Nicola FerriniOnboarding di Windows Server in Microsoft Defender for Business
Microsoft Defender for Business è una soluzione di sicurezza degli endpoint progettata appositamente per le piccole e medie imprese (fino a 300 dipendenti). Con questa soluzione di sicurezza degli endpoint, i dispositivi dell’azienda sono meglio protetti da ransomware, malware, phishing e altre minacce.
Con Defender for Business è possibile proteggere i dispositivi e i dati usati dall’azienda con:
- Sicurezza di livello aziendale. Defender for Business offre potenti funzionalità di sicurezza degli endpoint dalla soluzione Microsoft Defender per Endpoint, di cui abbiamo anche parlato nell’articolo Microsoft 365 – Introduzione del nuovo piano P1 per Microsoft Defender for Endpoint – ICT Power
- Una soluzione di sicurezza facile da usare. Defender for Business offre esperienze semplificate che consentono di intervenire con consigli e informazioni dettagliate sulla sicurezza degli endpoint. Non sono necessarie conoscenze specializzate, perché Defender for Business offre criteri di configurazione basati su procedure guidate progettate per proteggere i dispositivi dell’azienda fin dal primo giorno.
- Flessibilità per l’ambiente. Defender for Business può lavorare con l’ambiente aziendale, sia che si usi Microsoft Intune sia che si abbia una nuova esperienza con Microsoft Cloud. Defender for Business funziona con componenti integrati in Windows e con app per dispositivi Mac, iOS e Android.
Figura 1: Funzionalità include in Microsoft Defender for Business
- Threat & vulnerability management
Defender Vulnerability Management offre visibilità degli asset, valutazioni intelligenti e strumenti di correzione predefiniti per dispositivi Windows, macOS, Linux, Android, iOS e di rete. Sfruttando l’intelligence sulle minacce Microsoft, le stime della probabilità di violazione, i contesti aziendali e le valutazioni dei dispositivi, Defender Vulnerability Management assegna rapidamente e continuamente priorità alle principali vulnerabilità degli asset più critici e fornisce raccomandazioni sulla sicurezza per mitigare i rischi. - Attack surface reduction Il set di funzionalità per la riduzione della superficie di attacco fornisce la prima linea di difesa nello stack. Garantendo la configurazione corretta delle impostazioni e l’applicazione delle tecniche di mitigazione, le funzionalità resistono agli attacchi e allo sfruttamento. Questo set di funzionalità include anche protezione di rete e protezione Web, che regolano l’accesso a indirizzi IP, domini e URL dannosi.
- Next-generation protection Per rafforzare ulteriormente il perimetro di sicurezza della rete, Microsoft Defender per endpoint usa la protezione di ultima generazione progettata per individuare tutti i tipi di minacce emergenti.
- Endpoint detection and response Le funzionalità di rilevamento e risposta dagli endpoint vengono messe in atto per rilevare, analizzare e rispondere alle minacce avanzate che potrebbero aver superato i primi due pilastri della sicurezza. La rilevazione avanzata offre uno strumento di ricerca delle minacce basato su query che consente di individuare in modo proattivo le violazioni e di creare rilevamenti personalizzati.
- Automated investigation and remediation Oltre alla possibilità di rispondere rapidamente agli attacchi avanzati, Microsoft Defender per endpoint offre funzionalità di analisi e correzione automatiche che consentono di ridurre il volume di avvisi in pochi minuti su larga scala.
