Aggiornamento sulla Dismissione di TLS 1.0 e 1.1 per i Servizi Azure

In seguito all’annuncio del 10 novembre 2023, Microsoft ha avviato una transizione graduale verso l’utilizzo esclusivo di TLS 1.2 (o versioni successive) per tutte le connessioni ai servizi Azure. Questa modifica rientra nell’impegno di rafforzare la sicurezza delle comunicazioni, offrendo ai clienti un ambiente cloud più protetto.

Tempistica di Transizione

Per minimizzare i disagi, alcuni servizi continueranno a supportare TLS 1.0 e TLS 1.1 fino al 31 agosto 2025. Durante questo periodo, la lista dei servizi in transizione verrà aggiornata regolarmente per informare i clienti sullo stato di completamento del passaggio a TLS 1.2 o versioni successive. Di seguito l’elenco completo dei servizi coinvolti, fonte la pagina ufficiale di Microsoft:

Azure OfferingTLS documentation and latest updates
API Managementhttps://learn.microsoft.com/azure/api-management/api-management-howto-manage-protocols-ciphers 
App Servicehttps://learn.microsoft.com/azure/app-service/overview-tls  
Application Gatewayhttps://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview https://learn.microsoft.com/azure/application-gateway/application-gateway-configure-ssl-policy-power… 
Azure App Service Static Web Appshttps://learn.microsoft.com/azure/app-service/overview-tls
Azure Archttps://learn.microsoft.com/azure/azure-arc/servers/network-requirements?tabs=azure-cloud 
Azure Cosmos DBhttps://learn.microsoft.com/en-us/azure/cosmos-db/self-serve-minimum-tls-enforcement
Azure Database for MariaDBhttps://docs.microsoft.com/azure/mariadb/concepts-ssl-connection-security#tls-enforcement-in-azure-d…https://docs.microsoft.com/azure/azure-sql/database/connectivity-settings#minimal-tls-version
Azure Database for MySQLhttps://learn.microsoft.com/previous-versions/azure/mysql/single-server/concepts-ssl-connection-secu… 
https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure Database for PostgreSQLhttps://learn.microsoft.com/previous-versions/azure/postgresql/single-server/concepts-ssl-connection… 
Azure Database Migration Servicehttps://learn.microsoft.com/azure/dms/faq#is-all-data-in-transit-and-at-rest-encrypted-
Azure Front Door / Azure Front Door Xhttps://learn.microsoft.com/azure/frontdoor/end-to-end-tls?pivots=front-door-standard-premium
Azure SQL Databasehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure SQL Database Edgehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure SQL Managed Instancehttps://learn.microsoft.com/azure/azure-sql/managed-instance/minimal-tls-version-configure?view=azur…
Azure Synapse Analyticshttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure Web Application Firewallhttps://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview 
https://learn.microsoft.com/azure/application-gateway/application-gateway-configure-ssl-policy-power… 
https://learn.microsoft.com/azure/frontdoor/front-door-faq 
Cloud Serviceshttps://learn.microsoft.com/azure/cloud-services/applications-dont-support-tls-1-2 
Event Gridhttps://azure.microsoft.com/updates/v2/TLS-changes-for-Azure-Event-Grid 
Event Hubshttps://learn.microsoft.com/azure/event-hubs/transport-layer-security-enforce-minimum-version  
Functionshttps://learn.microsoft.com/azure/app-service/overview-tls  
IoT Hubhttps://learn.microsoft.com/azure/iot-hub/iot-hub-tls-support 
Key Vaulthttps://learn.microsoft.com/azure/key-vault/general/security-features#tls-and-https 
Microsoft Azure Managed Instance for Apache Cassandrahttps://learn.microsoft.com/azure/cosmos-db/self-serve-minimum-tls-enforcement 
Service Bushttps://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-configure-minimum-v… 
SQL Server Stretch Databasehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Storagehttps://techcommunity.microsoft.com/t5/azure-storage-blog/tls-1-0-and-1-1-support-will-be-removed-fo…https://learn.microsoft.com/azure/storage/common/transport-layer-security-configure-migrate-to-tls2 
VPN Gatewayhttps://learn.microsoft.com/azure/vpn-gateway/ikev2-openvpn-from-sstp https://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview 
Lista servizi rimanenti a TLS 1.0 e TLS 1.1 

Perché è Importante il Passaggio a TLS 1.2

Sebbene l’implementazione di TLS 1.0 e 1.1 di Microsoft non presenti vulnerabilità note, TLS 1.2 e versioni successive offrono protezioni avanzate, inclusa la Perfect Forward Secrecy e suite crittografiche più robuste, migliorando la sicurezza e la resilienza delle comunicazioni.

Azioni da Intraprendere per Evitare Interruzioni

Per garantire la continuità del servizio e la sicurezza dei workload, è essenziale verificare che tutte le risorse che interagiscono con i servizi Azure utilizzino TLS 1.2 o versioni successive. Ecco come procedere:

  1. Verifica dello Stato delle Risorse
    Conferma che le risorse attualmente utilizzino solo TLS 1.2 o versioni successive.
  2. Azione in Base alla Verifica:
    • Se usano già TLS 1.2 o successivi, non è richiesta nessuna ulteriore azione.
    • Se dipendono ancora da TLS 1.0 o 1.1, pianifica e implementa la transizione a TLS 1.2 o versioni successive.

