Category Archives: Security

Windows Hello FIDO2: sempre più vicini a un mondo senza password

Con la certificazione FIDO2 di Windows Hello, Microsoft sta portando 800 milioni di persone che utilizzano Windows 10 un passo più vicino ad un mondo senza password.

Nessuno ama le password (hacker esclusi).
Gli utenti non le amano perchè devono ricordarsele.
Il risultato? Spesso creiamo password facili da indovinare, bersaglio per gli hacker che tentano di accedere al nostro computer o network aziendale.

Dal 2015, Microsoft ha iniziato un percorso verso un mondo sicuro e senza password grazie a Windows Hello, abilitando gli utenti Windows 10 di tutto il mondo ad effettuare l’accesso ai loro dispositivi utilizzando la biometrica o un PIN e lasciandosi alle spalle il mondo delle password.
Perseguendo questa strada, Microsoft ha annunciato, a Novembre 2018, la possibilità di utilizzare Windows Hello o una security key FIDO2 per effettuare il sign in sicuro al vostro account Microsoft: tutto senza password!

Un paio di settimane fa, FIDO Alliance, ha annunciato che, con il release di Windows 10, versione 1903, Windows Hello diventa un authenticator FIDO2 Certificato.
FIDO2 abilita gli sviluppatori a fare leva sui protocolli standard-based e sui dispositivi per fornire agli utenti una facile autenticazione ai servizi online – sia in ambienti mobili che desktop. Microsoft è un membro importante di FIDO Alliance e sta lavorando in stretta collaborazione con i membri di alliance per abilitare i login senza password per i siti web che supportano l’autenticazione FIDO2.
Complessivamente, questi standard permettono agli utenti di effettuare il login ai servizi online in maniera più semplice e sicura grazie alle chiavi di sicurezza compliant di FIDO2 ed a Windows Hello.

Ogni mese, più di 800 milioni di persone usano un account Microsoft per accedere ad email, giocare online o accedere a file archiviati nel cloud.
Per questo motivo, oltre alla certificazione FIDO2, la versione 1903 di Windows 10 abiliterà gli utenti che utilizzano l’ultima versione di Mozilla Firefox a loggarsi nel loro account Microsoft dai siti web che supportano FIDO.
I browser basati su Chromium, incluso Microsoft Edge su Chromium, supporteranno le stesse funzionalità molto presto.

Microsoft incoraggia aziende e sviluppatori di software ad adottare una strategia per abbracciare un futuro senza password e ad iniziare oggi stesso a supportare a soluzioni alternative alle password – come Windows Hello – per i loro utenti.
Per maggiori dettagli sull’implementazione di Windows Hello, vi rimandiamo all’articolo: Windows Hello for Business.

Per supportare un’autenticazione sicura su PC Windows 10 condivisi, come quelli utilizzati dai Firstline Workers, la chiave di sicurezza compliant FIDO2 e compatibile con Microsoft, offre una soluzione portatile che permette agli utenti di effettuare il log in su Windows 10 senza l’utilizzo della password.
Scoprite di più su questo scenario, leggendo l’articolo Windows Hello and FIDO2 Security Keys.

Infine, Microsoft Authenticator può abilitare gli utenti ad autenticarsi ai loro account Microsoft utilizzando il telefono.
Creato su una tecnologia di sicurezza simile a Windows Hello, Microsoft Authenticator, impacchetta l’autenticazione in un’app semplice accessibile dal vostro dispositivo mobile.

Windows Hello, le security keys di FIDO2 e l’app mobile Microsoft Authenticator sono ottime alternative alle password.
Per creare veramente un mondo senza password, però, abbiamo bisogno di soluzioni interoperabili che lavorino su tutte le piattaforme e browser.
Microsoft continuerà ad investire su questi aspetti, condividendo con i propri utenti i futuri aggiornamenti.
Nel frattempo, se siete sviluppatori, potete contribuire supportando l’autenticazione FIDO2 nei vostri servizi web ed applicazioni.


Le informazioni presenti in questo post, sono prese dall’articolo Windows Hello FIDO2 certification gets you closer to passwordless.

