BECONNECTEDDAY.IT - BECONNECTED DAY
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
beconnectedday.it
Pacho Baratta [Yooda] Un percorso singolare e aperto, dagli studi storico-filosofici ad i primi passi come grafico, poi sistemista, esperto UC, architect e adesso marketing; e dopo oltre 20 anni di attività continuo a divertirmi! Governare e proteggere i device Windows 10 con Microsoft Endpoint Manager
Zero Trust for devices (trust but verify) Trusted when Identity is securely established Compliance is demonstrated Risk is assured and deemed acceptable
Zero Trust for devices Gestione Protezione
Microsoft Autopilot Autopilot è un set di funzionalità che permettono di gestire l’intero ciclo di vita di un device, dall’installazione al reset Semplifica l’operatività IT Autopilot riduce l’effort necessario per installare, resettare i computer degli utenti Nessuna infrastruttura necessaria Autopilot è basato interamente sul cloud, non è necessaria alcuna infrastruttura onprem; questo contribuisce a semplificare l’operatività ed ad abbassare i costi di esercizio Migliora la user experience Unbox. Login. Take off L’utente finale riceve direttamente il device dal vendor hardware e dopo un paio di click può già iniziare a lavorare
Autopilot
Windows Autopilot Service
Upload Device IDS Configure
Autopilot Profile
Self Deploy
Send Device IDS
Hardware Vendor IT Admin
CSP Partner
Ship Device Deliver directly to employeeAutopilot - Deployment scenarios User-driven Self-deploying È l’utente che, con pochi click (scelta lingua, wifi Permette il deploy di un device senza alcun network, username e password) avvia la intervento da parte dell’utente. Ideale per kiosks. configurazione del device. Join ad AAD o Hybryd No hybrid AD join AD join Autopilot Reset Pre-provisioning Rimuove personal files, app e impostazioni, Permette di velocizzare il tempo necessario per il resettando il device alla configurazione di default deployment delegando alcune operazioni al dell’azienda. No hybrid AD join partner o al dipartimento IT
Autopilot - Modalità di registrazione
OEM Partner CSP
Il vendor OEM può registrare i device in Al Partner CSP possono essere delegati permessi di
Autopilot, previo consenso del cliente registrare i devices ed eventualmente anche la
(accettazione in Microsoft Store for Business) delegated administration per gestire il processo
Autopilot
Registrazione manuale Registrazione automatica
Richiede l’esecuzione di un comando PowerShell (o È possibile abilitare ad Autopilot tutti i devices
SCCM) per la rilevazione dell’hardware ID; enrolled in Intune tramite l’opzione Convert all
necessario se il device proviene da un vendor non targeted devices to Autopilot
Autopilot readyAutopilot - Registrazione manuale
Si crea un security group e un profilo Autopilot
Si recuperano gli hardware Hash
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted
Install-Script -Name Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo.ps1 -OutputFile AutoPilotHWID.csv
Si importano i device in Autopilot
Devices > Windows > Windows enrollment > Devices (under Windows Autopilot
Deployment Program > Import.
Nel file CSV può essere interessante definire lo user cui assegnare il device (per migliorare la user experience)
Device Serial Number,Windows Product ID,Hardware Hash,Group Tag,Assigned User
Nel giro di pochi minuti i devices saranno importati in Autopilot ed assegnato loro il profilo correttoAutopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Autopilot – User Experience
Zero Trust for devices Gestione Protezione
Mitigazione zero-day Attack Hardware Virtualization
Secure Boot e Trusted Boot
Boot phases TPM
Root of trust
PCRs
Rootkit Rootkit
DXE checks
Boot Loader
Power on Soc Secure Boot Hyper- System 3rd Drivers Anti- Windows
UEFI w/TPM Loader Kernel ELAM
initialization Boot V Drivers/Files Services Malware Logon
OEM key
Bootkit Secure Kernel HVCI Credential Guard
Secure boot
• Verifica integrità del boot loader
• È consentito l’avvio solo ad un boot loader digitalmente firmato e approvato
Trusted boot
• Il boot loader verifica l’integrità del kernel che a sua volta verifica l’integrità dei componenti in caricamento
• Se la component non è integra ne viene impedito il caricamentoVirtual Secure Mode
Virtualization Based Security (VBS) utilizza
Normal Mode (VTL0)
hardware virtualization e SLAT per creare una regione
di memoria isolata e protetta rispetto il sistema
operativo.
Questa porzione di memoria è riservata ai processi che
Secure Mode (VTL1)
Apps il virtualizzatore riserva allo scopo di separare i
HVCI
normali processi user/kernel dai processi che
Trustlet #3
Credential
richiedono una diversa protezione
Device
Guard
Guard
VTL0 non può accedere la memoria di VTL1 in alcun
Windows Platform Services modo, neppure se Kernel Mode in VTL0 venisse
LSASS
compromesso
Kernel
Kernel
System Container Non è possibile attaccare un processo o caricare una
DLL a IUM, né eseguire debugging tools, né è
possibile disabilitare VSM
Hyper-V Hyper-V
H y p e r v i s o r
VTL0 VTL1
Memory Memory Credential Guard Device Guard
SLAT Protegge da attacchi di tipo PTH/PTT In KernelMode Protegge processi kernel e
Permette di spostare tutti i Windows secrets drivers da attacchi zero day utilizzando HVCI
(es. NTLM hash, Kerberos TGT) in un area di In UserMode permette l’esecuzione delle
Device Hardware memoria protetta, accessibile solo da LSASS sole applicazioni white-listedApplication Guard Application Guard permette di proteggere l’utente da attacchi condotti tramite siti web malevoli e documenti Office contenenti codice infetto I documenti Office provenienti da origini sconosciute (ad esempio un allegato ad una mail) vengono eseguiti all’interno di un ambiente protetto (container); in questo modo se il documento contenesse codice infetto questo non potrebbe infettare il sistema operativo Parimenti, qualora l’utente navigasse in un sito malevolo protetto tramite Application Guard, il sistema non sarebbe compromesso Application Guard protegge nativamente Microsoft Edge, ma esistono estensioni per Chrome e Firefox Application Guard for Office è disponibile con la licenza EMS E5
Application Guard
Host OS
WDAG Manager RDP Client
Virtual Machine
Browser Broker WDAG Manager Container
Applications Services Edge App
Kernel Kernel
Container Manager Service Virtual Machine Worker Process
Hyper-V
App Guard può essere attivato in modalità Standalone o Enterprise; quando WDAG viene attivato, viene
richiamato il Browser Broker che, tramite WDAG Manager richiede l’istanziazione di un container tramite il
Container Service e l’utente sarà collegato in modo trasparente alla sessione Edge containerizzata tramite
HVSIRDPCLIENT.exe (una versione appositamente scritta di RDP client)DOMANDE? Mentre pensate alle domande, iscrivetevi al nostro Canale YouTube BeConnected Day
beconnectedday.it
Puoi anche leggere
