Confinamento! Protezione avanzata di Windows 10 per la massima sicurezza

Potresti aver sentito che Microsoft ha reso Windows 10 più sicuro di tutti i suoi predecessori, confezionandolo con gadget per la sicurezza. Quello che potresti non sapere è che alcune di queste decantate funzionalità di sicurezza non sono disponibili immediatamente o richiedono hardware aggiuntivo: potresti non ottenere il livello di sicurezza che ti aspettavi.

Funzionalità come Credential Guard sono disponibili solo per alcune edizioni di Windows 10, mentre la biometria avanzata promessa da Windows Hello richiede un forte investimento in hardware di terze parti. Windows 10 potrebbe essere il sistema operativo Windows più sicuro fino ad oggi, ma l'organizzazione esperta di sicurezza e il singolo utente devono tenere a mente i seguenti requisiti hardware e dell'edizione di Windows 10 per sbloccare le funzionalità necessarie per ottenere una sicurezza ottimale .

Nota: attualmente, ci sono quattro edizioni desktop di Windows 10 - Home, Pro, Enterprise ed Education - insieme a più versioni di ciascuna, che offrono diversi livelli di beta e software di anteprima. Woody Leonard spiega quale versione di Windows 10 utilizzare. La seguente guida alla sicurezza di Windows 10 si concentra sulle installazioni standard di Windows 10, non sulle anteprime interne o sul ramo di manutenzione a lungo termine, e include l'aggiornamento dell'anniversario ove pertinente.

L'hardware giusto

Windows 10 getta una vasta rete, con requisiti hardware minimi che non sono impegnativi. Se si dispone di quanto segue, è possibile eseguire l'aggiornamento da Win7 / 8.1 a Win10: processore da 1 GHz o più veloce, 2 GB di memoria (per l'aggiornamento dell'anniversario), 16 GB (per sistema operativo a 32 bit) o ​​20 GB (sistema operativo a 64 bit ) spazio su disco, una scheda grafica DirectX 9 o successiva con driver WDDM 1.0 e un display con risoluzione 800x600 (schermi da 7 pollici o più grandi). Questo descrive praticamente tutti i computer degli ultimi dieci anni.

Ma non aspettarti che la tua macchina di base sia completamente sicura, poiché i requisiti minimi di cui sopra non supporteranno molte delle funzionalità basate sulla crittografia in Windows 10. Le funzionalità di crittografia di Win10 richiedono Trusted Platform Module 2.0, che fornisce un'area di archiviazione sicura per la crittografia chiavi e viene utilizzato per crittografare le password, autenticare le smartcard, proteggere la riproduzione multimediale per prevenire la pirateria, proteggere le VM e proteggere gli aggiornamenti hardware e software da manomissioni, tra le altre funzioni.

I moderni processori AMD e Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) supportano già TPM 2.0, quindi la maggior parte delle macchine acquistate negli ultimi anni ha il chip necessario. Il servizio di gestione remota vPro di Intel, ad esempio, utilizza TPM per autorizzare le riparazioni dei PC remoti. Ma vale la pena verificare se TPM 2.0 esiste su qualsiasi sistema aggiornato, soprattutto dato che Anniversary Update richiede il supporto di TPM 2.0 nel firmware o come chip fisico separato. Un nuovo PC o sistemi che installano Windows 10 da zero devono avere TPM 2.0 sin dall'inizio, il che significa avere un certificato di chiave di verifica dell'autenticità (EK) preprovisionato dal fornitore dell'hardware al momento della spedizione. In alternativa, il dispositivo può essere configurato per recuperare il certificato e archiviarlo in TPM al primo avvio.

I sistemi più vecchi che non supportano TPM 2.0, o perché non hanno il chip installato o perché sono abbastanza vecchi da avere solo TPM 1.2, dovranno installare un chip abilitato per TPM 2.0. In caso contrario, non saranno affatto in grado di eseguire l'aggiornamento all'aggiornamento dell'anniversario.

Sebbene alcune delle funzionalità di sicurezza funzionino con TPM 1.2, è preferibile ottenere TPM 2.0 quando possibile. TPM 1.2 consente solo l'algoritmo di hashing RSA e SHA-1 e, considerando che la migrazione da SHA-1 a SHA-2 è ben avviata, restare fedeli a TPM 1.2 è problematico. TPM 2.0 è molto più flessibile, poiché supporta SHA-256 e la crittografia a curva ellittica.

