 o Internet Explorer 8 sebbene i siti siano eseguiti in Internet Explorer 11.

L’IE7 Enterprise Mode attiva la Visualizzazione Compatibilità di Internet Explorer 7 o Internet Explorer 5 e la Visualizzazione Compatibilità sceglie la modalità documento da usare in base alla presenza del tag DOCTYPE nel codice della pagina con le seguenti regole:

• se è presente il tag DOCTYPE il rendering delle pagine Web viene eseguito utilizzando l’IE7 document mode;
• se il tag DOCTYPE è assente il rendering delle pagine Web viene eseguito utilizzando l’IE5 document mode.

L’IE8 Enterprise Mode offre il rendering di Internet Explorer 8 utilizzando la stringa user agent di Internet Explorer 8.

Il doctype contrazione di Document Type Declaration (DTD) è, o dovrebbe essere, la prima riga di codice di un documento HTML e consiste in una dichiarazione circa il linguaggio utilizzato, la versione di tale linguaggio, la lingua, etc ed indica al browser il tipo di documento di cui si tratta. Di seguito un esempio di doctype:

<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.01 Transitional//EN”
http://www.w3.org/TR/html4/loose.dtd>

Per ulteriori informazioni si veda Tips and tricks to manage Internet Explorer compatibility in cui viene indicato che oltre alle modalità IE7 Enterprise Mode e IE8 Enterprise Mode (<emie>) è possibile anche specificare il document mode (<docMode>) in cui eseguire il rendering della pagina:

Scendendo nel dettaglio, come indicato in Fix web compatibility issues using document modes and the Enterprise Mode site list quando Internet Explorer 11 usa una Site List il browser carica la pagina nella modalità documento specificata come se fosse specificata tramite un meta tag X-UA-Compatible sul sito. L’Enterprise Mode ha la precedenza sul document mode, questo fa sì che i siti che sono inclusi nella Site List dell’Enterprise Mode non siano interessati.

Di seguito un esempio di file XML in versione 2 per una Site List:

<site-list version="2">
<created-by>
<tool>EMIESiteListManager</tool>
<version>10.0.14357.1004</version>
<date-created>01/26/2019 17:09:33</date-created>
</created-by>
<site url="intranet.ictpower.it">
<compat-mode>IE8Enterprise</compat-mode>
<open-in>IE11</open-in>
</site>
<site url="hrwebapp.ictpower.it">
<compat-mode>IE7Enterprise</compat-mode>
<open-in>IE11</open-in>
</site>
<site url="intranet.ictpower.it/docs">
<compat-mode>IE7Enterprise</compat-mode>
<open-in>IE11</open-in>
</site>
</site-list>

Per capire se è meglio usare le modalità documento o la modalità Enterprise occorre tenere presente che la funzionalità Enterprise Mode (<emie>) offre i livelli di compatibilità di Internet Explorer8 o Internet Explorer7, mentre le funzionalità Document Mode (<docMode>) consentono di impostare la compatibilità indipendentemente dalla versione di Internet Explorer eseguita. In generale è possibile iniziare il processo di testing della compatibilità come segue:

• se vengono utilizzati principalmente Internet Explorer 8 o Internet Explorer 7 iniziare il testing usando l’Enterprise Mode;
• se vengono utilizzati principalmente Internet Explorer 9 o Internet Explorer 10 iniziare il testing usando il Document Mode.

Per eventuali errori di convalida del sito durante la creazione della Site List si faccia rifermento al documento Fix validation problems using the Enterprise Mode Site List Manager.

Attivando l’Enterprise Mode nella barra degli indirizzi è visualizzata un’icona, ciò non accade col Document Mode:

Nel documento Deprecated document modes and Internet Explorer 11 è possibile ricavare il flow chart in base a cui Internet Explorer 11 esegue il rendering, di seguito viene riportata la sezione relativa all’Enterprise Mode:

Di seguito invece la sezione del flow chart in base a cui Internet Explorer 11 esegue il rendering relativa all’Document Mode:

Testing dei i siti per la compatibilità

Come indicato nel documento Fix web compatibility issues using document modes and the Enterprise Mode site list è possibile eseguire un testing approfondito dei siti premendo F12 In Internet Explorer 11 per aprire gli Strumenti di sviluppo e selezionando il tab Emulazione:

Tramite la Group Policy a livello computer o a livello utente Administrative Templates\Windows Components\Internet Explorer\Let users turn on and use Enterprise Mode from the Tools menu è possibile consentire agli utenti di visualizzare e utilizzare l’opzione Modalità Enterprise dal menu Strumenti, in questo modo è possibile testare anche il profilo browser Enterprise.

Si tenga presente che se si imposta su un sito manualmente un profilo browser mentre è attiva la group policy Let users turn on and use Enterprise Mode from the Tools menu potrebbero verificarsi dei malfunzionamenti se su tale sito vengono poi configurate impostazioni di compatibilità abilitando l’Enterprise Mode tramite una Site List. In questo caso occorre impostare manualmente sul sito un profilo browser congruente con quello presente nella Site List e se l’Enterprise Mode era stata disabilitata manualmente è necessario ripristinare l’emulazione tramite CTRL+Maiusc+L eventualmente riabilitando temporaneamente la group policy Let users turn on and use Enterprise Mode from the Tools menu per consentire la riabilitaizone dell’Enterprise Mode.

Per trovare l’ipostazione di compatibilità più adatta per un determinato sito si tengano presenti le indicazioni contenute in Tips and tricks to manage Internet Explorer compatibility:

“Run the site in each document mode until you find the mode in which the site works.

You will need to make sure the User agent string dropdown matches the same browser version as the Document mode dropdown. For example, if you were testing to see if the site works in Internet Explorer 10, you should update the Document mode dropdown to 10 and the User agent string dropdown to Internet Explorer 10.

If you find a mode in which your site works, you will need to add the site domain, sub-domain, or URL to the Enterprise Mode Site List for the document mode in which the site works, or ask the IT administrator to do so. You can add the x-ua-compatible meta tag or HTTP header as well.”

Per semplificare la configurazione delle impostazioni di compatibilità dei siti utilizzati dagli utenti aziendali è anche disponibile l’Enterprise Site Discovery Toolkit che consente di raccogliere informazioni da Internet Explorer 8,9,10 e 11 sui siti visitati e di analizzarli per zona o per dominio. Il Toolkit fornisce inoltre informazioni su come il sito è progettato e utilizzato da Internet Explorer che possono essere quindi utilizzate per popolare la Site List dell’Enterprise Mode. Per impostazione predefinita Internet Explorer non raccoglie tali dati, ma occorre abilitare la raccolta, i dati verranno raccolti senza notifiche all’utente su tutti i siti visitati tranne durante la navigazione InPrivate Mode o per le zone o domini per cui è stata impostata l’esclusione.

Utilizzo della Enterprise Mode site list in Internet Explorer

Dopo aver configurato Internet Explorer per utilizzare l’Enterprise Mode tramite l’utilizzo di una site list centralizzata occorre tenere presente le seguenti:

• Internet Explorer 11 cerca una site list formattata correttamente circa 65 secondi dopo l’avvio;
• Internet Explorer 11 carica e usa una site list se ne questa ha un numero di versione diverso da quella correntemente attiva;
• Internet Explorer 11 ricerca una nuova site list solo al suo avvio.

Dopo aver scaricato la site list questa viene archiviata in locale nel computer in modo che la funzionalità Enterprise Mode possa essere utilizzata anche se il percorso del file centralizzato non è disponibile.

Come indicato in Check for a new Enterprise Mode site list xml file Internet Explorer cerca il file xml della site list nelle nella cache container, nella local cache e quindi sul server.

Se viene trovato un file xml della site list nella cache container Internet Explore attende 65 secondi e quindi controlla se esiste nella local cache una nuova versione del file xml della site list copiato dal server in base alle regole di caching standard e se tale file ha un numero di versione differente verrà copiato nella cache containter e utilizzato. Ciò significa che se esiste già un file xml della site list quanto Internet Explorer viene avviato nel caso esista anche una versione nuova di tale file per 65 secondi la funzionalità Enterprise Mode utilizzerà in file esistente invece di quello nuovo.

Se necessario è possibile forzare la ricerca di una site list eseguendo le seguenti operazioni:

1. Chiudere tutte istanze di Internet Explorer, ad esempio utilizzando il seguente comando:
   taskkill /F /IM iexplore.exe
   
2. Clear della cache di Internet Exoplorer, ad esempio utilizzando il seguente comando:
   RunDll32.exe InetCpl.cpl, ClearMyTracksByProcess 8
3. Eliminare la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\EnterpriseMode\CurrentVersion, ad esempio con il seguente comando:
   REG DELETE “HKCU\Software\Microsoft\Internet Explorer\Main\EnterpriseMode” /v CurrentVersion /f

Nel caso in cui si riscontrino problemi con l’Enterprise Mode è possibile tentare di risolverli rimuovendo le Group Policy di abilitazione, ad esempio spostando temporaneamente il computer in una Organizational Unit (OU) in cui tali group policy non sono applicate, è possibile eliminare le seguenti chiavi di registro e riavviare il computer:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\EmieModeList

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\EmieSiteList

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\EmieUserList

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\LowCache\Extensible Cache\EmieModeList

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\LowCache\Extensible Cache\EmieSiteList

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\LowCache\Extensible Cache\EmieUserList

Utilizzo dell’Enterprise Mode per i Siti Intranet e Visualizzazione di Compatibilità

Per impostazione predefinita i siti che appartengono alla Intranet vengono visualizzati in Visualizzazione Compatibilità una funzionalità introdotta con i Internet Explorer 8 che consente di eseguire il rendering di una pagina Web in modo quasi identico a Internet Explorer 7. Scendendo nel dettaglio Visualizzazione compatibilità modifica il modo in cui il browser interpreta il codice scritto in CSS, HTML e DOM (Document Object Model) per fare in modo che l’interpretazione sia come quella che viene eseguita da Internet Explore 7. Tuttavia non tutto il codice subisce questo cambio di interpretazione questo significa che le modifiche introdotte in Internet Explorer 8 relative alla gestione degli ActiveX, del parser, AJAX, JavaScript, networking e sicurezza potrebbero causare un rendering della pagina web in modo differente da Internet Explorer 7, per maggiori informazioni si veda What Is Compatibility View?

Se si desidera utilizzare l’Enterprise Mode per i Siti Intranet conviene disabilitare la Visualizzazione di Compatibilità per i siti Intranet. Infatti è preferibile a controllare le impostazioni di compatibilità esclusivamente tramite l’Enterprise Mode in quanto è più duttile rispetto la Visualizzazione Compatibilità che consente di gestire esclusivamente dominii e non dominii secondari o URL.

E’ possibile disabilitare la Visualizzazione Compatibilità per la zona Intranet abilitando la seguente group policy a livello computer o utente:

Administrative Templates\Windows Components\Internet Explorer\compatibility view\Turn on Internet Explorer Standards Mode for local intranet

“If you enable this policy setting, Internet Explorer uses the current user agent string for local intranet content. Additionally, all local intranet Standards Mode pages appear in the Standards Mode available with the latest version of Internet Explorer. The user cannot change this behavior through the compatibility view Settings dialog box.”

Inoltre sono disponibili anche le seguenti Group Policy a livello computer o utente che possono essere utilizzate per gestire la Visualizzazione Compatibilità e il rilevamento della zona Intranet:

Administrative Templates\Windows Components\Internet Explorer\compatibility view\Turn off compatibility view

“If you enable this policy setting, the user cannot use the compatibility view button or manage the compatibility view sites list.”

Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Turn on automatic detection of Intranet

“If you disable this policy setting, automatic detection of the Intranet is Turned off, and Intranet mapping rules are applied however they are configured.”

Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Intranet Sites: Include all local (intranet) sites not listed in other zones

“If you disable this policy setting, local sites which are not explicitly mapped into a zone will not be considered to be in the intranet Zone (so would typically be in the Internet Zone).”

A riguardo si vedano anche il post The Intranet Zone e le indicazioni contenute nella KB303650 Intranet site is identified as an Internet site when you use an FQDN or an IP address di cui vengono riportati alcuni passaggi, ma si legga l’intera KB per ulteriori informazioni e suggerimenti:

“When you access a local area network (LAN), an intranet share, or an intranet Web site by using an Internet Protocol (IP) address or a fully qualified domain name (FQDN), the share or Web site may be identified as in the Internet zone instead of in the Local intranet zone.”

“This behavior may occur if an FQDN or IP address contains periods. If an FQDN or IP address contains a period, Internet Explorer identifies the Web site or share as in the Internet zone.”

“To work around this issue, add the appropriate IP address range or fully qualified domain names (FQDNs) to your local intranet. Or change the security level of the Internet zone.”

“This behavior is by design.”

Conclusioni

Sebbene l’Enterprise Mode sia un ottimo strumento per risolvere eventuali compatibilità di alcuni siti con i browser di nuova generazione come Internet Explorer 11 o Edge va precisato che questa funzionalità nasce per risolvere problematiche relative a codice legacy. Di conseguenza se possibile occorre risolvere i problemi di incompatibilità nei siti coinvolti eventualmente ricorrendo all’uso di meta tag x-ua-compatible o HTTP header, a riguardo si veda Use the Meta Tag to Ensure Future Compatibility.

Riferimenti

• Use Enterprise Mode to improve compatibility
• Enterprise Mode for Internet Explorer 11
• Enterprise Mode for Internet Explorer 11 Deep Dive

Dopo una breve pausa ripartiamo nel 2019 con il 1° evento POWERCON dell’anno! Per la seconda volta saremo presenti all’A.R.I. di Bari, l’Associazione Radioamatori Italiani – Sezione di Bari. Il prossimo 15 febbraio 2019, presso l’Istituto Tecnico Tecnologico “M. Panetti” in via G. Re David 186 a Bari, a partire dalle ore 15:30, un seminario completamente gratuito dedicato a Windows 10 e Windows Server 2019.

