Condividi tramite

Sicurezza del sistema

  • Articolo
  • Si applica a:
    Windows 11

Diagramma contenente un elenco di funzionalità di sicurezza.

Avvio attendibile (avvio protetto + avvio misurato)

Windows 11 richiede a tutti i PC di usare la funzionalità di avvio protetto uefi (Unified Extensible Firmware Interface). All'avvio di un dispositivo Windows 11, l'avvio protetto e l'avvio attendibile interagiscono per impedire il caricamento di malware e componenti danneggiati. Avvio protetto fornisce la protezione iniziale, quindi Avvio attendibile riprende il processo.

L'avvio protetto crea un percorso sicuro e attendibile dall'interfaccia UEFI (Unified Extensible Firmware Interface) tramite la sequenza di avvio attendibile del kernel Windows. Gli attacchi malware alla sequenza di avvio di Windows vengono bloccati dagli handshake di imposizione della firma in tutta la sequenza di avvio tra gli ambienti UEFI, bootloader, kernel e applicazione.

Per ridurre il rischio di rootkit del firmware, il PC verifica la firma digitale del firmware all'inizio del processo di avvio. Avvio protetto controlla quindi la firma digitale del bootloader del sistema operativo e tutto il codice eseguito prima dell'avvio del sistema operativo, assicurando che la firma e il codice non siano compromessi e attendibili in base ai criteri di avvio protetto.

Avvio attendibile riprende il processo che inizia con l'avvio protetto. Il bootloader di Windows verifica la firma digitale del kernel Windows prima di caricarla. Il kernel Windows, a sua volta, verifica tutti gli altri componenti del processo di avvio di Windows, inclusi driver di avvio, file di avvio e qualsiasi driver antimalware (ELAM) di qualsiasi prodotto antimalware. Se uno di questi file è stato manomesso, il bootloader rileva il problema e rifiuta di caricare il componente danneggiato. Spesso, Windows può ripristinare automaticamente il componente danneggiato, ripristinando l'integrità di Windows e consentendo al PC di avviarsi normalmente.

Ulteriori informazioni

Cryptography

La crittografia è progettata per proteggere i dati utente e di sistema. Lo stack di crittografia in Windows 11 si estende dal chip al cloud, consentendo a Windows, alle applicazioni e ai servizi di proteggere i segreti di sistema e utente. Ad esempio, i dati possono essere crittografati in modo che solo un lettore specifico con una chiave univoca possa leggerli. Come base per la sicurezza dei dati, la crittografia consente di impedire a chiunque tranne il destinatario previsto di leggere i dati, esegue controlli di integrità per garantire che i dati siano privi di manomissioni e autentica l'identità per garantire che la comunicazione sia sicura. Windows 11 crittografia è certificata per soddisfare il federal information processing Standard (FIPS) 140. La certificazione FIPS 140 garantisce che gli algoritmi approvati dal governo degli Stati Uniti siano implementati correttamente.

Ulteriori informazioni

  • Convalida FIPS 140

I moduli di crittografia di Windows forniscono primitive di basso livello, ad esempio:

  • Generatori di numeri casuali (RNG)
  • Supporto per le modalità di funzionamento di AES 128/256 con XTS, ECB, CBC, CFB, CCM e GCM; dimensioni delle chiavi RSA e DSA 2048, 3072 e 4.096; ECDSA sulle curve P-256, P-384, P-521
  • Hash (supporto per SHA1, SHA-256, SHA-384 e SHA-512)
  • Firma e verifica (supporto della spaziatura interna per OAEP, PSS e PKCS1)
  • Accordo chiave e derivazione chiave (supporto per ECDH sulle curve prime standard NIST P-256, P-384, P-521 e HKDF)

Gli sviluppatori di applicazioni possono usare questi moduli di crittografia per eseguire operazioni di crittografia di basso livello (Bcrypt), operazioni di archiviazione delle chiavi (NCrypt), proteggere i dati statici (DPAPI) e condividere in modo sicuro i segreti (DPAPI-NG).

Ulteriori informazioni

  • Gestione della crittografia e dei certificati

Gli sviluppatori possono accedere ai moduli in Windows tramite l'API CNG (Cryptography Next Generation), basata sulla libreria di crittografia open source di Microsoft SymCrypt. SymCrypt supporta la trasparenza completa tramite il codice open source. SymCrypt offre inoltre l'ottimizzazione delle prestazioni per le operazioni di crittografia sfruttando l'accelerazione dell'assembly e dell'hardware quando disponibile.

