INFN wiki

User Tools

Site Tools

Trace:
cn:ccr:security:edr:windows1x

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
cn:ccr:security:edr:windows1x [2024/04/19 11:44] alex@infn.itcn:ccr:security:edr:windows1x [2024/11/14 15:22] (current) alex@infn.it
Line 1: Line 1:
 +**Reperimento del software per l'installazione e l'onboarding** (Amministratori di sede)
 +
 +Collegatevi alla console https://security.microsoft.com con le vostre credenziali AAI (username@infn.it), nella colonna di destra cliccate su
 +
 +Settings -> Endpoints -> Device Management -> Onboarding
 +
 +selezionate "Windows 10 and 11", come sistema operativo e mantenete i parametri Standard e Local Script rispettivamente per Connectivity type e Deployment method.
 +Quindi scaricate lo script per l'onboarding.
 +
 +**Fase di onboarding**
 +
 +Essendo Defender un componente del sistema operativo non serve installare nulla ma solo agganciare il dispositivo al servizio EDR di Microsoft.
 +
 +**ATTENZIONE**: Nel caso in cui sul dispositivo ci fosse installato un software di protezione aggiuntivo (ESET, Trend Micro, McAfee,...) va rimosso prima dell'operazione di onboarding.
 +Una volta tolto, assicuratevi che Defender sia attivo consultando la Windows Security dashboard.
 +
 +**Applicazione del tag**
 +
 +Come specificato nella descrizione del servizio è molto importante configurare correttamente il tag che definisce la sede di appartenenza del dispositivo.
 +Questa operazione può essere svolta i tre modi, per ognuno di questi "Sede" va sostituito con il tag assegnato:
 +
 +  * con un file .reg da caricare nel registro
 +  * con dei comandi PowerShell
 +  * modificando lo script di onboarding
 +
 +Per la prima soluzione è sufficiente editare il {{ :cn:ccr:security:edr:edr_tag.txt |file}} e sostituire "Sede" con il tag della vostra struttura, rinominarlo con l'estensione .reg e caricarlo nel registro con il metodo che preferite (servono i privilegi amministrativi).
 +La soluzione tramite PowerShell può essere eseguita aprendo una finestra Windows PowerShell (Admin) o Terminal (Admin) e digitando i seguenti comandi:
 +
 +
 +New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" -Name DeviceTagging -force
 +
 +New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" -Name "Group" -Value "**Sede**" -PropertyType "String"
 +
 +**Esecuzione dello script**
 +
 +Estraete lo script di onboarding dal file WindowsDefenderATPOnboardingPackage.zip nel caso in cui volete utilizzarlo per impostare il tag inserite la linea in grassetto (dopo la riga 21):
 +
 +//:SCRIPT_START\\ 
 +%windir%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v latency /t REG_SZ /f /d "Demo" >NUL 2>&1//
 +
 +**%windir%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v Group /t REG_SZ /d Sede /f**
 +
 +Quindi aprite una PowerShell o un Terminal con privilegi amministrativi ed eseguite lo script WindowsDefenderATPLocalOnboardingScript.cmd:
 +
 +{{:cn:ccr:security:edr:onboarding.png?600|}}
 +
  
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki