Avvio sicuro e avvio attendibile
Questo articolo descrive l'avvio protetto e l'avvio attendibile, misure di sicurezza integrate in Windows 11.
L'avvio protetto e l'avvio attendibile consentono di impedire il caricamento di malware e componenti danneggiati all'avvio di un dispositivo Windows 11. L'avvio protetto inizia con la protezione iniziale di avvio e quindi l'avvio attendibile riprende il processo. Insieme, l'avvio protetto e l'avvio attendibile consentono di garantire che il sistema Windows 11 venga avviato in modo sicuro e sicuro.
Avvio protetto
Il primo passaggio per proteggere il sistema operativo consiste nel garantire che venga avviato in modo sicuro dopo che le sequenze iniziali di avvio hardware e firmware hanno completato in modo sicuro le sequenze di avvio iniziali. L'avvio protetto crea un percorso sicuro e attendibile dall'interfaccia UEFI (Unified Extensible Firmware Interface) tramite la sequenza di avvio attendibile del kernel Windows. Gli attacchi malware alla sequenza di avvio di Windows vengono bloccati dagli handshake di imposizione della firma in tutta la sequenza di avvio tra gli ambienti UEFI, bootloader, kernel e applicazione.
Quando il PC inizia il processo di avvio, verifica innanzitutto che il firmware sia firmato digitalmente, riducendo il rischio di rootkit del firmware. Avvio protetto controlla quindi tutto il codice eseguito prima del sistema operativo e controlla la firma digitale del bootloader del sistema operativo per assicurarsi che sia considerato attendibile dai criteri di avvio protetto e non sia stato manomesso.
Avvio sicuro
Avvio attendibile riprende il processo avviato con l'avvio protetto. Il bootloader di Windows verifica la firma digitale del kernel Windows prima di caricarla. Il kernel Windows, a sua volta, verifica tutti gli altri componenti del processo di avvio di Windows, inclusi i driver di avvio, i file di avvio e il driver antimalware (ELAM) del prodotto antimalware ad avvio anticipato. Se uno di questi file è stato manomesso, il bootloader rileva il problema e rifiuta di caricare il componente danneggiato. Gli attacchi di manomissione o malware nella sequenza di avvio di Windows sono bloccati dagli handshake di imposizione delle firme tra gli ambienti UEFI, bootloader, kernel e applicazione.
Spesso, Windows può ripristinare automaticamente il componente danneggiato, ripristinando l'integrità di Windows e consentendo al dispositivo Windows 11 di avviarsi normalmente.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano l'avvio protetto e l'avvio attendibile:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sì | Sì | Sì | Sì |
I diritti di licenza di avvio sicuro e avvio attendibile sono concessi dalle licenze seguenti:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.