HomeServiziKnowledge baseDatto RMMDatto RMM - Best Practices – Blocco dei dispositivi smarriti

La soluzione facile e flessibile per gestire le reti da remoto

Datto RMM – Best Practices – Blocco dei dispositivi smarriti

FS20200918

Ultimo aggiornamento: 18 September 2020

Sicurezza dei dati a seguito di smarrimento o furto di un dispositivo

Datto RMM 8.7.0 e superiori

La sicurezza dei dati degli utenti è sempre una priorità nella gestione dei dispositivi dei propri clienti. Quando un dispositivo viene perso o rubato, i dati memorizzati sono spesso più preziosi del dispositivo stesso.

È quindi imperativo che, in caso di smarrimento o furto di un dispositivo, si sia certi che i dati ivi contenuti siano protetti o rimossi in modo tale che non possano essere recuperati da terzi e/o da malintenzionati.

Datto ha introdotto all’interno del suo RMM uno strumento utile ad attivare differenti tipologie di blocchi sui dispositivi smarriti che ritornano in uno stato attivo/online.

In questo articolo ne analizzeremo le funzionalità.

Component “Lost Device Security Suite”

Il Component denominato: Lost Device Security Suite [WIN], destinato all’uso sui sistemi Operativi Microsoft Windows, è liberamente scaricabile dal ComStore di Datto RMM.
Tale Component consente di eseguire le seguenti operazioni:

  • Rimuovere il bootloader e forzare un “BSOD” (detto anche “schermata blu della morte”), interrompendo immediatamente qualsiasi utilizzo non autorizzato del dispositivo.
  • Eseguire un “Security Wipe”, con processo di sovrascrittura, per i dati, per lo spazio libero e per i contenuti del cestino di un dispositivo, al fine di impedire un eventuale Data Recovery.
  • Eseguire Encryption dei dati in modo che, se il dispositivo verrà infine ritrovato, i contenuti potranno essere nuovamente decriptati ed utilizzati.
  • Eseguire Decryption dei dati (vedi punto sopra).

IMPORTANTE
Il Component in oggetto è stato creato per attivare processi in grado di rimuovere dati.
Risulta pertanto da UTILIZZARE CON ESTREMA CAUTELA!
Achab S.p.A., Datto Inc, Datto EMEA e l’autore non accettano alcuna responsabilità derivante dall’uso improprio o accidentale del Component.

I data set a cui è destinato il Component sono i seguenti:

  • Tutti i profili locali e i profili comuni memorizzati nella cache locale (es: Cartelle Musica, Immagini, Documenti, Desktop, etc.)
  • Cache delle password per i seguenti browser web: Google Chrome, Mozilla Firefox e Microsoft Edge
  • Un percorso aggiuntivo definibile all’interno di una variabile.
    Esempio:
    Se si vuole agire su tutto il contenuto della cartella “Dati”, presente in partizione “D:\”, basterà inserire:  D:\Dati
    N.B. È supportato un solo percorso aggiuntivo.

In fase di avvio del Component vanno configurate cinque variabili.
Due sono obbligatorie, una è condizionale e le altre due sono facoltative.

