Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Impresa

WI006 – Windows 10 in Enterprise

annuncio pubblicitario 
WPC2015
01/12/2015
presenta
WI006 – Windows 10 in
Enterprise
Michele Sensalari – MCT, MCSE, MCSA, MCITP
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
Agenda
1
Deploy di Window 10
Windows Update for Business
Active Directory vs Azure Active Directory
con MDM
Sicurezza
Nuovi metodi di autenticazione
Strumenti per la sicurezza delle identità, del
Sistema Operativo e dei dati
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
2
1
WPC2015
01/12/2015
Deploy di Windows 10
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
3
Modalità di Deployment
 In-place upgrade: installazione di Windows 10 sopra una
installazione precedente di Windows. Spesso utilizzato quando
l’utente non cambia hardware.
 Wipe e (re)load: salvataggio dei dati utente, wipe completo del
sistema, possibile sostistuzione dell’hardware, reinstallazione di
sistema operativo, applicativi e ripristino dei dati
 Provisioning: installazione di Windows 10 con poche
impostazioni e dati
 Quali strumenti utilizzare: WDS, MDT, SCCM, ADK etc etc…
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
4
2
WPC2015
01/12/2015
In-Place upgrade
 Prima di Windows 10 il problema dell'aggiornamento di Windows era...
proprio l'aggiornamento di Windows !!
 Con Windows 10 il problema è stato risolto grazie alla possibilità di
procedere con l'aggiornamento in-place (i.e.: diretto) a partire da:
Windows 7
Windows 8.1
 Conservazione di dati, impostazioni utente, applicazione e drivers
 Veloce (30-60 minuti) e leggero (solo S.O.)
 Rollback automatico e/o manuale
 Nessuna modifica alla partizione OEM
 Free: solo per il mondo "Home Users" no per il mondo Enterprise
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
5
Wipe e (re)load
Aggiornamento da BIOS a UEFI
Disco cifrato da 3° parti
Immagini WinPE e di sistema operativo personalizzato
Cambio architettura (x86/x64)
Modifica lingua
Modifica versione Windows
Cambio dominio
Modifica delle applicazioni base
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
6
3
WPC2015
01/12/2015
Provisioning
 Nuovi computer;
 Possibilità di utilizzare «Provisioning Packages»
Personalizzare una immagine senza la necessità di crearne una nuova
Creazione di pacchetti personalizzati (.ppkg) tramite WICD (Windows Imaging and
Configuration Designer) di ADK 10
Pacchetti distribuibili o eseguibili da utenti amministrativi
Possono contenere binari della applicazioni
Join ad AD o Azure AD
Possibilità di sincronizzazione delle impostazioni applicativi e Onedrive
Possibilità di cifratura e firma dei pacchetti
Può essere inserito in una immagine o eseguito da USD, SD, Email attachment, network share
www.wpc2015.it – [email protected] - +39 02 365738.11
7
Nuovo Formato Immagini
 Nuovo Assessment and Deployment Kit (ADK) 10.0
 Nuovo formato di immagine di installazione:
 FFU (Full Flash Update)
Nuovo formato immagine che permette una distribuzione
più veloce
Installazione su una unità o una scheda SD
Non può essere modificata o editata offline
 SFU (Split read-only Flash Update) files
Le immagini solitamente sono più grandi di uno standard
drive USB WinPE FAT32
 La gestione dei nuovi formati richiede:
 DISM di Windows 10
 Nuova console Windows Imaging and Configuration
Designer (WICD)
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
8
4
WPC2015
01/12/2015
Modalità di deployment: WIM vs VHD/VHDx vs FFU
Tipo Immagine
WIM
VHD/VHDX
FFU
Sector Based:
- Deploy Distruttivo
- Il volume deve essere maggiore
o uguale a quello di cattura
Sector Based:
- Deploy Distruttivo
- Il volume deve essere maggiore
o uguale a quello di cattura
Test, Capture e Deploy:
- HAL-Indipendent
Test e Deploy su VM
Test e Deploy a parità di HW
Cosa include
File di una intera partizione
Tutte le informazioni di tutte le
partizioni
Tutte le informazioni di tutte le
partizioni
Compressione
Si
No
No
Sicurezza
No
No
Si grazie a meccanismo di hash di
verifica della firma prima di
applicare l'immagine sul device
Quando usare
Modifca immagine
File Based:
- Aggiunge/Modifica e salvaguarda i file
esistenti
- Deploy su volumi anche di dimensioni
diverse
Si tramite DISM o PoSh
Include meccanismo di verifica
integrità tramite firma digitale
Si, montando il VHD/VHDX
Si ma solo per aggiungere packages
9
Windows Update for
Business
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
10
5
WPC2015
01/12/2015
(Upgrade vs Update) e Windows Update for Bussiness
 Upgrade: è un insieme di funzionalità e migliorie funzionali; secondo Microsoft verrano
distribuiti due o tre volte ogni anno (il primo a Novembre 2015 Version 1511)
 Update: sono molto meno consistenti e molto più frequenti: applicati per correzioni a
vulnerabilità di sicurezza che compaiono ogni mese (il secondo Martedì del mese per
esempio)
 Windows Update for Bussiness: un ramo di Windows Update, il servizio di tipo consumer da
20 anni modello patching di Windows , è stato lanciato come un modo per le aziende di
gestire i refresh (Upgrade e Update) perpetui di Windows 10. Pensato principalmente per
l’implementazione del Branch: Current Branch for Bussiness.
www.wpc2015.it – [email protected] - +39 02 365738.11
Aggiornamenti Windows - Branches
Current Branch: tutti gli aggiornamenti Critical, Security, Features, Fix
(update e upgrade) vengono installati non appena rilasciati. Il sistema
operativo è quindi aggiornatissimo. Nessuna possibilità di
customizzazione.
11
Home
Pro
Ent
Current Branch for Business (CBB): come per il Current Branch ma con
la differenza che è possibile scegliere quali aggiornamenti e quando
verranno installati. Ma non possono essere posticipati all’infinito.
Long Term Servicing Branch (LTSB) – Disponibile solo per versioni
Enterprise Volume Licence. Permette una completa personalizzazione
degli upgrade
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
12
6
WPC2015
01/12/2015
Deploy Windows Update for Business
•
Pre November-Update:
 November-update
www.wpc2015.it – [email protected] - +39 02 365738.11
13
AD vs Azure AD - Join
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
14
7
WPC2015
01/12/2015
Processo di installazione di un Windows Enterprise
www.wpc2015.it – [email protected] - +39 02 365738.11
15
Azure AD Join on Windows 10 devices

