42 gemme per amministratori di sistema: gli strumenti che ogni sysadmin dovrebbe conoscere

Gli amministratori di sistema costruiscono nel tempo una cassetta degli attrezzi composta non solo da piattaforme enterprise e software di gestione centralizzata, ma anche da strumenti piccoli, portabili e spesso sottovalutati.

Chi lavora nell’ambito delle operations IT — cioè nella gestione operativa quotidiana di sistemi, infrastrutture e servizi — sa bene che non è l’ennesimo nuovo software a fare davvero la differenza nella routine di lavoro. Ciò che incide concretamente è piuttosto la combinazione di piccole utilità specializzate e automazioni mirate che riducono la complessità nelle attività ripetitive.

Fin dagli anni Novanta, con la diffusione di Unix e delle prime distribuzioni Linux, l’amministrazione dei sistemi si è sviluppata attorno a una filosofia concreta: strumenti software leggeri, specializzati, che risolvono problemi specifici in modo rapido. Molte di queste utility sono sopravvissute anche nell’era dei cloud pubblici e delle piattaforme di orchestrazione, diventando parte integrante delle procedure operative.

Qui sotto proponiamo una selezione ragionata di “gemme” davvero pratiche con un taglio operativo: quando usarle, perché valgono e come inserirle in un flusso di lavoro reale.

Connettività, porte e risoluzione dei problemi “al volo”

Test-NetConnection (Windows PowerShell)

Quando si lavora su ambienti Windows, uno dei problemi più comuni è capire se un servizio remoto sia realmente raggiungibile. Test-NetConnection è un comando PowerShell integrato che consente di verificare DNS, routing, ping e porte TCP senza installare software aggiuntivo.

È particolarmente utile quando devi capire se un firewall o una regola di rete blocca una connessione. Esempio di utilizzo:

Test-NetConnection example.com -Port 443

Il risultato indica chiaramente se la connessione TCP è riuscita (TcpTestSucceeded : True) e mostra anche informazioni sul percorso di rete.

netstat

È uno degli strumenti più storici per analizzare le connessioni di rete locali. Permette di vedere quali porte sono aperte, quali processi le utilizzano e quali connessioni sono attive.

Su Windows, per esempio, si può usare netstat -aon

-a mostra tutte le connessioni

-o mostra il PID del processo

-n evita la risoluzione DNS (più veloce)

Una volta ottenuto il PID (process ID), puoi scoprire il processo con:

tasklist | findstr 1234

Si può eventualmente usare il comando netstat -abno per scoprire un riferimento al file binario ma il comando richiede privilegi amministrativi ed è molto più lento.

Su Linux, invece, netstat utilizza opzioni differenti, come:

netstat -tulpn (richiede privilegi per vedere processi completi)

ss (Linux)

Su Linux, ss è considerato il successore di netstat. È molto più veloce perché interroga direttamente il kernel invece di leggere file di sistema. Per visualizzare tutte le porte in ascolto si può usare il comando seguente:

ss -tulpn

Il comando mostra protocollo, indirizzo, porta e processo associato. È uno strumento essenziale per capire rapidamente se un servizio è davvero in ascolto su una porta.

nc / netcat (Linux/macOS)

Netcat è spesso definito il “coltellino svizzero del networking”. Può creare connessioni TCP o UDP, ascoltare porte o inviare dati grezzi.

Un uso comune del comando è la verifica di una porta: può controllare se è aperta o meno.

nc -zv 192.168.1.10 22

Se la porta SSH (22) è aperta, riceverai un messaggio di connessione riuscita.

Netcat è spesso usato anche per debug di servizi o per trasferimenti file temporanei.

OpenSSL s_client

Molti amministratori pensano che OpenSSL serva solo per generare certificati. In realtà il comando s_client è utilissimo per effettuare il debug di TLS/SSL.