Il passaggio a TLS 1.2 è fondamentale per evitare potenziali interruzioni del servizio e per assicurarsi che i propri sistemi restino allineati agli standard di sicurezza più avanzati.

Microsoft 365 differenze tra criteri e le etichette di conservazione

Le etichette e i criteri di conservazione consentono alle organizzazioni di gestire e controllare le informazioni assicurando che il contenuto venga conservato solo per un periodo di tempo necessario e quindi eliminato definitivamente.

Criteri di conservazione

  • I criteri di conservazione vengono usati per assegnare le stesse impostazioni di conservazione al contenuto a livello di sito o di cassetta postale.
  • È possibile applicare un singolo criterio a più posizioni oppure a posizioni o utenti specifici.
  • Gli elementi ereditano le impostazioni di conservazione dal contenitore specificato nei criteri di conservazione. Se un criterio è configurato per conservare il contenuto e un elemento viene quindi spostato al di fuori di tale contenitore, una copia dell’elemento viene conservata nella posizione protetta del carico di lavoro. Le impostazioni di conservazione tuttavia non vengono spostate con il contenuto nella nuova posizione.

Etichette di conservazione

  • Le etichette di conservazione vengono usate per assegnare impostazioni di conservazione a livello di elemento, ad esempio una cartella, un documento o un messaggio e-mail.
  • A un messaggio e-mail o a un documento può essere assegnata una sola etichetta di conservazione alla volta.
  • Le impostazioni di conservazione delle etichette di conservazione vengono spostate con il contenuto se questo viene spostato in una posizione diversa all’interno del tenant Microsoft 365.
  • Gli amministratori possono consentire agli utenti dell’organizzazione di applicare un’etichetta di conservazione manualmente.
  • Un’etichetta di conservazione può essere applicata automaticamente se corrisponde a condizioni definite.
  • È possibile applicare un’etichetta predefinita per i documenti di SharePoint.
  • Le etichette di conservazione supportano la revisione per l’eliminazione, ovvero l’esame del contenuto prima di eliminarlo definitivamente.

Confronto delle funzionalità di criteri ed etichette di conservazione

FunzionalitàCriterio di conservazioneEtichetta di conservazione
Impostazioni per conservare e poi eliminare, solo conservare oppure solo eliminare
Carichi di lavoro supportati: 
– Exchange 
– SharePoint 
– OneDrive 
– Gruppi di Microsoft 365 
– Skype for Business 
– Teams
– Yammer
Sì 
Sì 
Sì 
Sì 
Sì 
Sì 

Sì, tranne le cartelle pubbliche 
Sì 
Sì 
Sì 
No 
No 
No
Conservazione applicata automaticamente
Conservazione applicata in base alle condizioni 
– tipi di informazioni riservate, query KQL e parole chiave, classificatori addestrabili, allegati cloud		No
Conservazione applicata manualmenteNo
Interazione con l’utente finaleNo
Persiste se il contenuto viene spostatoNoSì, nel tenant di Microsoft 365
Dichiarazione elemento come recordNo
Avviare il periodo di conservazione al momento dell’etichettatura o in base a un eventoNo
Revisione per l’eliminazioneNo
Prova di eliminazione per un massimo di 7 anniNoSì, quando si usa la revisione per l’eliminazione o quando un elemento viene contrassegnato come record
Audit delle attività dell’amministratore
Controllo delle azioni di conservazioneNoSì 
Identificazione degli elementi soggetti a conservazione: 
– Ricerca contenuto 
– Pagina di classificazione dei dati, Esplora contenuto, Esplora attività
No 
No
Sì 

Microsoft Security Defaults

Le Microsoft Security Default non sono altro che impostazioni di sicurezza preconfigurate ovvero sono un insieme di meccanismi di sicurezza dell’identità di base consigliati da Microsoft per Azure AD che se abilitate verranno applicate all’organizzazione consentendo di proteggere amministratori e utenti da attacchi comuni relativi alle identità.

Cosa molto utile specialmente per le piccole organizzazioni e sono:

  • MFA (Autenticazione a più fattori) per tutti.
  • MFA per gli amministratori.
  • Bloccando i protocolli di autenticazione legacy.
  • Richiedere agli utenti di eseguire l’autenticazione a più fattori quando necessario.
  • Proteggendo attività con privilegi come l’accesso al portale di Azure.

Mantenere attivo un processo dopo aver chiuso una sessione SSH

Spesso mi capita di lanciare script, batch o qualsiasi altro processo in una sessione remota SSH abbastanza lunga ma quando il mio Macbook va in standby o perdo la connessione la procedura si interrompe perdendo tutto il lavoro svolto fino a quel momento.

Come risolvo questo problema?

Ci sono diverse soluzioni quella che uso per la maggiore è tmux.

