Framework Zero Trust per abilitare il lavoro da remoto

Lo strumento Zero Trust Assessment è ora attivo!
Framework Zero Trust per abilitare il lavoro da remoto

Con un numero sempre maggiore di dipendenti che lavora da remoto, molti dei tradizionali controlli di sicurezza basati sulla rete non sono sufficienti per proteggere le aziende.
Per molte organizzazioni, le opzioni sono essenzialmente due:
– instradare tutto il traffico remoto attraverso un’architettura di rete legacy, con conseguenti scarse prestazioni e produttività degli utenti;
– allentare le restrizioni e rischiare di perdere protezione, controllo e visibilità.
Molte organizzazioni si rivolgono al framework di sicurezza Zero Trust per supportare al meglio il lavoro da remoto e gestire i rischi.
Lo Zero Trust security framework aiuta le aziende a far fronte efficacemente a queste sfide dando accesso alle risorse individualmente ed utilizzando politiche di accesso granulari che sfruttano segnali di rischio dinamici di utenti e dispositivi e altri dati di telemetria per prendere decisioni di accesso più adattive.

Supporto per avvicinarsi a Zero Trust
Volete intraprendere il vostro percorso aziendale verso Zero Trust?
Spesso può essere sfidante e scoraggiante.
Per questo, Microsoft, ha creato lo strumento Zero Trust Assessment che aiuta i clienti a capire a che punto del loro viaggio Zero Trust si trovino.
L’assessment tool vi aiuterà a calcolare la vostra preparazione in diversi elementi: identità, dispositivi, app, infrastruttura, rete e dati. Successivamente, fornirà indicazioni su come procedere e sulle implementazioni necessarie per raggiungere traguardi chiave.

Framework Zero Trust per abilitare il lavoro da remoto

Ogni azienda si trova in una fase diversa del proprio percorso verso Zero Trust.
Data la situazione attuale relativa allo smart working, molte organizzazioni stanno lavorando per unificare la gestione delle identità ed abilitare il Single Sign-On (SSO) o stanno affrontando progetti come l’autenticazione a più fattori (MFA) o la Virtualizzazione Desktop. Ogni leader IT deve definire le priorità per consentire la produttività della propria organizzazione da qualsiasi luogo a seconda della situazione.
Di recente è stato pubblicato il documento Microsoft Zero Trust Maturity Model vision che illustra in dettaglio i principi fondamentali di Zero Trust, assieme al modello di maturità, che suddivide i requisiti di livello superiore in ciascuno dei sei elementi fondamentali (prossimamente verranno pubblicate anche le guide di distribuzione per ciascuno degli elementi fondamentali).
In futuro, Microsoft pubblicherà delle guide di deployment per ognuno dei elementi fondamentali. Le guide aggiuntive, le trovate all’interno del Microsoft Security blog..
Qui, invece, maggiori informazioni su Zero Trust e Microsoft Security.


Le informazioni presenti in questo post, sono prese dall’articolo: Zero Trust framework to enable remote work.

Siete ancora convinti di utilizzare Zoom? Sono stati rilevati più di una dozzina di problemi di privacy e sicurezza

Zoom, nell’ultimo periodo, ha conosciuto una crescita e una popolarità esponenziale a causa dell’emergenza coronavirus.
Utilizzatissima per smart working, didattica online e per rivedere gli amici lontani….
Se i partecipanti quotidiani ai meeting erano 10 milioni a Dicembre, sono diventati 200 milioni in Marzo.

Nelle ultime settimane, però, sono emersi una serie di problemi relativi a privacy e sicurezza.
Questo, ha fatto sì che tantissime aziende, organizzazioni e scuole l’abbiano bannata o ne abbiano limitato al minimo l’utilizzo, prediligendo o raccomandando l’utilizzo di Microsoft Teams.

L”impennata nel numero degli utenti, ha fatto emergere un numero sempre maggiore di difetti di sicurezza: ad esempio lo Zoom bombing (ovvero le intrusioni all’interno delle video call), la fuoriuscita di indirizzi email e foto, il fatto che le call non fossero criptate in modo end-to-end ed alcune falle nascoste in Zoom installer hanno permesso agli hacker di ottenere accesso ai computer ed eseguirci delle versioni maligne del software.
Anche il CEO di Zoom, Eric Yuan, ha ammesso che l’azienda si è mossa troppo velocemente, incappando in una serie di errori e passi falsi.

Tutti questi problemi, hanno fatto sì che alcune aziende, organizzazioni, agenzie governative e scuole, abbiano bannato Zoom o limitato al massimo il tuo utilizzo.