SymCrypt fa parte dell'impegno di Microsoft a favore della trasparenza, che include il Programma di sicurezza microsoft per enti pubblici globale che mira a fornire le informazioni di sicurezza riservate e le risorse di cui le persone hanno bisogno per fidarsi dei prodotti e dei servizi Microsoft. Il programma offre accesso controllato al codice sorgente, scambio di informazioni sulle minacce e sulle vulnerabilità, opportunità di interagire con contenuti tecnici su prodotti e servizi Microsoft e accesso a cinque Centri trasparenza distribuiti a livello globale.

Certificati

Per proteggere e autenticare le informazioni, Windows offre un supporto completo per i certificati e la gestione dei certificati. L'utilità da riga di comando per la gestione dei certificati predefinita (certmgr.exe) o lo snap-in di Microsoft Management Console (MMC) (certmgr.msc) può essere usato per visualizzare e gestire certificati, elenchi di certificati attendibili (CCL) ed elenchi di revoche di certificati (CRL). Ogni volta che un certificato viene usato in Windows, si verifica che il certificato foglia e tutti i certificati nella relativa catena di attendibilità non siano stati revocati o compromessi. I certificati radice e intermedi attendibili e i certificati revocati pubblicamente nel computer vengono usati come riferimento per l'attendibilità PKI (Public Key Infrastructure) e vengono aggiornati mensilmente dal programma Radice attendibile Microsoft. Se viene revocato un certificato attendibile o una radice, tutti i dispositivi globali vengono aggiornati, il che significa che gli utenti possono considerare attendibile che Windows proteggerà automaticamente dalle vulnerabilità nell'infrastruttura a chiave pubblica. Per le distribuzioni cloud ed aziendali, Windows offre anche agli utenti la possibilità di registrare e rinnovare automaticamente i certificati in Active Directory con criteri di gruppo per ridurre il rischio di potenziali interruzioni a causa della scadenza o della configurazione errata del certificato.

Firma e integrità del codice

Per assicurarsi che i file di Windows non siano stati manomessi, il processo di integrità del codice di Windows verifica la firma di ogni file in Windows. La firma del codice è fondamentale per stabilire l'integrità di firmware, driver e software nella piattaforma Windows. La firma del codice crea una firma digitale crittografando l'hash del file con la parte della chiave privata di un certificato di firma del codice e incorporando la firma nel file. Il processo di integrità del codice di Windows verifica il file firmato decrittografando la firma per controllare l'integrità del file e verificare che proveni da un autore affidabile, assicurandosi che il file non sia stato manomesso.

La firma digitale viene valutata nell'ambiente Windows nel codice di avvio di Windows, nel codice del kernel Windows e nelle applicazioni in modalità utente di Windows. Proteggere l'avvio e l'integrità del codice per verificare la firma nei bootloader, nelle VM di opzione e in altri componenti di avvio per assicurarsi che sia attendibile e proveniente da un autore attendibile. Per i driver non pubblicati da Microsoft, l'integrità del codice del kernel verifica la firma nei driver del kernel e richiede che i driver siano firmati da Windows o certificati dal programma di compatibilità hardware di Windows (WHCP). Questo programma garantisce che i driver di terze parti siano compatibili con vari hardware e Windows e che i driver proveniranno da sviluppatori di driver controllati.

Attestazione dell'integrità dei dispositivi

Il processo di attestazione integrità dispositivi Windows supporta un paradigma Zero Trust che sposta lo stato attivo dai perimetri statici basati sulla rete a utenti, asset e risorse. Il processo di attestazione conferma che il dispositivo, il firmware e il processo di avvio sono in buono stato e non sono stati manomessi prima di poter accedere alle risorse aziendali. Queste determinazioni vengono effettuate con i dati archiviati nel TPM, che fornisce una radice di attendibilità sicura. Le informazioni vengono inviate a un servizio di attestazione, ad esempio attestazione di Azure per verificare che il dispositivo si trova in uno stato attendibile. Una soluzione di gestione dei dispositivi nativa del cloud come Microsoft Intune[4] esamina l'integrità dei dispositivi e connette queste informazioni con Microsoft Entra ID[4] per l'accesso condizionale.

