Reperimento del software per l'installazione e l'onboarding (Amministratori di sede)
Collegatevi alla console https://security.microsoft.com con le vostre credenziali AAI (username@infn.it), nella colonna di destra cliccate su
Settings → Endpoints → Device Management → Onboarding
selezionate "Windows 10 and 11", come sistema operativo e mantenete i parametri Standard e Local Script rispettivamente per Connectivity type e Deployment method. Quindi scaricate lo script per l'onboarding.
Fase di onboarding
Essendo Defender un componente del sistema operativo non serve installare nulla ma solo agganciare il dispositivo al servizio EDR di Microsoft.
ATTENZIONE: Nel caso in cui sul dispositivo ci fosse installato un software di protezione aggiuntivo (ESET, Trend Micro, McAfee,…) va rimosso prima dell'operazione di onboarding. Una volta tolto, assicuratevi che Defender sia attivo consultando la Windows Security dashboard.
Come specificato nella descrizione del servizio è molto importante configurare correttamente il tag che definisce la sede di appartenenza del dispositivo. Questa operazione può essere svolta i tre modi, per ognuno di questi "Sede" va sostituito con il tag assegnato:
- con un file .reg da caricare nel registro
- con dei comandi PowerShell
- modificando lo script di onboarding
Per la prima soluzione è sufficiente editare il file e sostituire "Sede" con il tag della vostra struttura, rinominarlo con l'estensione .reg e caricarlo nel registro con il metodo che preferite (servono i privilegi amministrativi). La soluzione tramite PowerShell può essere eseguita aprendo una finestra Windows PowerShell (Admin) o Terminal (Admin) e digitando i seguenti comandi:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" -Name DeviceTagging -force
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" -Name "Group" -Value "Sede" -PropertyType "String"
Esecuzione dello script
Estraete lo script di onboarding dal file WindowsDefenderATPOnboardingPackage.zip nel caso in cui volete utilizzarlo per impostare il tag inserite la linea in grassetto (dopo la riga 21):
:SCRIPT_START
%windir%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v latency /t REG_SZ /f /d "Demo" >NUL 2>&1
%windir%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v Group /t REG_SZ /d Sede /f
Quindi aprite una PowerShell o un Terminal con privilegi amministrativi ed eseguite lo script WindowsDefenderATPLocalOnboardingScript.cmd:
