Windows Server 2022: Configurazione Windows Firewall

Se si intende utilizzare il firewall presente in Windows Server è fondamentale sapere come abilitare il traffico in entrata per determinate applicazioni e servizi. In quest'articolo vedremo brevemente come procedere. Come per gli articoli precedenti, vedremo come eseguire tale operazioni tramite GUI (sui sistemi Windows Server 2022 con Desktop experience) e utilizzando PowerShell (sui Server Core e su Windows Server 2022 con Desktop experience).

Abilitare app e funzionalità sul firewall utilizzando la GUI

Da Server Manager, selezionare Server locale sul lato sinistro quindi cliccare sul link accanto a Microsoft Defender Firewall.

FIG 1 - Server Manager, Server locale

Cliccare sul link Consenti app tramite firewall.

FIG 2 - Sicurezza di Windows

Selezionare Condivisione file e stampanti e attivarla per il profilo Privato e Dominio selezionando le relative caselle. Cliccare su OK per salvare le modifiche

FIG 3 - App consentite

Abilitare app e funzionalità sul firewall utilizzando PowerShell

Quando si utilizza PowerShell, la prima operazione consiste nell'individuare il nome della regola di Microsoft Defender Firewall su cui si intende intervenire. Questo può essere eseguito tramite il cmdlet Get-NetFirewallRule. Eseguire il seguente comando per individuare tutte le regole nel cui nome compare la parola "remote"

 Get-NetFirewallRule *remote* | Format-table  

Il cmdlet Format-Table rende l'output più leggibile formattandolo come una tabella, con le proprietà selezionate dell'oggetto in ogni colonna. Nell'output ci viene anche indicato se la regola è attiva oppure no.

FIG 4 - Get-NetFirewallRule

Abilitiamo le regole di gestione remota del firewall. Queste consentono di amministrare il firewall del server da un altro sistema. Le regole interessate sono RemoteFwAdmin-In-TCP e RemoteFWAdmin-RPCSS-In-TCP. I comandi da utilizzare per abilitare le 2 regole sono

 Set-NetFirewallRule –Name "RemoteFwAdmin-In-TCP" –Enabled True  
 Set-NetFirewallRule –Name "RemoteFwAdmin-RPCSS-In-TCP" –Enabled True  

FIG 5 - Set-NetFirewallRule

Come visibile anche in FIG 5, se i comandi vengono completati correttamente, non si ottiene alcuna risposta ma si tornerà al prompt di PowerShell.

Eseguendo nuovamente la ricerca, si vedrà che le 2 regole sono ora attive.

FIG 6 - Regole attivate

Windows Server 2022: Abilitazione dell'amministrazione remota

Un server può essere amministrato da remoto tramite l'utilizzo di diversi strumenti tra cui Server Manager, PowerShell e Desktop Remoto. In quest'articolo verrà illustrato come attivare l'amministrazione remota su Windows Server 2022 con desktop experience e sui Server Core.

Windows Server 2022 con Desktop experience

In Windows Server 2022 con Desktop experience la gestione remota è abilitata per impostazione predefinita e consente l'amministrazione remota del server tramite PowerShell. 

Per quanto riguarda Desktop remoto è una funzione separata che consente di connettersi al server e di lavorarci come se ci si trovasse di fronte al suo schermo e alla sua tastiera, pur essendo fisicamente distanti. Per impostazione predefinita, questa opzione è disattivata e, per utilizzarla, è necessario attivarla manualmente. Per permettere la connessione al server tramite desktop remoto, inoltre, va abilitata la regola Desktop remoto - Modalità utente (TCP-In) elencata nelle Regole connessioni in entrata del firewall del server. 

Vediamo di seguito come procedere.

Da Server Manager, cliccare su Server locale nel menu a sinistra. Cliccare, quindi, sul collegamento ipertestuale Disabilitato accanto alla voce Desktop remoto (in alternativa eseguire SystemPropertiesRemote.exe).

