Sicurezza

Blue Team Experience: Detection and Mitigation con l’utilizzo di Mimikatz

Le odierne tecniche di attacco verso infrastrutture Microsoft Active Directory sono molto variegate ed efficaci. Tendenzialmente si basano sull’estrema personalizzazione che Active Directory consente e sulla difficoltà oggettiva nel conoscere ed utilizzare correttamente tutti gli strumenti di sicurezza messi a disposizione. Voglio ricordare che, parlando solo dei criteri di gruppo (ovvero le GPO), tra circa 4500 possibili configurazioni circa 1500 sono esclusivamente orientate alla security. Quando leggiamo sui giornali di “Data Breach”, “Data Exfiltration”, “Data Leak”, “Ransomware” su infrastrutture Microsoft, possiamo sicuramente ipotizzare che parte dell’attacco sia stato effettuato utilizzando il tool Mimikatz. Abbiamo già avuto modo di parlarne durante…

access_time visibility

Abilitare number matching nelle notifiche di Azure Multifactor Authentication (MFA)

Dal prossimo 8 maggio 2023 Microsoft comincerà a distribuire un aggiornamento della sicurezza per l’accesso ad Azure AD che consisterà in notifiche push di Microsoft Authenticator che visualizzeranno la corrispondenza del numero nelle richieste di approvazione. Quando un utente risponderà a una notifica push MFA usando l’app Authenticator, verrà presentato un numero. È necessario digitare tale numero nell’app per completare l’approvazione. Sia la reimpostazione della password self-service che la registrazione combinata con Microsoft Authenticator richiederanno la corrispondenza del numero a partire dall’8 maggio 2023. Questa funzionalità non è nuova ed è stata già integrata tempo fa nella passwordless authentication. Vi…

access_time visibility

Microsoft Intune – Gestire l’appartenenza ai gruppi locali di Windows

Nella service release 2201 di Microsoft Intune è stata introdotta una policy che permette di gestire in maniera semplice l’appartenenza di utenti e gruppi ai gruppi locali built-in di Windows 10 e versioni successive. Grazie a questa nuova funzionalità possiamo permettere solo ad alcuni utenti, ad esempio un gruppo di sviluppatori, di avere privilegi amministrativi sulla macchina gestita da Intune. Ci sono diversi modi per poter dare privilegi amministrativi in macchine gestite da Microsoft Intune o semplicemente joinate ad Azure AD. Ad esempio potremmo creare un profilo Autopilot di Intune dedicato solo ad alcuni device, oppure usare l’opzione Manage additional…

access_time visibility

Configurare il Cross-tenant access con Azure AD External Identities per i Microsoft Teams shared channels

La connessione diretta B2B di Azure Active Directory (Azure AD) è una funzionalità di identità esterne che consente di configurare una relazione di trust reciproco con un’altra organizzazione di Azure AD per una collaborazione senza problemi. Questa funzionalità attualmente funziona con i canali condivisi di Microsoft Teams. Con la connessione diretta B2B, gli utenti di entrambe le organizzazioni possono collaborare usando le credenziali della propria azienda e un canale condiviso in Teams, senza dover essere aggiunti tra loro come utenti guest. Le organizzazioni di Azure AD possono usare le impostazioni di accesso tra tenant per identità esterne (External Identities cross-tenant…

access_time visibility

Microsoft Intune – Gestione degli aggiornamenti dei dispositivi Windows 10/11

I Windows Update sono necessari per garantire la sicurezza del sistema operativo, correggere eventuali bug e migliorare le prestazioni. Gli aggiornamenti di sicurezza possono proteggere il computer da eventuali minacce come virus, malware e attacchi informatici. Gli aggiornamenti di funzionalità possono inoltre introdurre nuove funzionalità o migliorare quelle esistenti. Inoltre, gli aggiornamenti possono risolvere eventuali problemi di compatibilità con software e hardware recenti. Grazie a Microsoft Intune è possibile gestire dal cloud la distribuzione degli aggiornamenti utilizzando le policy di distribuzione e configurazione degli Update Rings, dei Feature Update e dei Quality Update. Gli Update Rings per Windows 10 e…

access_time visibility

Azure Virtual Desktop: Screen capture protection e watermarking

La protezione di acquisizione dello schermo (screen capture protection), insieme alla filigrana (watermarking), consente di impedire l’acquisizione di informazioni sensibili sugli endpoint di Azure Virtual Desktop e di Windows 365. In Windows 11 versione 22H2 e versioni successive è possibile abilitare la protezione dell’acquisizione dello schermo nelle macchine virtuali session host e nei client remoti. La protezione nelle macchine virtuali session host funziona esattamente come la protezione per i client remoti. Prerequisiti La protezione dell’acquisizione dello schermo viene configurata a livello di session host e applicata al client. Solo i client che supportano questa funzionalità possono connettersi alla sessione remota. È…

access_time visibility

Connettersi ad Azure Virtual Desktop con Azure MFA e Conditional Access

Azure Virtual Desktop è un servizio di virtualizzazione di app e desktop eseguito nel cloud. Il servizio permette di eseguire macchine virtuali con sistema operativo Windows 10, Windows 11 e Windows Server 2019 direttamente in Azure senza doversi preoccupare di preparare l’infrastruttura di accesso, che come ben sapete è particolarmente impegnativa da gestire e da mettere in sicurezza. L’uso di Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) con Azure Virtual Desktop  richiede agli utenti durante il processo di accesso un’altra forma di identificazione oltre al nome utente e alla password. È possibile applicare MFA per Azure Virtual Desktop  usando l’accesso…

access_time visibility

Microsoft Intune – Utilizzo delle multiple administrative approvals

Per aumentare il livello di sicurezza delle operazioni amministrative nel portale di Microsoft Intune e per proteggersi da un account amministrative compromesso è possibile (per il momento in public preview) utilizzare delle policy di accesso e implementare i multiple administrative approvals (MAA). Questa approvazione amministrativa multipla permette di richiedere l’uso di un secondo account amministrativo quando si vuole distribuire una nuova applicazione o si vuole modificare uno script. Se una di queste risorse viene protetta con un criterio di accesso, Microsoft Intune non applicherà la modifica finché non viene approvata in modo esplicito da un account diverso. Solo gli amministratori…

access_time visibility

Microsoft Intune – Abilitare il Self-Service Password Reset SSPR al login di Windows 10/11

La reimpostazione della password self-service (SSPR) offre agli utenti in Azure Active Directory (Azure AD) la possibilità di modificare o reimpostare la password, senza coinvolgimento dell’amministratore o dell’help desk. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale della reimpostazione della reimpostazione della password di accesso. Per migliorare l’esperienza nei computer che eseguono Windows 10 e 11, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows. Le funzionalità che costituiscono la reimpostazione della password self-service includono la modifica, la reimpostazione, lo sblocco e il writeback in una directory locale…

access_time visibility

Integrare Microsoft Defender for Endpoint con Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps (noto in precedenza come Microsoft Cloud App Security) è una soluzione di Cloud Access Security Broker (CASB) in grado di supportare diverse modalità di distribuzione, tra cui raccolta di log, connettori API e reverse proxy. Offre ampia visibilità, il controllo sui dati durante il trasferimento e strumenti di analisi avanzati per identificare e contrastare minacce informatiche per tutti i servizi cloud Microsoft e di terze parti. Microsoft Defender for Cloud Apps si integra in modo nativo con le principali soluzioni Microsoft ed è progettato per le esigenze dei professionisti della sicurezza. Che cos’è un broker…

access_time visibility