Introduzione
Il modulo Criteri di Workforce Experience Platform (WXP) consente agli amministratori IT di applicare standard di configurazione, baseline di sicurezza e regole di conformità su tutti i dispositivi gestiti. Senza un motore di policy centralizzato, le organizzazioni spesso faticano a mantenere l'allineamento in un ambiente di dispositivi dinamico e distribuito.
Con le policy, è possibile definire comportamenti di sistema automatizzati che mantengono uno stato di configurazione desiderato e garantiscono un'applicazione coerente senza intervento manuale. I criteri possono essere applicati tramite gruppi di dispositivi, ad esempio statici, dinamici o basati su Entra ID, e funzionano in tandem con script e correzioni per sostenere la governance IT.
I criteri fungono da livello di applicazione per mantenere coerenti le configurazioni dei dispositivi e le posture di sicurezza. Integrati nei flussi di lavoro di correzione e conformità, garantiscono in modo proattivo che gli endpoint rimangano allineati agli standard aziendali. Questa funzionalità consente ai team IT di ridurre i rischi, mantenere la conformità e automatizzare le modifiche alla configurazione su larga scala.
Nota: Le policy possono essere modificate o eliminate solo quando non sono assegnate.
Tipi di criteri
Criteri di configurazione (applicazione a livello di sistema): questi criteri definiscono e gestiscono le impostazioni a livello di sistema, ad esempio le configurazioni del BIOS, l'abilitazione del firewall e l'avvio sicuro. Garantiscono la coerenza su tutti i dispositivi attraverso l'applicazione automatizzata e la correzione della deviazione della configurazione. I criteri possono essere applicati direttamente o integrati con strumenti di gestione come Microsoft Intune.
Criteri di sicurezza (imposizione e correzione di base): questi criteri consentono di impostare le impostazioni di sicurezza di base, ad esempio l'abilitazione dell'antivirus, la crittografia BitLocker e Windows Defender. Sono continuamente monitorati per rilevare e correggere eventuali deviazioni. Queste policy sono in linea con le correzioni CVE (Common Vulnerabilities and Exposures), i requisiti di conformità e le best practice del settore.
Criteri di conformità (applicazione incentrata sull'audit): questi criteri garantiscono che i dispositivi siano conformi agli standard interni, ai requisiti legali e alle normative di settore. Inoltre:
Tutte le azioni dei criteri vengono registrate a scopo di controllo e creazione di report.
Il controllo degli accessi in base al ruolo è supportato per limitare l'accesso alle azioni di imposizione sensibili.
Target
Amministratori IT che definiscono e gestiscono i criteri per l'applicazione
Team di sicurezza e conformità che monitorano l'aderenza alle policy e la preparazione all'audit
Help Desk e tecnici IT che indagano e risolvono i problemi di applicazione delle policy
Caratteristiche principali
Alcune delle funzionalità principali includono:
Gestione centralizzata delle policy: definisci e gestisci tutte le policy da un'unica interfaccia. Ciò consentirà un'applicazione mirata collegando i criteri ai gruppi di dispositivi.
Applicazione automatizzata: applica automaticamente le policy quando i dispositivi si uniscono o cambiano stato e rileva e correggi le deviazioni della configurazione senza intervento manuale.
Integrazione della sicurezza e della conformità: allinea le policy con le scansioni delle vulnerabilità e le configurazioni di base, registrando tutte le modifiche per il monitoraggio dell'audit e della conformità.
Integrazione con le azioni e i gruppi consigliati: attiva le policy come parte dei flussi di lavoro di correzione o applicale in modo proattivo utilizzando gruppi statici, dinamici o basati su Entra ID per l'applicazione sensibile al contesto.
Correzione delle deviazioni della configurazione: rileva automaticamente le deviazioni dalle impostazioni previste e riapplica i criteri per ripristinare la conformità, riducendo il sovraccarico manuale e i rischi.
Casi d'uso
Applicazione della baseline di sicurezza (criteri di gruppo dinamici)
Scenario: l'azienda vuole assicurarsi che la crittografia BitLocker sia abilitata in tutti i portatili aziendali.
Soluzione: definire un criterio per applicare la crittografia BitLocker e assegnarlo a un gruppo dinamico di laptop Windows 11. Tutti i dispositivi corrispondenti ricevono automaticamente i criteri e quelli non conformi vengono contrassegnati e corretti.Correzione della deviazione della configurazione (riapplicazione dei criteri)
Scenario: alcuni dispositivi mostrano che Windows Defender è stato disattivato manualmente.
Soluzione: il motore dei criteri rileva la deviazione e riapplica la configurazione prevista. Viene creata una voce di registro per il rilevamento del controllo e il dispositivo torna a uno stato conforme senza l'intervento dell'utente.Applicazione diretta dei criteri del BIOS (opzione script e criterio)
Scenario: l'organizzazione desidera implementare correttamente un aggiornamento del BIOS in tutta la propria flotta.
Soluzione: anziché utilizzare uno script, scegliere l'opzione "Applica criterio" per ignorare gli strumenti esterni e applicare l'aggiornamento del BIOS tramite il motore dei criteri. Ciò garantisce un'implementazione e un monitoraggio standardizzati all'interno della piattaforma.
FAQ
1. Devo preoccuparmi della gestione di BitLocker con un criterio di aggiornamento del BIOS?
R: No. Utilizziamo le capsule di aggiornamento del BIOS di Windows Update, che gestiscono automaticamente BitLocker. Per maggiore sicurezza, aggiungiamo anche uno script di arresto una tantum al dispositivo dopo l’applicazione di un aggiornamento del BIOS. Questo script garantisce che BitLocker venga sospeso prima del riavvio successivo.
Contattaci
Per qualsiasi assistenza, crea una richiesta di supporto o invia un'e-mail support@wxp.hp.com.