Microsoft ECM, sicurezza e percezione: quando la tecnologia diventa il capro espiatorio
Microsoft ECM, sicurezza e percezione: quando la tecnologia diventa il capro espiatorio

Microsoft ECM, sicurezza e percezione: quando la tecnologia diventa il capro espiatorio

Autore: Davide Salsi

Negli ultimi giorni il dibattito pubblico ha riguardato l'utilizzo del software Microsoft all'interno dell'infrastruttura del Ministero della Giustizia, con particolare riferimento alla presunta funzione di monitoraggio sui dispositivi dei magistrati. Il software coinvolto è Microsoft Configuration Manager (ECM), precedentemente denominato System Center Configuration Manager (SCCM).

In qualità di professionisti IT con esperienza pluriennale in ambienti enterprise complessi, riteniamo opportuno condividere un chiarimento in merito. È essenziale distinguere tra le caratteristiche dello strumento e i processi di gestione adottati, poiché nel contesto della sicurezza informatica il principale fattore di rischio risiede generalmente nelle modalità di amministrazione e non nel prodotto stesso.


Cosa fa realmente ECM — e cosa non fa

Molti fraintendimenti derivano da una comprensione superficiale delle funzionalità offerte da Microsoft Endpoint Configuration Manager. ECM è uno strumento di gestione centralizzata degli endpoint, presente sul mercato dal 1999 e adottato quotidianamente da numerose organizzazioni pubbliche e private a livello globale, inclusa una vasta gamma di grandi aziende. Il sistema è progettato per agevolare la gestione coordinata dei dispositivi aziendali, consentendo agli amministratori di effettuare la distribuzione di software, patch di sicurezza e monitorare la conformità dei dispositivi in relazione alle policy definite dall’ente o dall’azienda.

La Pubblica Amministrazione rappresenta storicamente uno degli ambiti più articolati da digitalizzare, sia per l’elevato numero di dispositivi sia per la loro varietà e dispersione territoriale; inoltre, i dati gestiti su questi endpoint sono spesso di natura altamente sensibile. In tale contesto, una gestione manuale o decentralizzata risulta impraticabile: la sicurezza richiede pertanto l’adozione di strumenti centralizzati come ECM o Intune, suo corrispondente moderno in ambiente SaaS.

Tra le molteplici funzionalità del prodotto è incluso il controllo remoto, utilizzato prevalentemente per attività di assistenza tecnica (Help Desk). Questa funzione consente la visualizzazione dello schermo e l’interazione con tastiera e mouse dell’utente remoto esclusivamente per finalità di supporto tecnico. Non si tratta di uno strumento per la raccolta di audio o contenuti multimediali, bensì di una soluzione operativa destinata al supporto dell’utente finale in caso di problematiche relative alla postazione di lavoro.

Si evidenzia inoltre che ECM non ha accesso a microfoni, webcam o impostazioni di privacy di sistema, a differenza dei software specificamente sviluppati per attività di videosorveglianza o spionaggio.

Distinzione tra possibilità tecnica e governance

Un aspetto rilevante, spesso trascurato nelle analisi, riguarda la distinzione tra le potenzialità tecniche di uno strumento in ambienti privi di regole e controlli e ciò che lo strumento è effettivamente autorizzato a compiere all’interno di infrastrutture regolamentate da policy consolidate, segregazione dei ruoli e sistemi di auditing.

Nell’ambito del moderno IT sono in vigore principi fondamentali, come quello dello Zero Trust, secondo cui agli utenti vengono assegnati esclusivamente i privilegi minimi indispensabili per svolgere le proprie mansioni: in un ambiente adeguatamente progettato, gli operatori che gestiscono piattaforme di endpoint management non possiedono di default tutti i diritti amministrativi disponibili. Ad esempio, il personale di supporto può essere abilitato all’assistenza remota per gli utenti finali, ma non alla modifica delle configurazioni globali, delle policy di sicurezza o delle impostazioni che disciplinano il controllo remoto.

In tale contesto, la governance dell’infrastruttura assume un ruolo centrale, mentre le responsabilità sono distribuite secondo il modello di “segregation of duties”, che prevede una netta separazione dei ruoli operativi. I privilegi elevati sono riservati a un numero ristretto di figure, tipicamente distinte anche sotto il profilo dell’identità digitale e degli account utilizzati. Tali ruoli non coincidono con quelli delle figure operative di primo livello e sono soggetti a ulteriori misure di controllo, quali l’impiego di account amministrativi dedicati e la registrazione delle modifiche alle configurazioni infrastrutturali (incluse le policy di controllo remoto), tramite specifiche procedure di auditing. In questo modo, un eventuale uso improprio dello strumento viene mitigato da un’organizzazione tecnica e procedurale idonea a rendere i comportamenti identificabili e riconducibili ai responsabili.

Nella trattazione di tecnologie come ECM al di fuori di ambiti strettamente tecnici, si tende talvolta a porre l’accento su ipotesi di configurazione estrema, come la possibilità di disabilitare la richiesta di consenso utente per l’attivazione della connessione remota, senza considerare che simili configurazioni possono essere vincolate o inibite mediante policy interne.