Siamo a circa 2 mesi dal rilascio della nuova versione dell’ultimo sistema operativo client di Microsoft e vedremo questo primo triennio, passando dalle principali novità dell’October 2018 Update e osservando i cambiamenti che ci saranno a partire dall’April 2019 Update. Ritorneremo sulle novità del Windows Subsystem for Linux che, da qualche tempo, ci permette di trasformare il nostro Windows 10 in una utile PentTest Box. Non mancherà anche una sessione sulle importanti novità di Windows Server 2019.

Siamo orgogliosi dei feedback che continuiamo a ricevere e, come sempre, continueremo a sviluppare eventi in presenza e online, per migliorare la conoscenza su questi importanti temi e stimolare la crescita della Community attraverso le attività di networking.

Per tutti i presenti all’evento ci sarà, come sempre, la possibilità di ricevere un attestato di partecipazione firmato dalla nostra Community.

Agenda

A causa dei posti limitati, vi chiediamo di registrarvi GRATUITAMENTE al seguente link https://www.eventbrite.it/e/biglietti-powercon2019-evento-gratuito-a-bari-il-15-febbraio-windows-10-presente-e-futuro-wsl-vs-kali-e-55852958703

Ci rivediamo prestissimo a Bari!

Aggiornare i certificati SSL nei server ADFS (Active Directory Federation Services) e nei server WAP (Web Application Proxy) è un’operazione veloce che richiede poche operazioni per poter essere completata. È possibile aggiornare i certificati tramite poche cmdlet di PowerShell oppure, se utilizzate i Federation Services per le autenticazioni di Office 365, potete utilizzare il tool Azure AD Connect.

In questa guida ci occuperemo di:

1. Richiedere un nuovo certificato ad una Certification Authority pubblica
   
2. Installare lo stesso certificato in tutti i server della nostra farm ADFS
   
3. Installare lo stesso certificato in tutti i Web Application Proxy
   
4. Configurare il certificato SSL nei server ADFS
   
5. Configurare il certificato per la Service Communication nei server ADFS
   
6. Configurare il certificato SSL nei server WAP
   
7. Verificare il funzionamento con Office 365
   

Lo scenario proposto prevede un server ADFS ed un server WAP che utilizzo per autenticare in maniera federata un dominio che utilizza Office 365. Nonostante l’infrastruttura sia basata su Windows Server 2012 R2, tutti i passaggi richiesti sono validi anche per Windows Server 2016 e Windows Server 2019.

Per chi di voi fosse interessato ad approfondire il funzionamento e le best practices di configurazione di ADFS consiglio la lettura delle guida Active Directory Federation Services in Windows Server 2016. Per chi invece vuole sapere come utilizzare ADFS per l’autenticazione ad Office 365 consiglio la lettura delle guide Configurare AD FS 2016 ed Office 365 con Azure AD Connect e Configurare Active Directory Federation Services 2016 e Azure Multi-Factor Authentication

Creazione della richiesta del certificato da sottomettere alla CA pubblica

Poiché sto utilizzando i Federation Services per autenticare i miei utenti in Office 365, il certificato che devo utilizzare deve essere rilasciato da una CA pubblica. Create una nuova richiesta certificato utilizzando la console di IIS Manager e da Server Certificates lanciate il wizard Create Certificate Request…

Figura 1: Creazione di una nuova richiesta per ottenere un certificato da una CA pubblica

Seguite i passaggi richiesti dal wizard inserendo le informazioni relative al nome da inserire nel certificato (nel mio caso sts.nicolaferrini.com) e agli altri campi richiesti, come mostrato nella figura sotto:

Figura 2: Nome da inserire nel certificato ed informazioni aggiuntive

Ricordatevi che la lunghezza minima della chiave pubblica da utilizzare deve essere 2048 bit. Fate riferimento all’articolo AD FS and Web Application Proxy SSL certificate requirements per maggiori informazioni sui prerequisiti che devono avere i certificati da usare con i Federation Services.

Figura 3: Inserimento del Cryptographic Service Provider e della lunghezza della chiave

Figura 4: Salvataggio della richiesta del certificato

Richiesta del certificato alla CA pubblica

Ho deciso di richiedere il certificato alla CA pubblica https://www.ssls.com/ . Dopo aver pagato il certificato, ho seguito la loro procedura ed ho inserito la richiesta generata con IIS (il contenuto del file .CSR) all’interno dell’apposito campo

Figura 5: Il contenuto del file CSR serve a generare la chiave pubblica ed il certificato

Ho confermato la proprietà del dominio e ho atteso di ricevere il certificato dalla CA.

Installazione del certificato

Dopo aver ricevuto il certificato dalla CA (in formato.crt), ho completato la procedura di richiesta certificato dallo stesso server da cui l’avevo iniziata. Ho effettuato la richiesta dal mio server ADFS, ma la richiesta può essere fatta da qualsiasi server. L’importante è importare la chiave pubblica generata dalla CA sullo stesso server da cui avere effettuato il wizard per la richiesta del certificato.

Riaprite la console di IIS Manager e da Server Certificates cliccate su Complete Certificate Request…

Figura 6: Completamento della richiesta del certificate

Configurazione del certificato SSL sul primo server ADFS

Adesso che avete installato il certificato sul server ADFS è possibile configurarlo in maniera molto semplice. Poiché il comando PowerShell per la configurazione del certificato ha bisogno del thumbprint, è possibile enumerare facilmente i thumbprint usando il comando dir Cert:\LocalMachine\My\ e successivamente lanciare la cmdlet Set-AdfsSslCertificate.

Nel mio caso ho filtrato i certificati che contenevano il nome sts con il comando dir Cert:\LocalMachine\My\ | findstr sts e successivamente ho lanciato la cmdlet Set-AdfsSslCertificate –Thumbprint 6BD57A3CC5DC62F4D8926F8CDF5E69596D0FB744. Trattandosi di un rinnovo di certificato, sulla stessa macchina sono presenti due certificati con lo stesso nome. Individuate quello nuovo che avete appena installato.

Figura 7: Enumerazione dei certificati e relativi thumbprint

Figura 8: Installazione del certificato SSL sul server ADFS

I server ADFS utilizzano il protocollo SSL per rendere sicure le comunicazioni web provenienti dai client e dai Web Application Proxy (WAP). Per questo motivo dobbiamo utilizzare due cmdlet diverse per gestire il certificato SSL ed il certificato di Service Communication. Le cmdlet sono Set-AdfsSslCertificate e Set-AdfsCertificate. A prima vista possono sembrare uguali ma in realtà non lo sono affatto.

La cmdlet Set-AdfsSslCertificate serve a configurare il certificato SSL per il binding HTTPS degli Active Directory Federation Services (AD FS) e, se sono configurati, dei servizi per la Device Registration. Il nome specificato nel certificato deve essere lo stesso che avete configurato per il nome dei Federation Services.

La cmdlet Set-AdfsCertificate invece viene utilizzata per configurare i certificati che AD FS utilizza per firmare, decifrare e rendere sicure le comunicazioni con gli altri server della farm.

Nel mio caso ho lanciato il comando Set-AdfsCertificate -CertificateType Service-Communications –Thumbprint 6BD57A3CC5DC62F4D8926F8CDF5E69596D0FB744 e ho riavviato i servizi AD FS con il comando Restart-Service adfssrv

Figura 9: Configurazione del certificato per la Service Communication

Verificate dalla console di AD FS Management che il certificato sia stato installato correttamente.

Figura 10: Verifica della corretta installazione del certificato in AD FS Management console

Esportazione del certificato rilasciato dalla CA Pubblica

Poiché la stessa procedura di installazione e configurazione del certificato deve essere ripetuta su tutti i server della farm ADFS e su tutti i Web Application Proxy, è necessario esportare il certificato ottenuto dalla CA pubblica ed installare lo STESSO certificato in TUTTI i server della farm. Lanciate da Start–>Esegui il comando certlm.msc e dalla console die certificati Computer esportate il certificato.

Figura 11: Esportazione del certificato da Installare in tutti i server della farm ADFS e in tutti i server WAP

Ricordatevi di esportare la chiave privata

Figura 12: Esportazione della chiave privata

Figura 13: Esportazione del certificato in formato PFX

Figura 14: Protezione del certificato con una password

Figura 15: Esportazione del certificato completata

Importazione del certificato negli altri server della farm ADFS e nei server WAP

Procedete quindi ad importare il certificato in tutti i server della farm ADFS e nei WAP. L’installazione del certificato è descritta nelle figure sotto:

Figura 16: Installazione del certificato a livello Machine

Figura 17: La chiave privata del certificato deve essere segnata come esportabile

Configurazione del certificato sui Web Application Proxy.

Pe configurare il certificato sui Web Application Proxy si usa la cmdlet Set-WebApplicationProxySslCertificate. Il comando da eseguire è molto semplice e nel mio caso ho utilizzato Set-WebApplicationProxySslCertificate -Thumbprint 6BD57A3CC5DC62F4D8926F8CDF5E69596D0FB744. Il thumbprint lo avevo già ricavato quando ho installato il certificato nel server ADFS.

Figura 18:Installazione del certificato nel Web Application Proxy

Ripetete la procedura su tutti gli altri server della farm.

Verifica del funzionamento

Per verificare il corretto funzionamento dei nuovi certificati mi sono collegato al portale di Office 365 e ho inserito la username di un utente del mio dominio federato. Sono stato reindirizzato al mio federation server sts.nicolaferrini.com e ho verificato che il certificato presentato dal server ADFS fosse quello appena installato.

Figura 19: Il Federation Server presenta il certificato corretto

Aggiornamento dei certificati utiizzando il tool Azure AD Connect

Dalla versione 1.1.513.0 del tool Azure AD Connect è possibile aggiornate in maniera molto semplificata i certificati di una farm ADFS basata su Windows Server 2012 R2 o versioni successive. Lanciando il tool è possibile scegliere Manage Federation e successivamente la voce Update AD FS SSL certificate. La procedura è molto semplice ed è mostrata nella figure sotto:

Figura 20: Gestione della farm ADFS cin il tool Azure AD Connect

Figura 21: Aggiornamento dei certificati della farm ADFS con il tool Azure AD Connect

Figura 22: Inserimento delle credenziali di un Global Admin del tenant di Office 365

Figura 23: Inserimento delle credenziali di amministratore della farm ADFS

I server ADFS vengono rilevati automaticamente. Nel caso non tutti i server della farm fossero visualizzati è possibile inserirli manualmente.

Figura 24: Server ADFS della farm

Nella schermata successiva è anche possibile inserire i Web Application Proxy. Il mio server WAP è in workgroup e al momento dell’aggiunta mi viene chiesto di inserire le credenziali amministrative per la connessione e successiva installazione del certificato.

Figura 25: Connessione al Web Application Proxy

Una volta che avete dichiarato quali server ADFS e quali server WAP volete gestire, il tool Azure AD Connect vi chiederà quale certificato volete installare. Il certificato deve essere in formato .PFX e al momento di aggiungerlo vi verrà chiesto la password per accedere alla chiave privata. IL vero vantaggio del tool consiste infatti nel distribuire e successivamente installare il certificato, oltre a configurare i servizi ADFS e WAP. Fantastico!

Figura 26: Certificato da distribuire ed installare nella farm

A questo punto il tool Azure AD Connect verificherà se tutti prerequisiti sono rispettati ed in particolar modo se:

• Il nome del certificato corrisponde al nome del federation service oppure se il certificato è un wildcard.
• Il certificato è valido per più di 30 giorni
• La catena di certificati è valida
• Il certificato è protetto da password

Se tutti i prerequisiti sono rispettati la configurazione può proseguire, come mostrato in figura:

Figura 27: I prerequisiti sono rispettati e la configurazione può proseguire

Con pochissimi passaggi siamo riusciti quindi a distribuire e configurare i certificati su tutti i server della nostra infrastruttura ADFS.

Conclusioni

L’aggiornamento dei certificati ADFS e WAP in Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 è un’operazione davvero molto semplice e viene fatta con pochissimi comandi di PowerShell. Maggiori informazioni sono disponibili alla pagina https://docs.microsoft.com/it-it/windows-server/identity/ad-fs/operations/manage-ssl-certificates-ad-fs-wap

Grazie ad Azure AD Connect la configurazione è ancora più semplice e veloce e ci permette di aggiornare i certificati della farm con pochissimi clic! Davvero ben fatto!

Azure File Sync è un servizio cloud che permettere di mantenere aggiornate e centralizzate le cartelle e i file ospitati nei file server on-premises, mantenendo l’accesso tramite i protocolli di condivisione più comuni, come SMB, NFS e FTPs.

L’idea è quella di avere un “centro stella” nel cloud (utilizzando Azure File Share) e sincronizzare il contenuto con tutti i file server locali della vostra organizzazione, che fungeranno da cache per i file e le cartelle ospitati dalla Azure File Share.

Le Azure File Share vengono create negli Storage Account. Potete creare fino a 250 Storage Account in ogni regione di Azure e ogni sottoscrizione, fino ad un massimo di 2 PiB di contenuti, utilizzando una banda in ingresso di 5 Gbps e in uscita di 50 Gbps nelle regioni europee!

Per maggiori dettagli vi rimando alla lettura dell’articolo https://docs.microsoft.com/it-it/azure/storage/files/storage-files-scale-targets

Un tipico scenario di utilizzo è quello mostrato nella figura sotto:

Figura 1: Scenario di utilizzo di Azure File Sync

La sincronizzazione del file server locali può avvenire anche se le cartelle sono condivise oppure sono replicate con il DFS (Distributed File System). Tutte le cartelle rimarranno aggiornate, su tutti i file server, mantenendo anche le Windows ACL (Access Control List), cioè i permessi di accesso che avete impostato. Al momento le Windows ACL non sono ancora supportate se accedete ai file direttamente dal Cloud (dalla Azure File Share).

Attualmente sono supportate le seguenti versioni di Windows Server:

Io utilizzerò Windows Server 2019, ma la procedura è identica anche  per le precedenti versioni di Windows supportate.

