Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB52161 Quali sono i passi per proteggere il mio PC con SimplySecure?

Ultimo aggiornamento: 19/02/2019

Installazione agent SimplySecure su macchina Windows


PREMESSE E PREREQUISITI PER INSTALLAZIONE AGENT
 
Sulla macchina client oggetto del test ed in generale su tutte le macchine su cui utilizzeremo il tool di BeachHead occorrerà abilitare delle eccezioni sul software antivirus, in quanto quest’ultimo può creare conflitti con i processi dell’agent SimplySecure.

I file da mettere in whitelist si trovano al percorso ”C:\Windows\sysWOW64” o “C:\Windows\system32\”, rispettivamente per sistemi 64 bit e 32 bit:

- initcrypt.exe
- monitorconsole.exe
- nativeeventsservice.exe
- userconsole.exe
- USB_StorageReader.exe
- ReaderSetup.exe
- bhdecrypt.exe
- BeachheadInstaller.ManagedInstall.exe

Per quel che riguarda il modulo USB, i file si trovano al percorso “C:\Program Files (x86)\SecureUSB”

- BHSecureSorageService.exe
- BHServiceSupport.exe
- SecureStorage.exe

Nel caso si utilizzasse un proxy server bypassare la connessione verso l’URL:
https://boldd-us.beachheadsolutions.net/
 
Come vedremo più avanti in questa guida, il servizio di protezione SimplySecure gestisce macchine Windows e Mac. Non sono al momento previste implementazioni per sistemi Linux.

BitLocker è un strumento di criptazione dell’intero disco, la cui chiave di decriptazione è conservata a livello hardware nel chip TPM. In fase di avvio il chip fornisce la chiave al sistema operativo se non rileva manomissioni.

Per poter utilizzare BitLocker quindi è necessario accedere alla macchina a livello BIOS ed abilitare il TPM; solitamente questa impostazione si trova nella sezione Security. Fanno eccezione i PC di marca HP, Dell e Lenovo (con sistemi operativi successivi a Windows 7) per i quali l’agent SimplySecure è in grado di abilitare, inizializzare e gestire TPM in automatico senza alcun intervento dell’utente.
 
ABILITAZIONE AGENT SU UNA MACCHINA DI TEST
 
Innanzitutto facciamo una breve premessa per quello che riguarda EFS. Encrypting File System è un sistema di protezione creato da Microsoft per sistemi operativi Windows.
Esso consente la criptazione trasparente dei file, eseguita con chiave simmetrica. La particolarità di EFS è la creazione di un certificato locale legato all’utente, il quale garantirà l’accesso ai file protetti solo per lui.
 
Accedere alla console di gestione unica al link https://boldd-us.beachheadsolutions.net/Administration. Le credenziali di accesso saranno quelle ricevute su richiesta di attivazione trial.

NOTA: Al momento della stipulazione di questa guida (Febbraio 2019) il produttore ha definito Microsoft Edge come unico browser compatibile col portale. Ci saranno aggiornamenti a riguardo nei prossimi due mesi.

Individuare l’account (Site) per il  quale si vuole proteggere la macchina. Premendo con il tasto destro del mouse comparirà il menu a tendina, selezionare Attach. A questo punto la console chiederà con quale tipologia di accesso dovrò accedere all’account:

- MSP view, come dice il nome stesso è la modalità di controllo assegnata all’MSP e permette gestione e restore avanzati.
- Customer view, si riferisce alla modalità di gestione e visualizzazione delle macchine e dispositivi dell’account. Questo è quello che selezioneremo per il nostro caso. Da questo momento in avanti ci si riferirà a questa tipologia di accesso.




























 

 

CONFIGURAZIONE EFS
 
Prima di scaricare da portale l’Agent da installare, diamo un occhio alla sezione
Computers -> Settings-> Windows Settings da cui, tra le altre impostazioni, sono definibili le politiche da applicare all’account (nel nostro caso achab_internal) riferite a Bitlocker e EFS.
Per il nostro scopo disabilitiamo il primo e lasciamo attivo il secondo.
 

































 
Spostandoci dal menu di sinistra su Windows Encryption avremo la possibilità di visualizzare quali cartelle del File System e quali file saranno criptati tramite agente.
 



























 
INSTALLAZIONE AGENT
 
Una volta che abbiamo verificato le impostazioni comuni all’account possiamo procedere con il download dell’agente.
Premere sulla sezione Installers e selezionare il tipo di protezione che si vuole andare ad implementare sulla macchina. La disponibilità attualmente è solo per sistemi Windows e MAC. In particolare, per Windows, il file che verrà scaricato è .MSI e le scelte che possiamo fare sono tra:

- EFS + BitLocker (Entrambi i tipi di protezione saranno gestiti, se configurati a livello generico per l’account)
- BitLocker Only (Gestione della sola crittazione BitLocker)
- USB Only (Getione della sola crittazione delle periferiche USB)

Per il nostro caso selezioneremo la prima opzione.
 























 
Installare l‘agente sulla macchina da proteggere (nel nostro caso WSCOLUCCITEST). In automatico il file .MSI conterrà il codice di attivazione.
 









































 
Al termine dell’installazione partirà in automatico il tool Initcrypt che scansionerà il file system ed eseguirà la crittazione EFS per l’utente loggato in quel momento. Il tempo di esecuzione può variare dai pochi secondi ad alcune ore, in base alla mole di dati da cifrare.
 
















 
Ad operazione conclusa il PC può essere considerato protetto, vedremo infatti popolarsi la console con la nuova macchina in stato Active
 




















 
VERIFICA CREAZIONE CHIAVI EFS
 
Se volessimo testare il corretto funzionamento di EFS, l’utente (nel nostro caso USER) crea un file qualunque all’interno della sua cartella profilo. Da notare che le cartelle e i file protetti sono contrassegnati da colore verde. Consultando le “proprietà del file” -> “attributi avanzati” possiamo notare la spunta che indica che il file è criptato.
 



















 
A questo punto accedendo al PC con un diverso utente amministratore (nel nostro caso ACHAB) esso navigherà tra le cartelle criptate ma, tentando di aprire il file creato da USER, otterremo “accesso negato”.
 
 
 

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.