Creazione certificato autofirmato in PowerShell

In Windows 8/Windows server 2012 con PowerShell 3.0 è stata indrodotto il cmdlet New-SelfSignedCertificate che permette la creazione di un certificato autofirmato, nelle versioni successive di PowerShell tale cmdlet è stato migliorato con l’aggiunta di nuove opzioni. In PowerShell 5.1 disponibile nativamente in Windows 10 Anniversary Edition/Windows Server 2016 il cmdlet permette la creazione semplice…



Raccomandazioni per la lunghezza della chiave dei certificati digitali e del periodo di validità

Quando si creano dei certificatio digitali occorre prestare attenzione alla lunghezza della chiave in relazione al periodo di validità dello stesso. Ovviamente aumentare la lunghezza della chiave oltre a diminuire il rischio di compromissione del certificato aumenta l’utilizzo della CPU durante gli handshake SSL e la durata dello stesso, questo significa che una chiave più lunga può impattare…



Hardening di IIS tramite le HTTP Response Headers

Per aumentare la sicurezza del web server è possibile impostare impostare alcune HTTP Response Header del server web in modo da evitare o limitare gli attacchi più comuni. Di seguito alcuni HTTP Response Header  che è consigliabile configurare. In IIS le HTTP Response Header possono essere configurate tramite l’IIS Manager, è possibile configurare le HTTP Response Headers a livello per…



Disabilitare le HTTP Response Headers in IIS 10

Quando si pubblica un server web in Internet è buona norma disabilitare la possibilità da parte degli utenti esterni di reperire semplicemente informazioni sull’architettura, tecnologie utilizzate e versioni del software. Nel caso specifico di IIS potrebbe essere utile disabilitare le HTTP Response Headers come indicato nel post Remove Unwanted HTTP Response Headers. Disabilitazione pubblicazione Server…



Rimozione dei profili utente tramite PowerShell

Su GitHub e sulla TechNet Gallery ho pubblicato lo script PowerShell Remove-UserProfile.ps1 per l’eliminazione dei profili utente che utilizza il metodo Delete della classe WMI Win32_UserProfile che è supportata da Windows Vista with SP1/Windows Server 2008. Sebbene la classe Win32_UserProfile non contempla il metodo Delete infatti esso non è riportato nella documentazione MSDN e non…



Deploy PKI in Windows Server 2016

Su ICTPower.it è online la guida per implementare una Certification Authority (CA) mediante una Public Key Infrastructure (PKI) basata su una struttura Two-Tier (a due livelli) che prevede una Root CA Offline di tipo Standalone e una Subordinate CA di tipo Enterprise. Nella guida che scritto durante l’implementazione di un caso reale ho cercato di…



Automazione di Windows Update in W10 e WS2016

In determinati scenari può essere creare un’automazione per gli aggiornamenti di windows in modo da eseguire manualmente l’operazione in modo rapido o per creare script che eseguano il processo di aggiornamento. A seconda degli scenari è possibile automatizzare il processo di aggiornamento del sistema in modi diversi. Metodo 1: Avvio diretto della funzionalità Windows Update…



Windows Server 2016 e Windows Update tramite proxy

La versione RTM di Windows Server 2016 (10.0.14393) non consente l’esecuzione dei Windows Update se la connessione a Internet avviene tramite un proxy anche se questo è correttamente configurato nelle Opzioni Internet. L’issue si presenta sia che il proxy richieda o meno l’autenticazione. Soluzione 1 Per risolvere il problema è possibile fare in modo che…



Deploy Certificate Authority Best Practices

Il deploy di una Certificate Authority (CA) non è un’operazione che si esegue spesso, ma l’implementazione di tale servizio nell’infrastruttura è di grande rilevanza dal punto di vista della sicurezza. Inoltre occorre valutare attentamente le scelte architetturali in base al proprio scenario in quanto modificare l’implementazione di una CA una volta che è in produzione…



Windows Server 2012/R2 e richiesta HTTP Autentication per il web site della CA

In Windows 2012/R2 se si tenta di richiedere un certificato tramite il sito web esposto da un server su cui è stato installato il ruolo Certification Authority Web Enrolment è possibile che venga restituito il seguente avviso: “In order to complete certificate enrolment, the Web site for the CA must be configured to use HTTPS…