FIG 1 - Server Manager, Desktop remoto

Nella finestra di Proprietà del sistema, selezionare Consenti connessioni remote al computer.

FIG 2 - Proprietà del sistema

Verrà visualizzata una finestra di dialogo che ci informa dell'attivazione di un'eccezione del firewall per Desktop remoto. Cliccare su OK.

FIG 3 - Connessione Desktop remoto

Se si desidera impostare l'accesso remoto per persone o gruppi specifici, fare clic sul pulsante Seleziona utenti.

FIG 4 - Proprietà del sistema, Seleziona utenti

Fare clic su Aggiungi (FIG 5), scegliere la persona o il gruppo e fare clic su OK(FIG 6).

FIG 5 - Utenti desktop remoto

FIG 6 - Seleziona Utenti

Cliccare sul pulsante OK nella finestra di dialogo Utenti desktop remoto per chiuderla.

FIG 7 - Utenti desktop remoto

Fare nuovamente clic su OK nella schermata Proprietà del sistema per abilitare Remote Desktop.

FIG 8 - Proprietà del sistema

A questo punto aggiornando la pagina di Server Manager, vedremo che Desktop remoto è stato abilitato.

FIG 9 - Server Manager

Dopo aver abilitato Desktop remoto su Windows Server 2022, è possibile accedere e gestire il server da remoto. Se si desidera consentire a più utenti di accedervi contemporaneamente, è necessario installare il ruolo Servizi desktop remoto (Remote Desktop Services o RDS che, su Windows Server 2022, non viene installato per default).

Windows Server 2022 Core

La gestione remota è abilitata per impostazione predefinita in Windows Server 2022 Core in modo da permettere l'amministrazione del server da remoto con Server Manager. Se nel vostro ambiente è stata disattivata, è possibile attivarla  tramite SConfig o tramite PowerShell con il cmdlet Configure-SMRemoting (utilizzabile anche sulle versioni di Windows Server dotate di Desktop Experience). 

Abilitazione gestione remota tramite SConfig
Da SConfig digitare 4 seguito da Invio per selezionare la voce Gestione remota.

FIG 10 - SConfig

Digitare 1 seguito da Invio per abilitare la gestione remota.

FIG 11 - Configura gestione remota

Dopo qualche secondo un messaggio ci avvisa dell'avvenuta abilitazione. Premere Invio per ritornare alla homepage di Sconfig.

FIG 12 - Gestione remota abilitata

Abilitazione gestione remota tramite PowerShell
Per abilitare la gestione remota da PowerShell eseguire il comando

 Configure-SMRemoting -Enable  

FIG 13 - Configure-SMRemoting

Per poter amministrare il server in remoto con PowerShell, sono necessari due comandi aggiuntivi: Enable-PSRemoting e WinRM QuickConfig. 

Enable-PSRemoting configura PowerShell per ricevere i comandi remoti inviati al sistema. Il comando non fornisce alcune risultato in caso di successo ma verrà semplicemente riproposto il prompt dei comandi di PowerShell. Eseguire il comando

 Enable-PSRemoting -Force  

FIG 14 - Enable-PSRemoting

WinRM QuickConfig analizza e configura automaticamente il servizio WinRM (Gestione remota Windows). Il comando avvia il servizio WinRM se non è già avviato e assicura che WinRM sia impostato per l'avvio automatico. Si assicura, inoltre, che il firewall di Windows consenta il traffico HTTP e HTTPS in entrata e configura un listener per le porte che inviano e ricevono messaggi di protocollo WS-Management usando HTTP o HTTPS. Eseguire il comando

 WinRM QuickConfig   

Dopo aver eseguito l'analisi, ci può essere richiesto di confermare o meno alcune modifiche necessarie (come impostare l'avvio automatico del servizio WinRM e l'attivazione di un'eccezione firewall). Alle richieste di conferma rispondere affermativamente digitando Y seguito da Invio.

