Sicurezza assistita da processore
Oltre a una moderna radice dell'attendibilità hardware, sono disponibili più funzionalità nei chip più recenti che rafforzano il sistema operativo contro le minacce. Queste funzionalità proteggono il processo di avvio, proteggono l'integrità della memoria, isolano la logica di calcolo sensibile alla sicurezza e altro ancora.
Kernel protetto
Per proteggere il kernel, sono disponibili due funzionalità chiave: sicurezza basata su virtualizzazione (VBS) e integrità del codice protetta da hypervisor (HVCI). Tutti i dispositivi Windows 11 supportano HVCI e sono dotati di protezione VBS e HVCI attivati per impostazione predefinita nella maggior parte/tutti i dispositivi.
Sicurezza basata su virtualizzazione (VBS)
La sicurezza basata su virtualizzazione( VBS), nota anche come isolamento di base, è un blocco predefinito critico in un sistema sicuro. VBS usa le funzionalità di virtualizzazione hardware per ospitare un kernel sicuro separato dal sistema operativo. Ciò significa che anche se il sistema operativo è compromesso, il kernel sicuro è ancora protetto. L'ambiente VBS isolato protegge i processi, ad esempio soluzioni di sicurezza e gestori di credenziali, da altri processi in esecuzione in memoria. Anche se il malware ottiene l'accesso al kernel del sistema operativo principale, l'hardware dell'hypervisor e della virtualizzazione impedisce al malware di eseguire codice non autorizzato o di accedere ai segreti della piattaforma nell'ambiente VBS. VbS implementa il livello di attendibilità virtuale 1 (VTL1), che ha privilegi più elevati rispetto al livello di attendibilità virtuale 0 (VTL0) implementato nel kernel principale.
Poiché i livelli di attendibilità virtuale con privilegi più elevati (VTL) possono applicare le proprie protezioni della memoria, i VCL più elevati possono proteggere efficacemente le aree di memoria da VCL inferiori. In pratica, ciò consente a una VTL inferiore di proteggere le aree di memoria isolate proteggendole con una VTL superiore. Ad esempio, VTL0 può archiviare un segreto in VTL1, a quel punto solo VTL1 può accederle. Anche se VTL0 viene compromesso, il segreto sarebbe sicuro.
Ulteriori informazioni
Integrità del codice protetto da Hypervisor (HVCI)
L'integrità del codice protetta da Hypervisor (HVCI), detta anche integrità della memoria, usa VBS per eseguire l'integrità del codice in modalità kernel (KMCI) all'interno dell'ambiente VBS sicuro anziché nel kernel windows principale. Ciò consente di evitare attacchi che tentano di modificare il codice in modalità kernel per elementi come i driver. Kmci verifica che tutto il codice del kernel sia firmato correttamente e che non sia stato manomesso prima che sia consentito l'esecuzione. HVCI garantisce che solo il codice convalidato possa essere eseguito in modalità kernel. L'hypervisor usa le estensioni di virtualizzazione del processore per applicare le protezioni della memoria che impediscono al software in modalità kernel di eseguire codice che non è stato convalidato per la prima volta dal sottosistema di integrità del codice. HVCI protegge da attacchi comuni come WannaCry che si basano sulla possibilità di inserire codice dannoso nel kernel. HVCI può impedire l'inserimento di codice dannoso in modalità kernel anche quando i driver e altri software in modalità kernel presentano bug.
Con le nuove installazioni di Windows 11, il supporto del sistema operativo per VBS e HVCI è attivato per impostazione predefinita per tutti i dispositivi che soddisfano i prerequisiti.
Ulteriori informazioni
Traduzione di paging applicata da Hypervisor (HVPT)
HVPT (Hypervisor-enforced Paging Translation) è un miglioramento della sicurezza per applicare l'integrità dell'indirizzo virtuale guest alle traduzioni di indirizzi fisici guest. HVPT consente di proteggere i dati di sistema critici da attacchi write-what-where in cui l'utente malintenzionato può scrivere un valore arbitrario in una posizione arbitraria spesso a causa di un overflow del buffer. HVPT consente di proteggere le tabelle di pagina che configurano strutture di dati di sistema critiche.
Protezione dello stack applicata dall'hardware.
La protezione dello stack applicata dall'hardware integra software e hardware per una difesa moderna contro minacce informatiche come il danneggiamento della memoria e gli exploit zero-day. In base alla tecnologia di imposizione del flusso di controllo (CET) di Intel e AMD Shadow Stacks, la protezione dello stack applicata dall'hardware è progettata per proteggere dalle tecniche di exploit che tentano di dirottare gli indirizzi restituiti nello stack.
Il codice dell'applicazione include uno stack di elaborazione del programma che gli hacker cercano di danneggiare o interrompere in un tipo di attacco chiamato stack smashing. Quando le difese come la protezione dello spazio eseguibile iniziarono a contrastare tali attacchi, gli hacker si rivolsero a nuovi metodi come la programmazione orientata al ritorno. La programmazione orientata al ritorno, una forma di smashing avanzato dello stack, può ignorare le difese, dirottare lo stack di dati e, infine, forzare un dispositivo a eseguire operazioni dannose. Per proteggersi da questi attacchi di dirottamento del flusso di controllo, il kernel di Windows crea uno stack di shadow separato per gli indirizzi restituiti. Windows 11 estende le funzionalità di protezione dello stack per fornire supporto sia in modalità utente che in modalità kernel.
Ulteriori informazioni
- Informazioni sulla protezione dello stack applicata dall'hardware
- Indicazioni per gli sviluppatori per la protezione dello stack applicata dall'hardware
Protezione DMA (Direct Memory Access) del kernel
Windows 11 protegge da minacce fisiche come attacchi DMA (Direct Memory Access) drive-by. I dispositivi con collegamento a caldo PCIe (Peripheral Component Interconnect Express), tra cui Thunderbolt, USB4 e CFexpress, consentono agli utenti di connettere un'ampia gamma di periferiche esterne ai pc con la stessa comodità plug-and-play di USB. Questi dispositivi includono schede grafiche e altri componenti PCI. Poiché le porte hot plug PCI sono esterne e facilmente accessibili, i PC sono soggetti ad attacchi DMA drive-by. La protezione dall'accesso alla memoria (nota anche come protezione DMA kernel) protegge da questi attacchi impedendo alle periferiche esterne di ottenere accesso non autorizzato alla memoria. Gli attacchi DMA drive-by in genere si verificano rapidamente mentre il proprietario del sistema non è presente. Gli attacchi vengono eseguiti usando strumenti di attacco semplici da moderare creati con hardware e software convenienti e pronti all'uso che non richiedono lo smontaggio del PC. Ad esempio, un proprietario del PC potrebbe lasciare un dispositivo per una breve pausa caffè. Nel frattempo, un utente malintenzionato collega uno strumento esterno a una porta per rubare informazioni o inserire codice che fornisce all'utente malintenzionato il controllo remoto sui PC, inclusa la possibilità di ignorare la schermata di blocco. Con la protezione dell'accesso alla memoria incorporata e abilitata, Windows 11 è protetta da attacchi fisici ovunque lavorino gli utenti.
Ulteriori informazioni
PC con core protetto e Secured-Core Perimetrale
Il report segnali di sicurezza di marzo 2021 ha rilevato che più dell'80% delle aziende ha subito almeno un attacco firmware negli ultimi due anni. Per i clienti in settori sensibili ai dati come servizi finanziari, enti pubblici e servizi sanitari, Microsoft ha collaborato con i partner OEM per offrire una categoria speciale di dispositivi denominata PC con core protetti (SCPC) e una categoria equivalente di dispositivi IoT incorporati chiamati Edge Secured-Core (ESc). I dispositivi sono dotati di più misure di sicurezza abilitate a livello di firmware, o core del dispositivo, alla base di Windows.
I PC e i dispositivi perimetrali con core protetti consentono di prevenire gli attacchi di malware e ridurre al minimo le vulnerabilità del firmware avviando uno stato pulito e attendibile all'avvio con una radice di attendibilità applicata dall'hardware. La sicurezza basata su virtualizzazione viene abilitata per impostazione predefinita. La memoria del sistema di protezione HVCI (Hypervisor Protected Code Integrity) predefinita garantisce che tutto il codice eseguibile del kernel sia firmato solo da autorità note e approvate. I PC core protetti e i dispositivi perimetrali proteggono anche da minacce fisiche, ad esempio attacchi DMA (Direct Memory Access) drive-by con protezione DMA kernel.