Il BIOS UEFI (Unified Extensible Firmware Interface) è il prossimo componente hardware indispensabile per ottenere l'esperienza Windows 10 più sicura. Il dispositivo deve essere fornito con UEFI BIOS abilitato per consentire l'avvio protetto, che garantisce che solo il software del sistema operativo, i kernel e i moduli del kernel firmati con una chiave nota possano essere eseguiti durante l'avvio. Secure Boot impedisce ai rootkit e al malware BIOS di eseguire codice dannoso. L'avvio protetto richiede un firmware che supporti UEFI v2.3.1 Errata B e disponga dell'autorità di certificazione di Microsoft Windows nel database delle firme UEFI. Sebbene sia un vantaggio dal punto di vista della sicurezza, Microsoft che designa l'avvio protetto come obbligatorio per Windows 10 ha incontrato controversie, poiché rende più difficile eseguire distribuzioni Linux non firmate (come Linux Mint) su hardware compatibile con Windows 10.

L'aggiornamento dell'anniversario non verrà installato a meno che il tuo dispositivo non sia conforme a UEFI 2.31 o successivo.

Un breve elenco di funzionalità e requisiti hardware di Windows 10
Funzionalità di Windows 10 TPM Unità di gestione della memoria input / output Estensioni di virtualizzazione SLAT UEFI 2.3.1 Solo per architettura x64
Credential Guard Consigliato Non usato necessario necessario necessario necessario
Device Guard Non usato necessario necessario necessario necessario necessario
BitLocker Consigliato Non richiesto Non richiesto Non richiesto Non richiesto Non richiesto
Integrità del codice configurabile Non richiesto Non richiesto Non richiesto Non richiesto Consigliato Consigliato
Microsoft Hello Consigliato Non richiesto Non richiesto Non richiesto Non richiesto Non richiesto
VBS Non richiesto necessario necessario necessario Non richiesto necessario
Avvio protetto UEFI Consigliato Non richiesto Non richiesto Non richiesto necessario Non richiesto
Attestazione dell'integrità del dispositivo tramite avvio con misurazioni Richiede TPM 2.0 Non richiesto Non richiesto Non richiesto necessario necessario

Rafforzare l'autenticazione, l'identità

La sicurezza delle password è stata un problema significativo negli ultimi anni e Windows Hello ci avvicina a un mondo senza password in quanto integra ed estende gli accessi biometrici e l'autenticazione a due fattori per "riconoscere" gli utenti senza password. Windows Hello riesce anche a essere contemporaneamente la funzionalità di sicurezza più accessibile e inaccessibile di Windows 10. Sì, è disponibile in tutte le edizioni di Win10, ma richiede un investimento hardware significativo per ottenere il massimo da ciò che ha da offrire.

Per proteggere le credenziali e le chiavi, Hello richiede TPM 1.2 o successivo. Ma per i dispositivi in ​​cui TPM non è installato o configurato, Hello può utilizzare la protezione basata su software per proteggere le credenziali e le chiavi, quindi Windows Hello è accessibile praticamente a qualsiasi dispositivo Windows 10.

Ma il modo migliore per utilizzare Hello è memorizzare i dati biometrici e altre informazioni di autenticazione nel chip TPM integrato, poiché la protezione hardware rende più difficile il furto per gli aggressori. Inoltre, per sfruttare appieno l'autenticazione biometrica, è necessario hardware aggiuntivo, come una speciale telecamera a infrarossi illuminata o un iride o un lettore di impronte digitali dedicato. La maggior parte dei laptop di classe business e diverse linee di laptop consumer vengono fornite con scanner di impronte digitali, consentendo alle aziende di iniziare a utilizzare Hello con qualsiasi edizione di Windows 10. Ma il mercato è ancora limitato quando si tratta di fotocamere 3D con rilevamento della profondità per il riconoscimento facciale e la retina scanner per la scansione dell'iride, quindi la biometria più avanzata di Windows Hello è una possibilità futura per la maggior parte, piuttosto che una realtà quotidiana.

Disponibile per tutte le edizioni di Windows 10, i dispositivi Windows Hello Companion è un framework che consente agli utenti di utilizzare un dispositivo esterno, ad esempio un telefono, una scheda di accesso o un dispositivo indossabile, come uno o più fattori di autenticazione per Hello. Gli utenti interessati a lavorare con il dispositivo Windows Hello Companion per eseguire il roaming con le proprie credenziali Windows Hello tra più sistemi Windows 10 devono avere Pro o Enterprise installato su ciascuno di essi.

