• Cloud, Guide, Microsoft 365, Sicurezza, Sistemi Operativi
• 4 Gennaio 2024

Esattamente come accade per i PC fisici, anche per i Windows 365 Enterprise Cloud PC potrebbe essere necessario effettuare un’analisi forense richiesta per supportare indagini penali o procedimenti civili, per una richiesta di un revisore interno o esterno di terze parti o come richiesta da parte di un team interno del SOC (Security Operations Center). Per supportare queste analisi forensi Windows 365 offre la possibilità di mettere un Cloud PC “under review”. Questa azione consente di salvare in modo sicuro uno snapshot del cloud PC in un Azure Storage account. Lo snapshot potrà poi essere utilizzato per le analisi forensi.

La Digital Forensics (o informatica forense) è un campo dell’informatica e della legge che si occupa dell’acquisizione, dell’analisi e della presentazione delle prove digitali. Gli esperti in questo campo lavorano con i dati digitali per risolvere crimini o per scopi di indagine. Utilizzano metodi e strumenti specializzati per recuperare, analizzare e conservare le informazioni da dispositivi digitali come computer, smartphone e reti. Questo campo è particolarmente importante per indagare su crimini informatici, frodi, abusi su Internet e altre attività illegali che lasciano tracce digitali.

In risposta alle richieste legali per i dati archiviati in un PC cloud, gli amministratori devono attestare che le prove digitali fornite dimostrano una catena di custodia valida durante il processo di acquisizione, conservazione e accesso delle prove.

Prerequisiti

I prerequisiti necessari per la Legal Investigation e per l’analisi forense sono:

• Licenza di Windows 365 Enterprise (la versione Windows 365 Business non supporta la Legal Investigation)
• Licenze per Microsoft Intune + Windows 10/11 Enterprise + Entra ID P1 (oppure licenze Microsoft 365 F3/E3/E5/A3/A5)
• Sottoscrizione Azure nello stesso tenant in cui avete i Cloud PC
• Azure Storage Account per la conservazione degli snapshot dei Cloud PC

Creazione dello storage account

Come già scritto prima, quando il Cloud PC viene messo “under review” uno snapshot del disco verrà copiato all’interno di un Azure Storage Account nello stesso tenant Entra ID. Quindi come prima operazione creeremo uno storage account che abbia le seguenti caratteristiche:

• Creare lo storage account nella stessa Region del Cloud PC, per maggiori prestazioni. Non esistono in realtà delle restrizioni e si può utilizzare qualsiasi Regione di Azure.
• Creare lo storage account con prestazioni Premium e scegliere come tipo di account Page blobs.
• Versione minima di TLS: versione 1.2.
• Accesso alla rete: abilitare l’accesso pubblico da tutte le reti.

Per maggior informazioni sulle caratteristiche di un Azure Storage Account vi rimando alla lettura dell’articolo Azure Storage Account overview – ICT Power, dove spiego anche i diversi tipi di blobs.

Nelle figure sotto sono mostrati tutti i passaggi per la creazione dello storage account.

Figura 1: Pagina Overview del wizard di creazione di un Azure Storage Account

Figura 2: Pagina Advanced del wizard di creazione di un Azure Storage Account

Figura 3: Pagina Networking del wizard di creazione di un Azure Storage Account

Figura 4: Pagina Review del wizard di creazione di un Azure Storage Account

Terminata la creazione dello Storage Account sarà necessario procedere con l’aggiunta dei permessi per l’accesso ai dati BLOB. Le autorizzazioni minime necessarie per il servizio Windows 365 per la revisione di un PC cloud sono Storage Account Contributor e Storage Blob Data Contributor.

Nelle figure sotto sono mostrati tutti i passaggi per la configurazione dei permessi necessari:

Figura 5: Aggiunta del ruolo di Storage Account Contributor all’app Windows 365

Figura 6: Aggiunta del ruolo di Storage Account Contributor all’app Windows 365

Figura 7: Selezione dell’app Windows 365

Figura 8: Completamento dell’assegnazione del ruolo di Storage Account Contributor all’app Windows 365

Ripetete la stessa operazione per dare all’app Windows 365 i permessi di Storage Blob Data Contributor. Al termine dell’assegnazione dei ruoli verificate di avere configurato gli stessi permessi mostrati nella figura sotto:

Figura 9: Assegnazione del ruolo di Storage Account Contributor all’app Windows 365 completata

Cloud PC under review

Terminata la creazione dello storage account e dopo aver concesso le autorizzazioni richieste, possiamo procedere con la configurazione “under review” del Cloud PC.

