Come mantenere un'infrastruttura di rete sana in Windows

  • Configurare e ottimizzare Windows (IPv4, profili di rete, TCP/IP e DoH) per stabilità e controllo.
  • Regolare la scheda di rete (offload, RSS, buffer, alimentazione) e lo stack TCP per massimizzare le prestazioni e ridurre al minimo la latenza.
  • Progetta per zone (DMZ, interna, di test) e applica Zero Trust con AAA, crittografia moderna e segmentazione.
  • Mantenere un piano continuo: patch, backup, monitoraggio e documentazione per un'elevata disponibilità.
Pablo

14 minuti

Infrastruttura di rete in Windows

Oggi, gestire una rete in Windows non significa solo collegare i computer: significa anche mantenerla agile, sicura e pronta per qualsiasi evenienza futura. Un'infrastruttura di rete sana Riduce i tempi di inattività, previene gli incidenti e consente di massimizzare le prestazioni sia in ambienti domestici che aziendali.

In questa guida troverai le impostazioni chiave di Windows, le tecniche di ottimizzazione degli adattatori, consigli di sicurezza di alto livello, un progetto di riferimento per un'infrastruttura Windows con servizi critici e un piano di manutenzione dettagliato. Integriamo configurazione pratica, prestazioni, best practice e rafforzamento. affinché la tua rete rimanga stabile e sana a lungo termine.

Impostazioni di rete e Internet in Windows: accesso rapido e stato

In Windows, il pannello Rete e Internet riunisce tutto ciò che serve per connettersi, personalizzare e diagnosticare. Per aprirlo Esistono due scorciatoie molto comode: usare Start e digitare impostazioni per accedere a Impostazioni > Rete e Internet, oppure fare clic con il pulsante destro del mouse sull'icona Rete o Wi-Fi nella barra delle applicazioni e scegliere Impostazioni di rete e Internet.

Da quel pannello vedrai lo stato della connessione in alto, con accesso alle funzioni utilizzate più di frequente come Wi-Fi, Ethernet, VPN, utilizzo dei dati o proprietà di rete. È il modo più diretto per confermare a colpo d'occhio se tutto è collegato correttamente.

Come vedere il tuo indirizzo IP in Windows

Se hai bisogno di identificare il tuo indirizzo IP sulla rete locale, Windows ti semplifica la vita tramite le proprietà dell'interfaccia. Segui questo percorso per trovare l'indirizzo IPv4 in uso.

  1. Apri Rete e Internet e scegli l'interfaccia appropriata: Wi-Fi per le reti wireless (seleziona la rete a cui sei connesso) o Ethernet per cavo.
  2. In Proprietà, cercare la riga Indirizzo IPv4 per visualizzare l'indirizzo IP assegnato. Con quell'IP Sarà possibile diagnosticare o configurare l'accesso interno.

Controllo dell'utilizzo: imposta il limite dei dati

Se utilizzi un piano dati a consumo (tethering, 4G/5G o connessioni limitate), Windows può avvisarti quando ti avvicini al limite e anche quando lo superi. Imposta un limite Aiuta a evitare sorprese e a ottimizzare il traffico.

  1. Accedi Configurazione di rete e Internet.
  2. selezionare Uso dei dati nello stato di rete attivo.
  3. Selezionare Inserisci limite, definire il tipo di limite, compilare i campi e salvare. Da li Riceverai notifiche automatiche.

Modalità aereo: quando e come attivarla

La modalità aereo disattiva contemporaneamente Wi-Fi, rete mobile, Bluetooth e NFC. È utile per risparmiare la batteria o soddisfare i requisiti di ambienti specifici.

  • Fare clic su Rete, Volume o Batteria nella barra delle applicazioni e attiva la modalità aereo.
  • Oppure vai su Rete e Internet > Modalità aereo e usa l'interruttore. Con un tocco Spegni o accendi tutta la radio.

