Guide

Distribuire le Windows security baseline con Microsoft Intune

Le baseline di sicurezza (security baseline) sono gruppi di impostazioni preconfigurate che consentono di impostazioni di sicurezza granulari consigliate dai team di sicurezza di Microsoft, dei partner e anche dei clienti. È possibile personalizzare ogni baseline distribuita per applicare solo le impostazioni e i valori necessari. Una baseline è sostanzialmente composta da un gruppo di impostazioni di configurazione consigliate da Microsoft, rilasciate in modo da tenere in considerazione gli impatti sulla sicurezza e, come accade per tanti prodotti Microsoft, basate sul feedback dei team di progettazione della sicurezza Microsoft, gruppi di prodotti, partner e clienti. Avevamo già affrontato il discorso…

access_time visibility

Onboarding di Windows 10/11 in Microsoft Defender for Endpoint/Business utilizzando Microsoft Intune

Microsoft Defender per Endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per consentire alle reti aziendali di bloccare, rilevare, analizzare e rispondere a minacce avanzate. Microsoft Defender for Business è una soluzione di sicurezza degli endpoint progettata appositamente per le piccole e medie imprese (fino a 300 dipendenti). Microsoft Defender per Endpoint è disponibile in due piani, Defender per Endpoint Piano 1 e Piano 2. Per informazioni sulle caratteristiche e le funzionalità incluse in ciascun piano potete visitare la pagina Confrontare i piani di sicurezza degli endpoint Microsoft | Microsoft Learn, mentre per un confronto con Microsoft Defender…

access_time visibility

Configurare Windows 365 Business

Windows 365 Business è una versione di Windows 365 eseguita specificamente per l’uso in aziende piccole (fino a 300 postazioni). Offre alle organizzazioni un modo semplice e semplificato di fornire PC cloud agli utenti. Utilizzando il browser oppure client per desktop remoto si può accedere da PC, da MAC, da Android o iOS ad una macchina virtuale ospitata nel cloud, permettendo ai lavoratori di avere un PC a disposizione nel giro di pochi minuti. A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo…

access_time visibility

Configurare Microsoft Defender External Attack Surface Management (EASM)

Microsoft Defender External Attack Surface Management (EASM) è una tecnologia che permette di individuare e mappare continuamente la superficie di attacco digitale di un’azienda, per consentire al team IT di identificare i dati sconosciuti, classificare in ordine di priorità i rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell’esposizione oltre il firewall. Gli attacchi di Surface Insights vengono generati sfruttando le vulnerabilità e l’accesso ai dati dell’infrastruttura interessano fortemente la sicurezza aziendale. Grazie a Defender AESM viene creato un inventario dinamico delle applicazioni web, delle dipendenze di terze parti e di tutta l’infrastruttura web. Vengono utilizzate le…

access_time visibility

Microsoft Intune – Distribuire le app del Microsoft Store

Come molti di voi sapranno Microsoft Store for Business e Microsoft Store for Education verranno ritirati nei primi mesi del 2023. Dal 14 aprile 2021 solo le app gratuite sono disponibili nel Microsoft Store for Business and Education, che in ogni caso non sono supportate in Windows 11. Già diverso tempo fa, a Luglio 2021, Joe Lurie (Sr. Product Manager Endpoint CxE CAT · Microsoft) aveva annunciato l’idea di integrare Microsoft Endpoint Manager e quindi Microsoft Intune nel nuovo Microsoft Store. Potete leggere l’annuncio completo alla pagina Evolving the Microsoft Store for Business and Education – Microsoft Community Hub Ed in…

access_time visibility

Connettersi alle Azure VM con Azure Bastion Host e i Shareable links

Azure Bastion è un servzio PAAS che permette di effettuare una connessione RDP oppure un accesso SSH alle macchine virtuali in Azure attraverso il portale web di Azure. Il servizio è collegato direttamente alla Virtual Network e consente l’accesso a tutte le macchine della VNET, anche se queste non hanno un indirizzo IP pubblico. Il protocollo RDP ed il protocollo SSH, utilizzati dagli utenti per connettersi e gestire in remoto le macchine virtuali, sono stati in passato oggetto di vulnerabilità e sono sempre sotto attacco. Gli utenti malintezionati cercano di poter ottenere l’accesso alle nostre macchine nel momento in cui…

access_time visibility

Aumentare la sicurezza delle VM grazie al Total Memory Encryption – Multi Key (TME-MK) in Windows 11 22H2

Il lavoro che Microsoft sta facendo per assicurare privacy e sicurezza dei dati dei propri clienti è davvero notevole ed è una priorità nello sviluppo di nuove funzionalità sia in Azure che on-premises. Abbiamo già parlato di Azure Confidential Computing nell’articolo Azure Confidential VM: protezione dei dati in uso – ICT Power. Azure offre già molti strumenti per salvaguardare i dati inattivi tramite modelli come la crittografia lato client e lato server. Inoltre, Azure include meccanismi per crittografare i dati in transito tramite protocolli sicuri come TLS e HTTPS. Azure Confidential Computing introduce una terza parte della crittografia dei dati, ovvero la crittografia dei dati in uso.…

access_time visibility

Azure AD passwordless authentication con Feitian Fingerprint Card

Accedere senza password (passwordless sign in) è una delle funzionalità che Microsoft sta promuovendo ormai da diversi anni e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. A partire da Windows 10, versione 1809 (October 2018 Update), sono state diverse le novità introdotte da Microsoft per favorire gli utenti ed evitare sempre di più l’utilizzo delle password per effettuare l’autenticazione, a fronte dell’utilizzo di security key oppure di App installate in uno smartphone. Microsoft consiglia metodi di autenticazione senza password (passwordless), ad esempio Windows Hello, chiavi di sicurezza FIDO2…

access_time visibility

Installare un domain controller in Windows Server 2016, 2019 e 2022

Active Directory Domain Services e i servizi correlati rappresentano le fondamenta delle reti aziendali che eseguono sistemi operativi Windows. Il database di Active Directory Domain Services è l’archivio centrale di tutti gli oggetti del dominio, ad esempio account utente, account computer e gruppi. Active Directory Domain Services (AD DS) fornisce una directory gerarchica disponibile per la ricerca, oltre che un metodo per applicare le impostazioni di configurazione e sicurezza per gli oggetti di un’azienda. L’insieme dei servizi di rete di Active Directory, ed in particolare il servizio di autenticazione Kerberos, realizzano un’altra delle caratteristiche importanti: il Single Sign-On (SSO). Tramite…

access_time visibility

Creare e configurare domain controller in Microsoft Azure

La creazione dei domain controller in Azure richiede una serie di accorgimenti che è il caso di evidenziare. Per questo motivo ho voluto scrivere questa guida, che vi aiuterà nell’implementare le best practices per la distribuzione di Active Directory Domain Services (AD DS) in Microsoft Azure. Esattamente come succede on-premises, è opportuno distribuire almeno due domain controller per assicurare l’alta disponibilità di Active Directory. È importante però che i domain controller vengano creati in Availability Zones diverse oppure in Availability Sets diversi. Le Availability Zones, un’alternativa agli Availability Sets delle macchine virtuali, permettono di creare le macchine virtuali in una zona fisicamente separata…

access_time visibility