Windows include molte funzionalità di sicurezza che consentono di proteggere gli utenti da malware e attacchi. Tuttavia, i componenti di sicurezza sono attendibili solo se la piattaforma viene avviata come previsto e non viene manomesso. Come indicato in precedenza, Windows si basa su Unified Extensible Firmware Interface (UEFI) Secure Boot, ELAM, DRTM, Trusted Boot e altre funzionalità di sicurezza hardware e firmware di basso livello per proteggere il PC dagli attacchi. Dal momento in cui si accende il PC fino all'avvio dell'antimalware, Windows è supportato con le configurazioni hardware appropriate che consentono di proteggere l'utente. Avvio misurato, implementato da bootloader e BIOS, verifica e registra in modo crittografico ogni passaggio dell'avvio in modo concatenato. Questi eventi sono associati al TPM, che funziona come radice dell'attendibilità hardware. L'attestazione remota è il meccanismo tramite il quale questi eventi vengono letti e verificati da un servizio per fornire un report verificabile, imparziale e resiliente alle manomissioni. L'attestazione remota è il revisore attendibile dell'avvio del sistema, che consente alle parti attendibili di associare l'attendibilità al dispositivo e alla relativa sicurezza.

Di seguito è riportato un riepilogo dei passaggi necessari per l'attestazione e Zero-Trust in un dispositivo Windows:

  • Durante ogni passaggio del processo di avvio, ad esempio un caricamento di file, l'aggiornamento di variabili speciali e altro ancora, le informazioni, ad esempio gli hash dei file e le firme, vengono misurate nel registro di configurazione della piattaforma TPM. Le misurazioni sono associate da una specifica trusted computing group che determina quali eventi possono essere registrati e il formato di ogni evento. I dati forniscono informazioni importanti sulla sicurezza dei dispositivi dal momento in cui vengono attivati
  • Dopo l'avvio di Windows, l'attestor (o il verificatore) richiede al TPM di ottenere le misurazioni archiviate nei relativi PCR insieme al log di avvio misurato. Insieme, questi costituiscono l'evidenza di attestazione inviata al servizio attestazione di Azure
  • Il TPM viene verificato usando le chiavi o il materiale di crittografia disponibile nel chipset con un servizio certificati di Azure
  • Le informazioni precedenti vengono inviate al servizio attestazione di Azure per verificare che il dispositivo si trova in uno stato attendibile.

Ulteriori informazioni

Impostazioni e controllo dei criteri di sicurezza di Windows

Le impostazioni dei criteri di sicurezza sono una parte fondamentale della strategia di sicurezza complessiva. Windows offre un solido set di criteri di impostazione di sicurezza che gli amministratori IT possono usare per proteggere i dispositivi Windows e altre risorse nell'organizzazione. Le impostazioni dei criteri di sicurezza sono regole che è possibile configurare in un dispositivo o in più dispositivi per controllare:

  • Autenticazione utente in una rete o in un dispositivo
  • Risorse a cui gli utenti possono accedere
  • Se registrare le azioni di un utente o di un gruppo nel registro eventi
  • Appartenenza a un gruppo

Il controllo della sicurezza è uno degli strumenti più potenti che è possibile usare per mantenere l'integrità della rete e degli asset. Il controllo può aiutare a identificare attacchi, vulnerabilità di rete e attacchi contro destinazioni di alto valore. È possibile specificare categorie di eventi correlati alla sicurezza per creare criteri di controllo personalizzati in base alle esigenze dell'organizzazione usando i provider di servizi di configurazione (CSP) o i criteri di gruppo.

Tutte le categorie di controllo vengono disabilitate quando Windows viene installato per la prima volta. Prima di abilitarli, seguire questa procedura per creare un criterio di controllo della sicurezza efficace:

  1. Identificare le risorse e le attività più critiche.
  2. Identificare le impostazioni di controllo necessarie per monitorarle.
  3. Valutare i vantaggi e i costi potenziali associati a ogni risorsa o impostazione.
  4. Testare queste impostazioni per convalidare le scelte.
  5. Sviluppare piani per la distribuzione e la gestione dei criteri di controllo.

Ulteriori informazioni

Sicurezza di Windows

La visibilità e la consapevolezza della sicurezza e dell'integrità dei dispositivi sono fondamentali per qualsiasi azione eseguita. L'app Sicurezza di Windows offre una visualizzazione immediata dello stato di sicurezza e dell'integrità del dispositivo. Queste informazioni dettagliate consentono di identificare i problemi e di agire per assicurarsi di essere protetti. È possibile visualizzare rapidamente lo stato della protezione da virus e minacce, la sicurezza del firewall e della rete, i controlli di sicurezza dei dispositivi e altro ancora.

