10.4 Creazione di una policy di sicurezza

Esistono 11 diverse policy di sicurezza:

Le impostazioni di sicurezza di un dispositivo sono definite mediante policy di sicurezza applicate dall'agente di sicurezza endpoint. Otto policy di sicurezza definiscono una gamma di funzionalità correlate alla sicurezza. È possibile utilizzare tutte o solo alcune delle policy in base alle esigenze dell'organizzazione.

Policy

Scopo

Controllo delle applicazioni

Blocca l'esecuzione delle applicazioni o impedisce alle applicazioni di accedere a Internet. È possibile specificare quali applicazioni bloccare e a cui negare l'accesso a Internet.

Hardware di comunicazione

Disabilita il seguente hardware di comunicazione: 1394-Firewire, IrDA-Infrarossi, Bluetooth, seriale/parallele, connessione remota, connessione cablata e wireless. Ciascun hardware di comunicazione viene configurato a parte. Quindi, è possibile disabilitare alcuni tipi di hardware (come Blueetooth e la connessione remota) e lasciare gli altri abilitati.

Cifratura dei dati

Abilita la cifratura dati dei file sui dischi fissi e sui dispositivi di memorizzazione riscrivibili. Per i dischi fissi, è necessario specificare le cartelle (chiamate cartelle safe harbor) che forniscono la cifratura. L'impostazione non ha alcun effetto sulle altre cartelle dei dischi fissi.

Firewall

Controlla la connettività di rete, disabilitando le porte, i protocolli e gli indirizzi di rete (IP e MAC).

Script

esegue uno script (JScript o VBScript) su un dispositivo. È possibile specificare i trigger che determinano l'esecuzione dello script. I trigger possono essere basati su azioni dell'agente di sicurezza endpoint, modifiche all'ubicazione o intervalli di tempo.

Controllo periferiche di memorizzazione

Controlla l'accesso alle unità CD/DVD, alle unità disco floppy e alle unità di memorizzazione riscrivibili. Ciascuno tipo di dispositivo di memorizzazione viene configurato a parte. Quindi, è possibile disabilitare alcuni dispositivi e abilitarne altri.

Connettività USB

Controlla l'accesso ai dispositivi USB, come i dispositivi di memorizzazione riscrivibili, le stampanti e i dispositivi di input (tastiere, mouse, ecc.). È possibile specificare singoli dispositivi o gruppi di dispositivi. È possibile ad esempio disabilitare l'accesso a una stampante specifica e abilitare l'accesso a tutti i dispositivi USB Sandisk.

Applicazione VPN

Applica una connessione VPN basata sull'ubicazione del dispositivo. Ad esempio, se l'ubicazione del dispositivo è sconosciuta, è possibile applicare una connessione VPN per l'instradamento di tutto il traffico Internet.

Wi-Fi

Disabilita gli adattatori wireless, blocca le connessioni wireless, controlla le connessioni ai punti di accesso wireless e così via.

Oltre alle policy di sicurezza sopra descritte, le seguenti policy di sicurezza consentono di proteggere e configurare l'agente di sicurezza endpoint. A causa della natura di queste due policy, è consigliabile crearle e assegnarle per prime.

Policy

Scopo

Impostazioni di sicurezza

Protegge l'agente di sicurezza endpoint dalle manomissioni e dai tentativi di disinstallazione.

In ZENworks 11 SP2, questa policy è stata sostituita dalle impostazioni ZENworks Agent Security (Configurazione > Impostazioni Zona di gestione > Gestione dispositivo > ZENworks Agent). La policy deve continuare a essere utilizzata con dispositivi che eseguono agenti pre-SP2.

Per informazioni in merito alla configurazione delle impostazioni ZENworks Agent Security, vedere Configurazione della sicurezza dell'agente ZENworks.

Assegnazione ubicazione

Fornisce l'elenco di ubicazioni consentite per un dispositivo o un utente. L'agente di sicurezza endpoint valuta l'ambiente di rete corrente per controllare se corrisponde a una delle ubicazioni consentite. Se viene trovata una corrispondenza, l'ubicazione diventa l'ubicazione di sicurezza e l'agente applica le policy di sicurezza associate a tale ubicazione. Se invece non viene trovata alcuna corrispondenza con le ubicazioni riportate nell'elenco, vengono applicate le policy di sicurezza associate all'ubicazione di tipo Sconosciuto.