FIG 15 - WinRM QuickConfig

Se durante l'analisi tutto è risultato corretto, al posto delle conferme di modifica, verrà visualizzato un messaggio che WinRM è già in esecuzione ed è già impostato per la gestione remota.

FIG 16 - WinRM in esecuzione

Abilitazione Desktop remoto tramite SConfig

Per abilitare Desktop remoto utilizzando SConfig, digitare 7 seguito da Invio per selezionare la voce Desktop remoto.

FIG 17 - Sconfig

Digitare A seguito da invio per abilitare Desktop remoto.

FIG 18 - Abilita Desktop remoto

Selezionare l'opzione Consenti solo client che eseguono Desktop remoto con Autenticazione a livello di rete (sicurezza superiore) digitando 1 seguito da Invio.

FIG 19 - Consenti client

Un messaggio ci avvisa che l'operazione è stata completata. Premere Invio per ritornare nella schermata principale di SConfig.

FIG 20 - Configurazione Desktop remoto completata

Nella homepage di SConfig alla voce Desktop remoto apparirà Abilitato (client con livello di sicurezza superiore).

FIG 21 - Desktop remoto abilitato

Abilitazione Desktop remoto tramite PowerShell

Per abilitare Desktop remoto tramite PowerShell è necessario eseguire i seguenti comandi.

 Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -value 0  
 Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name "UserAuthentication" -Value 1  
 Enable-NetFirewallRule -DisplayGroup "Desktop remoto"  

FIG 22 - Abilitazione Desktop remoto tramite PowerShell

Come si intuisce dai comandi, il primo abilita effettivamente Desktop remoto, il secondo abilita l'autenticazione a livello di rete (sicurezza superiore) mentre il terzo abilita la regola Desktop remoto - Modalità utente (TCP-In) elencata nelle Regole connessioni in entrata del firewall del server.

È possibile utilizzare PowerShell per concedere le autorizzazioni all'uso di Desktop remoto. Gli amministratori possono accedere in remoto per impostazione predefinita. Per dare agli utenti non amministratori il permesso di utilizzare Desktop remoto, basta aggiungerli al gruppo locale Utenti Desktop Remoto con il comando

 Add-LocalGroupMember -Group "Utenti Desktop Remoto" -Member Administrator  

ovviamente sostituendo Administrator con l'utente/gruppo che si intende abilitare.

Disabiliare Desktop remoto tramite PowerShell

Per disattivare Desktop remoto tramite PowerShell basta eseguire i comandi

 Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1  
 Disable-NetFirewallRule -DisplayGroup "Remote Desktop"  

Windows Server 2022: Aggiunta di ruoli e funzionalità

Nei prossimi articoli verrà mostrato come personalizzare l'installazione di Windows Server 2022 con l'aggiunta di ruoli e funzionalità, abilitazione dell'amministrazione remota e configurazione di Windows Firewall. Come per i precedenti articoli vedremo come procedere sia in ambiente Windows con esperienza desktop sia in ambiente Server core. Si tratta solo di un'accenno, tali argomenti verranno ripresi e approfonditi più avanti.

In questo articolo mostrerò come aggiungere ruoli e funzionalità al nostro server. Nello specifico vedremo come installare il ruolo di file server utilizzando la GUI (per le versioni di Windows server dotati di Desktop Experience) e tramite PowerShell (metodo utilizzabile sia sui server Windows con Desktop Experience, sia sulle versioni Core). SConfig, presente sui Server Core, in questo caso non ci è d'aiuto se non per avviare PowerShell.

Aggiunta di ruoli e funzionalità tramite GUI

I ruoli e le funzionalità possono essere aggiunti in Windows Server 2022 con Desktop Experience attraverso Server Manager (che, per impostazioni predefinita, viene avviato all'accesso al server).

