Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Guida alla protezione degli endpoint: mettere in sicurezza i dispositivi

Argomento

Questo articolo è una copia della guida alle migliori pratiche di NinjaOne disponibile nel nostro Centro risorse NinjaOne. È possibile scaricare i dati in formato PDF in fondo a questa pagina.

Ambiente

Gestione degli endpoint NinjaOne

Descrizione

Indice

Seleziona un argomento per saperne di più.

EDP_intro image.png

Perché è importante il rafforzamento degli endpoint

Fondamentalmente, il rafforzamento degli endpoint è il concetto generale di potenziamento della sicurezza a livello di dispositivo. Poiché la protezione degli endpoint è fondamentale per ogni altra azione di sicurezza intrapresa, l'investimento in questo ambito avrà un ROI maggiore rispetto a quasi qualsiasi altra cosa. Se non viene eseguito correttamente, ogni altra soluzione e misura adottata dovrà essere migliore, più efficace e presentare meno lacune.

Secondo il Rapporto sulla difesa digitale 2022 di Microsoft, molte organizzazioni non stanno adottando le misure di base necessarie per supportare un rafforzamento completo degli endpoint. La seguente Figura 1 fornisce alcuni esempi di problemi chiave che hanno avuto un impatto negativo sulla resilienza informatica:

1.png
Figura 1: Problemi chiave che incidono negativamente sulla resilienza informatica

Sebbene le misure di sicurezza avanzate siano importanti, è fondamentale ricordare che gli aspetti fondamentali devono ancora essere migliorati. Nello stesso rapporto, Microsoft ha rilevato che la sicurezza di base protegge dal 98% degli attacchi. Implementando buone pratiche di sicurezza, è possibile iniziare a costruire quei livelli di sicurezza e offrire ai malintenzionati meno opportunità di attacco.

La Figura 2 evidenzia le raccomandazioni tecniche in materia di sicurezza informatica dei principali governi di lingua inglese per le piccole e medie imprese. Gli investimenti in questo ambito (molti dei quali consistono in raccomandazioni per il rafforzamento dei dispositivi) offrono il massimo valore.

Figura 2: Raccomandazioni tecniche in materia di sicurezza informatica (clicca per ingrandire)

Cosa comprende il rafforzamento della sicurezza dei dispositivi

Il rafforzamento della sicurezza dei dispositivi comprende qualsiasi modifica apportata a un dispositivo per migliorarne la sicurezza.

Ecco alcuni esempi:

Rafforzamento della sicurezza dei dispositiviEsempi
Protezione dell'accesso all'account
  • Abilitare e applicare l'autenticazione a più fattori (MFA).
  • Rimuovere gli account superflui.
  • Modificare gli account amministratore predefiniti.
  • Applicare il principio del privilegio minimo per tutti gli account utente.
  • Impedire agli utenti finali di installare app.
  • Applicare password complesse.
Configurazione del dispositivo
  • Abilitare l'avvio sicuro.
  • Disattivare l'USB.
  • Crittografare i dischi.
  • Bloccare le chiamate di rete dalle applicazioni (notepad, wscript, cscript e simili).
  • Ridurre l'esposizione delle porte.
  • Attivare e ampliare la registrazione.
  • Disattivare i protocolli non sicuri come SMBv1, Telnet e HTTP.
  • Proteggere con password BIOS/UEFI.
Gestione del software
  • Rimuovere le app potenzialmente dannose.
  • Rimuovere il software non supportato.
  • Implementare un antivirus o una soluzione di rilevamento e risposta per gli endpoint.
  • Implementare soluzioni di gestione delle password.
  • Attiva il firewall.
  • Rimuovere i vecchi file eseguibili.
  • Impedire agli utenti finali di installare app.
AuditVerificare il rafforzamento della sicurezza dei dispositivi.