Tra queste:
Google ha bannato l’utilizzo di Zoom sui computer dell’azienda;
SpaceX ha proibito ai dipendenti l’utilizzo di Zoom, per preoccupazioni di sicurezza e privacy; .
Smart Communications una ISP con base nelle Filippine, ha bannato Zoom per l’utilizzo interno;
– La NASA ha proibito ai dipendenti di utilizzare Zoom;
– Il ministro estero tedesco ha ristretto l’utilizzo di Zoom solo sul suo computer personale e in situazioni di emergenza;
– Il Senato degli Stati Uniti ha incoraggiato i membri a scegliere piattaforme diverse da Zoom per problemi di sicurezza;
– Il New York City’s Department of Education ha proibito agli insegnanti di utilizzare Zoom ed incoraggiato a passare a Microsoft Teams.

Siete ancora convinti di utilizzare Zoom? Sono stati rilevati più di una dozzina di problemi di privacy e sicurezza
I motivi?
Oltre a quelli già citati, si è scoperto che oltre 500 mila account sono stati venduti a pochi centesimi sul dark web, all’insaputa degli utenti.
I criminal hacker sono stati in grado di ottenere gli indirizzi e-mail, le password, i collegamenti URL e le chiavi host degli utenti Zoom tramite uno schema di attacchi informatici chiamato “Credential stuffing“.

Inoltre, le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte on line.
Lo scrive il Washington Post spiegando che le video chiamate sono state registrate da un software di Zoom e poi salvate su applicazioni diverse senza password e sono dunque scaricabili sul web. Sono state trovate video chiamate scolastiche, sedute terapeutiche, riunioni d’affari e incontri privati.

Insomma, se prima non eravate ancora del tutto convinti di passare a Microsoft Teams, crediamo non ci sia più bisogno di farvi capire quanto sia importante scegliere un’applicazione sicura e blindata.

Microsoft Teams è sicuro
Siete ancora convinti di utilizzare Zoom? Sono stati rilevati più di una dozzina di problemi di privacy e sicurezza

Proprio come Zoom, anche Teams ha conosciuto una cresciuta incredibile nel suo utilizzo in questo periodo.
Il mese scorso, si è registrata una crescita nell’adozione del cloud di Microsoft del +775% solo negli Stati Uniti.
Nonostante questo record di utilizzo come strumento per lo smart working, Microsoft Teams punta anche sulla sicurezza.

Gli utenti Microsoft Teams hanno il massimo controllo su chi possa accedere ai propri meeting o alle relative informazioni.
È possibile, ad esempio, stabilire chi possa accedere direttamente a un meeting virtuale e chi debba invece attendere di essere ammesso; è altresì possibile rimuovere i partecipanti durante un meeting, stabilire chi possa presentare o condividere contenuti e chi sia solamente uno spettatore.
Nel caso in cui venga attivata la registrazione del meeting, tutti i partecipanti vengono immediatamente avvisati e possono accedere direttamente all’informativa sulla privacy. Le registrazioni, conservate in un archivio sicuro protetto da crittografia, sono quindi accessibili solamente ai partecipanti e alle persone invitate al meeting.
Il diritto alla privacy è un valore fondamentale della filosofia di Microsoft e si concretizza nell’impegno dell’azienda a garantire agli utenti trasparenza e controllo su raccolta, utilizzo e comunicazione dei propri dati. Gli utenti Microsoft Teams, infatti, possono accedere ai propri dati in qualsiasi momento e hanno la garanzia che, al termine del proprio abbonamento, tutti i dati verranno eliminati. Inoltre, Microsoft si impegna a non usare i dati relativi all’utilizzo di Teams per scopi pubblicitari e a non tracciare le attività o l’attenzione dei partecipanti a un meeting.

Microsoft Teams rispetta oltre 90 leggi e standard normativi a livello globale, incluso il GDPR, e applica le massime misure di sicurezza per limitare l’accesso ai dati degli utenti. Microsoft ha definito nel dettaglio i requisiti necessari per rispondere alle richieste dei governi e aggiorna regolarmente i propri report sul Transparency Hub, dove vengono dettagliate le risposte alle richieste di terze parti.

In qualità di leader nel campo della cybersecurity, Microsoft analizza oltre 8000 miliardi di segnali ogni giorno e utilizza queste informazioni per proteggere proattivamente i propri utenti dalle minacce informatiche. Microsoft crittografa i dati comunicati via Teams e li archivia in modo sicuro all’interno dei propri data center, applicando il protocollo SRTP (Secure Real-time Transport Protocol) alla condivisione di video, audio e delle schermate.

Infine, gli amministratori IT possono attivare la multi-factor authentication, che potenzia ulteriormente la protezione degli account richiedendo una seconda forma di verifica della propria identità.


Alcune informazioni presenti in questo post, sono prese dall’articolo: Il nostro impegno per la Privacy e Security in Microsoft Teams.

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Al giorno d’oggi, siamo tutti consapevoli del fatto che le password non rappresentino più un metodo sicuro per proteggere le identità.
Ci avviciniamo sempre di più ad un mondo “passwordless” adatto ad aziende di ogni dimensione.
Con FIDO2 è ora possibile effettuare il sign-in ad un dispositivo di join ibrido Windows 10.
Non c’è più bisogno di MFA o password complesse: basta una chiave da portare con sé.