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella pagina Prima di iniziare, il Wizard fornisce alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità, Prima di iniziare

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, siamo chiamati a selezionare i ruoli che intendiamo installare. Selezionare File Server presente all'interno di Servizi file e archiviazione->Servizi file e iSCSI e cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata successiva, vengono evidenziate le funzionalità che verranno installate insieme al ruolo selezionato in precedenza. É possibile selezionare ulteriori funzionalità da installare. Cliccare su Avanti per proseguire.

FIG 6 - Selezione funzionalità

Nella pagina Conferma selezioni per l'installazione, viene mostrato un resoconto di quello che verrà installato. Se si desidera che il server si riavvii automaticamente, se necessario, a seguito dell'installazione del ruolo selezionato, è possibile selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario. Cliccare su Installa per installare i ruoli e/o le funzionalità selezionate.

FIG 7 - Conferma selezioni per l'installazione

FIG 8 - Avvio installazione

Terminata l'installazione, cliccare su Chiudi per chiudere la finestra di dialogo del Wizard.

FIG 9 - Installazione terminata

Aggiunta di ruoli e funzionalità tramite PowerShell

Sui Server Core non abbiamo un Wizard che ci guida nell'installazione di un ruolo e bisogna procedere tramite PowerShell.

Da SConfig digitare 15 seguito da Invio per avviare PowerShell.

FIG 10 - SConfig

Prima di poter installare un ruolo tramite PowerShell è necessario conoscere il suo nome. Tramite il cmdlet Get-WindowsFeature possiamo visualizzare tutti i ruoli e le funzionalità disponibili.  Il cmdlet consente anche di eseguire una ricerca indicando il nome o parte di esso (accetta anche caratteri jolly), di un ruolo/funzionalità. Per ricercare il ruolo di File server è possibile utilizzare il comando

 Get-WindowsFeature *file*  

FIG 11 - Get-WindowsFeature

Come visibile in FIG 11, vengono trovati 3 elementi che hanno nel nome la stringa "file" che abbiamo specificato. L'elemento che ci interessa è quello che ha come Display Name File Server e nome FS-FileServer. Per installare tale ruolo eseguire il comando

 Install-WindowsFeature FS-FileServer  

Viene visualizzata una barra di avanzamento (FIG 12) mentre la funzione viene installata. Dopo l'installazione, se si esegue nuovamente il comando Get-WindowsFeature *file*, si nota che è stato installato anche Servizi file e iSCSI (FIG 14)in quanto necessario al funzionamento di File Server.

FIG 12 - Installazione ruolo in corso

FIG 13 - Installazione ruolo terminata

FIG 14 - Get-WindowsFeature

Windows Server 2022: Aggiornamenti automatici

Dopo l'installazione di Windows Server 2022 e dopo aver eseguito le operazioni di base, come la configurazione della rete, l'assegnazione di un nome al server e la join al dominio è opportuno rivolgere la propria attenzione alla gestione degli aggiornamenti. Gli aggiornamenti sono fondamentali in quanto contengono correzioni per le vulnerabilità di sicurezza e nuove funzionalità. 

Data l'importanza degli aggiornamenti,  la maggior parte delle organizzazioni imposta gli aggiornamenti automatici. Tuttavia è possibile che un server non possa essere impostato per ricevere automaticamente gli aggiornamenti, oppure che sia stata rilasciata una patch di emergenza che si desidera applicare immediatamente. In questo articolo vedremo come eseguire gli aggiornamenti automatici e gli aggiornamenti manuali.

Windows Server 2022 con Desktop Experience

Attivare gli Aggiornamenti automatici

Le indicazioni che seguono sono relative all'impostazione degli aggiornamenti automatici tramite la connessione ai server di aggiornamento di Microsoft (comportamento predefinito). Molte organizzazioni dispongono di soluzioni di patching che gestiscono la pianificazione degli aggiornamenti e che potrebbero comunque essere considerate un aggiornamento automatico perché lo strumento pianifica la distribuzione delle patch approvate.

Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da Invio).