Implementazione di Azure File Sync

Per abilitare Azure File Sync è necessario:

1. Creare uno storage account
2. Creare una Azure File Share
3. Creare un Azure File Sync
4. Creare un Sync Group
5. Aggiungere un Registered Server
6. Aggiungere le cartella da sincronizzare

Creazione dello Storage Account

Per creare uno Storage Account è sufficiente andare nel portale di Azure e cercare Storage Accocunt. Creare lo Storage Account nella sottoscrizione e nella regione che preferite e scegliete a chi volete concedere l’accesso, filtrando eventualmente le virtual network a cui collegarlo, come mostrato in figura:

Figura 2: Creazione dello Storage Account

Figura 3: Scelta del filtro delle virtual network abilitare alla connessione allo storage account

Figura 4: Review della creazione dello Storage Account

Terminata la creazione dello storage account cliccate su Files e create una nuova File Share. Decidete come chiamare la share e decidete anche la dimensione massima che potrà avere, espressa in Gib, come mostrato in figura:

Figura 5: Creazione della Azure File Share

Creazione di Azure File Sync

Il passaggio successivo consiste nel creare una nuova risorsa Azure File Sync. Date un nome alla risorsa, scegliete la sottoscrizione e la regione dove volete che venga creata e fate clic su Create.

Figura 6: Azure File Sync

Figura 7: Creazione della Azure File Sync

Terminata la creazione della Azure File Sync dovrete creare un Sync Group. Il Sync Group definisce in che modo i file e le cartelle debbano essere sincronizzati tra il Cloud Endpoint (la Azure File Share che avete creato) e i Registered Server Endpoint, cioè le cartelle presenti nei file server on-premises, che faranno da cache per i file sincronizzati.

Create un Sync Group scegliendo il Nome e lo storage account, con relativa Azure File Share, come mostrato in figura:

Figura 8: Creazione di un Sync Group

Il passaggio successivo consiste nell’aggiungere un Registered Server, cioè il vostro file server on-premises. Per registrare un server dovete scaricare l’ Azure File Sync agent ed installarlo in tutti i server on-premises che volete registrare.

Figura 9: Per aggiungere un Registered Server è necessario installare nel server on-premises l’Azure File Sync agent

Figura 10: Daownload dell’Azure File Sync agent per Windows Server 2019

Procedete all’installazione seguendo i passaggi del wizard mostrati nelle figure sotto:

Figura 11: Wizard per il setup dello Storage Sync Agent

Figura 12: Accettazione della licenza

Figura 13: Scelta del percorso di installazione

Figura 14: Configurazione di un eventuale proxy per la connessione INternet

Figura 15: Verifica delle impostazioni scelte

Figura 16: Completamento dell’installazione dello Storage Sync Agent

Terminata l’installazione dello Storage Sync Agent si potrà procedere alla sua configurazione. Uno dei prerequisiti è che sul server on-premises dove state installato lo Storage Sync Agnent sia installato il modulo PowerShell AzureRM oppure il nuovo modulo Azure PowerShell Az, di cui ho avuto modo di parlare nell’articolo Modulo Azure PowerShell Az: la rivoluzione della riga di comando per interagire con Microsoft Azure. Nel caso il modulo non fosse installato riceverete un messaggio di errore come quello mostrato in figura 17.

Figura 17: Nel file server on-premises non è installato il modulo PowerShell AzureRM

Procedete all’installazione del modulo Azure Powershell con il comando Install-Module -Name AzureRM

Figura 18: Installazione del modulo Azure PowerShell AzureRM

Completata l’installazione del modulo PowerShell, ritornate nella pagina di configurazione dello Storage Sync Agent e cliccando su Retry sarà possibile procedere alla Server Registration. Dopo aver effettuato il login ad Azure, scegliete la sottoscrizione, il resource group e lo Storage Sync Service a cui volete collegare il vostro File Server on-premises.

Figura 19: Login a Microsoft Azure

Figura 20: Scelta dello Storage Sync Service

Figura 21: Registrazione del server on-premises completata

Il file server on-premises sarà quindi visibile nella scheda Registered Servers. Ho notato che il sistema visualizzato è Windows Server 2016, anche se io sto utilizzando Windows Server 2019!

Figura 22: Il file server on-premises è visibile nella scheda Registered Servers

Connessione del File Server on-premises al Sync Group

Adesso è possibile aggiungere al Sync Group il server che avete registrato. Selezionate il Sync Group a cui volete collegare il server e scegliete Add server endpoint. Nel blade che si aprirà scegliete il Registered Server e la cartella locale (nel mio caso ho scelto E:\immagini) che volete sincronizzare. Il server endpoint rappresenta proprio la specifica cartella che intendete sincronizzare. È importante ricordare che questa cartella non si deve trovare su un disco rimovibile.

Potete anche abilitare il Cloud Tiering, che vi permette di specificare quanto spazio libero volete che sia sempre disponibile nel server on-premises. Grazie al Cloud Tiering se dovesse terminare lo spazio disponibile sui dischi dei file server on-premise, i file verranno rimossi e mantenuti solo online. Il Cloud Tiering non può essere abilitato sul disco di sistema.

Figura 23: Aggiunta del Server Endpoint

Figura 24: Il server Endpoint è visible nel Sync Group

Nel momento in cui il server mostrerà lo stato di Health potrete andare a verificare nella Azure File Share del vostro Storage Account che i dati che avete on-premises siano stati sincronizzati.

Figura 25: I dati presenti on-premises sono stati sincronizzati nella Azure File Share dello Storage Account

Aggiunta di un secondo Registered Server

Supponiamo che vogliate aggiungere un secondo Registered Server al Sync Group, magari un file server che si trova in una sede remota della vostra azienda. La procedura da seguire è esattamente quella vista prima: scaricate l’ Azure File Sync agent ed installarlo nel secondo server on-premises che volete registrare. Terminata la procedura di registrazione, il secondo server sarà disponibile tra i server registrati, come mostrato in figura:

Figura 26: Aggiunta di un secondo Registered Server

Aggiungete quindi al Sync Group la cartella del secondo server che volete sincronizzare. Nel mio caso ho scelto la cartella F:\images e ho deciso di mantenere solo il 20% di spazio libero sul secondo server, sfruttando il Cloud Tiering. Ho scelto volutamente di utilizzare un disco ed una cartella con un nome differente dal primo file server solo per farvi vedere che non è obbligatorio scegliere gli stessi percorsi o gli stessi nomi di cartella.

Figura 27: Aggiunta del secondo server endpoint al Sync Group

Verifica della replica delle Windows ACL

Potete verificare che si siano replicate le Windows ACL semplicemente andando a visualizzare il tab Security delle cartelle che avete deciso di aggiungere come Server Endpoint. Nella figura sotto è possibile vederne il confronto.

Figura 28: Windows ACL nel primo File Server

Figura 29: Windows ACL nel secondo File Server

Purtroppo, come già detto prima, le ACL non sono (ancora) disponibili se accedete direttamente ai file tramite Azure File Share. È infatti possibile montare la Azure File Share montandola come disco locale su Windows, Linux e MacOS. Selezionate la File Share dallo Storage Account e cliccate su Connect. Scegliete, in base al vostro sistema operativo, il metodo che preferite per connettervi.

Figura 30: Connessione alla Azure File Share utilizzando il protocollo SMB

Figura 31: Le Windows ACL non sono disponibili se accedete direttamente alla Azure File Share

Conclusioni

Azure File Sync è decisamente interessante per diversi scenari. Quello che è più evidente è la possibilità di tenere sincronizzati i file e le cartelle tra diversi file server e con il cloud. Il Cloud Tiering permette anche di liberare i file server on-premises dei file meno utilizzati (cold data) e di mantenerli solo nello Storage Account in Azure. Nel momento in cui devono essere acceduti vengono poi scaricati automaticamente. La sincronizzazione permette di tenere facilmente aggiornati i file server che se si trovano nelle sedi remote dell’azienda.

Avete ancora dubbi? Allora leggete le Domande frequenti su File di Azure

L’utilizzo sempre più frequente di dispositivi mobili deve essere accompagnato dalla protezione dei dati al loro interno.

Per questo, oggi parliamo della crittografia dei dischi con Bitlocker, che impedisce accessi non autorizzati in caso di smarrimento o furto del proprio device.

BitLocker Drive Encryption è incluso nelle versioni Enterprise e Ultimate di Windows 7 e nelle versioni Pro ed Enterprise di Windows 8, 8.1 e 10. Su Windows Server è disponibile da 2012 e versioni successive.

È possibile utilizzare questa funzionalità anche per proteggere dispositivi come chiavette usb ed hard disk esterni. In questo caso si parla di Bitlocker To Go
https://docs.microsoft.com/it-it/windows/security/information-protection/bitlocker/bitlocker-to-go-faq

Per maggiori informazioni su come implementare Bitlocker vi rimando alla lettura dell’articolo https://docs.microsoft.com/it-it/windows/security/information-protection/bitlocker/bitlocker-overview

In questa guida voglio mostrarvi come poter gestire in maniera centralizzata in ambiente Enterprise i computer su cui è abilitato Bitlocker.

Come volti di voi sapranno nel momento in cui viene abilitato Bitlocker viene richiesto di conservare o di stampare una chiave di sblocco nel caso in cui volessimo accedere al disco protetto da Bitlocker da una macchina diversa da quella dove il disco è stato crittografato. Se a causa di un guasto hardware la scheda madre oppure il chipset TMP che contiene la chiave di crittografia non dovessero funzionare non si riuscirebbe più ad accedere ai propri dati.

Gestire queste chiavi di sblocco è un’operazione molto impegnativa, come potrete leggere nell’articolo https://docs.microsoft.com/it-it/windows/security/information-protection/bitlocker/bitlocker-key-management-faq

Gestione di Bitlocker tramite Active Directory

In ambiente Enterprise abbiamo la possibilità di utilizzare il BitLocker Recovery Password Viewer, che ci permette di visualizzare le password di sblocco di Bitlocker Drive Encryption che sono state salvate in Active Directory.

Il BitLocker Recovery Password Viewer è disponibile come estensione della console Active Directory Users and Computers dopo aver abilitato la funzionalità Bitlocker Drive Encryption Administration Utilities da Server Manager > Add roles and feature > Features > Remote Server Administration Tools > Features Administration Tools > Bitlocker Drive Encryption Administration Utilities, come mostrato nella figura sotto:

Figura 1: abilitazione della funzionalità “Bitlocker Drive Encryption Administration Utilities”

Una volta aggiunta la funzionalità, troveremo in Active Directory Users and Computers il tab Bitlocker Recovery tra le proprietà degli oggetti computer, che ci permetterà di visualizzare le chiavi di sblocco per tutti i drives del computer

Figura 2: tab “Bitlocker Recovery” su oggetto computer in AD

È anche possibile, dalla console di Active Directory Users and Computers, effettuare una ricerca su tutti i domini della foresta semplicemente facendo clic col tasto destro sul domain container. È importante sottolineare che per vedere le recovery key di Bitlocker dovete avere i privilegi di Domain Admin oppure dovete avere un ruolo delegato per questo compito.

Gestione di Bitlocker tramite Group Policy Object (GPO)

Per gestire le policy che riguardano Bitlocker, è necessario scaricare la versione più recente degli Administrative Templates di Windows 10 e copiarli nella cartella “C:\Windows\PolicyDefinitions” del vostro domain controller oppure nel Group Policy central store del vostro dominio (i file devono essere incollati nel percorso “\domain\sysvol\domain\Policies\PolicyDefinitions”).

Tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\Windows Componenct\Bitlocker Drive Encryption, ho configurato le seguenti impostazioni:

Figura 3: GPO Bitlocker Drive Encryption

• “Store BitLocker recovery information in Active Directory Domain Services” per salvare le password di ripristino in AD;
• “Choose drive encryption method and chiper strength” per Windows 8.1 e Windows 7 ho specificato “AES 256 bit”, invece per Windows 10 1511 e successivi:

Figura 4: algoritmi di crittografia Windows 10 1511 e successivi

Trovate un approfondimento sugli algoritmi di crittografia alla pagina https://blogs.technet.microsoft.com/dubaisec/2016/03/04/bitlocker-aes-xts-new-encryption-type/

Successivamente ho configurato le stesse impostazioni sia per le unità del sistema operativo che per i dischi secondari “Fixed Data Drives”:

Figura 5: impostazioni unità OS e dischi secondari

• “Enforce drive encryption type” ho impostato “Used space only encryption”;
• “Choose how Bitlocker-protected drive can be recovered” ho configurato le modalità di ripristino e salvataggio dell’unità interessata;

Tra le varie impostazioni troviamo, inoltre, la possibilità di configurare un PIN all’avvio dell’OS oppure l’utilizzo di una chiavetta USB per salvare la chiave di ripristino in assenza del chip TPM (presente ormai sulla maggior parte dei pc in commercio).

Una volta terminate le modifiche e collegata la policy alle OU interessate, possiamo procedere con l’abilitazione di Bitlocker.

Abilitazione di Bitlocker tramite PowerShell

Sul client con diritti amministrativi avviamo PowerShell e lanciamo il comando:
Enable-BitLocker -Mountpoint “C:” -RecoveryPasswordProtector

Figura 6: Enable-Bitlocker in Powershell

Bitlocker richiede un riavvio per l’hardware test prima dell’avvio con la crittografia. E’ possibile skippare questa verifica tramite l’opzione “-SkipHardwareTest”.

Possiamo monitorare l’avanzamento tramite prompt dei comandi con diritti di amministratore : “manage-bde -status”

Figura 7: verifica stato bitlocker tramite Prompt dei comandi

In Active Directory Users and Computers, sull’oggetto computer, troveremo le chiavi di ripristino di Bitlocker.