Rete pubblica o privata: scegli il profilo giusto

Quando ti connetti per la prima volta, Windows 11 imposta la rete come pubblica per impostazione predefinita. Quel profilo riduce al minimo l'esposizione Ed è la soluzione consigliata, a meno che non si intenda condividere risorse in un ambiente attendibile.

  • Rete pubblicaIl dispositivo rimane nascosto agli altri dispositivi; non è progettato per condividere file o stampanti.
  • Rete privataIl dispositivo è rilevabile e consente la condivisione. Utilizzalo solo se ti fidi degli utenti e dei dispositivi in ​​quel segmento.

Per modificare il profilo, vai alle impostazioni di Rete e Internet, scegli Wi-Fi e seleziona la rete corrente (o Ethernet se utilizzi un cavo) e, in Tipo di profilo, seleziona Pubblico o Privato. Il profilo indica il livello di esposizione e il comportamento del firewall.

Impostazioni TCP/IP e DNS in Windows

TCP/IP definisce il modo in cui i computer comunicano tra loro e con Internet. Il più comodo e robusto Di solito si usa il DHCP, in modo che il router assegni automaticamente IP e DNS, ma è anche possibile configurare tutto manualmente.

  1. In Rete e Internet, per le reti Wi-Fi, immettere Wi-Fi > Gestisci reti conosciute e scegli la rete; per Ethernet, seleziona la connessione attiva.
  2. En Assegnazione IP, premere Modifica.
  3. Selezionare Automatico (DHCP) o Manuale. automatico Lascia che sia il router a gestire IP e DNS; con Manuale puoi definire IP, maschera, gateway e server DNS.

Se si desidera proteggere le query DNS, Windows supporta DNS su HTTPS. Sono disponibili tre modalità: Disattivato (testo normale), Attivato con modello automatico (rileva la configurazione) o Attivato con modello manuale (definisci il modello DoH). È possibile abilitare o disabilitare il fallback al testo normale: se abilitato, la query non crittografata verrà effettuata solo se HTTPS non è possibile; se disabilitato, non verrà effettuata alcuna query in caso di errore di crittografia.

Impostazioni di rete sicure in Windows

Ottimizzazione della scheda di rete in Windows Server

Una corretta regolazione della scheda di rete può fare la differenza nel carico del server: maggiori prestazioni, minore latenza e migliore utilizzo della CPU. La configurazione ottimale Dipende dall'adattatore, dal carico, dall'hardware e dagli obiettivi.

Abilita gli offload di rete come i checksum TCP, LSO e RSS. Queste funzionalità scaricano il lavoro alla scheda e alleggeriscono la CPU, anche se su adattatori con risorse limitate alcuni download potrebbero limitare il picco sostenibile; se tale limite è accettabile, è consigliabile abilitarli comunque.

RSS distribuisce il traffico in entrata su più processori logici, il che è fondamentale quando le schede di rete sono meno numerose delle CPU. Controlla il feed RSS (NUMAStatic predefinito) e aumenta il numero di code se l'adattatore lo consente per migliorare la parallelizzazione.

Se il controller consente di regolare le risorse, attiva i buffer di ricezione e invio. Valori bassi Nella ricezione causano perdita di pacchetti e prestazioni inferiori, soprattutto in caso di flussi di ricezione elevati.

Per quanto riguarda la moderazione delle interruzioni, cercate un equilibrio. Meno interruzioni Risparmia CPU a scapito della latenza; più interrupt riducono la latenza ma consumano CPU. Se è disponibile la fusione dei buffer, aumentare il numero di interrupt può essere utile quando la moderazione nativa degli interrupt non è disponibile.

