Category Archives: Windows Server 2016

Annunciato Windows Admin Center: esperienza di gestione rinnovata

Al Microsoft Ignite dello scorso anno, è stata rivelata la preview tecnica del progetto Honolulu.
Questa notizia ha suscitato un’onda di entusiasmo tra i presenti. Da molteplici strumenti ad un’esperienza unificata per le attività di ogni giorno, il progetto Honolulu è un sogno che si realizza grazie ad una soluzione semplice e raffinata per gestire da remoto Windows Server e Windows 10.
E sono proprio i numeri a confermare l’entusiasmo:

Oggi possiamo annunciarvi la general availability di Windows Admin Center!

Cos’è Windows Admin Center?
Se sei un amministratore IT che gestisce Windows Server e sistemi operativi Windows, probabilmente aprirai dozzine di console nelle attività di ogni giorno, quali Event Viewer, Device Manager, Disk Management, Task Manager, Server Manager…e la lista potrebbe continuare.
Windows Admin Center mette insieme molte di queste console in un’esperienza di remote management moderna, semplificata, integrata e sicura.

Questi i modi in cui Windows Admin Center può aiutare gli amministratori IT:

  • Esperienza di gestione semplice e moderna – Windows Admin Center è una piattaforma browser-based GUI e un set di strumenti che permette agli amministratori IT di gestire da remoto le macchine Windows Server e Windows 10.
  • Hybrid capabilities – Windows Admin Center può gestire istanze di Windows Server e Windows 10 da dovunque inclusi sistemi fisici, macchine virtuali, hypervisor oppure dal cloud. Permette di connettersi al cloud con funzionalità opzionali di aggiunta valori come l’integrazione con Azure Site Recovery per la protezione delle macchine virtuali e il supporto di Azure Active Directory per controllare l’accesso grazie alla multi-factor authentication.
  • Set di strumenti integrati – invece di spostarvi continuamente tra diversi strumenti e contesti, con Windows Admin Center ottenete una panoramica delle vostre risorse ed avete la possibilità di addentrarvi in dettagli specifici. Oltre a macchine server e client, vi permette di gestire cluster di failover e deployment di infrastrutture hyper-converged (HCI).
  • Creato per essere estensibile – Microsoft è al lavoro con i partner early-adopter per perfezionare l’esperienza di extension deployment. Presto sarete in grado di estendere le funzionalità di Windows Admin Center a soluzioni di terze parti. Per esempio, vedrete che i vendor di hardware di terze parti inizieranno ad utilizzare Windows Admin Center per gestire il loro hardware.

Nel video qui sotto vedete Windows Admin Center in azione:

Windows Admin Center è in general availability ed è supportato per essere utilizzato in ambienti di produzione. Microsoft lavora e sviluppa continuamente per aggiungere valore per il cliente (grazie anche ai feedback degli utenti), impegnandosi a migliorare ed aggiornare periodicamente il prodotto.

La release di Windows Server 2019 è un’altra importantissima tappa per Windows Admin Center.

Scaricate Windows Admin Center oggi stesso!
Windows Admin Center non ha costi aggiuntivi. In quanto download separato, Windows Admin Center può essere utilizzato con licenze di Windows Server o Windows 10, considerato che è licenziato sotto Windows Supplemental EULA.
Scaricatelo ora!

FAQ
Quali versioni di Windows Server posso gestire con Windows Admin Center?
Windows Admin Center verrà ottimizzato per Windows Server 2019 ed abiliterà i temi principali nel release in arrivo di Windows Server 2019, la gestione di scenari di cloud ibrido e di infrastrutture iper-convergenti. Nonostante Windows Admin Center funzionerà al meglio con Windows Server 2019, supporta la gestione di differenti versioni che i clienti utilizzano: da Windows Server 2012 a quelle più nuove.
Per ulteriori dettagli, guardate la documentazione ufficiale.

Windows Admin Center è un rimpiazzo completo per tutti gli strumenti RSAT tradizionali?
No. Nonostante Windows Admin Center possa gestire molti scenari comuni, non rimpiazza completamente tutti gli strumenti tradizionali di Microsoft Management Console (MMC). Per uno sguardo più approfondito su quali sono gli strumenti inclusi nel Windows Admin Center, prendete come riferimento la documentazione ufficiale presente al link qui sopra.

Windows Admin Center è un supplemento, non un rimpiazzo di RSAT (Remote Server Administration Tools) in quanto ruoli quali Active Directory, DHCP, DNS, e IIS non hanno ancora funzionalità di gestione equivalenti a Windows Admin Center.

Quali browser sono supportati dal Windows Admin Center?
Le ultime versioni di Microsoft Edge e Google Chrome sono testati e supportati su Windows 10. Altri moderni web browser su altre piattaforme non sono attualmente parte del test matrice e perciò non sono ufficialmente supportate.

Vi sono dipendenze cloud?
No. Windows Admin Center non richiede accesso ad Internet e non richiede neppure Microsoft Azure.
Gestisce istanze di Windows Server e Windows 10 da dovunque, inclusi sistemi fisici, macchine virtuali o qualsiasi hypervisor oppure sul cloud.
Nonostante, nel corso del tempo, saranno inserite diverse integrazioni con servizi di Azure, saranno funzionalità opzionali e non dei pre-requisiti per utilizzare Windows Admin Center.

ATTENZIONE: Meltdown e Spectre rivelano le falle di sicurezza dei processori di tutti i sistemi operativi

Meltdown e Spectre: sono questi i nomi dati a difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi.
Queste vulnerabilità interessano molte CPU, Meltdown è un difetto dei processori della Intel mentre Spectre tocca non solo i processori di Intel ma anche quelli di AMD (Ryzen) e Arm usati sugli smartphone.
Queste falle nei sistemi sono in grado di rubare dati e contenuto processato sui vostri pc.
Permettono ad esempio, ad una pagina Web o a un’app ostile di rubare password, chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Meltdown e Spectre funzionano su PC, dispositivi mobili e nel cloud.
Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade.

Qui sotto vedete Meltodown in azione:

Google spiega che un suo ricercatore, Jann Horn, ha dimostrato che malitenzionati possono sfruttare la speculative execution per leggere la memoria di sistema, che di base dovrebbe rimanere inaccessibile. “Per esempio un soggetto non autorizzato potrebbe leggere dati sensibili nella memoria di sistema come password, chiavi crittografiche o informazioni sensibili nei software aperti.
Google assicura che non appena appreso di questa nuova classe di attacco si è mobilitata per difendere i propri sistemi e i dati degli utenti. “Abbiamo aggiornato i nostri sistemi e i prodotti interessati per proteggerci. […] Abbiamo anche collaborato con i produttori di hardware e software nell’industria per aiutarli a proteggere i loro utenti e il web in generale. Questi sforzi hanno incluso un’analisi collaborativa e lo sviluppo di nuove tecniche di mitigazione”.

Cosa fare per mettersi al sicuro?
Microsoft ha dichiarato:
“Siamo a conoscenza del problema su scala industriale e stiamo lavorando a stretto contatto con i produttori di chip per sviluppare e testare soluzioni per proteggere i nostri clienti. Stiamo per installare soluzioni di mitigazione nei servizi cloud e abbiamo pubblicato anche aggiornamenti di sicurezza per proteggere gli utenti Windows dalle vulnerabilità che coinvolgono i chip di Intel, ARM e AMD. Non abbiamo ricevuto alcuna evidenza che indichi che queste vulnerabilità siano state usate per attaccare i nostri clienti”.

Microsoft ha già pubblicato un fix per Windows 10 e Windows Server 2016
—> (KB4056892)
: aggiornamento di sicurezza d’emergenza che si occupa proprio di intervenire sulle falle. L’aggiornamento può essere installato da Windows Update sul proprio computer, ma dovrebbe comunque essere installato al primo riavvio, se è attiva l’opzione per gli aggiornamenti automatici. Con alcune tipologie di processori Intel, l’aggiornamento potrebbe portare a un rallentamento del sistema. Arriveranno fix anche per le vecchie versioni di Windows (7 e 8), ma solo martedì.

Apple ha già pubblicato un update per l’ultimo macOS (10.13.2, ma sono previsti ulteriori modifiche con il 10.13.3) e anche il kernel Linux sta ricevendo i correttivi necessari.