FIG 1 - Esegui

Nel riquadro di sinistra, selezionare Windows Update cliccando su Configurazione computer, poi su Modelli amministrativi, quindi su Componenti di Windows e infine su Windows Update.

FIG 2 - Editor Criteri di gruppo locali

Eseguire un doppio click su Configura Aggiornamenti automatici.

FIG 3 - Editor Criteri di gruppo locali, Configura Aggiornamenti automatici

Selezionare la voce Attivata. Verranno visualizzate le opzioni di configurazione. In Configura aggiornamento automatico, verrà impostato Download automatico e avviso per l'installazione. Si tratta dell'impostazione predefinita.

FIG 4 - Configura Aggiornamenti automatici

Cliccare sulla casella a discesa e selezionare l'impostazioni più adatta alle proprie esigenze. Ad esempio in FIG 5 è stata selezionata l'opzione Download automatico e pianificazione dell'installazione.

Cliccare su OK, per chiudere la finestra e salvare le modifiche.

FIG 5 - Configura aggiornamento automatico

Scaricare e installare gli aggiornamenti manualmente

É possibile scaricare e installare manualmente gli aggiornamenti.

Da Server Manager cliccare su Server locale nel menu di sinistra. Cliccare sul collegamento ipertestuale accanto a Ultima verifica disponibilità aggiornamenti. Se non è ancora stato eseguito, potrebbe esserci scritto Mai.

FIG 6 - Server Manager

Fate clic sul pulsante Controlla aggiornamenti. Il server controllerà se ci sono aggiornamenti disponibili. Se gli aggiornamenti sono stati già scaricati, all'interno della schermata potremmo trovare il pulsante Installa ora. Cliccare sul pulsante per procedere all'installazione degli aggiornamenti.

FIG 7 - Windows Update, Installa ora

Per alcuni aggiornamenti potrebbe essere richiesto il riavvio del server. In questi casi possiamo cliccare sul pulsante Riavvia ora, per riavviare subito il server, oppure cliccare su Pianifica il riavvio che consente di specificare giorno e ora in cui il server verrà riavviato.

FIG 8 - Windows Update, Riavvio necessario

FIG 9 - Pianifica il riavvio

Windows Server 2022 Core

Attivare gli Aggiornamenti automatici tramite SConfig

Da SConfig digitare 5 e premere Invio per selezionare il menu Impostazione di aggiornamento.

FIG 10 - SConfig

Digitare 1 seguito da Invio per il download e l'installazione automatica degli aggiornamenti di Windows.

FIG 11 - SConfig, Imposta aggiornamenti su Automatico

Premere Invio per uscire dalla sezione aggiornamenti.

FIG 12 - SConfig, Configurazione impostazioni aggiornamento completata

Attivare gli aggiornamenti automatici tramite PowerShell

L'attivazione degli aggiornamenti automatici può essere effettuata anche tramite PowerShell (sia per le versioni Core di Windows che per le versioni dotate di Desktop Experience).

La prima operazione da eseguire da PowerShell (eseguito come amministratore) è quella di stoppare il servizio Windows Update con il comando 

 net stop wuauserv  

il servizio potrebbe essere già stoppato.

FIG 13 - Arresta il servizio Windows Update

A questo punto è possibile utilizzare il programma di script per eseguire scregedit.wsf. Eseguire il comando

 cscript C:\Windows\System32\scregedit.wsf /AU 4  

L'opzione /AU 4 abilita gli aggiornamenti automatici mentre /AU 1 li disabilita.

FIG 14 - Esecuzione script scregedit.wsf

Avviare il servizio Windows Updates Server

 net start wuauserv  

FIG 15 - Avvia servizio Windows Update

Scaricare e installare gli aggiornamenti manualmente

Per forzare Server Core a rilevare e installare tutti gli aggiornamenti disponibili, è sufficiente digitare il seguente comando e premere Invio

 wuauclt /detectnow  

FIG 16 - Verifica aggiornamenti