Questa tabella non è un elenco esaustivo, ma un punto di partenza per le organizzazioni che cercano i passi successivi nel loro processo di rafforzamento degli endpoint. Non tutte le attività di rafforzamento dei dispositivi saranno applicabili a ogni ambiente e molte devono essere adattate al proprio ambiente. Quando si migliora la sicurezza degli endpoint, è importante ricordare che gli standard di riferimento cambiano costantemente, quindi gli approcci alla sicurezza dovrebbero sempre essere valutati e aggiornati regolarmente.

È inoltre importante notare che esistono diverse azioni critiche che è possibile intraprendere per rafforzare la sicurezza della propria organizzazione, ma che non sono incluse nel rafforzamento degli endpoint, tra cui:

  • Gestione delle identità e degli accessi
  • Soluzioni di sicurezza avanzate (SIEM, antivirus avanzati e simili)
  • Formazione sulla sicurezza per gli utenti finali
  • Strategia di rete
  • Sicurezza delle applicazioni cloud
  • Difesa dalle minacce mobili

Tutte queste azioni sono fondamentali per garantire la sicurezza, ma non mirano specificamente alla sicurezza a livello di dispositivo.

Automatizzare il rafforzamento degli endpoint

Prima di passare ad alcuni esempi di come le organizzazioni possono utilizzare NinjaOne per rafforzare e semplificare il loro approccio al rafforzamento degli endpoint, parliamo un po' di più dell'automazione.

In generale, l'automazione IT:

  • Riduce il rischio di errore umano
  • Riduce il tempo dedicato alle attività manuali
  • Riduce i costi
  • Standardizza la gestione dei dispositivi e l'erogazione dei servizi
  • Migliora la soddisfazione dei dipendenti IT
  • Migliora l'esperienza dell'utente finale
  • Aiuta a garantire la conformità

Sfruttando i vantaggi dell'automazione, il processo di rafforzamento degli endpoint diventa molto più semplice, efficiente ed economico nel lungo periodo. Inoltre, impostando l'esecuzione automatica di questi processi, le organizzazioni possono limitare più rapidamente l'esposizione a potenziali vulnerabilità.

All'interno di NinjaOne, vari meccanismi aiutano le organizzazioni a eseguire facilmente un flusso di lavoro IT automatizzato. Nella sezione successiva, mostreremo cinque esempi di come le organizzazioni possono utilizzare gli strumenti di automazione di NinjaOne per migliorare la sicurezza dei dispositivi, tra cui:

  • Automazioni pianificate: quando si desidera intervenire sui dispositivi di una politica in un momento specifico.
  • Attività pianificate: quando si desidera intervenire sui dispositivi di un gruppo in un momento specifico.
  • Condizioni dei risultati degli script: quando si desidera controllare regolarmente le informazioni su un dispositivo e intervenire in base ai risultati restituiti.
  • Script attivato da condizioni: quando si desidera rispondere immediatamente a un cambiamento di stato su un dispositivo in un
    .
  • Script attivato da campo personalizzato: quando sono necessarie informazioni che NinjaOne non raccoglie di default, oppure per automazioni complesse o in più fasi.

Documentazione correlata:

Aggiunta di uno script personalizzato a NinjaOne

Poiché molte automazioni richiedono una personalizzazione in base ai singoli ambienti, gli script personalizzati sono fondamentali per l'automazione in NinjaOne. Pertanto, è importante sapere come aggiungere nuovi script alla Libreria di automazione all'interno della piattaforma NinjaOne. Per aggiungere un nuovo script, sono disponibili diverse opzioni. È possibile:

Testare accuratamente tutti gli script prima della distribuzione se NinjaOne non li ha rilasciati ufficialmente.

Cinque modi per automatizzare il rafforzamento della sicurezza dei dispositivi

Questo elenco di metodi non è esaustivo, ma offre una buona panoramica di ciò che è possibile fare all'interno di NinjaOne per automatizzare e supportare il rafforzamento degli endpoint.

Distribuire le configurazioni di sicurezza dei dispositivi durante la configurazione dei dispositivi

In questo esempio, useremo il meccanismo delle attività pianificate per automatizzare al di fuori delle politiche.