Si tratta di uno strumento che permette di vedere certificati, handshake e problemi di cifratura. Esempio:

openssl s_client -connect example.com:443

Per visualizzare il certificato in formato leggibile:

openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -text -noout

Il comando è molto utile quando si avesse la necessità di verificare la scadenza o la configurazione di un certificato HTTPS.

curl

È uno strumento universale per testare API, servizi Web e download. Ad esempio, per verificare se un sito risponde correttamente:

curl -I https://example.com

Per vedere i dettagli della connessione:

curl -v https://example.com

Molti amministratori di sistema lo utilizzano anche negli script di monitoraggio: nella nostra guida su curl abbiamo illustrato molteplici campi applicativi.

jq

Quando si lavora con le API, spesso le risposte sono in JSON. jq è uno strumento utile ad estrarre e manipolare dati JSON. Esempio:

curl -s https://api.example.com/data | jq '.items[].name'

Questo comando estrae il campo name da ogni elemento dell’array. È estremamente utile negli script in ambito DevOps.

DNS, email e comportamenti anomali dei nomi di dominio

Nel lavoro quotidiano di amministrazione di rete e gestione dei servizi Internet capita spesso di dover verificare rapidamente lo stato di un dominio, dei suoi record DNS o della sua infrastruttura email. In questi casi esistono diversi strumenti Web che permettono di effettuare diagnosi anche quando non si ha accesso diretto a una macchina con strumenti di amministrazione installati.

Google-hosted dig (web) / toolbox dig

Il comando dig (Domain Information Groper) è uno degli strumenti più utilizzati dagli amministratori di rete per interrogare i server DNS e verificare i record associati a un dominio.

Normalmente si utilizza da terminale su sistemi Linux o macOS, ma esistono anche versioni web-based che permettono di eseguire le stesse interrogazioni direttamente dal browser.

Uno degli esempi più noti è il servizio Google Admin Toolbox – Dig. In questo caso la query DNS è eseguita dai server di Google e il risultato mostrato nella pagina Web di risposta.

Il servizio è particolarmente utile in molte situazioni. Ad esempio quando:

• si lavora su un computer aziendale con accesso limitato alla shell;
• si vuole verificare come il DNS appare da una rete esterna;
• si desidera confrontare risposte DNS da diversi resolver.

Il funzionamento è identico a quello del comando dig classico: si inserisce il dominio e si seleziona il tipo di record da interrogare. Ad esempio si possono controllare:

• record A (indirizzo IP di un dominio)
• record MX (server di posta)
• record TXT (SPF, DKIM, ecc.)
• record NS (nameserver autoritativi)

MXToolbox

Uno dei servizi online più utilizzati per diagnosticare problemi relativi alla posta elettronica e alla configurazione DNS dei domini. È una piattaforma che raccoglie diversi strumenti di verifica in un’unica interfaccia.

MXToolbox si usa comunemente per la verifica dei record MX, cioè i server responsabili della ricezione della posta per un dominio. Inserendo un dominio, MXToolbox mostra quali server email sono configurati, la loro priorità, se sono raggiungibili ed eventuali problemi di configurazione.

Oltre ai record MX, il servizio permette di analizzare anche altre configurazioni fondamentali per la sicurezza della posta:

• SPF (Sender Policy Framework). Serve a indicare quali server sono autorizzati a inviare email per un dominio.
• DKIM (DomainKeys Identified Mail). Permette di firmare le email digitalmente per garantire che non siano state modificate.
• DMARC (Domain-based Message Authentication Reporting and Conformance). Definisce la politica da applicare quando SPF o DKIM falliscono.

MXToolbox offre anche uno strumento molto utile per l’analisi delle email sospette: header analyzer.  In questo caso si copia l’intestazione completa di un’email (email headers) e la si incolla nel tool. Il sistema analizza automaticamente i server attraversati dall’email, i risultati SPF e DKIM, eventuali incongruenze o tentativi di spoofing.