Il lavoro di Microsoft negli ultimi anni per proteggere le aziende è stato davvero notevole. Da diversi anni Microsoft viene premiata da Gartner come leader per la Endpoint Protection. Trovate maggiori informazioni alla pagina Gartner names Microsoft a Leader in the 2021 Endpoint Protection Platforms Magic Quadrant – Microsoft Security Blog
Figura 2: Endpoint Protection Platforms (EPP) Magic Quadrant by Gartner
Microsoft Defender for Business è raggiungibile dal portale di amministrazione di Microsoft 365 https://admin.microsoft.com , cliccando su oppure direttamente dal link https://security.microsoft.com
Per maggiori informazioni vi rimando alla lettura della mia guida Microsoft Defender for Business: la soluzione antimalware Microsoft per la PMI | ICT Power
Onboarding di Windows Server o Linux Server in Microsoft Defender for Business server
Microsoft Defender for Business server consente di eseguire l’onboarding di una macchina che esegue Windows Server o Linux Server in Defender for Business o Microsoft 365 Business Premium. Quando la licenza Microsoft Defender for Business server diventa disponibile a livello generale, è necessaria una licenza per ogni istanza del server.
Microsoft Defender for Business servers è un add-on per Microsoft Defender for Business. Questa nuova offerta da parte di Microsoft permette di offrire ai sistemi operativi server la stessa protezione che potete avere per i dispositivi client. L’aquisto dell’add-on è subordinato all’acquisto di almeno una licenza di Microsoft 365 Business Premium or Defender for Business (standalone).
NOTA: C’è un limite di 60 licenze per ogni sottoscrizione per Microsoft 365 Business Premium o Defender for Business
Per aggiungere l’add-on è sufficiente, dopo aver acquistato almeno una licenza di Microsoft 365 Business Premium or Defender for Business (standalone), collegarsi al portale Microsoft 365 admin center (https://admin.microsoft.com/) e da Billing à Purchase Services utilizzare la chiave di ricerca Microsoft Defender for Business servers e filtrare i risultati solo per gli Add-on, come mostrato nelle figure sotto:
Figura 3: Ricerca della licenza di Microsoft Defender for Business servers e filtro per Add-on
Figura 4: Acquisto della licenza oppure avvio della Trial
Figura 5: Dopo l’acquisto degli add-on sono disponibili 60 licenze per i Server
Eseguire l’onboarding di Windows Server in Microsoft Defender for Business
Per eseguire l’onboarding di Windows Server in Microsoft Defender for Business è necessario prima abilitare l’enforcemente scope per Windows Server. Dal portale di Microsoft 365 Defender (https://security.microsoft.com) andate in Settings > Endpoints > Configuration management > Enforcement scope e dopo aver abilitato Use MDE to enforce security configuration settings from MEM selezionate Windows Server e salvate con Save.
Figura 6: Modifica delle configurazioni di Microsoft Defender per Endpoints
Figura 7: Abilitazione dell’enforcement scope per Windows Server
Nel pannello di navigazione scegliete Settings > Endpoints e nel nodo Device management selezionate Onboarding. Dal menu a tendina scegliete la versione di Windows Server di cui volete effettuare l’onboarding. Io ho scelto Windows Server 1803, 2019 and 2022.
Figura 8: Scelta della versione di Windows Server di cui si vuole effettuare l’onboarding
Scegliete come metodo di deployment Local Script e fate clic su Download onboarding package.
Figura 9: Scelta del metodo di onboarding di Windows Server e download del package
Dopo aver copiato ed estratto il pacchetto nella macchina con Windows Server eseguite lo script WindowsDefenderATPLocalOnboardingScript.cmd in un prompt con privilegi amministrativi.
Figura 10: Esecuzione dello script di onboarding di Windows Server
Eseguire un test di rilevamento in Windows Server
Dopo aver eseguito l’onboarding dell’endpoint di Windows Server in Defender for Business, è possibile eseguire un test di rilevamento per assicurarsi che tutto funzioni correttamente:
- Nel dispositivo Windows Server creare una cartella: C:\test-MDATP-test.
- Aprire il prompt dei comandi come amministratore.