Configurazione OOB del dispositivo senza necessità di intervento da parte dell’IT aziendale;

Azure AD Join registra il dispositivo nella directory di Azure autenticandosi direttamente in Azure AD senza la necessità
di Domain Controller








Utilizzo delle credenziali aziendali – Le stesse utilizzate per collegarsi a Office 365 (cloud-only, synched password, single
sign-on)
I pc e i tablet aziendali possono essere automaticamente gestiti da un MDM (mobile device management) quali per
esempio INTUNE o soluzioni di terza parti
SSO con gli applicativi presenti sul cloud Office 365
SSO On-premise con Azure AD Application Proxy
Supporto per dispositivi che fino ad ora non prevedevano la possibilità di un join al dominio
Roaming Profiles
Enterprise Windows Store
Attenzione a chi diventa amministratore locale…..
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
16
8
WPC2015
01/12/2015
Azure AD Domain Service (Preview)
 Effettivamente si tratta di un "Managed Directory Services"
 Disporre dei servizi tipici di AD On-Premises direttamente da Azure:
 Struttura logica di monodominio con solo due OU: una per Utenti e una per
Computers:





 Esistono solo due GPO nelle suddette OU
Utenti e gruppi vengono ereditati da AD Azure
Non è possibile estendere lo Schema AD
Delega per la gestione ma non Domain Admins
Autenticazione Kerberos e NTLM
Accesso LDAP (modifiche non supportate)
www.wpc2015.it – [email protected] - +39 02 365738.11
17
Security
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
18
9
WPC2015
01/12/2015
Windows 10: Principi di progettazione
 Security avanzata proseguendo sulla linea tracciata inizialmente da
Vista
 Capacità nativa di adattamento a qualsiasi dispositivo e predisposto
per facilitare le seguenti strategie operative:
Bring Your Own Device (BYOD):
Choose Your Own Device (CYOD)
Bring Your Own Apps (BYOA)
Bring Your Own Identity (BYOI)
Windows Integrity Level
 È un componente fondamentale
dell’architettura di sicurezza di Windows che:
limita le autorizzazioni di accesso (in lettura o
modifica) delle applicazioni ad oggetti (per
esempio quelli di un file system) se
quest’ultimi hanno un livello di sicurezza più
alto di quello delle applicazioni
limita anche l’interazione tra processi se questi
hanno un integrity level differente
 Da Windows Vista viene assegnato un
integrity level ai processi e agli oggetti
Un integrity level nel «security descriptor»
dell’oggetto
Un integrity level nell’«access» token
 Le applicazioni Modern/Universal
sono confinate all'interno di un
sistema di Sand-Boxing soggetto al
seguente Integrity-Level (IL):
 AppContainer
 Ciò ne vieta l'utilizzo da parte dell'utente
Administrator builtin (SID = *-500) il
quale opera sempre con Integrity-Level
High:
 Built-in Aministrator  Integrity
Level High
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
20
10
WPC2015
01/12/2015
Windows Hello
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
21
Windows Hello

Sistema di autenticazione biometrico per permettere l’accesso
«personalizzato» e immediato ai dispositivi Windows 10:
 Impronta digitale
 Scansione iride


 Scansione facciale
Autenticazione verso applicazioni, contenuto aziendali e online
Richiede hardware apposito:
 Intel Real Sense 3d Camera (presente su alcuni modelli di portatili)
 Lettore impronte digitali