Si tratta di verifiche estremamente utili nelle analisi di phishing o spoofing di un dominio.

ping.eu / ping.pe

Servizi come ping.eu e ping.pe offrono una suite di strumenti di diagnostica di rete accessibili via browser. L’idea è semplice: invece di eseguire i test dal proprio computer, le prove sono eseguite da un server remoto e il risultato mostrato all’utente.

Tra gli strumenti più comuni disponibili troviamo:

• Ping – verifica se un host risponde ai pacchetti ICMP
• Traceroute – mostra il percorso di rete verso una destinazione
• DNS lookup – interrogazione dei record DNS
• WHOIS lookup – informazioni sul proprietario del dominio
• Port check – verifica se una porta TCP è aperta

Questi strumenti sono particolarmente utili quando si vuole verificare se un problema è locale o globale.

Spazio su disco e inventario file

• WinDirStat (Windows). Effettua una scansione delle cartelle e le mostra con una struttura ad albero. WinDirStat, di recente tornato un fulmine, permette di scoprire che cosa sta occupando spazio sulle unità di memorizzazione.
• WizTree (Windows). Un programma simile a WinDirStat che analizza lo spazio occupato dai file sul disco; spesso risulta più veloce perché legge direttamente la MFT (Master File Table), la struttura del file system NTFS che contiene l’elenco e le informazioni principali di tutti i file presenti nell’unità.
• TreeSize (Windows). Software molto diffuso anche in ambito aziendale. È disponibile sia in una versione gratuita sia in edizioni a pagamento con funzionalità più avanzate. Il programma permette di analizzare in modo dettagliato come lo spazio su disco è occupato da file e cartelle, generando report chiari e strutturati utili per il monitoraggio, la gestione dello storage e l’individuazione rapida delle aree che consumano più spazio.
• Everything (Windows). Indicizza esclusivamente i nomi dei file presenti nel sistema, permettendo ricerche praticamente istantanee. Consente inoltre di limitare la ricerca a specifiche cartelle o percorsi utilizzando filtri basati sul percorso oppure su espressioni regolari, note come regex, cioè modelli testuali usati per individuare stringhe che seguono determinate regole. In pratica funziona come uno strumento che accelera enormemente il reperimento di file dispersi nel sistema, come log di sistema, file di configurazione o programmi di installazione.
• locate / plocate (Linux). Strumenti che permettono di cercare file nel sistema utilizzando un database indicizzato, cioè un archivio che contiene l’elenco dei percorsi dei file già registrati; grazie a questo meccanismo la ricerca è estremamente rapida perché non analizza il disco in tempo reale ma consulta il database. Il database è aggiornato con il comando sudo updatedb, mentre per cercare un file specifico si utilizza ad esempio locate nginx.conf.

Accesso remoto e gestione sessioni

mRemoteNG (Windows, gratuito). Strumento che permette di gestire in modo centralizzato diverse connessioni remote, come RDP, SSH e VNC. RDP (Remote Desktop Protocol) consente di controllare a distanza un computer Windows con un’interfaccia grafica, SSH (Secure Shell) permette l’accesso sicuro a sistemi Linux o Unix tramite terminale, mentre VNC consente di visualizzare e controllare un desktop remoto indipendentemente dal sistema operativo.

È spesso utilizzato per organizzare i server in schede separate (tab), raggruppare le connessioni in cartelle dedicate ai vari ambienti — ad esempio sviluppo, test o produzione — e associare credenziali salvate a profili specifici. Questo approccio riduce il rischio di errori, come collegarsi al server sbagliato, e aiuta a mantenere chiaro il contesto di lavoro quando si gestiscono molte macchine.

MobaXterm (Windows). Ambiente di lavoro completo per la gestione di connessioni SSH che integra diversi strumenti utili in un’unica interfaccia. Oltre al terminale, include un client SFTP integrato (protocollo usato per trasferire file in modo sicuro tramite SSH) e numerose utility tipiche dei sistemi Unix, come comandi di rete e strumenti per la gestione dei file. È particolarmente utile per chi lavora in ambienti misti, dove l’amministrazione di sistemi Windows si affianca alla gestione di server Linux, permettendo di utilizzare strumenti tipici del mondo Unix direttamente da Windows.

XPipe. Strumento più moderno pensato per organizzare e gestire in modo ordinato le connessioni verso diversi sistemi e ambienti, come server SSH, container o altre risorse remote. Il suo punto di forza è offrire un unico punto di accesso da cui controllare tutte le connessioni, semplificando la gestione di accessi multipli e dei cosiddetti “jump host”, ovvero server intermedi utilizzati per raggiungere sistemi che non sono direttamente accessibili dalla rete esterna.

mstsc shadow / RDS shadow (Windows)

Parlando di servizi di Desktop remoto (RDS – Remote Desktop Services), il termine “shadow” indica la possibilità di visualizzare o controllare la sessione RDP di un altro utente. Si tratta di una funzione di assistenza remota usata soprattutto sui terminal server per monitorare o intervenire direttamente su una sessione già attiva.

La sintassi del comando può variare in base alle policy di sicurezza configurate sul server, ma un esempio comune è il seguente:

mstsc /v:SERVER /shadow:IDSESSIONE /control /noConsentPrompt

In questo comando, mstsc avvia il client Desktop remoto di Windows, /v:SERVER specifica il server a cui collegarsi, /shadow:IDSESSIONE indica l’identificativo della sessione da osservare o controllare, /control consente di interagire direttamente con la sessione (non solo visualizzarla) e /noConsentPrompt disattiva la richiesta di conferma all’utente remoto, se le policy del sistema lo permettono.

Prima di avviare lo shadowing è necessario individuare l’ID della sessione attiva sul server. Questo si può fare con il comando query user /server:SERVER, che mostra l’elenco degli utenti connessi e i relativi identificativi di sessione. La funzionalità è molto potente ma anche delicata dal punto di vista della sicurezza: le policy di sistema, i meccanismi di auditing (registrazione delle attività) e il consenso dell’utente sono elementi fondamentali per garantire un utilizzo corretto e tracciabile.

Accesso rapido ai portali Microsoft

Nel lavoro quotidiano di amministrazione IT, gli strumenti più utili non sono necessariamente i più complessi, ma quelli che risolvono rapidamente problemi concreti: una policy che non si applica, un programma che non si installa, un servizio che non parte o un utente che segnala un errore incomprensibile.

cmd.ms, msportals.io e Centro365

Negli ambienti Microsoft 365 gli amministratori si trovano spesso a navigare tra numerosi portali: Entra ID, Intune, Exchange Admin Center, Defender, SharePoint Admin Center e altri ancora. Ricordare ogni URL o cercarlo ogni volta può diventare frustrante.

Servizi come cmd.ms, msportals.io e Centro365 offrono una soluzione semplice: una serie di scorciatoie che reindirizzano automaticamente al portale corretto.

L’utilizzo è immediato. Basta digitare nel browser un alias oppure utilizzare l’estensione dedicata per essere portati direttamente nella console amministrativa desiderata.

Ad esempio, invece di cercare manualmente il portale di gestione di Intune, si può utilizzare uno shortcut che apre direttamente la pagina amministrativa. Questo approccio riduce notevolmente il tempo perso nella navigazione e nei bookmark non aggiornati.

Capire cosa fanno davvero i portali Microsoft

Molte operazioni eseguite nei portali Microsoft non sono altro che chiamate alle API Microsoft Graph. Comprendere queste chiamate può essere molto utile quando si vuole automatizzare un’operazione tramite script o API. L’estensione Graph X-Ray permette di vedere queste richieste direttamente dal browser.

È possibile osservare endpoint utilizzato, parametri della richiesta, metodo API e struttura della risposta. Tutto ciò rende molto più semplice creare automazioni PowerShell o script basati su Microsoft Graph.

