Estendere la protezione di Microsoft Defender for Endpoint a sistemi operativi Windows 7 SP1 con Microsoft Monitoring Agent

In un mondo dove la protezione dei nostri endpoint è di fondamentale importanza per evitare attacchi di malintenzionati sempre più sofisticati che mirano a compromettere sistemi operativi “datati”, dobbiamo trovare il modo di proteggere anche questi dispositivi, che molte volte sono all’interno delle nostre aziende perché hanno installato software particolari che per diverse ragioni non può essere aggiornato.

Premetto che avere un sistema operativo aggiornato e con a disposizione i più alti standard di sicurezza è sempre la soluzione migliore, ma a volte ci troviamo davanti a situazioni che sono per cause di forza maggiore e di business che non ci permettono di poter installare o aggiornare sistemi operativi.

Dobbiamo quindi porre rimedio a questo scenario con gli strumenti che abbiamo a nostra disposizione, ma in che modo ?

In questo articolo vi spiegherò come eseguire l’onboarding di Microsoft Defender for Endpoint all’interno di un sistema operativo Windows 7 SP1.

Scenario

Per darvi evidenza di questo metodo di onboarding di Microsoft Defender for Endpoint ho preparato una macchina virtuale con Windows 7 SP1 chiamata W7_DEMO ed un tenant Microsoft 365 con licenze Microsoft 365 E5 che al proprio interno hanno la componente di Microsoft Defender for Endpoint P2.

Come sempre, quando parliamo di licenze mi piace sempre citare Aaron Dinnage con il sito Home | M365 Maps nel mio caso Microsoft 365 E5 | M365 Maps

Figura 1: M365maps.com che dà evidenza della soluzione MDE all’interno della suite Microsoft 365 E5

Figura 2: Tenant demo con Licenze Microsoft 365 E5 che al proprio interno hanno la componente di MDE P2

All’interno della sezione Microsoft 365 Defender non sono al momento presenti device, questo per darvi evidenza che al momento non è stato eseguito l’onboarding di nessun dispositivo

Figura 3: Microsoft 365 Defender non ha all’interno nessun dispositivo

Figura 4: W7_DEMO che simulerà il nostro pc con sistema operativo datato

Prerequisiti

Vi sono alcuni prerequisiti da dover rispettare per procedere con l’attività che per comodità vi riepilogo di seguito:

  • Installare l’aggiornamento cumulativo mensile di febbraio 2018, il download è disponibile dal catalogo Windows Update di cui vi inserisco il link
  • Installare l’aggiornamento dello stack di manutenzione del 12 Marzo 2019 (o versione successiva), di cui vi lascio il link del catalogo di Windows Update
  • Installare l’aggiornamento del supporto per la firma del codice SHA-2, di cui lascio il link del catalogo di Windows Update, questo update è applicabile solo con i seguenti sistemi operativi:
    • Windows Server 2008 R2
    • Windows 7 Enterprise SP1
    • Windows 7 Pro SP1
  • Installare l’aggiornamento per i dati di telemetria e diagnostica, di cui fornisco il link
  • Installazione di Microsoft .Net Framework 4.5.2 o versione successiva, di cui lascio il link per il download (l’installazione potrebbe richiedere il riavvio del dispositivo)
  • Soddisfare i requisiti minimi per Microsoft Monitoring Agent, che potete trovare al link ufficiale Microsoft Panoramica dell’agente di Log Analytics – Azure Monitor | Microsoft Learn

Svolgimento

Come prima cosa dovrete recarvi all’interno del portale di Microsoft 365 Defender Settings – Microsoft Defender

Figura 5: Impostazioni del portale Microsoft 365 Defender

Ora cliccate su “onboarding” e come sistema operativo scegliete “Windows 7 SP1 o Windows 8.1” e cosa fondamentale Client Device Monitoring deve essere impostato su “ON”

Figura 6: Impostazioni del portale Microsoft 365 Defender

Ora dovrete procedere ad installare Microsoft Monitoring Agent, vi lascio a titolo informativo il link Microsoft ufficiale Onboard previous versions of Windows on Microsoft Defender for Endpoint | Microsoft Learn

Eseguite il download dell’agent vi lascio i link diretti sia per la versione a 64bit che la versione a 32 bit nel mio caso userò la versione a 64bit visto che il mio dispositivo W7_DEMO è con questa architettura.

Figura 7: Installer di Microsoft Monitoring Agent

NB Con la deprecazione di SHA-1 support by the MMA agent, MMA agent deve essere minimo alla versione 10.20.18029.

Ora che avrete scaricato l’agent, recatevi all’interno del portale di Microsoft 365 Defender per recuperare Workspace ID e Workspace Key

Figura 8: Copiare Workspace ID e Workspace Key che serviranno nei successivi Step

Ora avrete a disposizione tre modi per eseguire l’installazione di MMA (Microsoft Monitoring Agent) all’interno del vostro dispositivo Windows 7:

  • Installazione Manuale
  • Installazione tramite riga di Comando
  • Configurazione Agent Utilizzando uno Script

In questo articolo vi mostrerò l’installazione Manuale.

Una volta che avrete l’installer all’interno del vostro dispositivo Windows 7 eseguitelo come amministratore

Figura 9: Installazione MMA con diritti amministrativi

Figura 10: Direi Sì alle impostazione dell’account controllo utente

Figura 11: Inizio installazione di MMA su macchina Windows 7

Figura 12: Installazione MMA su Macchina Windows 7

Figura 13: Installazione MMA su macchina Windows 7

Figura 14: Installazione MMA su macchina Windows 7

Figura 15: Installazione MMA su macchina Windows 7

Inserite ora Workspace ID e Workspace Key, che avete copiato in precedenza dal portale Microsoft 365 Defender

Figura 16: Installazione MMA su macchina Windows 7

Figura 17: Installazione MMA su macchina Windows 7

Figura 18: Installazione MMA su macchina Windows 7

Figura 19: Installazione MMA in corso

Figura 20: Installazione MMA terminata con successo

Per verificare che l’agent comunichi in modo corretto recatevi all’interno del pannello di controllo selezionando Microsoft Monitoring Agent

Figura 21: Microsoft Monitoring Agent funzionante

Entro all’incirca un’ora il device comparirà all’interno della dashboard di Microsoft 365 Defender, nel mio caso ci sono voluti all’incirca 30 minuti.

Figura 22: MDE installato correttamente sulla macchina Windows 7

Conclusioni

Come ho anticipato all’inizio dell’articolo, il suggerimento è sempre quello di avere nella propria azienda sistemi operativi aggiornati e con gli ultimi update di sicurezza rilasciati dal vendor.

Ma in questo modo Microsoft, ha lasciato spazio, in ottica Zero Trust, di proteggere anche dispositivi “datati” che in molte organizzazioni sono ancora presenti.

Avere una soluzione anche per questi dispositivi ci aiuta sicuramente a ridurre la superfice di attacco in modo semplice veloce e con poco effort per i membri del reparto IT, alcune macchine anche se con sistemi operativi datati sono il cuore pulsante di un’azienda che li usa magari per software di macchine di produzione.