Nicola Ferrini

Distribuire le security baseline di Windows 365 con Microsoft Intune

Visualizzazioni: 1.228

Le baseline di sicurezza (security baseline) sono gruppi di impostazioni preconfigurate che consentono di impostazioni di sicurezza granulari consigliate dai team di sicurezza di Microsoft, dei partner e anche dei clienti. È possibile personalizzare ogni baseline distribuita per applicare solo le impostazioni e i valori necessari.

Una baseline è sostanzialmente composta da un gruppo di impostazioni di configurazione consigliate da Microsoft, rilasciate in modo da tenere in considerazione gli impatti sulla sicurezza e, come accade per tanti prodotti Microsoft, basate sul feedback dei team di progettazione della sicurezza Microsoft, gruppi di prodotti, partner e clienti.

Avevo già affrontato il discorso qualche tempo fa, nell’articolo Distribuire le Windows security baseline con Microsoft Intune – ICT Power

Nelle organizzazioni moderne il panorama delle minacce per la sicurezza è in continua evoluzione e i professionisti IT e i responsabili tecnici devono tenere il passo e apportare le modifiche necessarie alle impostazioni di sicurezza per mitigare queste minacce. Microsoft Intune permette di poter distribuire più velocemente le raccomandazioni di sicurezza grazie alle Security Baseline.

Windows 365 offre alle organizzazioni un modo semplice e semplificato di fornire PC cloud agli utenti. Utilizzando il browser oppure client per desktop remoto si può accedere da PC, da MAC, da Android o iOS ad una macchina virtuale ospitata nel cloud, permettendo ai lavoratori di avere un PC a disposizione nel giro di pochi minuti.

A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo ambiente, più distribuito e centralizzato, le persone hanno la necessità di accedere alle informazioni aziendali da diversi luoghi e, soprattutto, da tantissimi dispositivi diversi. L’aumento delle minacce informatiche ci porta, di conseguenza, a prestare maggiore attenzione nel proteggere queste informazioni spesso critiche.

Vantaggi del Cloud PC

Possiamo riassumere i vantaggi offerti da Windows 365 e dal Cloud PC in 3 punti fondamentali:

  • Potenza. Windows 365 fornisce un’esperienza completa del PC sul cloud. Con l’avvio istantaneo del proprio Cloud PC personale, gli utenti possono trasferire applicazioni, strumenti, dati e impostazioni dal cloud a qualsiasi dispositivo. Inoltre, il cloud garantisce maggiore versatilità nella potenza di elaborazione e nell’archiviazione, offrendo scalabilità ai responsabili IT, che potranno gestirle in base alle proprie esigenze. Con la possibilità di scegliere tra Windows 10 e Windows 11 (quando sarà disponibile nel corso del 2021), le aziende possono scegliere il Cloud PC più adatto alle proprie esigenze con un costo mensile per utente.
  • Semplicità. Con un Cloud PC, gli utenti possono accedere e riprendere il proprio lavoro da dove lo hanno lasciato su diversi dispositivi. Per i responsabili IT, Windows 365 semplifica anche la distribuzione, l’aggiornamento e la gestione, oltre a non richiedere la virtualizzazione, a differenza di altre soluzioni. Le piccole e medie imprese possono acquistare Windows 365 direttamente o attraverso un fornitore di servizi cloud e completare l’impostazione in pochi clic.
  • Sicurezza. Windows 365 è sicuro by design, poiché sfrutta la potenza del cloud e si basa sul principio Zero Trust. Le informazioni sono protette e archiviate sul cloud, non sul dispositivo. Contando su aggiornamenti costanti, sulle avanzate funzionalità di sicurezza e sulle linee guida di Microsoft, Windows 365 semplifica la cybersecurity e consiglia le migliori impostazioni di sicurezza per l’ambiente di lavoro.

Per approfondimenti vi invito a leggere la mia guida Configurare Windows 365 Business – ICT Power e la guida di Roberto Tafuri Configurare Windows 365 Enterprise – ICT Power

Anche nel caso del Cloud PC, Microsoft Intune offre una security baseline per poter ottimizzare alcune configurazioni. Trovate i dettagli della baseline alla pagina Settings list for the Windows 365 Cloud PC security baseline in Intune – Microsoft Intune | Microsoft Learn

 

Configurazione e distribuzione delle Security Baseline in Microsoft Intune

Dal portale di Microsoft Intune selezionate il nodo Endpoint Security e fate clic su View Security Baselines.

Figura 1: Nodo Endpoint Security in Microsoft Intune

Al momento sono disponibili 5 security baseline:

NOTA: In quasi tutti gli scenari, le impostazioni predefinite nelle baseline di sicurezza sono le più restrittive. È consigliabile verificare che queste impostazioni non siano in conflitto con altre impostazioni o funzionalità nell’ambiente di produzione.

Una baseline di sicurezza include le procedure consigliate e le raccomandazioni sulle impostazioni che influiscono sulla sicurezza. Se non si ha familiarità con Microsoft Intune e non si è certi da dove iniziare per distribuire configurazioni di sicurezza e proteggere l’ambiente di produzione, le baseline di sicurezza offrono un vantaggio. È possibile creare e distribuire rapidamente un profilo sicuro, sapendo che si sta contribuendo a proteggere le risorse e i dati dell’organizzazione.

Figura 2: Security baseline disponibili in Microsoft Intune. In evidenza la Windows 365 Security Baseline

Cliccate sulla security baseline da distribuire e scegliete + Create profile. Io ho deciso di distribuire la Windows 365 Security Baseline

Figura 3: Creazione di un nuovo profilo di security baseline

Date un nome ed una descrizione alla security baseline. Da notare la versione della baseline, che nel mio caso è Novembre 2021

Ogni nuova istanza della versione di una baseline può aggiungere o rimuovere impostazioni o introdurre altre modifiche. Ad esempio, quando le nuove impostazioni di Windows diventano disponibili con le nuove versioni di Windows 10/11, la baseline di sicurezza MDM potrebbe ricevere una nuova istanza della versione che include le impostazioni più recenti.

Quando si è pronti per usare la versione più recente di una baseline, è possibile creare nuovi profili o aggiornare i profili esistenti alla nuova versione.

Figura 4: Nome e descrizione della security baseline

Per ogni impostazione è disponibile la configurazione predefinita della baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline.

Il team di sicurezza Microsoft ha anni di esperienza nel collaborare direttamente con gli sviluppatori Windows e la community della sicurezza per creare queste raccomandazioni. Le impostazioni in questa baseline sono considerate le opzioni di configurazione correlate alla sicurezza più rilevanti. In ogni nuova build di Windows, il team modifica le raccomandazioni in base alle funzionalità appena rilasciate.

Selezionate una voce ed espandetela per verificare le impostazioni predefinite. Se sono troppo restrittive per la vostra organizzazione, apportate le modiche che ritenete necessarie.

Figura 5: Configurazioni di sicurezza predefinite per la gestione di Windows 365

Nella scheda Scope tags aggiungete eventuali tag per applicare il profilo di security baseline ad un ambito ristretto.

Figura 6: Scheda Scope tags del profilo di security

Assegnate quindi il profilo ad un gruppo di utenti o ad un gruppo di dispositivi Windows 365. Come già scritto prima, le impostazioni predefinite nelle baseline di sicurezza sono le più restrittive. È consigliabile verificare che queste impostazioni non siano in conflitto con altre impostazioni o funzionalità dei criteri nell’ambiente di produzione ed è il caso di testarle su un numero ristretto di dispositivi o utenti prima di distribuirle in maniera massiva.

Figura 7: Assegnazione del profilo ad un gruppo di utenti o di dispositivi di Entra ID

Controllate le configurazioni e create il profilo.

Figura 8: Schermata finale della creazione del profilo della security baseline

Il profilo appena creato sarà disponibile nella scherma delle Windows 365 Security Baseline.

Figura 9: Profilo della security baseline creato

È possibile in qualsiasi momento apportare delle modifiche al profilo di configurazione della security baseline, modificandone i parametri.

Figura 10: modifica delle Proprietà del profilo della security baseline

Figura 11: Windows 365 Security Baseline applicata

Conclusioni

Utilizzare le security baseline per distribuire le ottimizzazioni di sicurezza è decisamente interessante, pratico ed efficace. Il team di sicurezza Microsoft ha anni di esperienza nel collaborare direttamente con gli sviluppatori Windows e la community della sicurezza per creare le raccomandazioni contenute nelle security baseline.
La sicurezza non va mai sottovalutata. Nonostante siano stati fatti passi da gigante nel tentativo di aumentare conoscenze e competenze, la cultura della sicurezza resta ancora il tallone d’Achille di molte organizzazioni. Il sempre più crescente numero di cyber attacchi è dovuto, nella maggior parte dei casi, a problemi legati a configurazioni superficiali, carenza di cultura ed a mancato controllo.

Se non si ha familiarità con Microsoft Intune e non si è certi da dove iniziare per distribuire configurazioni di sicurezza e proteggere l’ambiente di produzione, le baseline di sicurezza sono sicuramente utilissime.