Come eseguire l’on-boarding di Microsoft Defender for Endpoint tramite GPO di Active Directory

Si parla sempre di sicurezza dei nostri endpoint, ma la varietà di configurazione che ci troviamo davanti nel quotidiano ci mette davanti ad alcune scelte di fondamentale importanza per poter gestire nel modo migliore sia l’aggancio della componente antivirus/EDR sia la sua gestione.

Proprio per questo ho deciso di scrivere un articolo sull’Onboarding dei dispositivi in Microsoft Defender for Endpoint tramite Group Policy. Questa soluzione è utile quando, per ovvi motivi, la gestione non può essere fatta tramite Intune, come ad esempio server quali Domain Controller, che per loro natura non supportano l’Entra Hybrid Join per essere gestiti con autorità MDE.

Se siete interessati alla gestione tramite MDE Autority vi lascio l’articolo scritto proprio su questa tipologia di gestione Aumentare la sicurezza dei dispositivi non gestibili da Microsoft Intune grazie alle Security Management Features di Microsoft Defender for Endpoint – ICT Power

Scenario

Lo scenario, a livello di architettura che vi troverete di fronte in questo articolo, sarà composto da:

  • SRVDC con funzionalità di Domain Controller
  • VMLaptop simulerà un computer di un utente

Sia il domain controller che il computer, nel mio caso e per comodità, sono delle virtual machines in Azure.

Naturalmente il dispositivo che simulerà il Laptop sarà a dominio locale per recepire le policy che andremo a distribuire.

A livello di sistema operativo, a titolo informativo, vi lascio anche questa informazione nello screen sottostante:

Figura 1: Caratteristiche VMLaptop

Figura 2: Caratteristiche SRVDC

Licenze

Per sfruttare le funzionalità di Microsoft Defender for Endpoint dovete avere a disposizione il piano di licensing che permette l’uso di questo servizio, quindi o add-on singolo oppure una suite Microsoft 365 che al suo interno lo preveda:

Vicino ad ogni tipologia di licenza vi ho inserito il link di Home | M365 Maps dove come sempre Aaron Dinnage ha fatto un ottimo lavoro dandoci evidenza delle singole features comprese nei piani di Microsoft 365.

Svolgimento

Come anticipato, il pc che utilizzerò per la demo, così come i device che vorrete gestire con questa funzionalità, dovranno essere necessariamente in dominio locale, nel mio caso nello OU “Laptop”:

Figura 3: VMLaptop a dominio Locale

Figura 4: VMLaptop

Una volta che avrete smarcato questo passaggio, cominciate con la prima fase per sfruttare appieno questa funzionalità.

Recatevi all’interno del Microsoft Defender Portal

Figura 5: Portale Microsoft Defender

Ora dovrete selezionare il sistema operativo del/dei device che vorrete gestire, nel mio caso la macchina VMLaptop è Windows 11:

Figura 6: Selezione Sistema Operativo

Figura 7: Selezione Metodo di Onboarding

Figura 8: Download Script Onboarding

Ora dovrete copiare, il file zip appena scaricato “WindowsDefenderATPOnboardingPackage.zip” all’interno del vostro domain controller

Figura 9: Estrazione File Zip

Figura 10: Estrazione File Zip

Figura 11: Estrazione File Zip

La cartella “OptionParamsPolicy” al suo interno contiene due file:

  • ATPConfiguration.xml
  • ATPConfiguration.adml

Figura 12: File ADML

Figura 13: File ADMX

Ora dovrete procedere a copiare il file ATPConfiguration.admx all’interno della cartella del vostro domain controller “C:\Windows\PolicyDefinitions” dove saranno presenti anche gli altri file admx:

Figura 14: Copia File ADMX

Ora invece dovrete copiare il file “ATPConfiguration.adml” all’interno della cartella “C:\Windows\PolicyDefinitions\en-US“:

Figura 15: Copia File ADML

A questo punto dovrete creare una cartella, che condividerete e dovrà essere raggiungibile sia dai client che dagli utenti, nella quale inserirete lo script di On-Boarding scaricato “WindowsDefenderOnboardingScript.cmd” nel mio caso ho scelto di creare la cartella all’interno del disco C e chiamarla “OnBoarding”:

Figura 16: Creazione Cartella Condivisa

Figura 17: Creazione Cartella Condivisa

Ora che avrete creato la cartella, dovete configurare gli opportuni permessi, sia di condivisione che di security:

Figura 18: Permessi Cartella

Figura 19: Condivisione Cartella

Figura 20: Permessi Cartella Condivisa

Ora potete copiare il file all’interno della cartella

Figura 21: Sciprt OnBoarding

Figura 22: Script OnBoarding

Ora siete pronti per creare la Group Policy (GPO), aprite quindi la Group Policy Management

Figura 23: Creazione GPO

Figura 24: Creazione GPO

Figura 25: Creazione GPO

Figura 26: Creazione GPO

Figura 27: Creazione GPO

Figura 28: Creazione GPO

Figura 29: Creazione GPO

NB: Inserire il percorso completo nel mio caso \\srvdc\OnBoarding\WindowsDefenderATPOnboardingScript.cmd

Figura 30: Creazione GPO

Figura 31: Creazione GPO

Ora dovrete importare la GPO all’interno della Organizational Unit nella quale sono presenti i PC dei quali volete eseguire l’onboarding nel mio caso “Laptop”:

Figura 32: Creazione GPO

Figura 33: Creazione GPO

Figura 34: Creazione GPO

Ora avrete creato la GPO, il mio consiglio è di eseguire il comando gpupdate /force all’interno del / dei pc per forzare la ricezione della stessa:

Figura 35: Forcing GPO lato Client

Figura 36: GPO Applicata in modo Corretto

Ora dovete attendere che all’interno del portale di Microsoft Defender compaia il device, nel mio caso in 20 minuti il device è comparso:

Figura 37: Portale prima di OnBoarding

Figura 38: Portal dopo OnBoarding

Ora avrete “agganciato” il device al portale di Microsoft Defender, ora vi farò vedere come poter gestire le policy di Microsoft Defender for Endpoint tramite gpo:

  • Inserimento Esclusione percorso “C:\service”
  • Abilitare Network Protection in Block Mode
  • Abilitare Real Time Protection

Figura 39: Creare GPO di Gestione

Figura 40: Esclusione Percorso

Figura 41: Esclusione Percorso

Ora potete procedere ad inserire anche la policy di RealTimeProtection e NetworkProtection in BlockMode, utilizzate pure la stessa, così la configurazione risulta anche molto più pulita.

Figura 42: Real Time Protection

Figura 43: Network Protection

Ora per verificare che tutte le configurazione fatte, siano applicate all’interno del cliente, eseguite sempre un comando di gpupdate /force all’interno del client, non prima di averla “agganciata” alla OU dei computer da proteggere, come fatto per la policy di onboarding:

Figura 44: Forcing Policy

Figura 45: Policy Recepita in modo Corretto

Per comodità vi riporto inoltre la schermata delle esclusioni per darvi evidenza della corretta applicazione della GPO

Figura 46: Esclusione

Conclusioni

Sicuramente il metodo di gestione, sia del device stesso, che per la componente di Microsoft Defender for Endpoint è sempre Microsoft Intune, ma questo metodo certificato e rilasciato dalla casa di Redmond vi permette di poter proteggere tutti i dispositivi che per qualsiasi motivo non potrebbero essere gestiti, quali domain controller, pc che necessariamente non possono essere aggiunti al dominio ibrido con Entra ID.

Estendiamo quindi la copertura e la gestione della protezione dei nostri device con le Group Policy di Active Directory, d’altronde è un metodo supportato perché non utilizzarlo ?