Reti sensibili ai microsecondi: riduzione della latenza

Per gli ambienti che misurano la latenza in microsecondi, è consigliabile adattare la piattaforma. Trucchi efficaci: impostare il BIOS su Alte prestazioni e disabilitare gli stati C (o consentire al sistema operativo di gestire l'alimentazione), impostare il piano di alimentazione del sistema su Alte prestazioni (comando powercfg se appropriato), abilitare gli offload statici (checksum UDP/TCP e LSO), abilitare RSS nei flussi multithread e disabilitare la moderazione degli interrupt se è fondamentale una latenza inferiore (a scapito della CPU).

Gestire l'interrupt della NIC e l'affinità DPC in modo che condividano la cache con il thread utente che elabora i pacchetti. Utilizzare lo stesso nucleo Per ISR, DPC e applicazione può saturarlo; distribuire in modo intelligente con RSS e affinità.

Prestare attenzione alle SMI (interruzioni della gestione del sistema). Hanno la massima priorità. e può introdurre picchi di oltre 100 µs. Se la latenza è critica, richiedi al tuo fornitore un BIOS a bassa latenza o uno con SMI ridotto al minimo; il sistema operativo non è in grado di gestirli.

Regolazione automatica della finestra di ricezione TCP

Windows negozia dinamicamente la dimensione della finestra di ricezione per ogni connessione per massimizzare le prestazioni. Una volta era riparato (65.535 byte) e throughput limitato; con l'auto-regolazione, lo stack si adatta alla latenza e alla larghezza di banda.

A titolo di riferimento, la velocità effettiva per connessione è la finestra TCP in byte moltiplicata per 1 e divisa per la latenza. Esempio classicoA 1 Gbps con una latenza di 10 ms, una finestra statica produrrebbe circa 51 Mbps; con una regolazione automatica ben dimensionata, è possibile ottenere una linea da 1 Gbps.

Se l'app non definisce una finestra, Windows assegna in base alla velocità: meno di 1 Mbps utilizza 8 KB, tra 1 e 100 Mbps 17 KB, da 100 Mbps a 10 Gbps 64 KB e 10 Gbps o più 128 KB. Ecco come si usa il collegamento senza toccare l'applicazione.

Livelli disponibili: Normale (fattore 0x8), Disabilitato (nessun ridimensionamento), Limitato (0x4), Molto limitato (0x2) e Sperimentale (0xE). Cattura di pacchetti Visualizzeranno WindowsScaleFactor con ShiftCount rispettivamente 8, nessuno, 4, 2 o 14, mantenendo in genere una finestra negoziata di 64K sul SYN in base al bitrate della NIC.

È possibile controllare o modificare il livello utilizzando PowerShell o netsh. Regola il livello al tuo scenario: Normale di solito si adatta a quasi tutti, mentre Sperimentale è per gli ambienti estremi.

Piattaforma e parametri di filtraggio obsoleti

Windows Filtering Platform consente al software di terze parti di ispezionare e filtrare il traffico nello stack. È fondamentale per la sicurezzaTuttavia, i filtri implementati in modo errato riducono le prestazioni del server; è necessario convalidarli e ottimizzarli.

I vecchi valori di Windows Server 2003, come TcpWindowSize, NumTcbTablePartitions e MaxHashTableSize, non vengono più utilizzati. Nelle versioni moderne Vengono ignorati anche se compaiono in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters.

Manutenzione della rete: definizione, vantaggi e sfide

La manutenzione della rete consiste nel controllare e garantire che l'hardware, il software, la configurazione, le prestazioni e la sicurezza della rete siano in buone condizioni, identificando e risolvendo guasti o rischi. È un processo continuo che previene le interruzioni, rafforza la protezione e garantisce la continuità aziendale.

Chiari vantaggi: connettività e collaborazione migliorate, maggiore protezione contro le violazioni, risparmi grazie alla condivisione delle risorse e alla riduzione dei tempi di inattività, mobilità con dispositivi wireless e una migliore esperienza utente grazie a una minore latenza e una maggiore disponibilità. Tutto torna per operazioni più efficienti.