Settings – Account – Sign Options

Lock vs Unlock

 PIN login deve essere abilitato (4)
Utilizzo di crittografia asimmetrica
 Chiave + biometrico = autenticazione locale
 Non vengono memorizzate i riconoscimenti biometrici realizzati in
fase di registrazione
 Non lasciano mai il device
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
22
11
WPC2015
01/12/2015
Microsoft Passport
www.wpc2015.it – [email protected] - +39 02 365738.11
23
Microsoft Passport
 Sistema di autenticazione basato su certificati a chiave pubblica/privata per forzare
un livello di sicurezza superiore rispetto al classico username / password
 Tipologie di account protetti:
Microsoft account
AD account
Azure AD account
Sistemi di terza parti che supportano autenticazione FIDO (Fast ID Online)
 Vantaggi:
Comodità
Sicurezza
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
24
12
WPC2015
01/12/2015
Microsoft
Passport:
Funzionamento
In fase di setup l’’utente si autentica inizialmente all’identity provider (AD,
Azure AD) con uno dei seguenti metodi (password, pin, segno, smartcard,
multifactor authentication)
Utente sul proprio device implementa un «gesto» che può essere:
Windows Hello
 Autenticazione biometrica: impronta digitale, riconoscimento dell’iride, riconoscimento
facciale
PIN
www.wpc2015.it – [email protected] - +39 02 365738.11
Passport
Setup
1.
L’utente viene autenticato sul proprio device
3.
Windows crea una coppia di chiavi asimmetrica (privata/pubblica)
2.
4.
5.
6.
Viene richiesta la creazione di un gesto
La chiave pubblica viene registrata in AD/AZUREAD
La chiave privata viene memorizzata nel TPM del device o cifrata localmente
Un attestation blob (per il TPM) viene firmato e inviato ad AD/AZURE AD con la
chiave pubblica per completare la registrazione
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
25
26
13
WPC2015
Autenticazione
con Passport
01/12/2015
1.
L’autenticazione è iniziata dal client Windows
3.
Una richiesta di autenticazione viene inviata a AD /Azure AD
2.
4.
5.
6.
7.
All'utente viene richiesto di fornire il gesto registrato che permette di sbloccare il TPM
Identity provider risponde con l'invio di un "nonce"
il client firma il "nonce" con la chiave privata dell'utente e la invia all'identity provider
l'identity provider utilizza la chiave pubblica per verificare la firma
in caso di verifica positiva viene inviato un authentication token
www.wpc2015.it – [email protected] - +39 02 365738.11
27
Credential Guard aka
Virtual Secure Mode
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
28
14
WPC2015
01/12/2015
Credential Guard
 Protegge le credenziali (di dominio e non) permettendone l’accesso solo ad applicazioni
autorizzate, tramite l’utilizzo di funzionalità hardware e software:
UEFI and Secure Boot
(Intel VT-x or AMD-V)
Virtualization-based security
 Solitamente, prima di Windows 10, le credenziali venivano memorizzare nell’area di memoria
dedicata al servizio Local Security Authority
 Con Credential Guard il servizio Local Security Authority comunica tramite RPC con un nuovo
componente, LSAIso (isolated LSA) che memorizza e protegge le informazioni sensibili tramite
l’utilizzo delle virtualizzazione. Le credenziali non sono accessibili da altri componenti del Sistema
Operativo.
 No device drivers in LSAIso ma solo un sottoinsieme di binari firmati digitalmente con un
certificato digitale «trustato» dal VBS, validati ad ogni esecuzione.
 No vecchie versioni di NTLM e Kerberos: protocolli di autenticazione quali NTLMv1, MS-CHAPV2, e
di cifratura quali DES
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
29
Credential
Guard
Da notare che l'accesso alla sezione LSAIso non è consentito neanche ad
un processo con token privilegiato (IL=High) oppure Local System
(IL=SYSTEM)
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
30
15
WPC2015
01/12/2015
Abilitazione del VBS Features
Abilitazione
da riga di
comando/in
terfaccia
grafica e
regedit
Abilitazione Credential Guard
www.wpc2015.it – [email protected] - +39 02 365738.11
31
Gestione di Credential Guard
 Group Policy
Group Policy Management
Console, Computer
Configuration -> Administrative
Templates -> System -> Device
Guard
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
32
16
WPC2015
01/12/2015
Device Guard
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
33
 Un insieme di tecnologie hardware e software rivolte a garantire
l’integrità e la sicurezza del Sistema Operativo:
Code integrity
CPU Virtualization Extentions
Trusted Platform Module
Second Level Address Translation
Device
Guard
input/output memory management units (IOMMUs),
 Solo applicazioni “trustate” possono essere eseguite definendo delle
code integrity policy in cui sono contenute delle “signatures”;
