PC aziendale: consigli privacy

Question

Ciao a tutti,

In azienda mi hanno dato un nuovo PC, mi date qualche consiglio per non divulgare mie informazioni personali/attività (es. Documenti dei clienti) all'azienda?

Utilizzo Outlook, Teams, Edge, suite Office, altro brosware (qui di solito salvo password e accessi ai vari siti che utilizzo), app Whatsapp.

Grazie a chiunque saprà aiutarmi!

P.s. Sul PC, oltre il mio account microsoft, c'è anche un account microsoft che l'azienda inserisce per i fatti suoi (non ho bel chiaro per cosa) che, quando ad esempio voglio accedere a un'app microsoft, mi viene consigliato insieme al mio.

Answer 1

M

Per capire cosa la tua azienda stia monitorando, puoi controllare le policy applicate andando su Impostazioni, Account, e poi su Accedi all'azienda o all'istituto di istruzione. Cliccando sul tuo account aziendale e selezionando Info, vedrai un riepilogo delle aree gestite dall'amministratore. A livello di sistema, puoi aprire la Gestione attività e cercare processi in background legati alla sicurezza, come MsSense.exe che indica la presenza di Microsoft Defender for Endpoint, o altri agenti di sicurezza. Questi strumenti permettono all'IT di registrare l'avvio di applicazioni, le query di rete e le modifiche ai file, rendendo impossibile per un utente standard avere un quadro completo di ogni singolo log trasmesso ai server aziendali.

Quando dovrai restituire il computer, la semplice disinstallazione delle app non sarà sufficiente per eliminare le tue tracce. Dal momento che probabilmente non avrai i privilegi amministrativi per formattare il disco protetto da BitLocker, dovrai concentrarti sulla pulizia manuale del tuo profilo. Ti consiglio di svuotare completamente la cronologia e i cookie di qualsiasi browser, scollegare i tuoi account personali e navigare nella cartella nascosta %LocalAppData% digitando questo percorso nella barra di Esplora file. Qui potrai eliminare manualmente le cartelle associate ai software che avevi installato, rimuovendo così i database locali che contengono le tue preferenze e le sessioni memorizzate.

Riguardo all'installazione di applicazioni come Signal, WhatsApp, Brave o Firefox, devi considerare che i software di sicurezza operano a livello di sistema operativo, avendo quindi un accesso privilegiato rispetto alle singole app. Sebbene WhatsApp e Signal utilizzino la crittografia end-to-end proteggendo i messaggi in transito sulla rete, i sistemi di monitoraggio aziendali più avanzati possono registrare le tue attività leggendo la memoria del dispositivo o registrando lo schermo. Utilizzare le versioni web è un compromesso leggermente migliore perché evita di installare eseguibili sul disco e riduce i file di cache permanenti, ma i server DNS aziendali registreranno comunque il fatto che hai visitato quei domini. La regola d'oro rimane quella di non gestire mai dati personali sensibili su una macchina di proprietà dell'azienda.

Answer 2

Ciao M,

Come va il tuo problema? È già stato risolto? Se è così, considera di accettare la risposta perché aiuta anche chi condivide lo stesso problema a beneficiare. Grazie :)

VP

Answer 3

Ciao M,

La presenza di un account aziendale accanto a quello personale conferma che il tuo PC è registrato all'interno dell'ecosistema Microsoft Entra ID, probabilmente gestito tramite Intune. Questa connessione è solitamente visibile sotto la chiave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments, che permette al tuo dipartimento IT di promuovere le politiche di sicurezza, monitorare la conformità ed esercitare il controllo amministrativo sull'intero file system. Poiché il dispositivo è un asset aziendale, qualsiasi dato salvato localmente è tecnicamente accessibile agli amministratori di sistema tramite condivisioni amministrative o strumenti di rilevamento e risposta agli endpoint. Questo include il database dei messaggi WhatsApp e i dati del browser Edge situati nella directory %LocalAppData%, specificamente nella cartella Microsoft\Edge\User Data.

Sebbene creare un profilo separato in Microsoft Edge impedisca alle tue password personali di sincronizzarsi con il cloud aziendale, non garantisce privacy locale da un amministratore che può navigare nelle cartelle del tuo profilo utente. I suggerimenti di account che vedi quando accedi alle app avvengono perché Windows utilizza un Web Account Manager (WAM) per facilitare il Single Sign-On, che è regolato dalle impostazioni nella sezione Account delle preferenze di sistema. Tentare di rimuovere questo account di lavoro o modificare le voci del registro correlate probabilmente romperà il rapporto di fiducia del dispositivo con la rete aziendale, potenzialmente attivando un avviso di sicurezza o bloccando l'accesso a Outlook e Teams.

Per mantenere il massimo livello di privacy, dovresti presumere che tutta l'attività su questa macchina venga registrata a livello di kernel o di rete. Le versioni basate su browser delle app personali sono leggermente migliori rispetto alle installazioni desktop perché lasciano un'impronta minore sul disco, ma comunque non nascondono il traffico dai firewall aziendali o dai filtri DNS. Per i documenti dei clienti e le interazioni personali sensibili, l'unico modo per garantire la completa riservatezza è tenere quei dati completamente fuori dall'hardware aziendale e utilizzare invece un dispositivo personale dedicato.

Spero che questa risposta ti abbia dato qualche informazione utile. Se sì, premi "accetta risposta". Se hai domande, sentiti libero di lasciare un commento.

VP