Microsoft annuncia una gestione dei BitLocker migliorata

Microsoft annuncia una migliorata gestione dei BitLocker

Durante la seconda metà dell’anno, Microsoft aggiungerà funzionalità per la gestione dei BitLocker sia cloud che on-premises in ambienti enterprise via Microsoft Intune e System Center Configuration Manager (SCCM).
BitLocker è una funzionalità di encryption full-volume con supporto per l’algoritmo di encryption XTS-AES che permette agli utenti Windows di effettuare la crittografia degli hard drive dei loro computer e di unità rimovibili.

Microsoft ha dichiarato che le nuove alternative aggiunte alla gestione di Bitlocker per ambienti corporate promuovono ulteriormente la robustezza richiesta per gestire in maniera appropriata gli endpoint di tipo enterprise.

Microsoft annuncia una migliorata gestione dei BitLocker

Gestione BitLocker standard
La Microsoft BitLocker Administration and Monitoring (MBAM) fornisce un’interfaccia di amministrazione semplice da utilizzare ed on-premises creata appositamente per la gestione della BitLocker Drive Encryption che rappresenta lo standard delle aziende enterprise dal 2011.

Redmond ha annunciato che la “MBAM esaurirà il supporto mainstream a partire dal 9 Luglio 2019 ed entrerà nel supporto esteso fino al 9 Luglio 2024” con le nuove funzionalità di gestione dei BitLocker non incluse nell’ultima versione MBAM rilasciata.
In ogni caso, come spiegato da Microsoft, MBAM rimarrà uno strumento di gestione di Bitlocker supportato per i clienti che non vogliono passare alle nuove piattaforme di gestione Microsoft Intune o System Center Configuration Manager.

Gestione di tipo cloud-based
Microsoft Azure Active Directory e l’interfaccia di gestione di tipo cloud-based di Microsoft Intune, supporteranno BitLocker per le edizioni Windows 10 Pro, Windows 10 Enterprise, e Windows 10 Education.

La piattaforma di gestione di Bitlocker di Microsoft Intune è già disponibile, con funzionalità quali “compliance reporting, encryption configuration, con feature quali key retrieval e rotation” già aggiunte alla roadmap di sviluppo.

Microsoft annuncia una migliorata gestione dei BitLocker

Seguendo l’aggiunta delle extra feature e delle funzionalità alla soluzione Microsoft Intune BitLocker, la nuova piattaforma di gestione, molto presto supererà le possibilità offerte da MBAM.

“Windows AutoPilot offre un moderno approccio di provisioning in grado di assicurare che BitLocker venga abilitato senza interruzioni sui dispositivi Windows, integrandosi con Azure Active Directory per fornire un dispositivo compliant al primo logon” ha dichiarato Microsoft.

Qui sotto alcune funzionalità che saranno incluse in Intune cloud-based BitLocker management:
– Report di disponibilità e compliance: report di encryption dedicati che aiutano gli amministratori a comprendere lo stato di criptazione dei loro dispositivi;
– Configurazione: configurazione granulare di BitLocker che permette agli amministratori di gestire i dispositivi al livello di sicurezza desiderato;
– Compliance: possibilità di fare leva sulle policy di compliance di Intune;
– Key recovery auditing: report su chi ha avuto accesso alle informazioni chiave di recovery all’interno di Azure AD (in arrivo nel corso del 2019);
– Key recovery: vi permette di recuperare le chiavi nella console di Microsoft Intune (Self-service in arrivo più avanti nel corso del 2019);
– Key management: abilita le chiavi di recupero di tipo single-use sui dispositivi Windows, assicurando che le chiavi siano distribuite all’accesso dal client o on-demand da azioni remote di Intune (in arrivo più avanti nel corso del 2019);
– Migrazione da MBAM al cloud management (in arrivo nel corso del 2019).

Gestione on-premises SCCM-based in arrivo a Giugno
Le aziende che stanno già utilizzando la gestione MBAM on-premises BitLocker e che non hanno la possibilità di scegliere l’opzione Microsoft Intune cloud-based, potranno passare alla nuova SCCM-powered a partire da Giugno 2019.

Microsoft ha spiegato che il Configuration Manager rilascerà una preview del prodotto per le funzionalità di BitLocker management, seguita da una general availability più avanti nel corso del 2019.
Solo nel caso della piattaforma di gestione cloud-base di Intune, la gestione SCCM BitLocker sarà disponibile per le edizioni Windows 10 Pro, Windows 10 Enterprise e Windows 10 Education ma arriverà presto anche il supporto per Windows 7, Windows 8 e Windows 8.1.

Le funzionalità che saranno incluse in Configuration Manager (SCCM) BitLocker management sono:
– Provisioning: la soluzione di provisioning assicurerà che BitLocker sia un’esperienza senza interruzioni all’interno della console SCCM mentre conserverà la portata di MBAM;
– Preparazione del Trusted Platform Module (TPM): gli amministratori potranno aprire la console di amministrazione di TPM per le versioni 1.2 e 2.0;
– Impostazione della configurazione di BitLocker: tutti i valori specifici delle configurazioni MBAM che impostate, saranno disponibili dalla console SCCM;
– Encryption: l’encryption permetterà agli amministratori di determinare gli algoritmi con cui crittografare il device, i dischi obiettivo di encryption e le linee guida che gli utenti devono fornire per poter avere accesso ai dischi;
– Applicazione delle policy: gli amministratori potranno obbligare gli utenti ad essere compliant con le nuove policy di sicurezza prima di poter accedere al dispositivo;
I nuovi utenti potranno impostare un pin/password su dispositivi TPM e non-TPM: gli amministratori potranno personalizzare il profilo di sicurezza dell’organizzazione sulla base dei dispositivi;
– Auto sblocco: si tratta delle policy necessarie a specificare se sbloccare solo un drive OS, o tutte le unità collegate, quando un utente sblocca un’unità OS.
– Portale di Helpdesk con auditing: un portale di helpdesk permette alle altre risorse nell’azienda, oltre all’admin SCCM, di fornire supporto con il key recovery.
– Key rotation: questa funzionalità permette agli amministratore di utilizzare una chiave monouso per sbloccare il dispositivo BitLocker encrypted;
– Compliance reporting: il SCCM reporting includerà tutti i report rilevati di recente in MBAM o dalla console SCCM.


Le informazioni presenti a questo post, sono prese dall’articolo: Microsoft Announces Enhanced Enterprise BitLocker Management.

MDATP Threat & Vulnerability Management ora disponibile

Threat & Vulnerability Management è un nuovo componente di Microsoft Defender ATP che aiuta ad identificare, valutare e rimediate in maniera efficiente alla vulnerabilità degli endpoint.
Threat & Vulnerability Management fornisce ai team security administrators e security operations un valore unico che include:

– Risultati in real-time di endpoint detection and response (EDR) correlati alle vulnerabilità degli endpoint;
– Inestimabile contesto di machine vulnerability durante l’investigazione di incidenti;
– Processi di risanamento integrato attraverso Microsoft Intune ed il Microsoft System Center Configuration Manager.

Note: l’integrazione di Microsoft Intune e Microsoft System Center Configuration Manager (SCCM) è attualmente in distribuzione.

Oggi, siamo felici di annunciarvi che il nuovo Threat & Vulnerability Management (TVM) è disponibile in public preview all’interno del portale Microsoft Defender ATP.
È un cambio di approccio radicale alla ricerca, prioritizzazione e risanamento di vulnerabilità ed errori di configurazione degli endpoint.

Lo strumento Threat & Vulnerability Management è l’ultimissima innovazione all’interno di Microsoft Defender ATP che continua ad evolvere per fornire ai clienti strumenti potenti, integrati ed in real-time per rispondere alle minacce. I clienti che hanno attivato le feature in preview di Microsoft Defender ATP, vedranno la funzionalità all’interno della loro dashboard.

Ulteriori funzionalità di TVM verranno distribuite nei prossimi mesi.

Per informazioni su come iniziare ad utilizzare lo strumento: Gestione delle vulnerabilità & minacce.

MDATP Threat & Vulnerability Management ora disponibile
Figura 1: screenshot della dashboard Threat & Vulnerability Management


Le informazioni presenti in questo post, sono prese dall’articolo MDATP Threat & Vulnerability Management now publicly available!.

Microsoft porta Windows Defender Application Guard anche su Chrome e Firefox

Dapprima disponibile soltant su Edge, l’estensione Windows Defender Application Guard, lo scorso mese è stara resa disponibile da Microsoft anche su Chrome e Firefox.
I due browser devono essere installati sull’ultima versione beta disponibile di Windows e sono prerogativa di chi ha aderito al programma Windows insider. A breve, però, verrà distribuita la nuova release di Windows 10 e, a quel punto, le estensioni di sicurezza saranno disponibili per tutti gli utilizzatori dei due browser.

Windows Defender Application Guard è un’estensione abbastanza recente che permette all’amministratore di sistema di impostare una lista di siti e risorse di fiducia a cui l’utente può accedere in modo sicuro attraverso il browser. Se invece l’utente arriva su un sito “Tramite un esclusivo approccio di isolamento basato su hardware, Application Guard aprirà i siti Web non attendibili all’interno di un contenitore separato dal sistema operativo tramite la tecnologia di virtualizzazione Hyper-V“.

Sostanzialmente, si tratta di un meccanismo sandbox che vi permette di recarvi su sito sconosciuti o potenzialmente non sicuri senza alcun rischio. Questo perchè vengono isolati dal resto del sistema proteggendo in questo modo sia il dispositivo che i dati sensibili presenti in esso. È una funzionalità molto utile, sopratutto in un’ottica di adozione aziendale.

Windows Defender Application Guard è disponibile per i dispositivi il cui sistema operativo va da Windows 10 versione 1803 in su (solo in versione Pro o Enterprise), conosciuta anche come Redstone 4, ed è già incorporata in Microsoft Edge a partire dalla build 17053, tuttavia è disabilitata di default.
Se volete testarlo, sarà sufficiente recarsi nelle Impostazioni di Windows 10 nella sezione funzionalità.

Nel menù a tendina che si aprirà, selezionate la voce Attiva o disattiva funzionalità di Windows.
Si aprirà a questo punto una finestra con diverse voci: scorrete l’elenco fino a trovare Windows Defender Application Guard. Cliccate sulla casella di spunta, poi su Ok ed infine riavviate il PC.
Concluso questo processo, potrete utilizzare Windows Defender Application Guard.
Come fare? Dalle impostazioni di Edge, aprite una scheda dedicata.

Se partecipate al programma Insider ed avete Windows 10 Pro o Enterprise e volete provare questa funzione sui due nuove browser disponibili, vi indichiamo i link:
Chrome;
Firefox.


Le informazioni presenti in questo post, sono prese dall’articolo:Microsoft porta le estensioni di sicurezza per Edge anche su Chrome e Firefox.

Le nuove etichette di riservatezza per le app di Office, ti aiutano a proteggere le informazioni sensibili

Durante l’ultimo Ignite, Microsoft aveva annunciato l’imminente arrivo di una serie di funzionalità che permettessero di proteggere meglio le vostre informazioni sensibili su differenti dispositivi, app, servizi cloud e on-premises.
L’obiettivo era quello di fornire un approccio coerente per ritrovamento, classificazione, etichettatura e protezione dei dati sensibili.
Oggi siamo felici di annunciarvi la general availability delle sensitivity labeling o etichette di riservatezza costruite appositamente per le app di Office, siano esse utilizzate su Mac, iOS ed Android.

Le app che ora supportano le etichette di riservatezza per gli utenti finali, sono le seguenti:
Office per Mac: Word, PowerPoint, Excel & Outlook
Office mobile apps per iOS: Word, PowerPoint & Excel (Outlook è in arrivo)
Office mobile apps per Android: Word, PowerPoint & Excel (Outlook è in arrivo)

Con queste nuove funzionalità, gli utenti possono facilmente applicare le etichette di riservatezza definite dalla vostra azienda.
L’esperienza è costruita direttamente nelle app di Office: non avrete bisogno di plugin o add-on particolari. L’aspetto è lo stesso della conosciuta e famigliare esperienza di Office, il che la rende ancora più semplice da utilizzare per gli utenti.

Grazie alle etichette di riservatezza, non solo riuscirete a proteggere le informazioni riservate dell’azienda ma avrete un prezioso aiutante per tutto ciò che riguarda gli obblighi in materia di compliance, come il GDPR.
Supponiamo che un collega del reparto HR stia lavorando su un excel che contiene informazioni personali, quali gli indirizzi email dei dipendenti. Sapendo che queste informazioni dovrebbero essere protette e mantenute private, l’utente può selezionare l’etichetta di riservatezza “Confidential-PII” direttamente dal foglio excel. Quella stessa etichetta applicherà le appropriate impostazioni di protezione a seconda di quanto configurato a livello aziendale.