Figura 8: recovery password in AD

Abilitazione di Bitlocker tramite SCCM (System Center Configuration Manager)

In una task sequence è possibile creare un’azione per abilitare Bitlocker:

Figura 9: SCCM task sequence per abilitazione Bitlocker

Abilitazione di Bitlocker tramite Intune

In “Device Configuration” basterà creare un nuovo profilo di tipo “Endpoint protection” ed applicare le impostazioni desiderate:

Figura 10: Intune profile per abilitazione Bitlocker

Gestione di Bitlocker tramite MBAM (Microsoft BitLocker Administration and Monitoring)

MBAM è un “tool” incluso nel MDOP (Microsoft Desktop Optimization Pack) che permette una gestione avanzata della funzionalità Bitlocker. Consente di automatizzare il processo di crittografia dei volumi e determinare rapidamente lo stato di conformità sui computer client all’interno dell’azienda. La soluzione si integra con SCCM (System Center Configuration Manager) fornendo una reportistica centralizzata e la gestione dell’hardware.

MBAM sarà supportato fino a luglio del 2024 e solo sulle versioni Enterprise di Windows 7,8,8.1 e 10. Ho testato ed implementato la soluzione su Windows 10 Professional senza riscontrare anomalie.

Trovate un approfondimento su MBAM alla pagina https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v25/getting-started-with-mbam-25

Conclusioni

In un periodo dove sentiamo parlar spesso di “sicurezza informatica”, Bitlocker sicuramente può dire la sua come strumento di prevenzione e aiuta a ridurre l’accesso non autorizzato ai dati potenziando la protezione dei file e del sistema. Come abbiamo visto, Microsoft offre svariati metodi per implementare e gestire la soluzione.

E come disse un vecchio saggio: prevenire è meglio che curare.

Probabilmente molti di voi hanno sentito parlare negli ultimi tempi di Modern Desktop. Il termine Modern Desktop si riferisce ad un’installazione di Windows 10 e Office 365, mantenuta costantemente aggiornata.

Avere un modern desktop significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite di collaborazione Office 365, avendo la possibilità di migliorare la produttività, il lavoro di gruppo e la collaborazione all’interno dell’azienda. In più, avendo sempre un sistema aggiornato, possiamo assicurare un livello di efficienza ma soprattutto di sicurezza notevole, che ci permette di difenderci dai continui attacchi che ci arrivano dall’esterno (e molto spesso anche dall’interno) dell’azienda.

Con Microsoft 365 abbiamo la possibilità di poter avere con un licensing molto semplice la maggior parte dei software necessari per poter essere realmente competitivi in un mercato estremamente dinamico come quello che stiamo vivendo e di adattarci alle nuove modalità di lavoro (come ad esempio l’Home working o lo Smart working).

La soluzione Microsoft 365 integra in un unico pacchetto Windows 10 Enterprise, Office 365 e Enterrise Mobility + Security.

Figura 1: Passaggi chiave necessari per passare al Modern Desktop

In questo articolo voglio parlarvi del Modern Desktop Deployment and Management Lab Kit, una serie di macchine virtuali e guide GRATUITE che Microsoft mette a disposizione per lavorare con Windows 10 Enterprise, Office 365 ProPlus ed Enterprise Mobility + Security.

Ho trovato questi laboratori molto utili per la preparazione dei due esami (al momento della scrittura di questo articolo sono ancora in BETA) necessari al conseguimento della certificazione Microsoft 365 Certified: Modern Desktop Administrator Associate:

• Esame MD-100: Windows 10 (beta)
• Esame MD-101: Managing Modern Desktops (beta)

Grazie agli esempi ed ai laboratori presenti nel kit è stato più facile preparare i due esami e rispondere alle domande proposte. Entrambi gli esami sono basati su Windows 10, versione 1809 e successive e devo dire che sono davvero impegnativi. Le guide del Modern Desktop Deployment and Management Lab Kit vi saranno davvero di aiuto.

Figura 2: Modern Desktop Deployment and Management Lab Kit, macchine virtuali e guide GRATUITE per lavorare con Windows 10 Enterprise, Office 365 ProPlus ed Enterprise Mobility + Security

I laboratori contenuti nel kit sono progettati per agevolare la pianificazione, il test e la verifica della distribuzione e della gestione di desktop moderni che eseguono Windows 10 Enterprise e Office 365 ProPlus. Sono particolarmente indicati per le aziende che si stanno preparando alla fine del ciclo di vita di Windows 7, ma sono utilizzabili anche se già avete implementato Windows 10 e Office 365 Plus oppure Office 2019.

Il Modern Desktop Deployment and Management Lab Kit può essere scaricato gratuitamente dalla pagina https://aka.ms/mddlabs_evalcenter e al suo interno contiene le versioni di valutazione di:

• Windows 10 Enterprise, versione 1803
• Windows 7
• Office 365 ProPlus, versione 1807
• System Center Configuration Manager, versione 1802
• Windows Assessment and Deployment Kit per Windows 10, versione 1803
• Microsoft Deployment Toolkit
• Microsoft Application Virtualization (App-V) 5.1
• Amministrazione e gestione di Microsoft Bitlocker 2.5 SP1
• Windows Server 2016
• Microsoft SQL Server 2014

Il kit creerà un ambiente di macchine virtuali Hyper-V che si costruirà in maniera automatica, generando un domain controller, alcuni client in dominio, un gateway Internet e un’instanza di System Center Configuration Manager già configurata.

Figura 3: Registrazione alla valutazione di Modern Desktop Deployment and Management Lab Kit

Dopo aver inserito le informazioni richieste verrete reindirizzati alla pagina di download dei file che contengono le guide e le macchine virtuali da utilizzare nei laboratori proposti.

Figura 4: Download delle guide e delle macchine virtuali

Se state partendo da un’installazione pulita di Windows (nel mio caso ho usato Windows 10 Pro, versione 1809) assicuratevi di aver installato Hyper-V e di avere uno switch che sia collegato alla rete esterna, in modo tale che il laboratorio possa navigare in Internet. Per installare Hyper-V in Windows 10 vi basterà digitare la parola Hyper-V nel menu di avvio e vi verrà proposto di aprire la pagina del pannello di controllo che vi permette di installare e rimuovere le funzionalità aggiuntive di Windows, come mostrato in figura:

Figura 5: Installazione del ruolo di Hyper-V in Windows 10

Dopo aver effettuato i riavvii richiesti, assicuratevi di creare uno switch di tipo External, in modo tale che il laboratorio abbia l’accesso ad Internet. La presenza dello switch sarà verificata prima dell’installazione del Modern Desktop Deployment and Management Lab
Kit (vedere fig. 11). Utilizzate il Virtual Switch Manager per effettuare la configurazione richiesta. Il nome dello switch non è importante, utilizzate quello che preferite.

Figura 6: Creazione di un Virtual Switch di tipo External

Installazione del Modern Desktop Deployment and Management Lab Kit

Il download è di circa 26,5 GB, quindi vi ci vorrà un po’ di tempo per scaricare tutto il kit.  L’ambiente di laboratorio richiede almeno 16 GB di RAM (consigliati 32 GB) e 150 GB di spazio libero su disco. Una volta terminato il download dei due file, estraete il file MDLab_1809.zip in una cartella a vostra scelta e attendete il completamento dell’operazione.

Figura 7: Estrazione del file MDLab_1809.zip

Terminata l’estrazione troverete 3 file (setup.exe, zpaq.exe e Microsoft365DeviceLabKit.zpaq). Fate doppio clic su setup.exe per iniziare l’installazione del Kit. ZPAQ permette di poter creare degli archivi che sfruttano la data deduplication, molto utili nel caso in cui si debbano comprimere i dischi delle macchine virtuali. Infatti, a fronte di un archivio di circa 26,5 GB, le macchine virtuali del kit, una volta estratte occuperanno circa ??????????

Per maggiori informazioni su ZPAQ vi rimando alla pagina https://en.wikipedia.org/wiki/ZPAQ

Se ricevete un messaggio di avviso da parte di Windows Defender SmartScreen cliccate su Run Anyway per proseguire l’installazione, come mostrato in figura:

Figura 8: Esecuzione di setup.exe e avviso da parte di Windows Defender SmartScreen

Nelle figure sotto potete vedere tutti i passaggi richiesti da setup.exe per completare l’estrazione delle macchine virtuali e l’installazione del Modern Desktop Deployment and Management Lab Kit

Figura 9: Schermata di benvenuto del Modern Desktop Deployment and Management Lab Kit

Figura 10: Licenza di utilizzo del Modern Desktop Deployment and Management Lab Kit

Figura 11: Ricerca di un virtual switch connesso ad Internet

Figura 12: Il setup è pronto per l’estrazione delle VM del Modern Desktop Deployment and Management Lab Kit

Figura 13: Il processo di estrazione del Modern Desktop Deployment and Management Lab Kit dura diversi minuti

Figura 14: Estrazione e provisioning automatico delle macchine virtuali del laboratorio

Figura 15: Creazione dei Virtual Switch e importazione delle VM in Hyper-V

Il provisioning automatico richiede circa 30-40 minuti. Attendete la fine del processo di estrazione e di installazione e successivamente, come suggerito dal Setup Wizard, collegatevi all’Hyper-V Manager per verificare la presenza delle macchine virtuali che utilizzerete per le esercitazioni proposte dai Modern Desktop Deployment and Management Lab

Figura 16: Processo di installazione del Modern Desktop Deployment and Management Lab Kit completato

Nella cartella che avete scelto per l’estrazione dei file troverete le macchine virtuali che utilizzerete nei laboratori proposti.

Figura 17: File estratti dal setup del Modern Desktop Deployment and Management Lab Kit

Figura 18: Macchine virtuali create in Hyper-V

Nella tabella sotto sono invece elencati i ruoli e i prodotti installati in ogni singola macchina virtuale presente nel Modern Desktop Deployment and Management Lab Kit

Utilizzo del Modern Desktop Deployment and Management Lab Kit

Nel file MDlab_1809_guides_3.0.zip trovetete la guida MDLab_1809_lab guide_3.0.docx che vi permetterà di esercitarvi nei diversi scenari proposti per il Modern Desktop Deployment.

Vi elenco alcuni dei laboratori e delle esercitazioni disponibili:

1. Device and Application Readiness
   

• Configuring Windows Analytics
• Browser Compatibility
• Readiness Toolkit for Office

2. Directory and Network Readiness
   

• Optimize Windows 10 Update Delivery
• Cloud Management Gateway (CMG) & Cloud Distribution Point (CDP)
• Configuration Manager and Intune Co-Management
• Outlook Mailbox Hosted Cache Reduction via Group Policy
• Remote Access (VPN)

3. Office and LOB Application Delivery
   

• Office 365 ProPlus Deployment
• Enterprise Managed Deployment using System Center Configuration Manager
• Enterprise Managed Deployment using Microsoft Intune
• Application Deployment and Management with Microsoft Intune
• Application Self-Service with Microsoft Store for Business
• MSIX Packaging and Conversion of Win32 Applications

4. User File and Settings Migration
   

• Known Folder File Migration
• User State Migration Tool as Part of PC Refresh and Replacement Task Sequences using Configuration Manager and Microsoft Deployment Toolkit
• Enterprise State Roaming
• Start Menu Customization and UWP App Removal
• User Experience Virtualization (UE-V)

5. Security and Compliance
   

• BitLocker
• Windows Defender Antivirus
• Windows Hello for Business
• BIOS to UEFI Conversion
• Credential Guard
• Windows Defender Application Guard
• Windows Defender Exploit Guard
• Windows Defender Application Control
• Windows Defender Advanced Threat Protection

6. OS Deployment and Feature Updates
   

• OS Image Creation
• OS Deployment Task Sequences in Configuration Manager
• OS Deployment Task Sequences in MDT
• Windows AutoPilot
• Provisioning Packages

7. Office and Windows as a Service
   

• Manage Windows Updates using Group Policy
• Servicing Windows 10 with Microsoft Intune
• Servicing Windows 10 with Configuration Manager
• Servicing Office 365 ProPlus with Configuration Manager

Conclusioni

I laboratori contenuti nel Modern Desktop Deployment and Management Lab Kit sono progettati per agevolare la pianificazione, il test e la convalida della distribuzione e della gestione di desktop moderni che eseguono Windows 10 Enterprise e Office 365 ProPlus. Il lab fornisce un ambiente virtuale con provisioning automatico, utilissimo per testare e valutare la distribuzione dei Modern Desktop con l’utilizzo di System Center Configuration Manager, Microsoft Intune, Windows Autopilot e la suite di Office 365.

Visitate la pagina https://docs.microsoft.com/en-us/microsoft-365/enterprise/modern-desktop-deployment-and-management-lab per rimanere sempre aggiornati sulle versioni del kit.

Il 22 gennaio è stata rilasciata una nuova versione di Windows Admin Center. La versione in oggetto è la 1812 Insider Preview, rilasciata insieme a Windows Server vNext Insider Preview Build 18317.

Per scaricare l’ultima versione di Windows Admin Center potete utilizzare il link https://docs.microsoft.com/it-it/windows-server/manage/windows-admin-center/understand/windows-admin-center

Questa volta l’upgrade in-place di WAC potrebbe fallire di conseguenza si suggerisce un’installazione pulita.

Le nuove funzionalità rilasciate sono le seguenti:

• Nuovo pulsante “Informazioni dettagliate di sistema”;
• Abilitare alcune chiavi in modalità “sperimentale” per a gestione di WAC;
• Possibilità di gestire le connessioni ai server e le estensioni tramite PowerShell.

Informazioni dettagliate di sistema

Il nuovo pulsante è disponibile nel menu laterale, nella sezione Server

Figura 1: WAC – Informazioni dettagliate di sistema

Cliccando su installa il sistema inizia la raccolta delle informazioni per poi mostrarle raggruppate per tipologia

Figura 2: WAC – Informazioni dettagliate di sistema – Lista funzionalità

Cliccando, ad esempio, su Networking capacity forecasting è possibile visualizzare nuove informazioni relative alla rete.