Debug delle policy Intune

Quando una policy o un’applicazione Intune non viene applicata correttamente su un endpoint, la causa è quasi sempre visibile nei log generati dal Microsoft Intune Management Extension (IME). L’approccio pratico consiste nel recuperare i log dell’IME e analizzarli per individuare errori.

Il percorso tipico dei log è il seguente

%programdata%\Microsoft\IntuneManagementExtension\Logs

Una volta individuato il file corretto, è possibile analizzare eventi come fallimento installazione applicazione, problemi di dipendenze, timeout ed errori di autenticazione. Molti amministratori utilizzano strumenti di parsing o script per correlare gli eventi e individuare rapidamente la causa del problema.

Verificare la sicurezza del tenant Microsoft

Negli ambienti cloud è essenziale controllare con regolarità la sicurezza del tenant, cioè il livello complessivo di configurazioni, permessi, protezioni e politiche di sicurezza che caratterizzano l’istanza isolata di un’organizzazione all’interno della piattaforma cloud, per individuare eventuali configurazioni errate, vulnerabilità o impostazioni che potrebbero esporre dati e servizi a rischi.

Strumenti come DCToolbox, Maester e ScubaGear sono progettati proprio per questo scopo. Gli strumenti, spesso basati su PowerShell, analizzano la configurazione del tenant e producono report che evidenziano configurazioni non sicure, policy mancanti e impostazioni non conformi alle best practice.

L’utilizzo tipico consiste nell’eseguire lo script e analizzare il report generato per identificare i gap di sicurezza. Questo tipo di verifica è utile sia per audit periodici sia per controlli di base dopo modifiche infrastrutturali.

Decifrare gli errori Windows

Uno dei problemi più comuni durante il troubleshooting è trovarsi davanti a codici di errore criptici che non spiegano realmente il problema.

Il Microsoft Error Lookup Tool consente di inserire un codice di errore e ottenere la descrizione associata. Il funzionamento è molto semplice: si inserisce il codice errore; il tool restituisce il significato e la categoria.

In questo modo è possibile capire rapidamente se l’errore è legato a permessi, file mancanti, problemi di rete o altre condizioni.

Scorciatoie utili per l’amministrazione Windows

Windows include numerose scorciatoie che permettono di aprire rapidamente pannelli di controllo specifici tramite la finestra Esegui (Windows+R).

Alcuni dei più utili per un amministratore sono:

• ncpa.cpl – apre le schede di rete
• sysdm.cpl – apre le proprietà di sistema
• appwiz.cpl – apre la gestione programmi installati

Questi comandi permettono di raggiungere rapidamente sezioni importanti del sistema senza navigare attraverso menu complessi. Ne abbiamo parlato anche nell’articolo sui comandi più utili da usare nella finestra Esegui di Windows.

Risoluzione dei problemi con Sysinternals

Process Monitor, parte del pacchetto di utilità Sysinternals, è uno degli strumenti più potenti per analizzare problemi applicativi su Windows.

Il tool monitora in tempo reale accessi al file system, accessi al registro di sistema e attività dei processi. Un metodo pratico di utilizzo consiste nel filtrare le operazioni relative a un processo specifico. Dopo aver riprodotto il problema, si possono individuare rapidamente errori come:

• ACCESS DENIED
• NAME NOT FOUND
• File o chiavi di registro mancanti

Impostando filtri ben configurati, è possibile individuare la causa di molti problemi applicativi in pochi minuti.

Autoruns consente di visualizzare tutti i componenti che vengono avviati automaticamente in Windows. Tra questi: servizi, driver, attività programmate, chiavi di avvio del registro. È un software particolarmente utile per individuare software indesiderato, servizi obsoleti e conflitti tra applicazioni.

La suite PsTools include diversi strumenti per l’amministrazione remota dei sistemi Windows. Tra questi, PsExec è probabilmente il più noto. PsExec permette di eseguire comandi su un sistema remoto senza avviare una sessione RDP completa. Ad esempio:

psexec \\computer cmd

Questo apre una shell remota sul sistema indicato. Data la sua potenza, PsExec è spesso monitorato o limitato nei contesti aziendali per motivi di sicurezza.