AMD ha invece dichiarato:
“Ci sono molte speculazioni su un potenziale problema di sicurezza legato ai microprocessori moderni e alla speculative execution. Come solitamente facciamo quando un potenziale problema di sicurezza viene identificato, AMD sta lavorando sul proprio ecosistema per verificare e rispondere all’attacco identificato e assicurarsi che i propri utenti siano protetti”.

AMD su Meldown e Spectre

“Il team di ricercatori di sicurezza ha identificato tre varianti che colpiscono la speculative execution. Il pericolo e la risposta alle tre varianti differisce dall’azienda di microprocessori, e AMD non è soggetta a tutte e tre le varianti. A causa delle differenze dell’architettura AMD, crediamo che ci sia un rischio pari quasi a zero per i processori AMD in questo momento”.

La terza parte chiamata in causa è ARM, queste le sue parole:
“ARM sta lavorando con Intel e AMD per risolvere un metodo di analisi side-channel che sfrutta le tecniche di speculative execution usate in determinati processori di fascia alta, inclusi alcuni nostri Cortex-A. Questo metodo richiede che il malware giri localmente e potrebbe causare l’accesso ai dati da memoria privilegiata. I nostri Cortex-M, che sono diffusi nei dispositivi IoT connessi a basso consumo, non sono interessati dal problema”.

Ogni processore Intel che implementa l’esecuzione out-of-order è potenzialmente affetto dal problema, il che vuol dire ogni processore dal 1995 – salvo Intel Itanium e Intel Atom prima del 2013. Meltdown è stato testato con successo sulle generazioni di chip Intel distribuite dal 2011. Al momento non è chiaro se i processori ARM e AMD siano affetti da Meltdown.

Per quanto riguarda Spectre, quasi tutti i prodotti hardware al mondo sono colpiti dal problema: desktop, portatili, server e smartphone. Tutti i processori moderni in grado di mantenere molte istruzioni in volo sono potenzialmente vulnerabili.

Raccomandiamo perciò a tutti di aggiornare immediatamente i propri sistemi operativi!!

FAQ
Sono potenzialmente affetto dal bug?
Quasi sicuramente sì.

Posso individuare se qualcuno ha utilizzato Meltdown o Spectre contro di me?
Probabilmente no. Lo sfruttamento delle falle dei processori non lascia alcuna traccia nei tradizionali log files.

Il mio antivirus è in grado di identificare o bloccare l’attacco?
Beh, in teoria è possibile, in pratica è difficile che accada. Diversamente dai soliti malware Meltdown and Spectre sono difficili da distinguere dalle normali applicazioni.

Cosa può venir rivelato?
Se il vostro sistema è stato attaccato, il malware potrà leggere il contenuto in memoria nel vostro computer. Questo contenuto può includere password e dati sensibili conservati sul sistema.

Esiste un rimedio?
Attualmente ci sono patches contro Meltdown for Linux ( KPTI o KAISER), Windows, e OS X. Sono tutti al lavoro per fortificare i sistemi nei confronti di futuri attacchi di Spectre.

Quali sistemi possono essere attaccati da Meltdown?
Desktop, Laptop, e Cloud computers e, in particolare, qualsiasi processore che implementa l’esecuzione out-of-order è potenzialmente affetto dal problema, il che vuol dire ogni processore dal 1995 – salvo Intel Itanium e Intel Atom prima del 2013. Meltdown è stato testato con successo sulle generazioni di chip Intel distribuite dal 2011. Attualmente Meltdown è stato verificato solo sui processori Intel. Al momento non è chiaro se i processori ARM e AMD siano affetti da Meltdown”.

Quali provider cloud possono essere attaccati da Meltdown?
Tutti i cloud provider che utilizzano Intel CPUs and Xen PV come virtualizzazione che non hanno attivato la patche. Sono inoltre colpiti i cloud provider senza un hardware di virtualizzazione che si appoggiano su container che condividono kernel, come Docker, LXC, o OpenVZ.

Qual è la differenza tra Meltdown e Spectre?
Meltdown rompe il fondamentale meccanismo che separa le applicazioni utente dal sistema operativo. In questo modo, un programma di accedere alla memoria di altri programmi e del sistema.
Spectre rompe invece l’isolamento fra diverse applicazioni.
Entrambi gli attacchi utilizzano canali laterali per ottenere informazioni dalla memoria del sistema.
Both attacks use side channels to obtain the information from the accessed memory location. For a more technical discussion we refer to the papers ( Meltdown and Spectre)

Cosa sono CVE-2017-5753 e CVE-2017-5715?
Sono i modi ufficiali con cui ci si riferisce a Spectre.