Figura 3: WAC – Informazioni dettagliate di sistema – Networking

Inoltre, è possibile pianificare l’esecuzione di uno script in base ad un evento rilevato

Figura 4: WAC – Informazioni dettagliate di sistema – Pianificazione

Figura 5: WAC – Informazioni dettagliate di sistema – Azioni

Chiavi sperimentali

Nelle impostazioni di WAC, sotto la voce “Avanzate” è possibile aggiungere delle chiavi

Figura 6: WAC – Impostazioni – Avanzate

Ad esempio è possibile aggiungere la chiave msft.sme.shell.personalization

Figura 7: WAC – Impostazioni – Chiavi sperimentali

Questo ci permetterà di abilitare il tema “Dark”. Dopo aver cliccato su Salva e ricarica apparirà il nuovo pulsante “Personalizzazione” per poter cambiare tema.

Figura 8: WAC – Impostazioni – Personalizzazione

Essendo ancora in anteprima, questo tema presenta qualche bug o imperfezione che sarà fixata nei prossimi rilasci.

Figura 9: WAC – Impostazioni – Tema scuro

PowerShell

Con questo aggiornamento è possibile utilizzare PowerShell per installare/disinstallare estensioni oppure gestire le connessioni ai server.

Questa funzionalità non è supportata se Windows Admin Center è installato in modalità Desktop.

Dopo aver importato il modulo

Import-Module "$env:ProgramFiles\windows admin center\PowerShell\Modules\ExtensionTools"

Possiamo installare le estensioni direttamente da riga di comando.

Eseguire questo comando per visualizzare la lista dei feed

Get-Feed "https://wac.demolab.local"

Per aggiungere un nuovo feed

Add-Feed -GatewayEndpoint "https://wac.demolab.local" -Feed "\\WAC\lista_estensioni"

Per rimuovere un feed esistente

Remove-Feed -GatewayEndpoint "https://wac.demolab.local" -Feed "\\WAC\lista_estensioni"

Per visualizzare la lista delle estensioni disponibili

Get-Extension https://wac.demolab.local

Per installare un’estensione

Install-Extension -GatewayEndpoint "https://wac.demolab.local" "msft.sme.containers"

Per installare un’estensione da un feed specifico

Install-Extension -GatewayEndpoint "https://wac.demolab.local" "msft.sme.containers" -Feed "https://aka.ms/sme-extension-feed"

Per installare Per installare un’estensione con una versione specifica

Install-Extension "https://wac.demolab.local" "msft.sme.certificate-manager" "0.130.0"

Per disinstallare un’estensione

Uninstall-Extension "https://wac.demolab.local" "msft.sme.containers"

Per aggiornare un’estensione

Update-Extension "https://wac.demolab.local" "msft.sme.containers"

Per gestire le connessioni, installiamo il modulo corrispondente

Import-Module "$env:ProgramFiles\windows admin center\PowerShell\Modules\ConnectionTools"

Per esportare la lista delle connessioni configurate

Export-Connection "https://wac.demolab.local" -fileName "WAC.csv"

Per importare la lista delle connessioni esportate

Import-Connection "https://wac.demolab.local" -fileName "WAC.csv"

Conclusioni

Windows Admin Center migliora sempre di più. Il numero di funzionalità rilasciate continua a crescere e, da questa versione, con l’utilizzo di PowerShell possiamo immaginare una gestione ancora più completa dei nostri sistemi e delle nostre infrastrutture. La possibilità di gestire chiavi interne sperimentali rende sempre più semplice la creazione di moduli custom, integrabili nei menu già esistenti così avviene per le estensioni. Ricordando sempre che questo prodotto viene rilasciato in maniera gratuita, restiamo in attesa di ulteriori fantastici aggiornamenti!

A partire da Windows 10, versione 1809 (October 2018 Update), è possible usare Windows Hello o una Security Key che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol) per poter accedere al proprio Microsoft Account (al momento solo se si usa il browser Edge).

Accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. Per approfondimenti sull’uso del protocollo WebAuthn per l’autenticazione delle applicazioni web vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf

Configurazione di Windows Hello per accedere al Microsoft Account

Il Microsoft Account vi permette di accedere con un unico set di credenziali ad una serie enorme di servizi Microsoft, come ad esempio Xbox, Skype, Outlook.com e altri.

Figura 1: Servizi Microsoft a cui è possibile accedere con il Microsoft Account

L’obiettivo è quello di non utilizzare più la password per accedere al Microsoft Account, ma utilizzare il lettore di impronte digitali e Windows Hello.

Windows Hello è una soluzione che usa il riconoscimento facciale, l’impronta digitale o un PIN per accedere al proprio dispositivo con Windows 10 o per accedere al proprio account sul Web.

La procedura di autenticazione che utilizza Windows Hello (o la Security Key) si basa sull’impiego del protocollo WebAuthn, che usa un algoritmo di crittografia asimmetrico che utilizza due chiavi crittografiche, una privata e una pubblica, per autenticarsi nei siti web. La chiave privata viene memorizzata all’interno del chipset TPM (Trusted Platform Module) e può essere utilizzata solo dopo averla sbloccata mediante riconoscimento biometrico o tramite il PIN. La chiave pubblica viene inviata al Microsoft Account (o a qualsiasi applicazione web che supporta il protocollo WebAuthn).

Aprite il browser Edge e collegatevi al sito https://account.microsoft.com. Se non possedete un Microsoft Account ne potete creare uno.

Figura 2: Apertura del portale di gestione del Microsoft Account

Cliccate su Security e successivamente su More Security Options, come evidenziato nella figura sotto:

Figura 3: Pagina di configurazione della Sicurezza dell’acoount

Nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up Windows Hello

Figura 4: Pagina delle opzioni di sicurezza avanzate

A questo punto partirà una procedura guidata che vi chiederà di confermare con il PIN o con l’impronta digitale la vostra identità (dovete aver già configurato Windows Hello sul vostro pc). Se non avete configurato Windows Hello potete farlo da Start  > Impostazioni  > Account  > Opzioni di accesso. In Windows Hello vedrete le opzioni per il riconoscimento facciale, l’impronta digitale o l’iride se il PC dispone di un lettore di impronta digitale o di una fotocamera che supporta queste opzioni.

Figura 5: Inizio della procedura di registrazione ed associazione di Windows Hello al Microsoft Account

Figura 6: Conferma della propria identità tramite Windows Hello e impronta digitale

Figura 7: Nome del dispositivo associato all’impronta registrata

Figura 8: Procedura di associazione di Windows Hello al Microsoft Account completata

Accesso al Microsoft Account con Windows Hello

Ora che avete associato Windows Hello al vostro Microsoft Account, ogni volta che utilizzerete il browser Edge per navigare potrete utilizzare l’impronta digitale al posto della vostra password.

Figura 9: Inserimento del proprio Microsoft Account in Edge

Lasciate il campo password vuoto e cliccate su Sign in with Windows Hello or a security key, come mostrato in figura. Utilizzate il lettore di impronte digitali oppure il riconoscimento facciale per accedere al Microsoft Account.

Figura 10: Utilizzo di Windows Hello al posto della password

Figura 11: Richiesta dell’impronta digitale per l’autenticazione

Configurazione di una security key per accedere al Microsoft Account

È possibile effettuare l’accesso al Microsoft Account tramite una Security Key (nel mio caso una Yubikey 5 Nano). Le Yubikey sono delle chiavette USB prodotte dalla Yubico che riescono a gestire la multi-factor authentication e la passwordless authentication, supportando FIDO2, FIDO U2F, one-time-password (OTP) e smart card (PIV). Sono disponibili nei formati USB-A, USB-C e NFC.

Figura 12: Protocolli supportati da Yubikey 5

Dopo aver acquistato la Yubikey, in Windows 10, versione 1809 e successive aprite il browser Edge e collegatevi al sito https://account.microsoft.com ed autenticatevi. Cliccate su Security e successivamente su More Security Options e nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up a security key.

ATTENZIONE: Windows Hello and security keys vi appariranno solo se utilizzate il browser Edge e state utilizzando Windows 10, versione 1809 o successiva

Figura 13: Pagina delle opzioni di sicurezza avanzate

Verrete reindirizzati alla pagina di configurazione del vostro dispositivo USB (YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano). In alternativa potete utilizzare un dispositivo NFC (YubiKey 5 NFC), molto utile nel caso vogliate utilizzare lo smartphone (se il vostro modello di smartphone ha NFC ovviamente :-P).

Figura 14: Pagina di configurazione della security key

Cliccando su Next vi verrà chiesto di inserire la Yubikey nella porta USB e, dopo averla inserita, di creare un PIN da associare alla chiave, che vi verrà chiesto ogni volta che la inserite per autenticarvi. In questo modo avrete una doppia sicurezza: il dispositivo hardware ed un PIN associato al dispositivo.

Figura 15: Richiesta di inserimento della security key nella porta USB

Figura 16: Richiesta di generazione di un PIN per proteggere l’accesso alla Yubiley

Il passaggio successivo consiste nel toccare leggermente la Yubikey, in modo tale che la chiave crittografica da 128 bit protetta da un algoritmo di cifratura AES, contenuta al suo interno, sia utilizzata ed associata al vostro account Microsoft.

Figura 17: Toccando la Yubikey utilizziamo la chiave contenuta al suo interno per effettuare l’accesso al Microsoft Account

Inserite un nome per la chiave che state utilizzando, perché è possibile utilizzarne più di una e nel caso la vogliate eliminare la potrete identificare più facilmente.

Figura 18: Nome distintivo della chiave Yubikey per una più veloce individuazione e successiva gestione

Figura 19: Configurazione della security key completata

Verifica dei metodi di accesso impostati e gestione

Per verificare le configurazioni che avete appena effettuato e i metodi di accesso al Microsoft Account che avete aggiunto (Windows Hello e Security Key), ritornate nella pagina delle Additional security options (https://account.live.com/proofs/Manage/additional) e cliccate sul link Manage your sign-in methods che si trova nella parte riservata alla configurazione di Windows Hello and security keys. Avrete in questo modo la possibilità di verificare i metodi di accesso che avete aggiunto e potrete eventualmente rimuoverli o aggiungerne altri, come mostrato nella figura:

Figura 20: Pagina di gestione di Windows Hello and security keys

Accesso al Microsoft Account utilizzando la Yubikey

Se volete accedere al vostro Microsoft Account utilizzando la Yubikey, quando vi verrà chiesto di inserire la password lasciate il campo vuoto e selezionate Sign in with Windows Hello o a security key.

Figura 21: Sign in al Micrososft Account utilizzando una security key

Vi verrà chiesto di inserire la Yubiley, digitare il PIN associato alla chiave e poi toccare leggermente la Yubikey per utilizzare la chiave numerica contenuta nel dispositivo, come mostrato nelle figure sotto:

Figura 22: Richiesta del PIN associato alla Yubikey inserita

Figura 23: Richiesta di tocco della Yubikey per accedere alla chiave numerica contenuta nel dispositivo

Figura 24: Accesso al Microsoft Account completata

Funziona solo con il browser Edge?

Al momento il Microsoft Account supporta solo Microsoft Edge. Il salvataggio delle credenziali che abbiamo visto è basato sul protocollo WebAuthn e le Web Authentication API sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ). Perciò probabilmente Microsoft consentirà questo tipo di funzionalità anche agli altri browser nel giro di poco tempo.

Conclusioni

Microsoft ha introdotto il supporto allo standard FIDO2 in Windows 10, versione 1809 e permette l’utilizzo di Windows Hello per accedere ai siti web senza utilizzare la password. L’utilizzo di un dispositivo biometrico o di una chiave hardware evita all’utente di digitare la propria password, rendendo più sicuro l’accesso alle applicazioni web.

Oltre a FIDO2, la serie YubiKey 5 supporta: FIDO U2F, PIV (smart card), OpenPGP, Yubico OTP, OATH-TOTP, OATH-HOTP e challenge-response. Perciò lo stesso dispositivo utilizzato per proteggere un Microsoft Account può essere utilizzato per proteggere l’accesso a centinaia di servizi. Date un’occhiata al catalogo di Works con YubiKey per scoprire quali altri servizi supportano YubiKey.

Una delle novità più interessanti di Windows Server 2019 è la possibilità di migrare facilmente i file server da versioni precedenti di Windows Server. Grazie all’utilizzo della console Windows Admin Center, di cui abbiamo già parlato in diversi articoli https://www.ictpower.it/?s=windows+admin+center, abbiamo la possibilità di rendere davvero semplice un’operazione che per tanti è davvero impegnativa.

Il trasferimento dei file, delle cartelle condivise e dei permessi di accesso non è mai stato così semplice come con l’utilizzo di Storage Migration Service di Windows Server 2019. Il servizio è disponibile sia nelle versioni Standard che nelle versioni Datacenter.

Se vi state domandando quali siano le vecchie versioni di Windows Server che possono essere migrate e che sono supportate da questo servizio, vi elenco sotto quelle per i server Source e i server Destination:

Sistemi operative supportati come source servers

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003 R2
• Windows Server 2003

Sistemi operative supportati come destination servers

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

C’è da dire che se utilizzate come server di destinazione Windows Server 2019 allora le performance di trasferimento saranno raddoppiate rispetto alle precedenti versioni di Windows Server!

Figura 1: Source e destination server per lo Storage Migration Service

Come funziona?

Il processo di migrazione si articola in 3 fasi:

FASE1: viene effettuato l’inventario del server Source. Vengono elencati i dischi, le condivisioni di rete, i permessi delle condivisioni di rete e le configurazioni

FASE 2: i file vengono trasferiti dal file server Source al file server Destination. I file vengono COPIATI, non spostati, tra i due server

FASE 3: dismissione del file server Source. Questa fase è opzionale e consiste nel trasferimento dell’identità del vecchio file server al nuovo file server (cutover). Al nuovo server verrà associato lo stesso nome ed indirizzo del server di partenza, in modo tale che per gli utenti l’operazione di migrazione sia del tutto trasparente e venga ridotto al minimo il downtime dovuto al passaggio dal vecchio file server al nuovo file server.

