BECONNECTEDDAY.IT - BECONNECTED DAY
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Pacho Baratta [Yooda] Un percorso singolare e aperto, dagli studi storico-filosofici ad i primi passi come grafico, poi sistemista, esperto UC, architect e adesso marketing; e dopo oltre 20 anni di attività continuo a divertirmi! Governare e proteggere i device Windows 10 con Microsoft Endpoint Manager
Zero Trust for devices (trust but verify) Trusted when Identity is securely established Compliance is demonstrated Risk is assured and deemed acceptable
Microsoft Autopilot Autopilot è un set di funzionalità che permettono di gestire l’intero ciclo di vita di un device, dall’installazione al reset Semplifica l’operatività IT Autopilot riduce l’effort necessario per installare, resettare i computer degli utenti Nessuna infrastruttura necessaria Autopilot è basato interamente sul cloud, non è necessaria alcuna infrastruttura onprem; questo contribuisce a semplificare l’operatività ed ad abbassare i costi di esercizio Migliora la user experience Unbox. Login. Take off L’utente finale riceve direttamente il device dal vendor hardware e dopo un paio di click può già iniziare a lavorare
Autopilot Windows Autopilot Service Upload Device IDS Configure Autopilot Profile Self Deploy Send Device IDS Hardware Vendor IT Admin CSP Partner Ship Device Deliver directly to employee
Autopilot - Deployment scenarios User-driven Self-deploying È l’utente che, con pochi click (scelta lingua, wifi Permette il deploy di un device senza alcun network, username e password) avvia la intervento da parte dell’utente. Ideale per kiosks. configurazione del device. Join ad AAD o Hybryd No hybrid AD join AD join Autopilot Reset Pre-provisioning Rimuove personal files, app e impostazioni, Permette di velocizzare il tempo necessario per il resettando il device alla configurazione di default deployment delegando alcune operazioni al dell’azienda. No hybrid AD join partner o al dipartimento IT
Autopilot - Modalità di registrazione OEM Partner CSP Il vendor OEM può registrare i device in Al Partner CSP possono essere delegati permessi di Autopilot, previo consenso del cliente registrare i devices ed eventualmente anche la (accettazione in Microsoft Store for Business) delegated administration per gestire il processo Autopilot Registrazione manuale Registrazione automatica Richiede l’esecuzione di un comando PowerShell (o È possibile abilitare ad Autopilot tutti i devices SCCM) per la rilevazione dell’hardware ID; enrolled in Intune tramite l’opzione Convert all necessario se il device proviene da un vendor non targeted devices to Autopilot Autopilot ready
Autopilot - Registrazione manuale Si crea un security group e un profilo Autopilot Si recuperano gli hardware Hash New-Item -Type Directory -Path "C:\HWID" Set-Location -Path "C:\HWID" Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted Install-Script -Name Get-WindowsAutoPilotInfo Get-WindowsAutoPilotInfo.ps1 -OutputFile AutoPilotHWID.csv Si importano i device in Autopilot Devices > Windows > Windows enrollment > Devices (under Windows Autopilot Deployment Program > Import. Nel file CSV può essere interessante definire lo user cui assegnare il device (per migliorare la user experience) Device Serial Number,Windows Product ID,Hardware Hash,Group Tag,Assigned User Nel giro di pochi minuti i devices saranno importati in Autopilot ed assegnato loro il profilo corretto
Autopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Zero Trust for devices Gestione Protezione
Mitigazione zero-day Attack Hardware Virtualization
Secure Boot e Trusted Boot Boot phases TPM Root of trust PCRs Rootkit Rootkit DXE checks Boot Loader Power on Soc Secure Boot Hyper- System 3rd Drivers Anti- Windows UEFI w/TPM Loader Kernel ELAM initialization Boot V Drivers/Files Services Malware Logon OEM key Bootkit Secure Kernel HVCI Credential Guard Secure boot • Verifica integrità del boot loader • È consentito l’avvio solo ad un boot loader digitalmente firmato e approvato Trusted boot • Il boot loader verifica l’integrità del kernel che a sua volta verifica l’integrità dei componenti in caricamento • Se la component non è integra ne viene impedito il caricamento
Virtual Secure Mode Virtualization Based Security (VBS) utilizza Normal Mode (VTL0) hardware virtualization e SLAT per creare una regione di memoria isolata e protetta rispetto il sistema operativo. Questa porzione di memoria è riservata ai processi che Secure Mode (VTL1) Apps il virtualizzatore riserva allo scopo di separare i HVCI normali processi user/kernel dai processi che Trustlet #3 Credential richiedono una diversa protezione Device Guard Guard VTL0 non può accedere la memoria di VTL1 in alcun Windows Platform Services modo, neppure se Kernel Mode in VTL0 venisse LSASS compromesso Kernel Kernel System Container Non è possibile attaccare un processo o caricare una DLL a IUM, né eseguire debugging tools, né è possibile disabilitare VSM Hyper-V Hyper-V H y p e r v i s o r VTL0 VTL1 Memory Memory Credential Guard Device Guard SLAT Protegge da attacchi di tipo PTH/PTT In KernelMode Protegge processi kernel e Permette di spostare tutti i Windows secrets drivers da attacchi zero day utilizzando HVCI (es. NTLM hash, Kerberos TGT) in un area di In UserMode permette l’esecuzione delle Device Hardware memoria protetta, accessibile solo da LSASS sole applicazioni white-listed
Application Guard Application Guard permette di proteggere l’utente da attacchi condotti tramite siti web malevoli e documenti Office contenenti codice infetto I documenti Office provenienti da origini sconosciute (ad esempio un allegato ad una mail) vengono eseguiti all’interno di un ambiente protetto (container); in questo modo se il documento contenesse codice infetto questo non potrebbe infettare il sistema operativo Parimenti, qualora l’utente navigasse in un sito malevolo protetto tramite Application Guard, il sistema non sarebbe compromesso Application Guard protegge nativamente Microsoft Edge, ma esistono estensioni per Chrome e Firefox Application Guard for Office è disponibile con la licenza EMS E5
Application Guard Host OS WDAG Manager RDP Client Virtual Machine Browser Broker WDAG Manager Container Applications Services Edge App Kernel Kernel Container Manager Service Virtual Machine Worker Process Hyper-V App Guard può essere attivato in modalità Standalone o Enterprise; quando WDAG viene attivato, viene richiamato il Browser Broker che, tramite WDAG Manager richiede l’istanziazione di un container tramite il Container Service e l’utente sarà collegato in modo trasparente alla sessione Edge containerizzata tramite HVSIRDPCLIENT.exe (una versione appositamente scritta di RDP client)
DOMANDE? Mentre pensate alle domande, iscrivetevi al nostro Canale YouTube BeConnected Day
beconnectedday.it
Puoi anche leggere