Cos’è CVE-2017-5754?
È la nomenclatura ufficiale con cui ci si riferisce a Meltdown.

Nuova funzione IIS per identificare un debole utilizzo di TLS

Siamo felici di annunciarci una nuova funzionalità per Windows Server 2012R2 e Windows Server 2016 che si pone come obiettivo quello di migliorare consapevolezza di quali sono i client che si connettono ai servizi con protocolli deboli di sicurezza o cipher suites.

Attualmente gli IIS log possono essere utilizzati per correlare indirizzi IP client, stringhe utente e servizi URI. Con l’aggiunta di nuovi campi di logging personalizzati, sarete in grado di quantificare l’utilizzo di protocolli di sicurezza obsoleti e cipher dei client che si connettono ai vostri servizi.
Per abilitare la nuova funzionalità, queste quattro variabili dei server devono essere configurate come sorgente dei campi personalizzati nell’IIS applicationHost.config. La registrazione personalizzata può essere configurata sia a livello server che a livello sito.
Qui sotto un esempio di configurazione a livello sito:

Nuova funzione IIS per identificare un debole utilizzo di TLS

Ogni campo di informazione SSL è composto da un numero esadecimale associato ai vari protocolli di sicurezza o algoritmi cipher suite.
Per una richiesta HTTP plain-text, i quattro campi saranno registrati come ‘-‘.

Esempio di log e spiegazione dei nuovi campi qua sotto:

Nuova funzione IIS per identificare un debole utilizzo di TLS

Per maggiori informazioni, vi rimandiamo alla documentazione ufficiale Microsoft: Custom Fields in a Log File for a Site

Le informazioni presenti in questa pagina sono tratte dall’articolo New IIS functionality to help identify weak TLS usage, disponibile a questo link.

Confronto fra l’edizione Standard e l’edizione Datacenter di Windows Server 2016

Vi riportiamo quello che molti utenti chiedevano a gran voce: un confronto fra le due principali edizioni di Windows Server 2016.
Qui sotto sono evidenziate le aree in cui le due edizioni differiscono.

Blocchi e Limiti

Locks and Limits Windows Server 2016 Standard Windows Server 2016 Datacenter
Maximum number of users Based on CALs Based on CALs
Maximum SMB connections 16777216 16777216
Maximum RRAS connections unlimited unlimited
Maximum IAS connections 2147483647 2147483647
Maximum RDS connections 65535 65535
Maximum number of 64-bit sockets 64 64
Maximum number of cores unlimited unlimited
Maximum RAM 24 TB 24 TB
Can be used as virtualization guest Yes; 2 virtual machines, plus one Hyper-V host per license Yes; unlimited virtual machines, plus one Hyper-V host per license
Server can join a domain yes yes
Edge network protection/firewall no no
DirectAccess yes yes
DLNA codecs and web media streaming Yes, if installed as Server with Desktop Experience Yes, if installed as Server with Desktop Experience

Server roles

Windows Server roles available Role services Windows Server 2016 Standard Windows Server 2016 Datacenter
Active Directory Certificate Services Yes Yes
Active Directory Domain Services Yes Yes
Active Directory Federation Services Yes Yes
AD Lightweight Directory Services Yes Yes
AD Rights Management Services Yes Yes
Device Health Attestation Yes Yes
DHCP Server Yes Yes
DNS Server Yes Yes
Fax Server Yes Yes
File and Storage Services File Server Yes Yes
File and Storage Services BranchCache for Network Files Yes Yes
File and Storage Services Data Deduplication Yes Yes
File and Storage Services DFS Namespaces Yes Yes
File and Storage Services DFS Replication Yes Yes
File and Storage Services File Server Resource Manager Yes Yes
File and Storage Services File Server VSS Agent Service Yes Yes
File and Storage Services iSCSI Target Server Yes Yes
File and Storage Services iSCSI Target Storage Provider Yes Yes
File and Storage Services Server for NFS Yes Yes
File and Storage Services Work Folders Yes Yes
File and Storage Services Storage Services Yes Yes
Host Guardian Service Yes Yes
Hyper-V Yes Yes; including Shielded Virtual Machines
MultiPoint Services Yes Yes
Network Controller No Yes
Network Policy and Access Services Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Print and Document Services Yes Yes
Remote Access Yes Yes
Remote Desktop Services Yes Yes
Volume Activation Services Yes Yes
Web Services (IIS) Yes Yes
Windows Deployment Services Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Windows Server Essentials Experience Yes Yes
Windows Server Update Services Yes Yes