Prerequisiti

Per utilizzare lo Storage Migration Service vi servono:

• Un Source server da cui migrare i dati
• Un Destination server dove migrare i dati
• Un Windows Server 2019 che farà da orchestrator e che gestirà la migrazione
• Un PC o un server in cui avete installato Windows Admin Center. In alternativa si può utilizzare PowerShell

Quali file e quali cartelle sono esclusi dalla migrazione?

Alcuni file ed alcune cartelle non possono essere migrati utilizzando Storage Migration Service:

• Windows, Program Files, Program Files (x86), Program Data, Users
• $Recycle.bin, Recycler, Recycled, System Volume Information, $UpgDrv$, $SysReset, $Windows.~BT, $Windows.~LS, Windows.old, boot, Recovery, Documents and Settings
• pagefile.sys, hiberfil.sys, swapfile.sys, winpepge.sys, config.sys, bootsect.bak, bootmgr, bootnxt

Limiti

Attualmente NON è possibile migrare:

• Tra file server in domini diversi
• Tra file server in workgroups
• Tra cluster e cluster (ma è stato annunciato il supporto per questo tipo di migrazione in una prossima versione degli Storage Migration Services)
• Tra domain controllers (ma è stato annunciato il supporto per questo tipo di migrazione in una prossima versione degli Storage Migration Services)
• Previous versions (non si possono migrare le shadow copy)
• Da NTFS a ReFS (il file system di partenza e di destinazione devono coincidere)
• Da più server di partenza verso un solo server di destinazione. Il consolidamento non è per ora previsto (ma è stato annunciato il supporto per questo tipo di migrazione in una prossima versione degli Storage Migration Services)

Per ulteriori informazioni vi rimando alla pagina delle FAQ https://docs.microsoft.com/en-us/windows-server/storage/storage-migration-service/faq

Implementazione

Per utilizzare lo Storage Migration Service installate prima Windows Admin Center su un PC o su un Server e successivamente collegatevi dal Windows Admin Center al Windows Server 2019 che farà da orchestrator. Io ho installato Windows Admin Center (sto utilizzando la versione 1812 Insider Preview) su un PC con Windows 10 (cl1.demo.lab) e utilizzerò un Windows Server 2019 sia come orchestratore che come file server di destinazione (fs03.demo.lab). Il file server sorgente sarà Windows Server 2012 R2 (fs02.demo.lab)

Figura 2: Schema della migrazione

Figura 3: Windows Admin Center

Dal menu di navigazione scegliete Storage Migration Service e cliccate su Install per installare il servizio. Per raddoppiare la velocità di trasferimento in Windows Server 2019 potete installare anche lo Storage Migration Service Proxy, cliccando su Server Manager (in Windows Admin Center) > Roles and features e selezionando Storage Migration Service Proxy.

Figura 4: Installazione del servizio Storage Migration Service

Figura 5: Installazione del servizio Storage Migration Service Proxy in Windows Server 2019

Dopo qualche secondo, terminata l’installazione del servizio, vi apparirà la schermata dello Storage Migration Service

Figura 6: Installazione di Storage Migration Service completata

Gestione del Firewall

È importante considerare che prima di procedere alla migrazione, sia sul server Source che sul server Destination siano state abilitate le seguenti regole in INCOMING:

• File and Printer Sharing (SMB-In)
• Netlogon Service (NP-In)
• Windows Management Instrumentation (DCOM-In)
• Windows Management Instrumentation (WMI-In)

Connettetevi ad ogni server e assicuratevi da Server Manager (in Windows Admin Center) > Firewall > Incoming rules che siano state abilitate le eccezioni del firewall richieste.

Figura 7: Gestione del firewall effettuata da Windows Admin Center

Migrazione

Per procedure alla migrazione è necessario creare un Job. Cliccate su New job e date un nome all’attività.

Figura 8: Creazione di un nuovo job di migrazione

Inserite le credenziali da utilizzare per accedere al file server Source.

Figura 9: Credenziali per accedere al file server sorgente

FASE1: Scansione del file server Source

A questo punto cliccando su Add device avrete la possibilità di indicare qual è il server Source (nel mio caso è fs02.demo.lab). Cliccate su Start Scan per effettuare la scansione dei file, delle cartelle e dei permessi delle condivisioni di rete.

Figura 10: Aggiunta del file server Source

Figura 11: Scansione dei file server Source completata

FASE2: Migrazione del file server Source

Per procedere alla migrazione del file server Source dovete indicare le credenziali per poter accedere al file server Destination

Figura 12: Inserimento delle credenziali per poter accedere al file server Destination

A questo punto indicate quale sarà il Destination server (nel mio caso fs03.demo.lab) e da Scan device verificate di avere abbastanza spazio libero sul server di destinazione e scegliete quali cartelle condivise del server di partenza volete migrare, come mostrato in figura:

Figura 13: scelta del Destination server e mapping delle cartelle condivise

Scegliete le opzioni di trasferimento, come ad esempio il numero di tentativi nel caso fallisca la copia dei file oppure il metodo di validazione dei file, per assicurarsi che siano stati trasferiti correttamente.

Figura 14: Opzioni avanzate per il trasferimento dei file

Cliccate sul pulsante Validate e se non ricevete errori cliccate su Start Transfer, come mostrato nelle figure sotto:

Figura 15: Validazione del server Destination

Figura 16: Inizio del trasferimento (COPIA) dei file

Al termine del trasferimento potrete verificare che tutti i file sono stati copiati dal vecchio file server al nuovo file server, insieme ai permessi di condivisione, come mostrato nelle figure sotto:

Figura 17: Permessi sulla condivisione di rete del server di partenza (Windows Server 2012 R2)

Figura 18: Permessi sulla condivisione di rete del server di destinazione (Windows Server 2019)

FASE 3: CUTOVER (OPZIONALE)

La fase successiva consiste nell’effettuare il cutover del vecchio file server (Source) verso il nuovo file server (Destination), trasferendo il nome e gli indirizzi IP, in modo tale che gli utenti possano accedere al nuovo file server senza accorgersi della migrazione.

Il cutover segue queste operazioni:

• Rinomina il vecchio file server
• Cambia gli indirizzi IP al vecchio file server
• Riavvia il vecchio file server
• Rinomina il nuovo file server
• Cambia gli indirizzi IP al nuovo file server
• Riavvia il nuovo file server

Nelle figure sotto sono mostrate le schermate relative all’operazione di cutover:

Figura 19: inserimento delel credenziali per effettuare il cutover sul nuovo file server

Figura 20: Inserimento del nuovo nome e degli indirizzi IP che riceverà il vecchio file server

Figura 21: Scelta del timeout del cutover (di default è 48 ore)

Figura 22: Validazione su entrambi i server dei paramentrei scelti

Figura 23: Avvio del cutover

Figura 24: Avvenuta modifica del nome del vecchio file server

I server verranno riavviati diverse volte e durante questo periodo non saranno disponibili agli utenti. La durata del cutover dipende dalla velocità con cui i server si riavviano e in quanto tempo Active Directory ed il DNS riescano a replicare i dati, nel caso di diversi Active Directory
Sites.

Per verificare che tutto abbia funzionato, dal Windows Admin Center collegatevi al Windows Server 2019 (il Destination server). Ha cambiato nome, ricordate?

Figura 25: Cutover completato

Figura 26: Overview del job dello Storage Migration Service

Migrazione verso Azure File Sync

Lo Storage Migration Service permette di migrare i file server anche verso Azure File Sync, di cui abbiamo parlato nell’articolo Configurare Azure File Sync con Windows Server 2019. In questo modo è possibile migrare i file verso Azure Files e cominciare, perché no, una migrazione verso il Cloud.

Durante il processo di migrazione vi basterà scegliere il server locale di cache che utilizzate per poter sincronizzare il file con Azure e poi ci penserà l’Azure File Sync Angent a portare i dati online. Nel mio articolo è tutto spiegato nel dettaglio.

Conclusioni

Lo Storage Migration Service vi permette di migrare facilmente i file server a partire da Windows Server 2003. È davvero semplicissimo effettuare migrazione e cutover, permettendo di ridurre il numero di operazioni necessarie e il downtime per i vostri client, che non si accorgeranno praticamente di nulla.

Con la versione di Storage Migration Service attualmente disponibile in Windows Server 2019 non è possibile migrare da Linux, Samba, NetApp, EMC o altri dispositivi SAN e NAS. È previsto però che in una futura versione del servizio venga supportato Linux Samba.

Date un’occhiata anche la sessione di Ned Pyle Retire your old file servers with Storage Migration Service in Windows Server 2019 – BRK3056 tenuta a Ignite 2018

Si è svolto ieri il primo evento ICT Power del 2019, dove Gianluca Nanoia, Vito Macina e Nicola Ferrini hanno mostrato al pubblico alcune delle novità di Windows 10 e Windows Server 2019 e hanno evidenziato alcuni aspetti della sicurezza informatica che ognuno dovrebbe tenere sempre presente quando utilizza qualsiasi dispositivo elettronico.

La nostra Community è stata ospitata dall’Associazione Radioamatori Italiani sezione di Bari, che da due anni supporta con entusiasmo le nostre attività, nella propria sede presso l’Istituto Tecnico Tecnologico “M. Panetti” di Bari.

Siamo stati accolti in una bella location, in cui è stato possibile ammirare la storia degli strumenti utilizzati dall’Associazione Radioamatori per le attività pubbliche di soccorso e supporto alle autorità.

Un ringraziamento particolare a Francesco Cozzi, vicepresidente dell’Associazione, che vediamo qui introdurre le nostre sessioni, con cui siamo in continuo contatto per l’organizzazione e la riuscita di questo genere di eventi.

L’affluenza ha premiato i nostri sforzi, portando decine di appassionati a seguire con attenzione le tre sessioni.

Rinnovando i nostri ringraziamenti all’ARI sezione di Bari, invitiamo tutti a continuare a seguire la nostra Community per rimanere sempre aggiornati sulle ultime novità della Tecnologia e dei prossimi eventi live!

A presto!

Ho già avuto modo di parlare nell’articolo Gestire l’accesso alle macchine virtuali in Microsoft Azure con la funzionalità JIT (Just-in-Time) di quanto sia importante proteggere l’accesso alle macchine virtuali e quanto sia vantaggioso utilizzare il Just in time VM Access, che può essere usato per bloccare il traffico in ingresso verso le porte dei protocolli di amministrazione (RDP per Windows oppure SSH per Linux) delle macchine virtuali di Azure, riducendo l’esposizione agli attacchi.

Questa è solo una delle modalità che possiamo utilizzare per implementare la Just Enough Administration (JEA)
, che ha come scopo quello di aumentare la sicurezza nella gestione e nella delega dei privilegi.

Oggi vi voglio mostrare un’altra interessante funzionalità che potete trovare in Azure Security Center, un sistema unificato per la gestione dei servizi ospitati sia in Azure che on-premises e che serve a rafforzare la Security Posture dei nostri datacenter.

La Security Posture (o Cybersecurity Posture) di un’azienda si riferisce alla sua capacità complessiva di sicurezza informatica ed esprime la sicurezza relativa a tutto ciò che viene gestito dall’IT, sia on-premises che nel Cloud, in particolare per quanto riguarda Internet e la sua vulnerabilità alle minacce esterne. Non si tratta quindi solo di utilizzare gli strumenti giusti per difendersi ma bisogna utilizzare le corrette policy, le procedure e i successivi controlli. Tutto l’insieme di questi aspetti decreta poi la “forza” della sicurezza informatica della nostra azienda.

In Azure Security Center è disponibile una soluzione completamente automatizzata che si chiama Adaptive application controls il cui compito è quello di permettere l’esecuzione solo delle applicazioni che sono state autorizzate da noi. Azure Security Center utilizza Machine Learning per analizzare le applicazioni che girano nelle VM e per applicare delle regole che ne permettano o meno l’esecuzione utilizzando la funzionalità di AppLocker. Questa funzionalità è disponibile solo per computer Windows.

Applocker è una funzionalità di Windows Server e di alcune versioni di Windows Client che permette di bloccare l’esecuzione di file eseguibili, script, file di Windows Installer, librerie a collegamento dinamico (file DLL), controlli ActiveX, ecc.

Grazie alla funzionalità di Adaptive application controls è possibile:

• Bloccare i tentativi di esecuzione di applicazioni dannose, inclusi quelli che potrebbero altrimenti non venire rilevati dalle soluzioni antimalware
• Rispettare i criteri di sicurezza dell’organizzazione che impongono l’uso solo di software concesso in licenza.
• Evitare l’uso di software indesiderato nel proprio ambiente.
• Evitare l’esecuzione di app obsolete e non supportate.
• Impedire l’uso di tools non consentiti in azienda.
• Consentire al personale IT di controllare l’accesso ai dati sensibili tramite l’utilizzo delle applicazioni.

Abilitazione di Adaptive application controls

Per poter abilitare adaptive application controls vi basterà autenticarvi al portale di Azure e cercare la dashboard del Security Center. Il Security Center è disponibile in due modalità: Free e Standard: Per conoscere le differenze tra le due modalità potete visitare la pagina Security Center pricing

Figura 1: Differenza di funzionalità tra i due livelli di servizio di Azure Security Center

La funzionalità di Adaptive application controls è disponibile nella versione Standard e per testarla potete abilitare una versione di prova di 30 giorni. È sempre possible poi successivamente passare dalla versione Standard alla versione Free alla fine del periodo di prova.

Figura 2: Abilitazione della trial di 30 giorni per le funzionalità Standard di Azure Security Center

Figura 3: Dashboard di Azure Security Center

Dopo aver abilitato le funzionalità della versione Standard, spostatevi nel ramo ADVANCED CLOUD DEFENSE e scegliete la voce Adaptive application controls.