I PC e i dispositivi perimetrali con core protetti offrono più livelli di protezione avanzata dagli attacchi hardware e firmware. Attacchi malware sofisticati in genere tentano di installare bootkit o rootkit nel sistema per eludere il rilevamento e ottenere la persistenza. Questo software dannoso può essere eseguito a livello di firmware prima del caricamento di Windows o durante il processo di avvio di Windows stesso, consentendo al sistema di iniziare con il massimo livello di privilegi. Poiché i sottosistemi critici in Windows usano la sicurezza basata su virtualizzazione, la protezione dell'hypervisor diventa sempre più importante. Per garantire che nessun firmware o software non autorizzato possa essere avviato prima del bootloader di Windows, i PC Windows si basano sullo standard UEFI (Unified Extensible Firmware Interface), una funzionalità di sicurezza di base di tutti i PC Windows 11. L'avvio protetto consente di garantire l'esecuzione solo di firmware e software autorizzati con firme digitali attendibili. Inoltre, le misurazioni di tutti i componenti di avvio vengono archiviate in modo sicuro nel TPM per stabilire un log di controllo non ripudiabile dell'avvio denominato RADICE statica di attendibilità per la misurazione (SRTM).
Migliaia di fornitori OEM producono numerosi modelli di dispositivi con diversi componenti del firmware UEFI, che a loro volta creano un numero incredibilmente elevato di firme e misurazioni SRTM all'avvio. Poiché queste firme e misurazioni sono intrinsecamente attendibili dall'avvio protetto, può essere difficile vincolare l'attendibilità solo a quanto necessario per l'avvio in qualsiasi dispositivo specifico. Tradizionalmente, gli elenchi di blocchi e gli elenchi consentiti erano le due tecniche principali usate per vincolare l'attendibilità e continuano ad espandersi se i dispositivi si basano solo sulle misurazioni SRTM.
Radice dinamica dell'attendibilità per la misurazione (DRTM)
Nei PC con core protetti e nei dispositivi perimetrali, Protezione del sistema avvio sicuro protegge l'avvio con una tecnologia nota come RADICE dinamica di attendibilità per la misurazione (DRTM). Con DRTM, il sistema segue inizialmente il normale processo di avvio protetto UEFI. Tuttavia, prima dell'avvio, il sistema entra in uno stato attendibile controllato dall'hardware che forza la CPU verso il basso in un percorso di codice protetto dall'hardware. Se un rootkit o un bootkit malware ignora l'avvio protetto UEFI e risiede in memoria, DRTM impedisce l'accesso ai segreti e al codice critico protetto dall'ambiente di sicurezza basato su virtualizzazione. La tecnologia FASR (Firmware Attack Surface Reduction) può essere usata invece di DRTM nei dispositivi supportati, ad esempio Microsoft Surface.
L'isolamento della modalità di gestione del sistema (SMM) è una modalità di esecuzione nei processori basati su x86 che viene eseguita con privilegi effettivi più elevati rispetto all'hypervisor. SMM integra le protezioni fornite da DRTM contribuendo a ridurre la superficie di attacco. Basandosi sulle funzionalità fornite da provider di silicio come Intel e AMD, l'isolamento SMM applica criteri che implementano restrizioni, ad esempio impedire al codice SMM di accedere alla memoria del sistema operativo. I criteri di isolamento SMM sono inclusi come parte delle misurazioni DRTM che possono essere inviate a un verificatore, ad esempio Attestazione remota di Microsoft Azure.
Ulteriori informazioni
- Avvio sicuro di Protezione del sistema
- Riduzione della superficie di attacco del firmware
- Windows 11 PC con core protetti
- Edge Secured-Core
Blocco di configurazione
In molte organizzazioni, gli amministratori IT applicano criteri ai dispositivi aziendali per proteggere il sistema operativo e mantenere i dispositivi in uno stato conforme impedendo agli utenti di modificare le configurazioni e creare deviazioni di configurazione. La deriva della configurazione si verifica quando gli utenti con diritti di amministratore locale modificano le impostazioni e non sincronizzano il dispositivo con i criteri di sicurezza. I dispositivi in uno stato non conforme possono essere vulnerabili fino alla sincronizzazione successiva, quando la configurazione viene reimpostata con la soluzione di gestione dei dispositivi.
Il blocco della configurazione è una funzionalità del PC e del dispositivo perimetrale protetta che impedisce agli utenti di apportare modifiche indesiderate alle impostazioni di sicurezza. Con il blocco di configurazione, Windows monitora le chiavi del Registro di sistema supportate e ripristina lo stato desiderato dall'IT in pochi secondi dopo il rilevamento di una deriva.
Ulteriori informazioni