Sfide comuni: compatibilità dopo gli aggiornamenti, crescita e scalabilità, team di manutenzione non certificati, errori umani e gestione di hardware obsoleto e non supportato. Pianifica e allena è essenziale mitigarli.

Una rete collega i dispositivi per condividere dati e risorse utilizzando protocolli su supporti cablati o wireless. I dati arrivano in pacchetti.Gli switch gestiscono il traffico all'interno della rete e i router tra le reti, cercando percorsi efficienti.

Tipi di rete più comuni in base alla portata: LAN (ufficio o edificio), PAN (dispositivi nelle vicinanze), MAN (area metropolitana) e WAN (area estesa, anche paesi). Ogni tipo Ciò comporta requisiti e rischi diversi.

Principali vantaggi di una manutenzione ben eseguita

Oltre agli aspetti tecnici, una manutenzione efficace influisce sulla continuità e sui risultati. Alta disponibilità Grazie alle revisioni e alla prevenzione, si verificano meno incidenti, si ottimizzano hardware e software e si migliora la conformità normativa attraverso controlli e audit.

Piano passo dopo passo per la manutenzione della rete

1) Preparazione: valuta l'architettura e lo stato attuale, esamina i diagrammi e le modifiche recenti e verifica che tutta la documentazione (topologie, configurazioni, dati dei fornitori) sia aggiornata.

2) SicurezzaEsegue l'audit di firewall e IPS, aggiorna antivirus e antimalware e applica patch utilizzando un sistema di gestione che automatizza e verifica il processo. Ricerca inoltre vulnerabilità ed errori di configurazione.

3) Hardware e softwareMonitora lo stato di salute di server e router (memoria, CPU, disco, errori) e convalida la corretta configurazione di switch e punti di accesso per un funzionamento ottimale.

4) PrestazioniAnalizza la larghezza di banda e i modelli di traffico per rilevare colli di bottiglia e monitorare la latenza entro soglie accettabili, apportando modifiche laddove necessario.

5) Backup e ripristinoVerificare che i backup siano completi e aggiornati, rivedere il piano di disaster recovery, adattandolo a nuovi sistemi o modifiche e consultare un Guida alla riparazione del sistema dopo un virus.

6) Documentazione: aggiorna i documenti con tutte le modifiche apportate (configurazioni, patch) e registra gli incidenti con la loro causa, risoluzione e lezioni apprese.

Supporto di terze parti: servizi tipici

Affidarsi a un fornitore di manutenzione di terze parti specializzato (TPM) può rafforzare la strategia di disponibilità e hardware. I suoi servizi Solitamente coprono riparazioni correttive, assistenza 24 ore su 24, 7 giorni su 7, copertura globale, pezzi di ricambio ricondizionati di qualità e competenza multimarca.

servizio Descrizione
manutenzione correttiva I tecnici certificati diagnosticano e riparano guasti o componenti a rischio.
Supporto 24/7 Assistenza remota e in loco in qualsiasi momento per ridurre al minimo i tempi di inattività.
Portata globale Presenza in numerosi Paesi per fornire assistenza ovunque si trovi la tua azienda.
Ricambi di alta qualità (SpaaS) Ricambi rigenerati che riducono i costi e promuovono un'economia circolare.
Esperienza multimarca Supporto per diversi produttori e modelli, anche quelli non elencati nel catalogo.

Rilevamento e risposta: da EDR a XDR

Non è possibile una prevenzione totale e la risposta è fondamentale. EDR fornisce visibilità e risposta dell'endpoint, ma solitamente esclude dispositivi di rete, storage, stampanti, BYOD, cloud o IoT e non vede vettori come la posta elettronica a livello di sistema operativo.

Per colmare queste lacune, stanno emergendo soluzioni specifiche per dominio e, in modo integrato, XDR mira a unificare il rilevamento e la risposta su endpoint, rete e cloud. Il concetto è ancora in fase di maturazioneSi discute sull'inserimento dei log, sull'intelligence sulle minacce, sull'analisi e sull'automazione.