- Nella finestra del prompt dei comandi eseguire il comando di PowerShell seguente: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = ‘silentlycontinue’;(New-Object System.Net.WebClient).DownloadFile(‘http://127.0.0.1/1.exe’, ‘C:\\test-MDATP-test\\invoice.exe’);Start-Process ‘C:\\test-MDATP-test\\invoice.exe’
Dopo l’esecuzione del comando, la finestra del prompt dei comandi verrà chiusa automaticamente. In caso di esito positivo, il test di rilevamento verrà contrassegnato come completato e verrà visualizzato un nuovo avviso nel portale di Microsoft 365 Defender (https://security.microsoft.com) per il dispositivo appena caricato in circa 10 minuti.
Figura 11: Esecuzione dello script di test per verificare l’onboarding
Nel portale di Defender potrete verificare che l’onboarding sia avvenuto con successo collegandovi al nodo Assets > Devices
Figura 12: Onboarding del Windows Server visibile nel portale di Microsoft 365 Defender
NOTA: ci possono volere dalle 4 alle 24 ore per visualizzare le informazioni nel portale di Microsoft 365 Defender
Onboarding automatico di Windows Server in Microsoft Defender for Business utilizzando Microsoft Intune
L’onboarding automatico è un modo semplificato per eseguire l’onboarding dei dispositivi Windows in Defender for Business. L’onboarding automatico è disponibile solo per i dispositivi Windows Server già registrati in Microsoft Intune.
Durante l’uso della configurazione guidata, il sistema rileverà se i dispositivi Windows sono già registrati in Intune. Verrà chiesto se si vuole usare l’onboarding automatico per tutti o solo alcuni dispositivi Windows. È possibile eseguire l’onboarding di tutti i dispositivi Windows contemporaneamente oppure selezionare dispositivi specifici per iniziare e quindi aggiungere altri dispositivi in un secondo momento.
È possibile eseguire l’onboarding dei server Windows e di altri dispositivi in Intune usando l’interfaccia di amministrazione di Microsoft Endpoint Manager (https://endpoint.microsoft.com). Per la procedura dettagliata di onboarding dei client e dei server Windows vi rimando alla lettura della mia guida Onboarding di Windows 10/11 in Microsoft Defender for Endpoint/Business utilizzando Microsoft Intune – ICT Power.
Figura 13: Creazione del profilo di onboarding di Windows Server utilizzando Microsoft Intune
Modificare le impostazioni e i criteri di sicurezza in Microsoft Defender for Business
Dopo aver eseguito l’onboarding dei dispositivi aziendali in Defender for Business, il passaggio successivo consiste nel rivedere i criteri di sicurezza. I criteri di sicurezza possono essere gestiti in due modi:
- Usare il portale di Microsoft 365 Defender (scelta consigliata). Il portale di Microsoft 365 Defender è un punto di accesso unico per la gestione dei dispositivi, dei criteri di sicurezza e delle impostazioni di sicurezza dell’azienda.
- Usare l’interfaccia di amministrazione di Microsoft Endpoint Manager. Se l’azienda usa già Intune per gestire i criteri di sicurezza, è possibile continuare a usare l’interfaccia di amministrazione Endpoint Manager per gestire i dispositivi e i criteri di sicurezza.
Fate riferimento alla mia guida Microsoft Defender for Business: la soluzione antimalware Microsoft per la PMI | ICT Power per maggiori informazioni.
Conclusioni
Microsoft Defender for Business è una soluzione di sicurezza degli endpoint progettata appositamente per le piccole e medie imprese (fino a 300 dipendenti). Con questa soluzione di sicurezza degli endpoint, i dispositivi dell’azienda sono meglio protetti da ransomware, malware, phishing e altre minacce. Microsoft Defender for Business analizza automaticamente gli avvisi per far fronte alle minacce complesse, difende le aziende dalle minacce in modo proattivo attraverso l’analisi di trilioni di segnali da parte dell’operatore e dell’intelligenza artificiale e protegge i dispositivi Windows, macOS, iOS e Android. Grazie all’add-on per i server è anche possibile proteggere i Windows Server e i Linux Server in maniera semplice ed efficace, esattamente come avviene per i client.