Gestione dei pacchetti software

Molti installer aziendali sono distribuiti come file MSI. Tuttavia non sempre funzionano correttamente in modalità silenziosa.

ORCA è un software Microsoft che permette di aprire e analizzare la struttura interna di un file MSI. L’amministratore può verificare proprietà di installazione, azioni personalizzate e dipendenze. È molto utile quando si deve capire perché un installer fallisce in un’attività di distribuzione software automatizzata.

Il PowerShell App Deployment Toolkit (PSAppDeployToolkit) è un framework molto diffuso negli ambienti enterprise per gestire installazioni software complesse. Attraverso script PowerShell è possibile gestire prerequisiti, mostrare messaggi all’utente, eseguire installazioni silenziose e registrare log dettagliati. L’utilizzo di questo toolkit consente di standardizzare il processo di distribuzione software e ridurre errori nei deployment.

Microsoft ha introdotto winget, un package manager per Windows che permette di installare e aggiornare software direttamente da riga di comando.

• Per cercare un programma: winget search vscode
• Per installarlo: winget install Microsoft.VisualStudioCode
• Per aggiornare tutte le applicazioni installate: winget upgrade --all

Strumenti come UniGetUI offrono un’interfaccia grafica per gestire winget e altri repository software, mentre winstall permette di creare rapidamente una lista di applicazioni da installare su un sistema.

Analisi rapida di file e link sospetti

Urlscan è un servizio che analizza il comportamento di un sito Web in modo controllato. Mostra richieste HTTP, redirect, risorse caricate e domini coinvolti. È molto utile per investigare link sospetti o campagne di phishing.

ANY.RUN è una sandbox interattiva che permette di eseguire file sospetti all’interno di una macchina virtuale isolata. L’analista può osservare processi creati, connessioni di rete e modifiche apportate al sistema. L’analisi permette di comprendere il comportamento di un malware prima di prendere decisioni operative.

Un altro strumento Web estremamente versatile per trasformazioni e analisi di dati che abbiamo già presentato è CyberChef. Permette di eseguire operazioni come decodifica Base64, parsing JSON, URL decoding, calcolo hash e molto altro ancora.

Monitoraggio e gestione infrastrutture

Uptime Kuma è una piattaforma open source di monitoraggio semplice ma efficace. Permette di monitorare servizi tramite HTTP, TCP e ping.

Supporta notifiche tramite email, webhook e altri sistemi di alerting. Molti team lo utilizzano come alternativa leggera a sistemi di monitoraggio più complessi.

Strumenti come SmokePing e PingPlotter sono invece progettati per misurare latenza e perdita di pacchetti nel tempo. Sono molto utili quando si devono dimostrare problemi di rete persistenti, ad esempio con provider Internet o collegamenti WAN.

Un’ulteriore “gemma” è NetBox, piattaforma open source utilizzata per documentare le infrastrutture di rete. Permette di gestire indirizzi IP, VLAN, rack e dispositivi. Una volta configurata, diventa un punto centrale per la documentazione della rete.

Il valore operativo degli strumenti “minori”

Le utilità citate evidenziano un elemento ricorrente nell’amministrazione dei sistemi: l’efficienza operativa dipende spesso da strumenti semplici ma estremamente mirati. Comandi di base come netstat, script personalizzati o piccoli programmi open source permettono di ridurre drasticamente il tempo necessario per diagnosticare problemi o automatizzare attività ripetitive.

Molti amministratori sviluppano nel tempo una raccolta personale di script, alias di shell e utilità portabili. Questa pratica consente di standardizzare le procedure operative e di replicare rapidamente ambienti di lavoro su sistemi diversi.

Anche in infrastrutture altamente automatizzate, la capacità di intervenire manualmente con strumenti leggeri rimane una competenza essenziale per la gestione e il troubleshooting dei sistemi informatici.