Qui potrete visualizzare tre schede che mostrano lo stato delle macchine virtuali e riportano rispettivamente le voci:

• Configurato: elenco dei gruppi contenenti le macchine virtuali configurate con il controllo delle applicazioni.
• Consigliato: elenco dei gruppi per cui è consigliato il controllo delle applicazioni. Il Security Center usa Machine Learning per identificare le macchine virtuali che sono candidate per il controllo delle applicazioni.
• Nessuna raccomandazione: elenco dei gruppi contenenti le macchine virtuali senza alcuna raccomandazione per il controllo delle applicazioni. Ad esempio, le macchine virtuali in cui le applicazioni cambiano sempre e che non hanno raggiunto uno stato stabile.

Figura 4: Gruppi di macchine virtuali che è possibile proteggere

Azure Security Center usa un algoritmo di proprietario per creare gruppi di VM, assicurando che le macchine virtuali simili ottengano criteri di controllo delle applicazioni ottimali.

NOTA: Azure Security Center si basa su almeno due settimane di dati per creare una baseline e popolare le raccomandazioni per ogni gruppo di VM e i gruppi di VM vengono prima visualizzati nella scheda Nessuna raccomandazione.

Cliccando sui gruppi di macchine virtuali sarà possibile gestire le application control rules, che permetteranno di creare delle regole in grado di permettere o meno l’esecuzione delle applicazioni.

Nella figura 5 sono state individuate alcune applicazioni frequenti nelle macchine virtuali all’interno del gruppo e la cui esecuzione è consigliata (nel mio caso c’è una sola macchina chiamata nic-ex16 ed un paio di applicazioni, tra cui Google Chrome).

Esaminate le applicazioni nell’elenco e deselezionare quelle a cui non volete applicare il controllo. Ogni elenco include:

• NOME: informazioni sul certificato o il percorso completo di un’applicazione
• TIPI DI FILE: tipo di file dell’applicazione. Può trattarsi di file EXE, Script, file MSI,ecc.
• EXPLOITABLE: indica se un’applicazione specifica può essere usata da un utente malintenzionato. È consigliabile esaminare queste applicazioni prima di approvarle.
• UTENTI: utenti ai quali è consigliabile consentire l’esecuzione di un’applicazione

Figura 5: Elenco delle applicazioni trovate nelle macchine virtuali del gruppo

Se vi collegate all’interno delle macchine virtuali ed aprite il Local Group Policy Editor con il comando gpedit.msc noterete che saranno state create delle regole di Applocker per permettere l’esecuzione delle applicazioni che avete consentito, come mostrato in figura:

Figura 6: Regole di Applocker impostate dalla application control rule

Verifica della funzionalità

Quando verrà eseguita un’applicazione non consentita, nel caso siate ancora in Audit mode e non in Enforced Mode, ricevere un alert nella Dashboard di Azure Security Center. Threat protection vi segnalerà che c’è un problema e cliccando sul link verrete reindirizzati alla pagina dei Security Alerts, da cui potrete iniziare la verifica e l’investigazione del problema.

Figura 7: Segnalazione di una criticità nella dashboard di Azure Security Center

Figura 8: Security alerts

Cliccando sulla segnalazione di sicurezza verrete reindirizzati ad una pagina che vi segnalerà di quale problema si tratta. Nel mio caso un’eseguibile ha violato la Application Control Policy che ho configurato prima.

Figura 9: Violazione della Application Control Policy

Cliccando su Investigate potrete ottenere maggiori dettagli sul problema riscontrato. Verrete reindirizzati alla Investigation dashboard (preview), che vi fornirà informazioni sull’eseguibile, sul percorso di installazione, sull’ora di esecuzione, ecc.

Vi verranno anche fornite informazioni su come rimediare all’esecuzione del software riscontrato. Potreste ad esempio modificare la Application control policy per permetterne l’esecuzione, in quanto si tratta di un nuovo software che avete installato e che deve essere legittimamente eseguito.

Figura 10: Investigation Dashboard

Modifica delle Application control policy

È possibile modificare in qualsiasi momento Application control policy riaprendo il gruppo di VM.

Verificate in Publisher whitelisting rules, Path whitelisting rules e in  Hash whitelisting rules quali regole di inserimento delle applicazioni nell’elenco elementi consentiti sono attualmente configurate nelle macchine virtuali all’interno di un gruppo. Per ogni regola è possibile visualizzare:

• Regola: i parametri specifici in base ai quali un’applicazione viene esaminata da AppLocker per determinare se può essere eseguita.
• Tipo di file: i tipi di file coperti da una specifica regola (EXE, Script, file MSI, ecc.)
• Utenti: nome o numero di utenti autorizzati a eseguire un’applicazione che è coperta da una regola di inserimento delle applicazioni nell’elenco elementi consentiti.

Aggiungete le eventuali altre applicazioni che avete installato dall’ultima volta che avete modificato la Application control policy, per permetterne l’esecuzione legittima.

Figura 11: Modifica dell’Application control policy

Dopo un periodo di test sarà possibile forzare l’esecuzione della Application control policy modificando la Modalità di protezione (Protection Mode) , che può essere configurata in due modi:

• Audit: La soluzione di controllo delle applicazioni non applica le regole, ma controlla solo l’attività nelle macchine virtuali protette. Si tratta dell’opzione consigliata per scenari in cui si vuole osservare il comportamento generale prima di bloccare l’esecuzione di un’applicazione nella macchina virtuale di destinazione.
• Enforce: in questa modalità la soluzione di controllo delle applicazioni applica le regole e garantisce il blocco delle applicazioni la cui esecuzione non è consentita.

Conclusioni

Con Adaptive application controls in Azure Security Center è possibile controllare quali applicazioni possono essere eseguite nelle macchine virtuali in Azure e proteggerle contro i malware. Azure Security Center usa la funzione Machine Learning per analizzare le applicazioni in esecuzione nelle macchine virtuali e, grazie a questa funzionalità intelligente, consente di applicare specifiche regole di inserimento delle applicazioni nell’elenco elementi consentiti. In questo modo verrà vietata l’esecuzione di tutte le applicazioni non consentite rendendo di fatto la nostra macchina molto più sicura ed immune dai malware.

Il 19 febbraio è stata annunciata la Windows Admin Center Preview 1902.

Questo aggiornamento comprende una nuova serie di componenti legati ad aspetti di networking che nelle versioni precedenti sono stati tralasciati.

Anche in questo caso l’upgrade in-place di WAC potrebbe fallire e di conseguenza si suggerisce un’installazione pulita. Se non volete perdere le connessioni configurate, come descritto nell’articolo Windows Admin Center – le novità della versione 1812 Insider Preview, dalla versione 1812 è possibile esportare ed importare ciò che è stato configurato in precedenza.

Per farlo è sufficiente utilizzare PowerShell. Per esportare:

Import-Module "$env:ProgramFiles\windows admin center\PowerShell\Modules\ConnectionTools"
Export-Connection "<URL WAC>" -fileName "lista_connessioni.csv"

Per importare:

Import-Module "$env:ProgramFiles\windows admin center\PowerShell\Modules\ConnectionTools"
Import-Connection "<URL WAC>" -fileName "lista_connessioni.csv"

Le nuove funzionalità rilasciate sono le seguenti:

• Connessioni condivise;
• Software defined networking (SDN):
  • Access Control List Management;
  • Gateway Connection;
  • Logical Network Management;
  • Feature Enhancement – Connessione di VM a VLAN o Virtual Network;

Software Defined Networking (SDN)

Con Software Defined Networking si intende un nuovo approccio alle architetture di rete. L’obbiettivo di questo approccio è facilitare la gestione e la configurazione di una rete centralizzando l’intelligenza in un oggetto esterno, detto controller, scorporando i processi di inoltro dei pacchetti da quelli di routing.

Negli ambienti virtualizzati il dialogo tra le risorse segue percorsi non fissi ma variabili, soprattutto dopo la diffusione dei dispositivi mobili la cui connessione alla rete può avvenire dai luoghi più disparati. Le regole di networking standard stabiliscono che le pratiche di instradamento, controllo o routing vengano effettuate dallo stesso dispositivo fisico (switch, firewall, ecc…). Il Software Defined Networking, invece, sposta questa logica su più componenti in modo da garantire elasticità alla rete, in base alla topologia della rete oppure alle risorse da raggiungere.

Le componenti architetturali principali di un’architettura SDN sono i seguenti:

• Controller SDN: Questa componente ha compito di astrarre la rete verso le applicazioni che la utilizzano, mettendo in comunicazione le varie componenti che ne fanno parte;
• Applicazione SDN: Software che comunica esplicitamente i propri requisiti ai controller in modo da astrarsi completamente dalla rete;
• Datapath SDN: Dispositivo logico che ha il compito di instradare ed elaborare i dati;
• CDPI SDN: Interfaccia che definisce il dialogo tra un controller SDN e Datapath SDN. Di solito viene implementato con tecnologia open per garantire un facile dialogo a prescindere dalla tecnologia utilizzata

In soldoni: una rete più flessibile ed intelligente per rispondere alle problematiche relative alla larghezza di banda o alla dinamicità delle nuove applicazioni.

Questo paradigma, seppur interessante, presenta diversi svantaggi in ottica di scalabilità e sicurezza.

Per maggiori informazioni su SDN consultate le pagine Software-defined networking su Wikipedia e Software Defined Networking (SDN) sul sito Microsoft.    

Connessioni condivise

Con questa nuova funzionalità, se si è un WAC gateway administrator, è possibile condividere le connessioni

Figura 1: WAC – Connessioni condivise

Le connessioni configurate in questa sezione, e relativi tag, verranno condivise con tutti gli utenti nella pagina “All Connections”, e saranno immutabili per gli utenti semplici.

Access Control List Management

Questa nuova funzionalità è disponibile nella gestione di un cluster iperconvergente previo utilizzo di un’infrastruttura SDN. Nel menu laterale, sotto la voce networking, è possibile cliccare su Access Control List.

In questa sezione è possibile gestire il traffico di rete utilizzando le ACL e le funzionalità di Datacenter Firewall sulle varie virtual subnet.

Figura 2: WAC – ACL

Gateway Connection

Per grosse infrastrutture, ad esempio Cloud Service Provider o ambienti multi tenant Enterprise, è possibile utilizzare le funzionalità del gateway SDN.

Su WAC è possibile gestire le “Gateway connection” e monitorarle in ambienti che utilizzano SDN. Supporta IPSEC, L3 e GRE.

Logical Network Management

Sempre nella sezione networking è stata aggiunta la possibilità di gestire e monitorare le Logical Network (SDN) dell’ambiente virtualizzato.

Feature Enhancement – Connessione di VM a VLAN o Virtual Network

Nelle impostazioni di una VM ubicata nel cluster iperconvergente viene messa a disposizione la possibilità di connettere la VM ad una VLAN o Virtual Network creata in precedenza nell’infrastruttura SDN.

Figura 3: WAC – VM Network

Problemi noti

In fase di aggiunta di un VHD ad una VM. Se si aggiunge un nuovo disco, non è possibile salvare i cambiamenti.

Durante la configurazione di un Azure Network Adapter l’indirizzo del Gateway punterà ad un indirizzo non valido.

Conclusioni

Con questo aggiornamento Windows Admin Center copre tutta una serie di funzionalità per ambienti Enterprise. L’effort speso per gestire infrastrutture basate sul paradigma SDN è un segnale estremamente positivo che sottolinea, ancora una volta, l’importanza di questo prodotto. Attendiamo con ansia i futuri aggiornamenti!

I Virtual Machine Scale Set sono gruppi di macchine virtuali identiche che vengono esposte in rete attraverso un bilanciatore di carico. Se create le macchine virtuali partendo dalle immagini disponibili nel Marketplace avete la possibilità di scalare, anche in maniera automatica, fino a 1000 (!) macchine virtuali. Se utilizzate invece una vostra immagine il limite di scalabilità è ridotto a 300 istanze.

L’obiettivo è quello di assicurarvi sempre l’alta disponibilità delle vostre applicazioni e la gestione dei carichi di lavoro in maniera completamente automatica, rispondendo in maniera dinamica alle richieste di utilizzo e assicurando il massimo del risparmio e delle performance.

Il bilanciatore di carico permette di non dover intervenire sulla gestione delle VM, facendo in modo che anche durante gli aggiornamenti i vostri utenti non subiscano nessun tipo di disservizio.

La creazione di un Virtual Machine Scale Set è veramente semplice. Partendo da un’immagine del sistema operativo è sufficiente scegliere pochissimi parametri. Un esempio è quello riportato nelle figure sotto. Dal portale di Azure scegliete di creare una nuova risorsa partendo dal marketplace e scrivete Virtual Machine Scale Set.

Nel wizard inserite i parametri indicando il nome del Virtual Machine Scale Set, l’immagine del sistema operativo da distribuire, la location, la username, la password e la dimensione delle VM. I Virtual Machine Scale Set possono utilizzare anche le Availiability Zones, se la location che avete scelto le supporta. Per maggiori info sulle Availability Zones vi rimando alla lettura del mio articolo Aumentare l’alta affidabilità delle VM in Azure utilizzando le Availability Zones

Figura 1: Creazione del Virtual Machine Scale Set

Già durante la creazione è possibile definire le regole di Autoscale, che permetteranno di poter gestire il numero di istanze di VM create in maniera dinamica in base al carico di lavoro o altri parametri da voi scelti, come ad esempio anche i momenti della giornata.

Figura 2: Gestione dell’Autoscaling del Virtual Machine Scale Set

Potete decidere le opzioni di bilanciamento scegliendo tra Application Gateway e Load Balancer e potete scegliere di utilizzare una virtual network già esistente oppure di crearne una dedicata, come mostrato in figura:

Figura 3: Creazione di una VNET da associare alle VM del Virtual Machine Scale Set

Cliccando su Create comincerà la creazione del numero di istanze che avete scelto. Io ho scelto di creare 10 istanze.

Figura 4: Le 10 VM del Virtual Machine Scale Set sono state create in mendo di 10 minuti

Figura 5: Tutte le VM sono in esecuzione

Cliccando su ognuna delle istanze create è possibile visualizzare una Overview ed effettuare poche operazioni, tra cui il Reimage o lo Start/Stop, oltre all’Upgrade che prevede l’installazione di un software o il suo aggiornamento.