Accedo alla macchina remota in SSH

avvio tmux con il comado tmux

lancio dentro la sessione tmuz il mio processo o script.

Per abbandonare la sessione tmux digito i tasti Ctrl+b e poi d

A questo punto posso lasciare anche la sessione ssh sulla macchina remota e il processo continuerà senza interruzioni.

Se volessi ritornare al processo basta digitare tmux attach

Come ridurre la partizione VMFSL di default su ESXi 7

Per motivi di test stavo installando un nuovo ESXi 7 per motivi di spazio i dischi usati erano di dimensioni molto piccole ma con sorpresa mi sono accorto che il datastore era di soli 14GB mentre la partizione VMFSL di 120GB.

Quindi ho rifatto un’installazione pulita dell’ESXi stando attento al primo boot di premere shift+o per personalizzare file boot.cfg aggiungendo la voce:

autoPartitionOSDataSize=4096

Cosi facendo, alla fine dell’installazione la partizione sarà di soli 4GB come visualizzato sull’interfaccia web sul diagramma delle partizioni alla numero 7 VMFSL.

ATTENZIONE la procedura indicata vale solo per test fatta in casa sul proprio pc o notebook i valori minimi per il funzionamento in produzione sono nettamente più alti.

Controllare porte remote aperte da MacOs

Capita spesso di testare servizi e le relative porte di funzionamento, sui Mac con il nuovo sistema operativo hanno eliminato l’utilità di rete che prevedeva un tool molto interessante per fare Port scanning e altro.

L’alternativa per sapere se la porta di un server remoto è aperta su MacOs è Netcat:

nc -vnzu IP PORT
OpzioneDescrizione
-vInformazioni dettagliate
-nnumeric only, solo indirizzo ip numerico no nome DNS
-zport scanner,  scansione solo per servizi di ascolto (senza invio di dati)
-umodalità UDP (al posto di quella TCP)

Configurazione rete su Ubuntu 20.04 con Netplan

Non importa se sei un amministratore di sistema o un utente normale ma conoscere le basi per la configurazione di rete di un sistema Ubuntu 20.04 potrebbe essere utile.

Per prima cosa cerchiamo di capire la situazione iniziale e che indirizzo ip abbiamo con i comandi:

ip a

o

ip addr

In questo caso abbiamo questo risultato sopra riportato e un indirizzo ip assegnato dinamicamente da notare il nome logico della scheda di rete ens33 che ci servirà dopo.

Altro comando per avere maggiori dettagli specialmente sull’Hardware usato è:

sudo lshw -class network

Adesso cerchiamo il file yaml da editare se è presente su /etc/netplan

ls /etc/netplan/

a questo punto il nostro file da editare è 00-installer-config.yaml, prima di farlo però facciamo una copia di backup con:

sudo cp /etc/netplan/00-installer-config.yaml /etc/netplan/00-installer-config.yaml.bak

editiamo il file con il nostro editor preferito per avere un indirizzo ip statico in questo modo

network:
  version: 2
  renderer: networkd
  ethernets:
    ens33:
      addresses:
        - 172.16.86.5/24
      gateway4: 172.16.86.1
      nameservers:
          addresses: [8.8.8.8, 4.4.4.4 ]

se desideriamo invece avere un indirizzo ip assegnato dinamicamente da un server DHCP scriviamo

network:
  ethernets:
    ens33:
      dhcp4: true
  version: 2

nel file vanno inseriti con quelli reali gli l’indirizzo ip, il Gateway, i dns e sopratutto il nome della scheda che nel mio caso è ens33.

sudo netplan try

se è tutto ok possiamo applicare direttamente le modifiche con

sudo netplan apply

Programmare un riavvio su Windows Server

Tra le tante attività di un System Administrator quella di aggiornare un server è quasi quotidiana e quando ci troviamo su ambiente windows spesso a fine processo è richiesto un riavvio. A volte questo non è possibile immediatamente e quindi nasce l’esigenza di programmarlo magari la notte, durate le ore dov’è scarico o quando non si hanno accessi.

Le soluzioni sono molteplici ma quella di eseguire il tutto con un comando per me è la più comoda.

Il comando va eseguito con permessi elevati:

schtasks /create /tn “Riavvio Programmato” /tr “shutdown /r /t 0” /sc once /st 23:00:00 /sd 09/09/2020 /ru “System”

ovviamente vanno cambiati i valori 23:00:00 e 09/09/2020 con l’ora e la data desiderata.

Tasti + e – per cambiare sequenza di boot su bios con Tastiera MacBook

Da utente Windows di vecchia data appena ho avuto l’esigenza di cambiare l’ordine di avvio (boot) sul bios in una macchina virtuale su di un host VMware Esxi da una tastiera di un MacBook sono entrato nel panico 🙂

Ricerche su internet e diverse prove di combinazioni di tasti mi hanno portato ad una soluzione. I Tasti da utilizzare sono: ?' per il DOWN e Shift (maiuscolo) + per l’UP

Altra soluzione sarebbe stata quella di agire sulle VM options aggiungendo il campo bios.bootOrder se non presente.