Collegatevi al Microsoft Intune admin center e da Devices > All Devices selezionate il Windows 365 Enterprise Cloud PC che volete configurare. Dal menù selezionate la voce Place PC under review.

Figura 10: Place PC under review

Selezionate quindi la sottoscrizione nello stesso tenant e lo storage account che avete creato.

NOTA: Se non appare lo storage account ricontrollate i permessi di accesso che avete dato all’app Windows 365.

Durante la review potete decidere se il Cloud PC sarà accessibile o meno da parte dell’utente. Questa impostazione si potrà cambiare anche successivamente.

Figura 11: Abilitazione della modalità “under review”

Figura 12: Dettagli del Cloud PC review

Poiché ho deciso che il Cloud PC rimanga accessibile durante la review, l’utente rimarrà collegato e potrà continuare a lavorare.

Figura 13: Il Cloud PC è disponibile durante la review e l’utente potrà continuare ad utilizzarlo

Se invece non avete reso disponibile il PC durante la review, il Cloud PC verrà spento e non sarà utilizzabile da parte dell’utente. Se l’utente tenterà di collegarsi tramite la Windows App o attraverso il portale https://windows365.microsoft.com/ent vedrà che il Cloud PC non è pronto, l’icona di attesa gira continuamente e se l’utente cerca di cliccare su Connect il puntatore si trasforma in un segnale di divieto.

NOTA: Avete già letto il mio articolo Connettersi a Windows 365 Cloud PC utilizzando il browser o la Windows App – ICT Power?

Figura 14: L’utente non può collegarsi al Cloud PC under review perché l’accesso non è stato abilitato durante la revisione

Attendete che nel portale di Microsoft Intune la voce Place under review riporti lo stato Active per confermare l’avvenuta creazione dello snapshot e la sua copia all’interno dello storage account. Nel mio caso ci sono voluti poco meno di 40 minuti.

Figura 15: Il cloud PC è under review

Collegatevi allo storage account e verificate che sia stato creato un container chiamato windows365-review-nomedelCloudPC e che al suo interno ci sia un file .VHD che rappresenta lo snapshot del disco catturato dal Cloud PC.

Figura 16: Snapshot del disco del Windows 365 Cloud PC

A questo punto il file .VHD può essere scaricato per poter effettuare un’analisi forense. Per rendere evidente la manomissione dello snapshot, dovete creare un hash del file dello snapshot non appena lo snapshot è stato salvato nell’account di archiviazione di Azure.

Quindi dopo aver scaricato il file VHD ho lanciato un prompt di PowerShell ed ho utilizzato la cmdlet Get-FileHash per catturare un hash SHA256 del file. Mettetevi comodi perchè ci sono voluti quasi 40 minuti.

Figura 17: Calcolo dell’hash dello snapshot del Cloud PC

Una volta che il disco di snapshot è in vostro possesso e potete analizzarlo, potrete rimuove il Cloud PC dalla modalità “under review”. Per farlo basterò cliccare sulla barra informativa e dal blade che si aprirà scegliere la voce Remove from review, come mostrato in figura.

NOTA: Il disco di snapshot presente nello Storage Account NON viene rimosso ed è sempre disponibile per l’analisi forense.

Figura 18: Rimozione del Cloud PC dalla modalità “under review”

Nel giro di qualche secondo la review sarà in stato Complete. Terminata la procedura saranno anche disponibili tutti i pulsanti di gestione (fate il refresh della pagina).

Figura 19: Review completata

Se il Cloud PC era spento perché avevate deciso di non concedere l’accesso durante la review, verrà riacceso e nel giro di pochi minuti sarà di nuovo disponibile per le connessioni.

Figura 20: Il Cloud PC è nuovamente disponibile e l’utente può accedervi

Conclusioni

L’analisi forense di Windows 365 Cloud PC può essere un processo complesso, che richiede una conoscenza approfondita sia delle tecnologie cloud che delle tecniche di analisi forense digitale. Con la funzionalità Cloud PC “under review” diventa facile procurarsi “le prove” e procedere ad un’investigazione richiesta per diversi motivi.

Per approfondimenti su Windows 365 vi rimando allo studio del learning path MD-015 Implementare PC Cloud Windows 365 – Training | Microsoft Learn