Figura 6: Overview di una delle VM dello Scale Set

Insieme al Virtual Machine Scale Set sono state create anche altre risorse (IP pubblico, Network Security Group, VNET). Configurando il Load Balancer avete la possibilità anche di creare delle regole di balancing e Inboud NAT.

Figura 7: Risorse create insieme al Virtual Machine Scale Set

Figura 8: Configurazione delle Inbound NAT rules del Load balancer

Figura 9: Load balancing Rule

Installazione del software all’interno delle VM in un Azure Virtual Machine Scale Set utilizzando PowerShell Desired State Configuration

Se non state utilizzando un’immagine creata da voi, all’interno della quale avete installato il software da far girare nelle VM di Azure, nell’immagine del Marketplace avete solo il sistema operativo. L’installazione di un software, o il suo aggiornamento, è estremamente semplificata in un Virtual Machine Scale Set perché potete utilizzare le Extensions, che eseguono attività di configurazione e automazione post-distribuzione nelle macchine virtuali di Azure.

Supponiamo che ad esempio vogliate installare IIS all’interno di tutte le VM del vostro Scale Set. Per farlo vi basterà utilizzare l’estensione DSC (Desired State Configuration) di Azure. Trovate maggiori notizie su come funziona DSC leggendo gli articoli PowerShell Desired State Configuration e Configurazione di macchine Linux su Azure tramite DSC

Ho creato una semplice configurazione DSC che ho chiamato IISInstall

Configuration IISInstall
{
    Node localhost
   {
	WindowsFeature IIS
        {
	    Name = "Web-Server"
	    Ensure = "Present"
        } 
    }
}

Ho salvato la configurazione con il nome install_iis_vmss.ps1 e ho compresso lo script chiamandolo install_iis_vmss.zip

Cliccando sul Virtual Machine Scale Set ho scelto il nodo Extensions e ho selezionato Add. Ho compilato i campi come mostrato in figura 11

Figura 10: Aggiunta di una nuova VM estension

Figura 11: Aggiunta di una nuova configurazione di DSC (Desired State Configuration)

A questo punto tornando nel nodo Instances noterete che vi verrà segnalato che le macchine virtuali del Virtual Machine Scale Set non sono aggiornate all’ultimo Model. Selezionate le VM che volete aggiornare e scegliete Upgrade

Figura 12: Aggiornamento delle macchine virtuale all’ultimo Model

Figura 13: Conferma dell’aggiornamento delle VM

Da questo momento in poi lo script di DSC (Desired State Configuration) verrà applicato alle singole VM. La durata dell’aggiornamento ovviamente varierà in base alle caratteristiche delle VM (dimensione della VM, utilizzo di dischi SSD) e al software che state installando.

Figura 14: Aggiornamento di tutte le VM del Virtual Machine Scale Set

Figura 15: Le VM completano in pochi minuti l’aggiornamento richiesto

Ho recuperato l’indirizzo IP che era stato dato in fase di creazione al Load Balancer da Overview del Virtual Machine Scale Set e usando un browser ho verificato che IIS fosse stato installato nel VMSS.

Figura 16: IIS è stato installato nel Virtual Machine Scale Set utilizzando DSC

Installazione del software all’interno delle VM in un Azure Virtual Machine Scale Set utilizzando uno script PowerShell

Una diversa modalità di installazione, gestione, configurazione e aggiornamento del software nelle VM dello Scale Set è quella di utilizzare uno script PowerShell. Tra le estensioni disponibili avete infatti la voce Custom Script Extension.

Ci sono diversi script di esempio recuperabili all’indirizzo https://github.com/Azure-Samples/compute-automation-configurations per quanto di voi abbiano voglia di cimentarsi e imparare il loro funzionamento.

Adesso che IIS è stato installato utilizzerò uno script in Powershell per poter modificare la Home Page. Lo script è molto semplice (in realtà è una sola riga :-P):

Set-Content -Path "C:\inetpub\wwwroot\index.htm" -Value "Ciao, questa pagina è stata caricata dall’host $($env:computername) !"

Ho salvato lo script con l’estensione .PS1 e ho utilizzato l’estensione Custom Script Extension come mostrato in figura 17:

Figura 17: Aggiunta di una estensione di Custom Script Extension al Virtual Machine Scale Set

Tornando nel nodo Instances noterete che vi verrà segnalato che le macchine virtuali del Virtual Machine Scale Set non sono aggiornate all’ultimo Model. Selezionate le VM che volete aggiornare e scegliete Upgrade

Figura 18: Aggiornamento delle macchine virtuale all’ultimo Model

Se adesso aggiornate la finestra del browser noterete che la home page restituita da IIS sarà diversa e riporterà il nome dell’host su cui sta girando l’applicazione web. Aggiornando più volte l’applicazione il Load Balancer vi reindirizzerà verso host diversi.

Figura 19: Aggiornamento della VM completato

Figura 20: Il Load balancer mostra host diversi se viene eseguito il refresh della pagina nel browser

Aggiornamento dell’applicazione

Per aggiornare l’applicazione ho modificato lo script che ho creato prima inserendo:

Set-Content -Path "C:\inetpub\wwwroot\index.htm" -Value "Ciao, questa pagina è stata caricata dall’host $($env:computername) che abbiamo appena aggiornato"

Ho salvato lo script con l’estensione .PS1 e ho utilizzato l’estensione Custom Script Extension come mostrato in figura 21:

Figura 21: Aggiunta di uno nuovo script PowerShell per aggiornare l’applicazione

Tornate nel nodo Instances e noterete che le macchine virtuali del Virtual Machine Scale Set non sono aggiornate all’ultimo Model. Selezionate le VM che volete aggiornare e scegliete Upgrade. Attendete il completamento dell’esecuzione dello script e aggiornate il browser per verificare che vi venga mostrata la home page aggiornata

Figura 22: L’applicazione è stata aggiornata correttamente

Ci sarebbe da dire molto altro a proposito delle Extensions, che rappresentano il modo migliore per implementare il metodo DevOps. Vi invito a dare un’occhiata alla pagina Estensioni e funzionalità della macchina virtuale per Windows e alla pagina Estensioni della macchina virtuale e funzionalità per Linux per conoscere casi d’uso ed esempi.

Installazione del software all’interno delle VM in un Azure Virtual Machine Scale Set utilizzando il Continuous Delivery (Preview)

Il Continuous Delivery è un approccio che permette agli sviluppatori di creare software in cicli molto brevi, permettendo di aumentarne la velocità e la frequenza, con l’intento di ridurre i costi, il tempo e i rischi che si corrono ogni volta che si aggiorna un’applicazione.

Ospitando il codice della nostra applicazione in GitHub o in Visual Studio Team Services abbiamo la possibilità di distribuirlo in maniera rapida all’interno del nostro Virtual Machine Scale Set.

Spostatevi nel nodo Continuous Delivery (preview) del Virtual Machine Scale Set e cliccate su Configure. Scegliete il vostro Code Repository e seguite le indicazioni.

Figura 23: Configurazione del Continuous Delivery (preview) del Virtual Machine Scale Set

Autorizzate Azure a poter accedere al vostro Code Repository. Io ho scelto Github

Figura 24: Richiesta di autorizzazione all’accesso a Github

Figura 25: Concessione della richiesta di autorizzazione all’accesso a Github

Scegliete Repository e Branch della vostra applicazione servendovi dei menu a tendina

Figura 26: Scelta dei Repository e Branch dell’applicazione

Confermate l’organizzazione Azure DevOps che volete utilizzare per costruire un’immagine e aggiornare il Virtual Machine Scale Set. Se non ne avete già una la potete creare.

Figura 27: Creazione di Azure DevOps service

A questo punto siete pronti per fare il Deploy del vostro package. Inserite le ultime informazioni richieste e fate click su OK.

Figura 28: Completamento della configurazione di Continuous Delivery

Scalabilità automatica dei Virtual Machine Scale Set

Un Virtual Machine Scale Set può aumentare o diminuire automaticamente il numero di istanze di macchine virtuali che eseguono l’applicazione, permettendo di ridurre il sovraccarico e ottimizzare le prestazioni.  Creando delle regole che vanno a verificare il carico di lavoro è possibile gestore le VM, in risposta all’utilizzo della CPU, alla richiesta di memoria o all’accesso al disco e ottimizzando al massimo sia i costi che l’esperienza utente.

Dal Virtual Machine Scale Set selezionate Scaling e create le regole di Scale condition in base alle metriche (consumo di CPU e disco ad esempio) o anche in base a determinati momenti della giornata (durante il weekend e di notte la vostra applicazione è poco utilizzata). Nella figura sotto viene mostrato con quanta facilità è possibile creare una nuova regola. Quando il carico medio della CPU è superiore al 70% per un periodo di 10 minuti, il numero di istanze di macchine virtuali viene aumentato di una unità, mentre se nel giro di 5 minuti la richiesta diminuisce vengono eliminate man mano le macchine virtuali che sono state aggiunte.

Figura 29: Scale rule per Virtual machine Scale Set

Potete anche decidere il numero di istante minimo e massimo. In assenza di carico di lavoro verranno eliminate tutte le VM “in eccesso”

Figura 30: Esempio di regola di Autoscaling

Figura 31: La regola di Autoscaling ha eliminato tutte le VM in eccesso rispetto al carico di lavoro dell’applicazione

Conclusioni

I Virtual Machine Scale Set garantiscono disponibilità elevata per le applicazioni e consentono di gestire in modo centralizzato, configurare e aggiornare un numero elevato di macchine virtuali. Per fornire ridondanza e migliorare le prestazioni, le applicazioni vengono distribuite tra più istanze e un servizio di bilanciamento del carico permette agli utenti di non accorgersi di nulla sia durante le operazioni di manutenzione sia durante i picchi di carico, grazie anche all’autoscaling. Disponibilità elevata e resilienza delle applicazioni vengono assicurati senza interruzioni.

La virtual machine serial console permette di poter accedere, direttamente dal portale di Azure, ad una console di comandi testuale sia in macchine Windows che in macchine Linux.

La connessione seriale usa la porta COM1 della macchina virtuale e permette l’accesso alla VM indipendentemente dalla rete a cui la VM è connessa e in qualsiasi stato il sistema operativo si trovi. L’accesso è consentito però solo dal portale di Azure.

Per abilitare la funzionalità è necessario che le VM abbiano la funzionalità di Boot diagnostics abilitata. La diagnostica di avvio funziona in maniera diversa a seconda che si tratti di una macchina Windows o Linux, perciò se siete interessati al suo funzionamento vi rimando alla lettura dell’articolo Come usare la diagnostica di avvio per risolvere i problemi delle macchine virtuali in Azure

Collegatevi al portale di Azure e dopo aver selezionato la VM da configurare verificate che sia abilitata la Boot diagnostics, come mostrato in figura. Nel caso non fosse abilitata verrete invitati a cliccare su un link che vi rimanderà alla configurazione di uno storage account.

Figura 1: La Boot diagnostics non è abilitata per la VM

Figura 2: Configurazione dello storage account dove verranno inserite le informazioni utili alla boot diagnostics

Le versioni più recenti delle immagini di Windows Server disponibili nel marketplace di Azure hanno la Special Administrative Console (SAC) abilitata di default. La console SAC non è disponibile per le immagini dei sistemi operativi client.

Però se avete creato le vostre VM prima di Febbraio 2018 sarà invece necessario attivare la Special Administrative Console (SAC), andando nel nodo Run command della VM e scegliendo la voce Enable EMS.

Figura 3: Abilitazione della Special Administrative Console (SAC)

Attendete il completamento dello script di configurazione ed eseguite il reboot della VM

Figura 4: Esecuzione dello script per l’abilitazione della Special Administrative Console (SAC)

Dopo il riavvio della VM sarà possibile cliccare sul nodo Serial Console per vedere il prompt SAC>

Figura 5: Connessione alla console seriale effettuata

Per eseguire i comandi nel sistema operativo è prima necessario creare un channel e poi loggarsi.

Create un channel con il comando cmd e poi entrate nel channel con il comando ch -si 1

Vi verrà chiesto di autenticarvi al sistema operativo. Dopo aver inserito le credenziali ricevete il prompt dei comandi

Figura 6: Autenticazione alla VM

Figura 7: Connessione alla console effettuata e prompt dei comandi attivo

Se volete abilitare il Windows Boot Menu nella console seriale vi potete collegare in desktop remoto alla VM e digitare i comandi

bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 10
bcdedit /set {bootmgr} bootems yes

Io li ho eseguiti direttamente dalla console seriale, che tra l’altro supporta la funzionalità di copia/incolla.

Figura 8: Abilitazione del Windows boot menu nella serial console

Riavviando la macchina (potete utilizzare anche il pulsante presente sulla console seriale) vedrete apparire il Windows Boot Manager, come mostrato in figura:

Figura 9: Windows Boot Manager mostrato nella serial console

L’abilitazione della serial console nelle macchine Linux viene effettuata alla stessa maniera. I prerequisiti sono gli stessi delle macchine Windows, quindi assicuratevi che la VM abbia la Boot Diagnostics abilitata.

Affinché la console seriale funzioni correttamente, il sistema operativo guest deve essere configurato per leggere e scrivere i messaggi della console nella porta seriale. La maggior parte delle distribuzioni di Azure per Linux approvate ha la console seriale configurata per impostazione predefinita.

Figura 10: Accesso alla console seriale effettuata da una macchina Ubuntu

Conclusioni

La console seriale permette di poter accedere ad un’interfaccia di testo da cui poter eseguire comandi, sia in VM Windows che in VM Linux, indipendentemente da come le VM siano collegate in rete. La connessione è disponibile solo dal portale di Azure e permette di modificare impostazioni, accedere al file system, gestire il sistema operativo e correggere problematiche dovute a cattive configurazioni. Immaginate di aver creato una regola di firewall troppo restrittiva e di esservi precluso l’accesso alla VM… che fate? Grazie alla console seriale potete rimediare!