Di seguito la descrizione di ogni singola variabile

  • SayTheMagicWord:
    Per avviare il Component, a causa della sua natura altamente distruttiva, occorrerà inserire, in un apposito campo di input di questa variabile, una specifica passphrase di conferma.
    La stessa sarà visualizzabile passando il cursore del mouse sopra la lettera “i” di colore Blu posta di fianco al campo di inserimento.
  • SecurityOperation:
    consente di specificare quale delle seguenti quattro operazioni si desidera avviare via Component:
    • Brick – Il dispositivo verrà bloccato attraverso rimozione del bootloader.
      Il dispositivo non potrà più avviarsi e comparirà a schermo un BSOD (detto anche “schermata blu della morte”).
    • Wipe – Eseguire un “Security Wipe”, con processo di sovrascrittura, di dati, spazio libero e cestino, al fine di impedire un eventuale Data Recovery.
    • Encrypt – Crittografare i data set indicati in precedenza utilizzando una chiave di 75 caratteri generata casualmente.
      Questa chiave, utile per il recupero dei dati (vedi punto sottostante “Decrypt”), verrà archiviata all’interno di StdOut del Job di esecuzione (e facoltativamente in un Custom Field definito dall’operatore).
    • Decrypt – Decrittografare i data set indicati in precedenza utilizzando la chiave menzionata in precedente punto.
  • FileSyncShareDisabled:
    La selezione è necessaria al fine di confermare che non sono presenti soluzioni di sincronizzazione/condivisione di file attive nel dispositivo.
    Motivo: evitare di influire sui dati archiviati nel cloud.
    Deve essere necessariamente impostato su TRUE se si desidera avviare Wipe o Encrypt (vedi sopra). In alternativa, se attivo il FALSE, i processi Wipe o Encrypt non verranno avviati e si otterrà un messaggio di failure.
  • DecryptPassword:
    se si intende eseguire una operazione di decrittografia, immettere nel campo di inserimento la apposita chiave. Troverete questo nel StdOut dell’operazione di crittografia, così come nella funzione definita dall’utente se è stato dichiarato.
  • AdditionalPath:
    se si dispone di un percorso aggiuntivo che si desidera includere un percorso aggiuntivo sul quale avviare cancellazione sicura, crittografia o decriptazione (ad esempio, “D:\Dati”, “F:\DB\”, etc.) inserirlo in apposito campo di input. Nel caso non si fosse interessati, lasciare il campo vuoto.
    È possibile aggiungere un solo percorso aggiuntivo.
  • UDFNum:
    immettere un numero (1-30) per popolare la funzione definita dall’utente con la password di crittografia durante l’esecuzione di un’operazione di crittografia; in caso contrario lasciare vuoto.

Lost Device Security Suite [WIN] utilizza le seguenti applicazioni open source/freeware.
Qui di seguito i nomi dei suddetti software ed i link alle relative EULA:

  • Eraser – rinominato winlogon.exe al fine di stealth IT
  • Invoke BSOD
  • AESCrypt – rinominato in csrss32.exe e csrss64.exe al fine di stealth IT

IMPORTANTE
Potrebbe essere necessario “addestrare” il sistema antivirale (whitelist) al fine di permettere l’avvio dei file “csrss32.exe” e “csrss64.exe” (file aescrypt.exe rinominati) in quanto potrebbero generarsi falsi positivi.
In alternativa risulta possibile rimuoverli dal Component (occorre eseguire copia-edit e salvataggio) ed utilizzare esclusivamente le opzioni Brick o Wipe.

IMPORTANTE
È possibile che il Job attraverso il quale verrà avviato il Component termini immediatamente con un messaggio di errore in StdErr.
Ciò si verifica quando la soluzione antivirale inserisce in quarantena o elimina l’intero file contenente il Component ancora prima che l’Agent di Datto RMM sia in grado di avviarlo.
Come visto in precedenza, al fine di utilizzare proficuamente lo strumento, risulta necessario inserire in whitelist csrss32.exe e csrss64.exe oppure rimuoverli dal Component.

NOTA OPERATIVA
 I membri del dipartimento di IT Security del vostro cliente, al fine di ridurre falsi positivi, andranno informati in merito ai contenuti di questo Component

New call-to-action

Copyright © Achab S.p.A. unipersonale Società soggetta a direzione e coordinamento da parte di Vortex Beteiligungs GmbH
Viale Monte Nero 4, 20135 Milano - Tel. +39 02 54108204
P.IVA e C.F. 11270660159 - Cap. Soc. € 60.000,00 - Registro Imprese Milano - REA 1453036 - PEC: achab@legalmail.it