L'adozione di XDR richiede una strategia a lungo termine, la scelta dei provider giusti e l'inizio con il più consolidato (solitamente EDR) prima di estendere la copertura alla rete e al cloud. apprendimento automatico Integra già il rilevamento senza firma e può accelerare le indagini.

Progetto di riferimento: infrastruttura Windows sicura per le aziende

Immagina di aver bisogno di un sistema di posta elettronica, un sito Web pubblico, un archivio di file utente, database di produzione e di test (non esposti a Internet) e due applicazioni (client-server e Web) con ambienti di produzione e di test. Un design suddiviso in zone La ridondanza e la segmentazione sono le basi.

  • Zone e reteInternet, DMZ (servizi esposti), rete di produzione interna, rete di test/laboratorio interna, rete di gestione e rete di backup. Segmentazione in VLAN, applicazione di ACL tra i segmenti e protezione dei flussi con un firewall perimetrale e un firewall interno, oltre a un WAF davanti alle applicazioni web pubbliche.
  • Identità e fondamenti2 controller di dominio (AD DS) per sito, con DNS integrato e DHCP ridondante (o prenotazioni nel core). Sincronizza l'ora e applica criteri di gruppo per il rafforzamento. L'identità È lo strato che sostiene il resto.
  • posta: 2 server di cassette postali (Exchange) nel DAG sulla rete interna e 1-2 Edge Transport nella DMZ per il relay sicuro, oppure un servizio cloud con connettori sicuri. Filtra lo spam e malware sul perimetro e applica TLS per il trasporto.
  • Sito web pubblico: 2 server IIS in DMZ dietro il bilanciatore del carico e WAF, con TLS 1.2 o superiore e cifrari robusti. Nessun accesso diretto ai database interni; tutta la logica esposta deve essere stateless e distribuita tramite CI/CD.
  • Archiviazione di file: 2 file server in cluster (SOFS/DFS-R) con quote, deduplicazione e copie di backup in rete. Permessi di controllo con ACL ed etichettatura dei dati sensibili.
  • DatabaseProduzione con 2 nodi SQL Server in Always On AG e test su 1-2 istanze separate e isolate in una VLAN di laboratorio. Nessun collegamento da Internet o DMZ a questi DB.
  • Applicazioni interne: 2 server per l'app web interna e 2 per l'app client-server (pool per produzione e per test), tutti connessi ai rispettivi database tramite VLAN e porte riservate. Limita traffico al minimo (porto e origine/destinazione).
  • Gestione e sicurezza: 2 server AAA/RADIUS (NPS) per amministratori e Wi-Fi, SIEM per registri, IDS/IPS, WSUS e piattaforma di monitoraggio. I backup su una rete separata con test di conservazione e ripristino periodico.
  • Controlli aggiuntiviVPN con MFA per amministrazione remota, jump server, rafforzamento del servizio e segmentazione est-ovest con microsegmentazione ove appropriato. L'obiettivo Si tratta di limitare i movimenti laterali e contenere gli incidenti.

Le migliori pratiche per la sicurezza delle infrastrutture (modello Zero Trust)

Un'architettura sicura aggiunge strati perimetrali e interni con segmentazione per funzione. Zero Trust Presuppone che nessuna richiesta sia affidabile fin dall'inizio e richiede la verifica di ogni accesso con policy coerenti.

Integrità e configurazione: verifica gli hash del sistema operativo e del firmware prima e dopo l'aggiornamento. Esempio: verify /sha512 <PATH:filename>Implementare il controllo delle modifiche, confrontare con copie recenti e rimuovere file non necessari o vecchie versioni con delete <PATH:filename>. Garantisce la persistenza di cambiamenti con copy running-config startup-config sulle apparecchiature di rete.

AggiornamentiMantenere versioni stabili e supportate di software e firmware, pianificando gli aggiornamenti hardware quando scade il supporto del produttore. Senza patch come è noto, il rischio sale alle stelle.

AAA centralizzatoConfigurare due server AAA per un'elevata disponibilità e utilizzare chiavi pre-condivise robuste. Esempio: aaa group server radius <GROUP_NAME> + server-private <IP_ADDRESS_1> key <KEY_1> y server-private <IP_ADDRESS_2> key <KEY_2>. Centralizzare Semplifica e garantisce la tracciabilità.

Account e password: rimuove gli account predefiniti e condivisi, crea utenti univoci e utilizza l'hashing sicuro per l'archiviazione, ad esempio username <NAME> algorithm-type sha256 secret <PASSWORD>. password complesse Oltre 15 caratteri con lettere maiuscole, lettere minuscole, numeri e simboli, univoci per dispositivo e ruolo e modificati in caso di indicazioni di compromissione.

Amministrazione remota sicura: disabilita Telnet e HTTP, migra SNMP alla v3 (esempio: no snmp-server community y no snmp-server host), SSH v2 forza (ip ssh version 2) e HTTPS (ip http secure-server). Chiavi robuste con crypto key generate rsa modulus 3072 e suite di crittografia approvate.

Limita l'accesso ai servizi: limita le origini con ACL, ad esempio access-list 10 permit 192.168.1.0 0.0.0.255 e applicarlo alle linee VTY con access-class 10 in. Ridurre la superficie all'essenziale.

Sessioni e inattività: configura i timeout (ip ssh time-out 300 y exec-timeout 5 0) e abilita i keep-alive TCP (service tcp-keepalives-in y service tcp-keepalives-out). Evitare sessioni orfane e rapimenti.

Concatenamento di blocchi: impedisce le connessioni in uscita dalle sessioni amministrative con transport output none sulle linee VTY. Limita i movimenti dai team di gestione.

Percorsi e interfacce: disabilita il routing sorgente (no ip source-route), attiva uRPF (ip verify unicast source reachable-via rx) e autentica il routing: OSPF con area 0 authentication message-digest e BGP con neighbor <IP_ADDRESS> password <PASSWORD>. Evita le rotte false e imitazioni.

Livello sicuro 2: disabilita il trunking dinamico configurando switchport mode access y switchport nonegotiate quando non è richiesto un trunk. Applicare la sicurezza della porta (switchport port-security, maximum 2, violation shutdown), disattiva le porte non utilizzate (interface range ... + shutdown) e disabilitare CDP dove non è necessario (no cdp enable). Controlla chi entra per ogni porto.

Banner pubblicitariAggiungi note legali prima di effettuare l'accesso con banner login e messaggi MOTD, ad esempio: banner login # Acceso solo a usuarios autorizados. Actividad monitorizada. #. Salvare le modifiche con write memory e verificare la conformità legale con il tuo team legale.

Monitoraggio e auditingRegistra gli accessi (riusciti e non riusciti) e periodicamente esamina i log alla ricerca di modelli anomali. Un SIEM Ti aiuterà a correlare gli eventi in tempo reale.

Glossario rapido

AAAAutenticazione, autorizzazione e contabilità per controllare chi accede, cosa può fare e cosa viene registrato.

Zero Trust: modello che verifica ogni accesso, presupponendo che possano esserci minacce sia all'interno che all'esterno della rete.

uRPF: verifica che il percorso sorgente sia raggiungibile, utile contro lo spoofing IP. Filtra il traffico non legittimo al limite.

Con una combinazione bilanciata di messa a punto di Windows, ottimizzazione dell'adattatore, controlli di sicurezza a strati, segmentazione intelligente, una progettazione ridondante dei servizi Windows e un programma di manutenzione disciplinato, La tua infrastruttura di rete rimane stabile, veloce e sicura, preparati a ridimensionare e rispondere agli incidenti senza perdere slancio.

Windows 11 lento
Articolo correlato:
Come evitare che Windows 11 diventi sempre più lento