BECONNECTEDDAY.IT - BECONNECTED DAY

Pagina creata da Silvia Durante
 
CONTINUA A LEGGERE
BECONNECTEDDAY.IT - BECONNECTED DAY
beconnectedday.it
BECONNECTEDDAY.IT - BECONNECTED DAY
Pacho Baratta [Yooda]
Un percorso singolare e aperto, dagli studi
storico-filosofici ad i primi passi come grafico,
poi sistemista, esperto UC, architect e adesso
marketing; e dopo oltre 20 anni di attività
continuo a divertirmi!

Governare e proteggere i device Windows 10
con Microsoft Endpoint Manager
BECONNECTEDDAY.IT - BECONNECTED DAY
Zero Trust for devices
(trust but verify)

   Trusted when
   Identity is securely established

   Compliance is demonstrated

   Risk is assured and deemed acceptable
BECONNECTEDDAY.IT - BECONNECTED DAY
Zero Trust for devices

   Gestione
  Protezione
BECONNECTEDDAY.IT - BECONNECTED DAY
Microsoft Autopilot

Autopilot è un set di funzionalità che permettono di gestire l’intero
ciclo di vita di un device, dall’installazione al reset

Semplifica l’operatività IT
Autopilot riduce l’effort necessario per installare,
resettare i computer degli utenti
Nessuna infrastruttura necessaria
Autopilot è basato interamente sul cloud, non è
necessaria alcuna infrastruttura onprem; questo
contribuisce a semplificare l’operatività ed ad
abbassare i costi di esercizio
Migliora la user experience                                             Unbox. Login. Take off
L’utente finale riceve direttamente il device dal vendor
hardware e dopo un paio di click può già iniziare a
lavorare
Autopilot

                                 Windows Autopilot Service

                                        Upload Device IDS        Configure
                                                                 Autopilot Profile

                                                                                       Self Deploy
                            Send Device IDS
Hardware Vendor                                         IT Admin
                                                       CSP Partner

                  Ship Device                           Deliver directly to employee
Autopilot - Deployment scenarios

User-driven                                            Self-deploying
È l’utente che, con pochi click (scelta lingua, wifi   Permette il deploy di un device senza alcun
network, username e password) avvia la                 intervento da parte dell’utente. Ideale per kiosks.
configurazione del device. Join ad AAD o Hybryd        No hybrid AD join
AD join

Autopilot Reset                                        Pre-provisioning
Rimuove personal files, app e impostazioni,            Permette di velocizzare il tempo necessario per il
resettando il device alla configurazione di default    deployment delegando alcune operazioni al
dell’azienda. No hybrid AD join                        partner o al dipartimento IT
Autopilot - Modalità di registrazione

OEM                                                 Partner CSP
Il vendor OEM può registrare i device in            Al Partner CSP possono essere delegati permessi di
Autopilot, previo consenso del cliente              registrare i devices ed eventualmente anche la
(accettazione in Microsoft Store for Business)      delegated administration per gestire il processo
                                                    Autopilot

Registrazione manuale                               Registrazione automatica
Richiede l’esecuzione di un comando PowerShell (o   È possibile abilitare ad Autopilot tutti i devices
SCCM) per la rilevazione dell’hardware ID;          enrolled in Intune tramite l’opzione Convert all
necessario se il device proviene da un vendor non   targeted devices to Autopilot
Autopilot ready
Autopilot - Registrazione manuale

Si crea un security group e un profilo Autopilot

Si recuperano gli hardware Hash
            New-Item -Type Directory -Path "C:\HWID"
            Set-Location -Path "C:\HWID"
            Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted
            Install-Script -Name Get-WindowsAutoPilotInfo
            Get-WindowsAutoPilotInfo.ps1 -OutputFile AutoPilotHWID.csv

Si importano i device in Autopilot
            Devices > Windows > Windows enrollment > Devices (under Windows Autopilot
            Deployment Program > Import.
Nel file CSV può essere interessante definire lo user cui assegnare il device (per migliorare la user experience)
            Device Serial Number,Windows Product ID,Hardware Hash,Group Tag,Assigned User
Nel giro di pochi minuti i devices saranno importati in Autopilot ed assegnato loro il profilo corretto
Autopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Zero Trust for devices