Screenshot dell'app Sicurezza di Windows.

Ulteriori informazioni

Aggiornamento configurazione

Con i criteri di gruppo tradizionali, le impostazioni dei criteri vengono aggiornate in un PC quando un utente accede e ogni 90 minuti per impostazione predefinita. Gli amministratori possono modificare la tempistica in modo che sia più breve per garantire che le impostazioni dei criteri siano conformi alle impostazioni di gestione impostate dall'IT.

Al contrario, con una soluzione di gestione dei dispositivi come Microsoft Intune[4], i criteri vengono aggiornati quando un utente accede e quindi a un intervallo di otto ore per impostazione predefinita. Ma le impostazioni dei criteri vengono migrate dall'oggetto Criteri di gruppo a una soluzione di gestione dei dispositivi, un divario rimanente è il periodo più lungo tra la riapplicazione di un criterio modificato.

L'aggiornamento configurazione consente di reimpostare le impostazioni del provider di servizi di configurazione dei criteri (CSP) a causa di errori di configurazione, modifiche del Registro di sistema o software dannoso in un PC sul valore previsto dall'amministratore ogni 90 minuti per impostazione predefinita. È configurabile per l'aggiornamento ogni 30 minuti, se lo si desidera. Il provider di servizi di configurazione criteri copre centinaia di impostazioni tradizionalmente impostate con criteri di gruppo e ora vengono impostate tramite protocolli MDM (Mobile Gestione dispositivi).

L'aggiornamento della configurazione può anche essere sospeso per un periodo di tempo configurabile, dopo il quale verrà riabilitato. Questo per supportare gli scenari in cui un tecnico del supporto tecnico potrebbe dover riconfigurare un dispositivo a scopo di risoluzione dei problemi. Può anche essere ripreso in qualsiasi momento da un amministratore.

Ulteriori informazioni

Modalità tutto schermo

Windows consente di limitare le funzionalità a applicazioni specifiche usando funzionalità predefinite, rendendolo ideale per dispositivi pubblici o condivisi come chioschi multimediali. È possibile configurare Windows come chiosco multimediale in locale nel dispositivo o tramite una soluzione di gestione dei dispositivi basata sul cloud, ad esempio Microsoft Intune[7]. La modalità tutto schermo può essere configurata per eseguire una singola app, più app o un Web browser a schermo intero. È anche possibile configurare il dispositivo per l'accesso automatico e l'avvio dell'app in modalità tutto schermo designata all'avvio.

Screenshot di un chiosco multimediale Windows.

Ulteriori informazioni

Stampa protetta da Windows

La stampa protetta da Windows è stata creata per offrire un sistema di stampa più moderno e sicuro che ottimizza la compatibilità e mette gli utenti al primo livello. Semplifica l'esperienza di stampa consentendo ai dispositivi di stampare esclusivamente usando lo stack di stampa moderno di Windows.

I vantaggi della stampa protetta di Windows includono:

  • Maggiore sicurezza del PC
  • Esperienza di stampa semplificata e coerente, indipendentemente dall'architettura del PC
  • Rimuove la necessità di gestire i driver di stampa

La stampa protetta da Windows è progettata per funzionare solo con stampanti certificate Mopria. Molte stampanti esistenti sono già compatibili.

Ulteriori informazioni

Rust per Windows

Rust è un linguaggio di programmazione moderno noto per la sua attenzione alla sicurezza, alle prestazioni e alla concorrenza. È stato progettato per evitare errori di programmazione comuni, ad esempio la dereferenziazione dei puntatori Null e gli overflow del buffer, che possono causare vulnerabilità di sicurezza e arresti anomali. Rust ottiene questo risultato tramite il suo sistema di proprietà univoco, che garantisce la sicurezza della memoria senza la necessità di un Garbage Collector. Stiamo espandendo l'integrazione di Rust nel kernel windows per migliorare la sicurezza e l'affidabilità della codebase di Windows. Questa mossa strategica sottolinea il nostro impegno ad adottare tecnologie moderne per migliorare la qualità e la sicurezza di Windows.

Ulteriori informazioni