Se si prevede di utilizzare policy basate sulle ubicazioni, verificare che a ogni utente o dispositivo sia assegnata una policy Assegnazione ubicazione. In caso contrario, l'agente di sicurezza endpoint non potrà applicare al dispositivo alcuna policy basata sulle ubicazioni.

Per creare una policy di sicurezza:

  1. Nel Centro di controllo ZENworks fare clic su Policy per visualizzare la pagina delle policy.

  2. Nel pannello Policy fare clic su Nuovo > Policy per avviare la Creazione guidata nuova policy.

  3. Nella pagina Seleziona piattaforma, selezionare Windows, quindi fare clic su Successivo.

  4. Nella pagina Seleziona categoria di policy, selezionare Policy di sicurezza endpoint Windows, quindi fare clic su Avanti.

  5. Nella pagina Selezionare il tipo di policy, selezionare il tipo di policy che si desidera creare, quindi fare clic su Avanti.

    Se sono state create ubicazioni e si prevede di utilizzare policy basate sulle ubicazioni, è necessario creare almeno una policy Assegnazione ubicazione e assegnarla ai dispositivi o agli utenti dei dispositivi. In caso contrario, per i dispositivi non sarà disponibile alcuna delle ubicazioni create e pertanto non potrà essere applicata alcuna delle policy basate sulle ubicazioni.

  6. Nella pagina Definisci dettagli, immettere un nome per la policy e selezionare la cartella in cui posizionare la policy.

    Il nome deve essere univoco rispetto a tutte le altre policy contenute nella cartella selezionata.

  7. (Condizionale) Se viene visualizzata la pagina Configura Eredità e Assegnazione ubicazione, configurare le seguenti impostazioni, quindi fare clic su Avanti.

    • Eredità: lasciare l'impostazione Eredita da gerarchia policy selezionata se si desidera abilitare questa policy per ereditare le impostazioni da policy dello stesso tipo assegnate a un livello superiore nella gerarchia delle policy. Se ad esempio si assegna questa policy a un dispositivo e un'altra policy (dello stesso tipo) alla cartella del dispositivo, abilitando questa opzione la policy potrà ereditare le impostazioni dalla policy assegnata alla cartella del dispositivo. Deselezionare l'impostazione Eredita da gerarchia policy se non si desidera che la policy erediti le impostazioni.

    • Assegnazione ubicazione: le policy possono essere globali o basate sulle ubicazioni. Una policy globale viene applicata indipendentemente dall'ubicazione. Una policy basata sulle ubicazioni invece viene applicata solo quando il dispositivo rileva come ubicazione corrente una delle ubicazioni assegnate alla policy.

      Specificare se la policy è globale o basata sulle ubicazioni. Se si specifica che la policy è basata sulle ubicazioni, fare clic su Aggiungi, selezionare le ubicazioni a cui si desidera assegnare la policy, quindi fare clic su OK per aggiungerle all'elenco.

  8. Configurare le impostazioni specifiche della policy, quindi fare clic su Avanti finché non viene visualizzata la pagina Riepilogo.

    Per informazioni sulle impostazioni di una policy, fare clic su Guida > Pagina attuale nel Centro di controllo ZENworks.

  9. Nella pagina Riepilogo, esaminare le informazioni per accertarsi che siano corrette. In caso di errori, fare clic sul pulsante Indietro per rivisualizzare la pagina appropriata della procedura guidata e apportare le modifiche necessarie. Se invece le informazioni sono corrette, selezionare (se lo si desidera) una delle seguenti opzioni, quindi fare clic su Fine.

    • Crea come sandbox: selezionare questa opzione per creare la policy come versione sandbox. La versione sandbox è isolata dagli utenti e dai dispositivi finché non viene pubblicata. È ad esempio possibile assegnarla a utenti e dispositivi, ma solo dopo la pubblicazione.

    • Definisci proprietà aggiuntive: selezionare questa opzione per visualizzare le pagine delle proprietà della policy. Queste pagine consentono di modificare le impostazioni di una policy e di assegnare la policy agli utenti e ai dispositivi.