 Configurable code integrity che permette ad una organizzazione di
scegliere quale software o produttore di software sono abilitati ad
eseguire codice sulla machine client.
 Code integrity utilizzabile non solo con le applicazioni nello store ma
anche con applicazioni di terze parti (Win32 app) firmate e non
digitalmente senza la necessità di modificarle.
 CREDENTIAL GUARD + DEVICE GUARD + APPLOCKER= BEST SECURITY
CLIENT MODEL
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
34
17
WPC2015
01/12/2015
Code Integrity
 È il componente del sistema operativo Windows che si occupa di verificare che il
codice in esecuzione sia sicuro e fidato.
 Windows utilizza due modalità operative: User Mode vs Kernel Mode
 Code Integrity contiene 2 componenti personalizzabili:
KMCI – kernel mode code integrity, utilizzato nelle precedenti versioni del sistema
operativo per proteggere il kernel mode da drivers non firmati
UMCI – user mode code integrity
 Utilizza Virtual Basic Security per isolare il servizio di Code Integrity dal kernel di
Windows. Effettivamente viene eseguito in un contenitore protetto da Hyper-V
accanto al kernel
 L’isolamento rimuove le vulnerabilità di questi servizi dalle modalità user e kernel
 Tra i servizi isolati: Windows Code Integrity Service, Credential Guard
www.wpc2015.it – [email protected] - +39 02 365738.11
35
Strumenti per gestire Device Guard
 Group Policy
Administrative template
Code integrity policies
Hardware-based security feature da abilitare
Catalog files
 Microsoft System Center Configuration Manager
Distribuzione e gestione dei catalog files
Code Integrity Policies
Hardware-based security feature
 Microsoft INTUNE (futura release)
 Windows Poweshell
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
36
18
WPC2015
01/12/2015
Enterprise Data Protection
 Tradizionalmente per proteggere i dati aziendali «si consigliava» di utilizzare un
doppio device o ambiente: uno per le attività personali e uno per le attività
aziendali
 Questo per proteggere i dati aziendali da quelli personali
 Enterprise Data Protection permette di avere nello stesso ambiente dati personali e
dati aziendali ma separandoli tramite dei «contenitori»
 Attualmente disponibile in INTUNE con aggiornamento di Ottobre e in una build
rilasciata agli insider di windows 10
 Funzionalità:
Permette di cifrare dati aziendali su dispositivi personali dell’utente o di proprietà
dell’azienda
Possibilità di fare wipe remoto dei soli dati aziendali
Possibilità di specificare quali applicazioni (privileged apps-managed) possono accedere
ai dati aziendali e bloccare le altre
www.wpc2015.it – [email protected] - +39 02 365738.11
37
Windows Security – Compare Editions
www.wpc2015.it – [email protected] - +39 02 365738.11
www.wpc2015.it
38
19
WPC2015
01/12/2015
Domande e Risposte
Q&A
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
Corsi
consigliati
MOC20697-1 – Installing and configuring
Windows 10
MOC20697-2 - Deploying and Managing
Windows 10 Using Enterprise Services
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
39
40
20
WPC2015
01/12/2015
OverNet Education
Contatti
OverNet
Education
[email protected]
www.overneteducation.it
Tel. 02 365738
@overnete
www.facebook.com/OverNetEducation
www.linkedin.com/company/overnet-solutions
www.wpc2015.it
www.wpc2015.it – [email protected] - +39 02 365738.11 - #wpc15it
www.wpc2015.it
41
21
Documenti correlati
SQL Server 2016 Query Store: un nuovo modo di
SQL Server 2016 Query Store: un nuovo modo di
taormina - GiuseppeCarcione
taormina - GiuseppeCarcione
Nota Informativa computer XP Come a voi noto, Microsoft ha
Nota Informativa computer XP Come a voi noto, Microsoft ha
Il nuovo sistema operativo di Windows Seven tenta di recuperare
Il nuovo sistema operativo di Windows Seven tenta di recuperare
HTML - Esercizio n.1.5 - Suore Salesiane dei Sacri Cuori
HTML - Esercizio n.1.5 - Suore Salesiane dei Sacri Cuori
La sicurezza del tuo sistema operativo è a rischio
La sicurezza del tuo sistema operativo è a rischio
Gentile Cliente, la versione 2016A prevista per la fine del mese di
Gentile Cliente, la versione 2016A prevista per la fine del mese di
Note di Rilascio Tecnici Versione 14.30.00
Note di Rilascio Tecnici Versione 14.30.00
curriculum
curriculum
modulo scelta del Sistema Operativo
modulo scelta del Sistema Operativo
Requisiti Software IPSOA Consigliati / Minimi
Requisiti Software IPSOA Consigliati / Minimi
g data antivirus
g data antivirus
informatica - Istituto "Bandini"
informatica - Istituto "Bandini"
Grafica Processore Dimensione e peso Processore grafico integrato
Grafica Processore Dimensione e peso Processore grafico integrato
Scarica
annuncio pubblicitario