Va inoltre sottolineato che un utente dotato di privilegi amministrativi locali su un dispositivo ha già la facoltà di eseguire qualsiasi operazione significativa su quel sistema, indipendentemente dalla presenza o meno di una piattaforma di gestione come ECM. Pertanto, il rischio di abuso non deriva dall’utilizzo di ECM, bensì dalla mancata gestione dei privilegi locali sul dispositivo.

Conclusioni

La recente discussione relativa a Microsoft ECM offre l’occasione per sottolineare un principio essenziale: il rischio non deriva dallo strumento in sé, ma dall’assenza di una gestione adeguata.

Quando strumenti come ECM vengono integrati all’interno di un efficace sistema di governance, con ruoli chiaramente individuati e attività costantemente monitorate, non rappresentano un fattore di rischio per la riservatezza dei dati o per le attività degli utenti. Al contrario, contribuiscono a rafforzare la sicurezza dell’infrastruttura informatica, riducendo l’esposizione agli attacchi tramite aggiornamenti regolari e consentendo una risposta tempestiva alle necessità operative.

Per queste ragioni, è fondamentale che le organizzazioni pubbliche e private non solo considerino l’adozione di tecnologie avanzate, ma sviluppino processi decisionali strutturati per utilizzarle efficacemente e in sicurezza.

In conclusione, le seguenti raccomandazioni sono essenziali per rafforzare la security posture di ECM e degli endpoint:

  1. Rafforzamento della governance e gestione dei privilegi
  • Applicare rigorosamente il principio di Least Privilege
  • Distinguere chiaramente i ruoli attraverso la segregazione delle funzioni, assicurando che il personale di supporto non disponga di privilegi amministrativi eccessivi.
  • Adottare account amministrativi separati, dotati di credenziali dedicate soggette a controllo.
  • Limitare a specifici ruoli l'accesso alle impostazioni critiche (ad esempio, policy di controllo remoto).
  • Segmentare a livello di rete le comunicazioni relative al controllo remoto, consentendo l’accesso unicamente da sistemi autorizzati.
  1. Abilitazione di auditing, tracciamento e controlli
  • Monitorare e registrare tutte le modifiche di configurazione sulla piattaforma ECM.
  • Attivare, raccogliere e supervisionare sistematicamente i log di auditing, garantendo la tracciabilità delle operazioni.
  1. Definizione e applicazione di policy di sicurezza vincolanti
  • Stabilire policy che inibiscano l’utilizzo improprio delle funzionalità di controllo remoto (ad esempio, impedendo la disattivazione della richiesta di consenso da parte dell’utente).
  • Impedire tramite policy configurazioni non conformi agli standard di sicurezza.
  • Assicurare l’immutabilità delle policy centrali anche in presenza di diritti amministrativi locali.
  1. Eliminazione o riduzione dei privilegi amministrativi locali sugli endpoint
  • Evitare l’assegnazione di diritti amministrativi locali agli utenti finali per minimizzare il rischio di abusi indipendenti dalla piattaforma ECM.
  • Implementare soluzioni quali Windows LAPS per la gestione sicura delle credenziali locali.
  1. Rafforzamento dei processi operativi e della cultura organizzativa
  • Formalizzare processi decisionali chiari relativamente alla gestione degli endpoint.
  • Promuovere la consapevolezza nel personale IT riguardo responsabilità e limiti dei propri ruoli.
  • Favorire una cultura della security by design, in cui gli strumenti siano gestiti attivamente e non affidati a configurazioni predefinite.
  1. Integrazione o migrazione di ECM verso un ecosistema di sicurezza moderno
  • Assicurare che ECM sia integrato in un modello Zero Trust e interconnesso con strumenti di identity management, logging, sicurezza e compliance.
  • Valutare l’integrazione o la migrazione verso soluzioni SaaS come Intune, sfruttando le funzionalità integrate di controllo remoto (Remote Help).

Vuoi saperne di più? Scopri subito come vincere la sfida al cambiamento  

Davide Salsi

Davide Salsi

Attualmente lavora come Head of User Endpoint presso Impresoft 4ward. Ha oltre 10 anni di esperienza lavorativa nell'implementazione di soluzioni di Microsoft Endpoint Management sia in On-Premise che in Cloud (Microsoft Configuration Manager e Microsoft Intune). Si occupa anche di soluzioni di Modern Deployment per la distribuzione dei sistemi operativi Windows 10/11 e della suite Microsoft 365 App. Nel 2021, Microsoft gli ha conferito il titolo di "Most Valuable Professional" (MVP) nella categoria Enterprise Mobility per aver condiviso le sue conoscenze con gli altri. E' Co-Founder del primo User Group italiano focalizzato su Microsoft Intune. Collabora inoltre con Cloud Community, la community italiana dedicata alla gestione e governance del Cloud.