FIDO2 si basa sulla tecnologia di chiave pubblica, mentre le chiavi private sono archiviate in modo sicuro sul dispositivo.
Richiede un gesto locale che può essere di tipo biometrico o/e il pin. Le chiavi private sono associate ad un singolo dispositivo e non sono mai condivise.

Vi sono alcuni requisiti per far sì che tutto funzioni correttamente:
• I dispositivi devono avere in esecuzione il Windows 10 Insider Build 18945 o versione successiva.
• È necessario disporre della versione 1.4.32.0 o successiva di Azure AD Connect.
• I controller di dominio di Windows Server devono disporre delle seguenti patch installate:
– Per Windows Server 2016 –> KB4534307 (build del sistema operativo 14393.3474)
– Per Windows Server 2019 –> KB4534321 (build del sistema operativo 17763.1012)

Con questi requisiti non è possibile distribuirlo nell’attuale build di Windows 10 1909.
È necessario attendere l’arrivo di Windows 10 2020 H1 o testare con build di Windows 10 Insider.

Configurazione di FIDO2 nel tenant:
1. Accedete al portale Azure
2. Passate ad Azure Active Directory > Security > Authentication methods > Authentication method policy (Preview).
3. Sotto il metodo FIDO2 Security Key, selezionare le seguenti opzioni:
a. Abilita – Sì o No
b. Target: tutti gli utenti o Seleziona utenti
4. Salvate la configurazione.

Le FIDO2 security keys (passwordless) in ambiente ibrido

Configurazione del nuovo portale di informazioni sulla sicurezza
1. Accedete al portale Azure.
2. Passate ad Azure Active Directory > User settings > User feature previews.
3. Alla voce “Users can use preview features for registering and managing security info – enhanced”, scegliete la seguente opzione:
a. Enable – All users
4. Salvate la configurazione.

Le FIDO2 security keys (passwordless) in ambiente ibrido

Abilitare l’account utente per le FIDO2 security key
Effettuate l’accesso a Security Info. Se non siete abilitati per l’MFA, dovrete aggiungere la configurazione di Authenticator prima di poter inserire la chiave di sicurezza.

1. Accedete a SetupSecurityInfo.
2. Aggiungete method.
3. Selezionate Security Key.
4. Selezionate USB device e cliccate su next
5. Cliccate su OK ed inserite il codice PIN
6. Denominate la chiave ” Demo ” e il gioco è fatto.

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

Le FIDO2 security keys (passwordless) in ambiente ibrido

SSO verso le risorse on-premises sfruttando le chiavi FIDO2
Il server Kerberos è necessario per accedere alle risorse on-premises quando effettuate il sign-in con le FIDO2 security keys.
Ma anche tutte le risorse cloud come Office 365 e altre applicazioni abilitate SAML hanno bisogno di questo server.
Il server Kerberos è integrato in AD Connect e non funziona ancora con i nuovi servizi di provisioning cloud. È possibile configurarlo dal server AD Connect.

Import-Module “.\AzureAdKerberos.psd1”

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = “alden365.se”

# Enter an Azure Active Directory global administrator username and password.
$cloudCred = Get-Credential

# Enter a domain administrator username and password.
$domainCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred”

Il punto è che è necessario accedere con le credenziali di amministratore globale, senza requisiti MFA, perché lo script richiede le credenziali nelle vecchie finestre di autenticazione di base. È inoltre necessario, ad oggi, creare una nuova routine per ruotare manualmente la chiave del server Kerberos di Azure AD.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey

Le FIDO2 security keys (passwordless) in ambiente ibrido

Configurare la schermata di blocco dell’accesso a Windows 10
L’abilitazione degli accessi dalla schermata di blocco di Windows 10 può essere eseguita in diversi modi.
• Abilitazione con Intune
• Distribuzione Intune mirata
• Abilitazione con un pacchetto di provisioning
• Abilitazione con Criteri di gruppo

Abilitazione con le Group Policy
1. Aprite il Group Policy Editor su un controller di dominio Active Directory
2. Passate a Computer Configuration > Administrative Templates > System > Logon > Turn on security key sign-in:
3. Scegliete Enabled.

Per tutte le info sulle Security key, vi rimandiamo all’articolo Microsoft: Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory.

Troubleshooting
dsregcmd / status
vi fornisce lo stato del computer se il pc è di tipo domain joined e hybrid azure ad joined.

Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory

klist mostra il the Kerberos Ticket Granting Tickets (TGTs)

Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory

Lo scenario e gli esempi illustrati in questo blog, avevano l’obiettivo di aiutarvi a testare gli scenari passwordless in un ambiente ibrido.


Le informazioni presenti in questo post, sono prese dall’articolo: FIDO2 security keys (passwordless) in hybrid enviroment