Creazione di policy di sicurezza in Intune per proteggere i dispositivi Windows

Creazione di policy di sicurezza in Intune per proteggere i dispositivi Windows

01/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella creazione e nell'implementazione di solidi criteri di sicurezza in Microsoft Intune per proteggere i dispositivi Windows. Microsoft Intune, parte di Microsoft Endpoint Manager, fornisce una soluzione completa per la gestione unificata degli endpoint, consentendo alle organizzazioni di gestire i dispositivi, proteggere i dati e garantire la conformità alle policy di sicurezza indipendentemente da dove si trovano i dispositivi [1].

Introduzione

In un ambiente di lavoro moderno, in cui i dispositivi possono essere di proprietà dell'azienda o personali (BYOD) e accedere alle risorse aziendali da qualsiasi luogo, la sicurezza degli endpoint è più importante che mai. Microsoft Intune semplifica la gestione e l'applicazione delle policy di sicurezza sui dispositivi Windows, garantendo che soddisfino gli standard aziendali prima di accedere ai dati sensibili [2].

Questa guida pratica riguarderà la creazione di diversi tipi di policy di sicurezza in Intune, come policy di conformità e profili di configurazione dei dispositivi, concentrandosi su scenari reali e fornendo istruzioni dettagliate, configurazioni di esempio e metodi di convalida. L'obiettivo è consentire al lettore di implementare queste policy in modo efficace e migliorare il livello di sicurezza della propria organizzazione.

Perché utilizzare Intune per i criteri di sicurezza?

Intune offre diversi vantaggi per la gestione della sicurezza dei dispositivi Windows:

  • Gestione unificata: gestisci i dispositivi Windows, macOS, iOS/iPadOS e Android da un'unica console.
  • Conformità continua: garantisce che i dispositivi soddisfino i requisiti di sicurezza prima di accedere alle risorse aziendali.
  • Automazione: automatizza la distribuzione di impostazioni di sicurezza, aggiornamenti e applicazioni.
  • Integrazione: si integra con altre soluzioni Microsoft, come Azure AD (Microsoft Entra ID) per l'accesso condizionale e Microsoft Defender for Endpoint per la protezione avanzata dalle minacce.
  • Flessibilità: supporta diversi scenari, dai dispositivi aziendali completamente gestiti al BYOD.

Prerequisiti

Per seguire questo tutorial, avrai bisogno dei seguenti elementi:

  1. Licenza: una licenza valida per Microsoft Intune. Spesso incluso in pacchetti come licenze autonome di Microsoft 365 E3, E5, F1, F3 o Enterprise Mobility + Security (EMS) [3].
  2. Accesso amministrativo: un account con autorizzazioni di amministratore globale o amministratore di Intune nell'interfaccia di amministrazione di Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. Dispositivi Windows registrati: dispositivi Windows 10/11 già registrati con Microsoft Intune. La registrazione può essere eseguita tramite l'aggiunta ad Azure AD, l'aggiunta ad Azure AD ibrido o la registrazione manuale per BYOD.
  4. Gruppi di utenti e dispositivi: gruppi di sicurezza in Azure AD per assegnare criteri in modo organizzato.

Passo dopo passo: creazione di policy di sicurezza in Intune

Creeremo diversi tipi di criteri per dimostrare la completezza di Intune.

1. Creazione di una politica di conformità del dispositivo

I criteri di conformità definiscono i requisiti che un dispositivo deve soddisfare per essere considerato "conforme". È possibile impedire ai dispositivi non conformi di accedere alle risorse aziendali tramite i criteri di accesso condizionale.

Passaggi:

  1. Vai all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Passare a Dispositivi > Criteri di conformità.
  3. Fare clic su Crea policy.
  4. Seleziona la piattaforma Windows 10 e versioni successive e fai clic su Crea.
  5. Nozioni di base: assegna un nome alla policy (ad esempio: "Windows - Policy di conformità predefinita") e una descrizione. Fare clic su Avanti.
  6. Impostazioni di conformità: qui definisci le regole. Esempi di impostazioni importanti:
    • Integrità del dispositivo:
      • Richiedi BitLocker: Richiedi. Garantisce che l'unità di sistema sia crittografata.
      • Richiede l'abilitazione di Secure Boot sul dispositivo: Require. Protegge dai rootkit durante il processo di avvio.
    • Proprietà dispositivo:
      • Versione minima del sistema operativo: imposta la versione minima di Windows su garaAssicurarsi che vengano utilizzati solo sistemi operativi supportati e aggiornati.
    • Sicurezza del sistema:
      • Richiedi una password per sbloccare i dispositivi mobili: Richiedi.
      • Firewall: Richiedi. Garantisce che Microsoft Defender Firewall sia attivo.
      • Antivirus: Richiedi. Garantisce che una soluzione antivirus registrata nel Centro sicurezza PC Windows sia attiva.
  7. Azioni in caso di non conformità: definire cosa succede se un dispositivo non è conforme. L'azione predefinita è Contrassegnare il dispositivo come non supportato immediatamente. Puoi aggiungere altre azioni, come l'invio di un'e-mail all'utente.
  8. Assegnazioni: assegna i criteri a un gruppo di dispositivi o utenti Azure AD.
  9. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

2. Creazione di un profilo di configurazione del dispositivo

I profili di configurazione vengono utilizzati per applicare impostazioni di sicurezza più dettagliate ai dispositivi.

Passaggi:

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager, vai a Dispositivi > Profili di configurazione.
  2. Fai clic su Crea profilo.
  3. Seleziona la piattaforma Windows 10 e versioni successive e il tipo di profilo Catalogo impostazioni. Fare clic su Crea.
  4. Nozioni di base: assegna un nome al profilo (ad esempio: "Windows - Impostazioni di sicurezza di Defender") e una descrizione.
  5. Impostazioni di configurazione: fare clic su Aggiungi impostazioni. Utilizza il selettore delle impostazioni per trovare e impostare le policy desiderate. Ad esempio, per configurare Microsoft Defender:
    • Cerca "Microsoft Defender".
    • Seleziona categorie come "Microsoft Defender Antivirus" e "Protezione in tempo reale".
    • Abilita impostazioni come:
      • Abilita protezione in tempo reale: Abilitato.
      • Abilita la protezione fornita dal cloud: Abilitato.
      • Livello di protezione fornito nel cloud: "Livello di blocco elevato".
  6. Assegnazioni: assegna il profilo a un gruppo di dispositivi.
  7. Rivedi + crea: rivedi e crea il profilo.

3. Applicazione di una linea di base di sicurezza

Le linee di base sono insiemi di impostazioni di sicurezza preconfigurate consigliate da Microsoft. È il modo più rapido per applicare un solido livello di sicurezza.

Passaggi:

  1. Vai a Sicurezza endpoint > Linee di base di sicurezza.
  2. Seleziona la baseline che desideri utilizzare, ad esempio Security Baseline per Windows 10 e versioni successive.
  3. Fai clic su Crea profilo.
  4. Fornisci un nome e una descrizione.
  5. Impostazioni di configurazione: rivedere le impostazioni predefinite. Puoi personalizzarli secondo necessità, ma idealmente dovresti attenersi ai consigli di Microsoft.
  6. Assegnazioni: assegna la linea di base a un gruppo di dispositivi.
  7. Rivedi + crea: crea il profilo.

Convalida e monitoraggio

Dopo aver creato e assegnato le policy, è fondamentale monitorarne l'applicazione e la conformità dei dispositivi.

  • Per i criteri di conformità: vai su Dispositivi > Criteri di conformità, seleziona il criterio e controlla lo Stato del dispositivo e lo Stato per configurazione per vedere quali dispositivi sono conformi o meno e perché.
  • Per i profili di configurazione: vai su Dispositivi > Profili di configurazione, seleziona il profilo e controlla i rapporti sullo stato per vedere se le impostazioni sono state applicate correttamente.

Conclusione

Microsoft Intune è un potente strumento per rafforzare la sicurezza dei dispositivi Windows negli ambienti aziendali. Combinando policy di conformità, profili di configurazione e linee di base di sicurezza, gli amministratori possono garantire che i dispositivi soddisfino elevati standard di sicurezza, proteggendo i dati dell'organizzazione dalle minacce. La corretta implementazione di queste policy è un passo fondamentale nel percorso verso un’architettura di sicurezza Zero Trust.

Riferimenti

[1]Microsoft. (2023). Cos'è Microsoft Intune? [2]Microsoft. (2023). Proteggi dati e dispositivi con Microsoft Intune. [3]Microsoft. (2023). Licenze disponibili per Microsoft Intune.