Durante la configurazione di nuovi dispositivi, è possibile utilizzare gli strumenti integrati nelle versioni recenti di Windows per migliorare la sicurezza dei dispositivi. In questo esempio, utilizzeremo BitLocker, incluso in ogni workstation Windows 10 e 11. Con NinjaOne, è possibile monitorare in modo nativo lo stato di BitLocker, individuare i dispositivi su cui BitLocker è disattivato e riattivarlo utilizzando uno script personalizzato.

Se non avete ancora aggiunto lo script per attivare BitLocker alla Libreria di automazione di NinjaOne, seguite le istruzioni contenute nel nostro articolo NinjaOne Endpoint Management: Guida introduttiva agli script di automazione. Quindi, eseguite i seguenti passaggi:

  1. Apri Dispositivi nel menu della barra laterale e fai clic su Altri filtri. Seleziona Stato BitLocker.
  2. Selezionare la casella di controllo Disabilitato.
  3. Crea Salva gruppo per creare un gruppo dinamico di dispositivi su cui BitLocker è disattivato. Per istruzioni dettagliate, consulta NinjaOne Endpoint Management: Salva e carica gruppi di ricerca.

I gruppi dinamici mostrano sempre informazioni aggiornate. Man mano che si attiva BitLocker su questi dispositivi, essi verranno rimossi da questo gruppo. Man mano che si integrano nuovi endpoint su cui BitLocker non è attivato, questi appariranno automaticamente in questo gruppo. Probabilmente si vorrà aggiungere una correzione automatizzata a questo processo; per farlo, fare riferimento al nostro articolo

Figura 3: Aggiungere un target a un'attività pianificata

Altri esempi di utilizzo dei gruppi dinamici con automazioni pianificate possono includere la disabilitazione dei dispositivi di archiviazione di massa o l'impostazione dell'UAC. All'interno della Libreria dei modelli in NinjaOne, troverai una serie di modelli di automazione pronti all'uso.

Abilitare i firewall dei dispositivi e bloccare le connessioni in uscita

Nell'esempio seguente, useremo campi personalizzati e condizioni di policy per rilevare lo stato di un dispositivo e attivare un'automazione. Per sapere come aggiungere un nuovo campo personalizzato, dai un'occhiata a Campi personalizzati di NinjaOne: Guida introduttiva.

Per verificare lo stato del firewall del dispositivo in NinjaOne, offriamo il seguente campo personalizzato e meccanismi di automazione pianificati. È possibile utilizzare i campi personalizzati in vari modi; in questo metodo specifico, essi memorizzeranno l'output di uno script PowerShell:

  1. Accedere a AmministrazioneDispositiviCampi personalizzati del dispositivo.
  2. Fare clic su +Aggiungi campo personalizzato e selezionare Testo.
  3. Inserisci "Stato del firewall" nel campo Etichetta.
  4. Configurare l'ereditarietà e i dettagli in base alle proprie preferenze.
  5. Nella sezione Autorizzazioni*, selezionare Lettura/Scrittura dal menu a discesa Automazioni* e API *. Si consiglia di impostare il campo Accesso su Sola lettura.
  6. Vai su AmministrazionePolitiche e seleziona una politica a cui desideri aggiungere questo campo personalizzato. (Se non hai familiarità con la configurazione delle politiche, consulta Politiche NinjaOne: Catalogo delle risorse.)
  7. Nella sezione Condizioni, fare clic su Aggiungi una condizione.
policy_condition_add condition.png
Figura 4: Aggiungi una condizione a una politica
  1. Nella finestra di dialogo Condizione, fare clic su Seleziona una condizione, quindi selezionare Condizione risultato script dal menu a discesa Condizione.
  2. Fare clic su Seleziona script di valutazione e selezionare Firewall - Stato di audit. Se non è stato ancora aggiunto lo script personalizzato, seguire le istruzioni riportate in NinjaOne Endpoint Management: Introduzione allo scripting di automazione.
policy_condition_script result condition_select evaluation script.png
Figura 5: Aggiungi una condizione a una policy
  1. Fare clic su Applica. Fare clic su Aggiungi. Fare clic su Salva.
  2. Nella sezione Condizioni, fare clic su Aggiungi una condizione.
  3. Fare clic su Seleziona una condizione e scegliere Campi personalizzati dal menu a discesa.
  4. Fare clic su Aggiungi accanto a Il valore del campo personalizzato deve soddisfare tutte le condizioni per generare due nuovi menu a discesa.
  5. Nel primo menu a tendina, seleziona il campo personalizzato Stato del firewall che hai creato. Nel secondo menu a tendina, seleziona contiene. Digita "false" nel campo di testo (questo cercherà i firewall disattivati).
condition_custom field_firewall.png
Figura 6: Aggiungi la condizione del campo personalizzato per lo stato del firewall
  1. Fai clic su Applica, quindi su Aggiungi nella sezione Automazioni della finestra di dialogo Condizione. Cerca e seleziona Set-WindowsFirewall da applicare alla condizione.
condition_add automation.png
Figura 7: Aggiungere un'automazione a una condizione

Utilizzo di script personalizzati con le condizioni

Per migliorare la protezione del firewall, puoi anche aggiungere uno script personalizzato per bloccare le comunicazioni di rete in uscita.

All'interno di tale script personalizzato, aggiungere le applicazioni desiderate per le quali si desidera bloccare l'accesso a Internet. Ad esempio, è improbabile che la calcolatrice di Windows o il Blocco note necessitino di accesso a Internet (ma possono essere simulati e utilizzati come vettori di attacco), quindi è possibile aggiungerli all'elenco di qualsiasi applicazione all'interno dello script personalizzato stesso. Per questo esempio, abbiamo utilizzato lo script PowerShell Block Outbound NetConns for win32 (link esterno). Questa risorsa non è uno script ufficiale di NinjaOne, quindi è necessario testarla accuratamente prima dell'uso!

Dopo aver aggiunto lo script alla Libreria di automazione, puoi aggiungerlo alla stessa condizione Check Firewall a cui hai aggiunto lo script Set-WindowsFirewall.

Abilitare, espandere e analizzare i log

In questo esempio, attiveremo un'automazione durante la configurazione del dispositivo per modificarne le impostazioni.

La configurazione del dispositivo è valida solo quanto le informazioni che si ottengono da essa, ed è qui che entrano in gioco i log degli eventi. I log aiutano a comprendere cosa sta succedendo sul dispositivo, e potrebbe essere necessario espandere determinati log per ottenere una visione accurata dello stato di salute e della sicurezza del proprio ambiente.

Prima di procedere, è consigliabile aggiungere alla libreria un nuovo script personalizzato specifico per l'espansione di tali registri eventi. A questo scopo è possibile utilizzare la cartella

Figura 8: Impostare la pianificazione dell'automazione per l'esecuzione immediata una sola volta

Una volta scelta la pianificazione preferita, aggiungi lo script personalizzato "Expand Event Logging ". Da lì, puoi applicare questo script pianificato, che verrà eseguito immediatamente.

Oltre all'espansione dei log, il monitoraggio del Visualizzatore eventi con escalation dei privilegi è un altro modo per aggiungere un livello di sicurezza degli endpoint: aggiungi una nuova condizione dalla scheda "Condizioni" all'interno della policy e scegli "Eventi di Windows" per aggiungere una fonte e gli ID evento specifici che desideri monitorare. Quando uno qualsiasi degli ID evento si attiva, riceverai un avviso relativo a eventuali modifiche per un utente specifico e potrai intervenire. In questa guida non è prevista alcuna correzione specifica, ma è possibile aggiungere una correzione nei passaggi di automazione utilizzando i campi personalizzati.

Creare un account amministratore locale e automatizzare la rotazione delle password

In questo esempio, attiveremo un'automazione al momento della configurazione del dispositivo, quindi eseguiremo un'automazione regolare per modificare una password di amministratore. Windows dispone di una funzionalità integrata che puoi sfruttare in NinjaOne per facilitare la rotazione e la protezione delle password. Crea uno script personalizzato a questo scopo e aggiungilo a un'automazione pianificata nella politica scelta, quindi impostalo in modo che venga eseguito secondo la pianificazione desiderata.

A tal fine, vai su AmministrazioneDispositivi e aggiungi un nuovo campo. Assegna a questo nuovo campo lo stesso nome impostato nello script personalizzato per la rotazione delle password (localAdminPassword per impostazione predefinita) e seleziona il tipoSecurefield dal menu a discesa.

Un campo personalizzato di tipoSecurefield è stato creato appositamente per gestire in modo sicuro le credenziali; non è visibile in testo normale, richiede l'autenticazione a più fattori (MFA) per essere visualizzato ed è completamente crittografato. NinjaOne fornisce la funzione di auditing per vedere chi ha accesso al campo personalizzato di tipoSecurefield.

Una volta cliccato su Crea, noterai ulteriori menu a tendina. Ti consigliamo di impostare il menu a tendina Automazioni su Solo scrittura e il menu a tendina Tecnico su Solo lettura, poiché questo script crea un account di servizio, genera una stringa di caratteri alfanumerici casuale come password e la aggiunge come campo personalizzato di tipoSecurefield. Una volta generata la password, lo script la riscriverà nel campo personalizzato di tipoSecurefield. Ciò significa che non si avranno password standardizzate su tutta la linea e sarà possibile accedere al singolo dispositivo per visualizzare la password locale (localAdminPassword) dalla scheda Personalizzato nella dashboard del dispositivo.

Rilevare e rimuovere software potenzialmente dannoso

In questo esempio, useremo una condizione di policy per rilevare un cambiamento di stato (software installato) e attivare un'automazione per risolvere il problema.

È possibile utilizzare gli strumenti di automazione di NinjaOne per rilevare e rimuovere facilmente software dannoso o indesiderato dagli endpoint. Prima di creare la condizione di rilevamento del software, è necessario aggiungere uno script personalizzato "Disinstalla applicazione" alla Libreria di automazione di NinjaOne. A questo scopo è possibile utilizzare la nostra cartella Condivisione script o altri script forniti dalla comunità.

  1. Dopo aver aggiunto lo script personalizzato, passare alla policy che si desidera aggiornare e aprire la scheda " Conditions " ( Condizioni ).
  2. Aggiungere una nuova condizione e selezionare Software dal menu a discesa Condizione.
  3. Selezionare Esiste dal menu a discesa Presenza che appare e inserire il nome del software che si desidera rilevare nel campo Nomi. Se si aggiungono asterischi attorno al nome del software, verranno inclusi tutti gli elementi che utilizzano quel nome nel titolo del software, non solo le corrispondenze esatte.
  4. Fai clic su Applica, quindi aggiungi l'automazione.

Per assicurarti di risolvere completamente i tuoi problemi, verifica e conferma che questo script PowerShell o programma di disinstallazione rimuova correttamente l'applicazione prima di procedere alla distribuzione completa.

Risorse

Il rafforzamento degli endpoint è essenziale e, con una corretta automazione, è possibile implementarlo e mantenerlo facilmente. Se stai cercando uno strumento che ti aiuti ad automatizzare il tuo flusso di lavoro IT, accedi qui alla versione di prova gratuita di NinjaOne:

https://www.ninjaone.com/freetrialform/

Abbiamo stilato un elenco di alcuni framework di sicurezza che puoi utilizzare per proteggere la tua rete e i tuoi dispositivi:

Glossario

La tabella seguente fornisce le definizioni degli acronimi utilizzati in questo articolo. Per ulteriori definizioni, consultare la Terminologia NinjaOne.

TermineDefinizione
APIInterfaccia di programmazione dell'applicazione
AVAntivirus
BIOSSistema di I/O di base
EDRRilevamento e risposta agli endpoint
HTTPHypertext Transfer Protocol
MFAAutenticazione a più fattori
SIEMGestione delle informazioni e degli eventi di sicurezza
SMBv1Server Message Block (v1)
TeletypeRete Teletype
UACControllo account utente
UEFIInterfaccia firmware estensibile unificata
USBBus seriale universale

Domande frequenti

Passi successivi