   Gestione
  Protezione
Mitigazione
  zero-day Attack

  Hardware
Virtualization
Secure Boot e Trusted Boot

Boot phases                    TPM
                            Root of trust
                                            PCRs
                                                                                Rootkit         Rootkit
                                                                                                                                    DXE checks
                                                                                                                                    Boot Loader

Power on                Soc                        Secure    Boot    Hyper-                   System                  3rd Drivers       Anti-        Windows
                                    UEFI w/TPM              Loader               Kernel                       ELAM
                   initialization                   Boot               V                    Drivers/Files              Services        Malware        Logon
        OEM key

                                        Bootkit                Secure Kernel                                HVCI                         Credential Guard

Secure boot
• Verifica integrità del boot loader
• È consentito l’avvio solo ad un boot loader digitalmente firmato e approvato
Trusted boot
• Il boot loader verifica l’integrità del kernel che a sua volta verifica l’integrità dei componenti in caricamento
• Se la component non è integra ne viene impedito il caricamento
Virtual Secure Mode

                                                                                                                       Virtualization Based Security (VBS) utilizza
Normal Mode (VTL0)
                                                                                                                       hardware virtualization e SLAT per creare una regione
                                                                                                                       di memoria isolata e protetta rispetto il sistema
                                                                                                                       operativo.
                                                                                                                       Questa porzione di memoria è riservata ai processi che
                                                                Secure Mode (VTL1)

                 Apps                                                                                                  il virtualizzatore riserva allo scopo di separare i

                                                                                             HVCI
                                                                                                                       normali processi user/kernel dai processi che

                                                                                                       Trustlet #3
                                                                     Credential
                                                                                                                       richiedono una diversa protezione

                                                                                       Device
                                                                     Guard

                                                                                       Guard
                                                                                                                       VTL0 non può accedere la memoria di VTL1 in alcun
                 Windows Platform Services                                                                             modo, neppure se Kernel Mode in VTL0 venisse
                                             LSASS
                                                                                                                       compromesso
                                                                                  Kernel
                 Kernel
                                                                                  System Container                     Non è possibile attaccare un processo o caricare una
                                                                                                                       DLL a IUM, né eseguire debugging tools, né è
                                                                                                                       possibile disabilitare VSM
                                 Hyper-V                         Hyper-V
                                         H y p e r    v   i   s o r
                                 VTL0      VTL1
                                Memory    Memory                                                      Credential Guard                              Device Guard
                                    SLAT                                                             Protegge da attacchi di tipo PTH/PTT           In KernelMode Protegge processi kernel e
                                                                                                     Permette di spostare tutti i Windows secrets   drivers da attacchi zero day utilizzando HVCI
                                                                                                     (es. NTLM hash, Kerberos TGT) in un area di    In UserMode permette l’esecuzione delle
                                              Device Hardware                                        memoria protetta, accessibile solo da LSASS    sole applicazioni white-listed
Application Guard

Application Guard permette di proteggere l’utente da attacchi condotti tramite siti web malevoli e documenti
Office contenenti codice infetto

I documenti Office provenienti da origini
sconosciute (ad esempio un allegato ad una
mail) vengono eseguiti all’interno di un
ambiente protetto (container); in questo
modo se il documento contenesse codice
infetto questo non potrebbe infettare il
sistema operativo

Parimenti, qualora l’utente navigasse in un
sito malevolo protetto tramite Application
Guard, il sistema non sarebbe compromesso

Application Guard protegge nativamente
Microsoft Edge, ma esistono estensioni per
Chrome e Firefox

Application Guard for Office è disponibile con
la licenza EMS E5
Application Guard

Host OS
          WDAG Manager RDP Client
                                                               Virtual Machine
      Browser Broker           WDAG Manager                                                        Container

        Applications               Services                                                   Edge App

                 Kernel                                                        Kernel

      Container Manager Service                                  Virtual Machine Worker Process
                                             Hyper-V

App Guard può essere attivato in modalità Standalone o Enterprise; quando WDAG viene attivato, viene
richiamato il Browser Broker che, tramite WDAG Manager richiede l’istanziazione di un container tramite il
Container Service e l’utente sarà collegato in modo trasparente alla sessione Edge containerizzata tramite
HVSIRDPCLIENT.exe (una versione appositamente scritta di RDP client)
DOMANDE?

Mentre pensate alle domande,
iscrivetevi al nostro
Canale YouTube BeConnected Day
beconnectedday.it
Puoi anche leggere