Funzionalità

Windows Server Features installable with Server Manager (or PowerShell) Windows Server 2016 Standard Windows Server 2016 Datacenter
.NET Framework 3.5 Yes Yes
.NET Framework 4.6 Yes Yes
Background Intelligent Transfer Service (BITS) Yes Yes
BitLocker Drive Encryption Yes Yes
BitLocker Network Unlock Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
BranchCache Yes Yes
Client for NFS Yes Yes
Containers Yes (Windows containers unlimited; Hyper-V containers up to 2) Yes (all container types unlimited)
Data Center Bridging Yes Yes
Direct Play Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Enhanced Storage Yes Yes
Failover Clustering Yes Yes
Group Policy Management Yes Yes
Host Guardian Hyper-V Support No Yes
I/O Quality of Service Yes Yes
IIS Hostable Web Core Yes Yes
Internet Printing Client Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
IPAM Server Yes Yes
iSNS Server service Yes Yes
LPR Port Monitor Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Management OData IIS Extension Yes Yes
Media Foundation Yes Yes
Message Queueing Yes Yes
Multipath I/O Yes Yes
MultiPoint Connector Yes Yes
Network Load Balancing Yes Yes
Peer Name Resolution Protocol Yes Yes
Quality Windows Audio Video Experience Yes Yes
RAS Connection Manager Administration Kit Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Remote Assistance Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Remote Differential Compression Yes Yes
RSAT Yes Yes
RPC over HTTP Proxy Yes Yes
Setup and Boot Event Collection Yes Yes
Simple TCP/IP Services Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
SMB 1.0/CIFS File Sharing Support Installed Installed
SMB Bandwidth Limit Yes Yes
SMTP Server Yes Yes
SNMP Service Yes Yes
Software Load Balancer Yes Yes
Storage Replica No Yes
Telnet Client Yes Yes
TFTP Client Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
VM Shielding Tools for Fabric Management Yes Yes
WebDAV Redirector Yes Yes
Windows Biometric Framework Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Windows Defender features Installed Installed
Windows Identity Foundation 3.5 Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Windows Internal Database Yes Yes
Windows PowerShell Installed Installed
Windows Process Activation Service Yes Yes
Windows Search Service Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Windows Server Backup Yes Yes
Windows Server Migration Tools Yes Yes
Windows Standards-Based Storage Management Yes Yes
Windows TIFF IFilter Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
WinRM IIS Extension Yes Yes
WINS Server Yes Yes
Wireless LAN Service Yes Yes
WoW64 support Installed Installed
XPS Viewer Yes, when installed as Server with Desktop Experience Yes, when installed as Server with Desktop Experience
Features available generally Windows Server 2016 Standard Windows Server 2016 Datacenter
Best Practices Analyzer Yes Yes
Direct Access Yes Yes
Dynamic Memory (in virtualization) Yes Yes
Hot Add/Replace RAM Yes Yes
Microsoft Management Console Yes Yes
Minimal Server Interface Yes Yes
Network Load Balancing Yes Yes
Windows PowerShell Yes Yes
Server Core installation option Yes Yes
Nano Server installation option Yes Yes
Server Manager Yes Yes
SMB Direct and SMB over RDMA Yes Yes
Software-defined Networking No Yes
Storage Management Service Yes Yes
Storage Spaces Yes Yes
Storage Spaces Direct No Yes
Volume Activation Services Yes Yes
VSS (Volume Shadow Copy Service) integration Yes Yes
Windows Server Update Services Yes Yes
Windows System Resource Manager Yes Yes
Server license logging Yes Yes
Inherited activation As guest if hosted on Datacenter Can be host or guest
Work folders Yes Yes