Esperienza utente semplice e coerente
Gli screenshot qui sotto illustrano la user experience delle app di Office per Mac.
Il menù a tendina Sensitivity semplifica la visualizzazione delle etichette disponibili e la selezione dell’opzione appropriata.
L’esperienza è simile tra Word, PowerPoint, Excel ed Outlook.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Come applicare le etichette di riservatezza sulle app di Office per Mac. Potete scegliere fra encryption, rights restrictions e visual markings, a seconda delle vostre policy label

Per le mobile app di Office, è disponibile il medesimo set di etichette di riservatezza.
Non importa quale dispositivo o piattaforma stiate utilizzando: l’esperienza è la stessa.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Applica in maniera semplice le etichette di riservatezza sulle app mobili di Office per iOS

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
…e per le app mobili di Office per Android

Una volta applicata un’etichetta di riservatezza su un documento o email, l’etichetta rimarrà su quel file anche se verrà spostato in un’altra destinazione, su un altro dispositivo, app o servizio cloud. La vostra azienda ha tutta la flessibilità di customizzare le policy per applicare differenti azioni a seconda dell’etichetta selezionata, inclusa crittografia, accesso limitato al file o applicazione di marcature visive al documento (su intestazione/piè di pagina o filigrane che indicano che il file è confidenziale o contiene informazioni sensibili).

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Un’email identificata come “Highly Confidential” su Outlook per Mac, viene crittografata e le vengono applicati intestazione e piè pagina

Gli amministratori possono inoltre richiedere agli utenti di fornire una giustificazione se passano ad un livello di etichette di riservatezza inferiore rispetto a quello precedentemente applicato. Per esempio, se cambiano un’etichettatura da “Confidential” a “General”. Questo può essere utile per avere utenti responsabili e mantenere un audit trail.
Potete inoltre specificare se un’etichettatura di default debba essere applicata a nuovi documenti/email. Per esempio, potete impostare un’etichettatura di default di tipo “General Business” e, successivamente, gli utenti finali possono applicarne una differente a seconda del contenuto che stanno editando.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Agli utenti finali può venir chiesto di fornire una giustificazione quando retrocedono ad un più basso livello di etichetta

Le etichette di documenti ed email possono anche essere “lette” da altre app e servizi.
Ad esempio, se un documento di tipo “Highly Confidential” si trova su un dispositivo Windows, Windows Information Protection e Windows Defender ATP possono lavorare assieme per bloccare all’utente la possibilità di copiare o condividere il contenuto di quel documento su altre destinazioni di quel dispositivo quali account di email personali o account social.

Come iniziare e passaggi successivi
Per iniziare ad utilizzare queste nuove esperienze di etichetta, dovete configurarle all’interno dell’Office 365 Security & Compliance Center.
Una volta configurate, le etichette diventano disponibili nelle applicazioni di Office supportate. Se la vostra azienda le ha configurate nel portale di Azure per Azure Information Protection, dovrete prima di tutto migrarle nel Security & Compliance Center, e poi potrete usarle dalle app aggiornate di Office.
Trovate maggiori informazioni e i passaggi per la migrazione a questo articolo:
How to migrate Azure Information Protection labels to the Office 365 Security & Compliance Center.

Per saperne di più, vi rimandiamo alla documentazione ufficiale che vi fornisce maggiori informazioni sulle app supportate e sui numeri di versione.
I clienti Office 365 hanno già accesso alle app di Office aggiornate grazie all’update di gennaio.

Questo è solo l’inizio: nei prossimi mesi, Microsoft estenderà le etichette di riservatezza ad ulteriori piattaforme e app di Office. Tra queste: Outlook per iOS ed Android, Outlook on the web, app di Office su Windows e app di Office Online.
A questo link, la roadmpad di Microsoft 365 per le ultimissime informazioni.

Potete rilasciare i vostri feedback, commenti, idee ed opinioni su quest’ultima caratteristiche, all’interno della UserVoice.