Windows 10 aveva in precedenza Microsoft Passport, che consentiva agli utenti di accedere ad applicazioni attendibili tramite le credenziali Hello. Con Anniversary Update, Passport non esiste più come funzionalità separata ma è incorporato in Hello. Le applicazioni di terze parti che utilizzano la specifica Fast Identity Online (FIDO) saranno in grado di supportare il Single Sign-On tramite Hello. Ad esempio, l'app Dropbox può essere autenticata direttamente tramite Hello e il browser Edge di Microsoft consente l'integrazione con Hello per estendersi al Web. È possibile attivare la funzionalità anche in una piattaforma di gestione dei dispositivi mobili di terze parti. Il futuro senza password sta arrivando, ma non ancora.

Tenere fuori il malware

Windows 10 introduce anche Device Guard, tecnologia che ribalta il tradizionale antivirus. Device Guard blocca i dispositivi Windows 10, affidandosi alle whitelist per consentire l'installazione solo delle applicazioni attendibili. I programmi non possono essere eseguiti a meno che non siano determinati sicuri controllando la firma crittografica del file, che garantisce che tutte le applicazioni non firmate e il malware non possano essere eseguiti. Device Guard si basa sulla tecnologia di virtualizzazione Hyper-V di Microsoft per archiviare le sue whitelist in una macchina virtuale schermata a cui gli amministratori di sistema non possono accedere o manomettere. Per usufruire di Device Guard, le macchine devono eseguire Windows 10 Enterprise o Education e supportare TPM, virtualizzazione della CPU hardware e virtualizzazione I / O. Device Guard si basa sulla protezione avanzata di Windows come Secure Boot.

AppLocker, disponibile solo per Enterprise ed Education, può essere utilizzato con Device Guard per configurare criteri di integrità del codice. Ad esempio, gli amministratori possono decidere di limitare le applicazioni universali da Windows Store che possono essere installate su un dispositivo. 

L'integrità del codice configurabile è un altro componente di Windows che verifica che il codice in esecuzione sia affidabile e saggio. L'integrità del codice in modalità kernel (KMCI) impedisce al kernel di eseguire driver non firmati. Gli amministratori possono gestire i criteri a livello di autorità di certificazione o editore, nonché i singoli valori hash per ogni eseguibile binario. Poiché gran parte del malware comune tende a non essere firmato, l'implementazione di criteri di integrità del codice consente alle organizzazioni di proteggersi immediatamente dal malware non firmato.

Windows Defender, rilasciato per la prima volta come software autonomo per Windows XP, è diventato la suite di protezione da malware predefinita di Microsoft, con antispyware e antivirus, in Windows 8. Defender viene disabilitato automaticamente quando viene installata una suite antimalware di terze parti. Se non sono installati antivirus o prodotti di sicurezza concorrenti, assicurati che Windows Defender, disponibile in tutte le edizioni e senza requisiti hardware specifici, sia attivato. Per gli utenti di Windows 10 Enterprise, è disponibile Windows Defender Advanced Threat Protection, che offre analisi delle minacce comportamentali in tempo reale per rilevare gli attacchi online.

Protezione dei dati

BitLocker, che protegge i file in un contenitore crittografato, esiste da Windows Vista ed è migliore che mai in Windows 10. Con Anniversary Update, lo strumento di crittografia è disponibile per le edizioni Pro, Enterprise ed Education. Proprio come Windows Hello, BitLocker funziona meglio se TPM viene utilizzato per proteggere le chiavi di crittografia, ma può anche utilizzare la protezione con chiave basata su software se TPM non esiste o non è configurato. La protezione di BitLocker con una password fornisce la difesa più semplice, ma un metodo migliore consiste nell'usare una smartcard o Encrypting File System per creare un certificato di crittografia dei file per proteggere i file e le cartelle associati.

Quando BitLocker è abilitato sull'unità di sistema e la protezione dalla forza bruta è abilitata, Windows 10 può riavviare il PC e bloccare l'accesso al disco rigido dopo un numero specificato di tentativi di password errata. Gli utenti dovrebbero digitare la chiave di ripristino BitLocker di 48 caratteri per avviare il dispositivo e accedere al disco. Per abilitare questa funzione, il sistema dovrebbe avere la versione del firmware UEFI 2.3.1 o successiva.

Windows Information Protection, in precedenza Enterprise Data Protection (EDP), è disponibile solo per le edizioni Windows 10 Pro, Enterprise o Education. Fornisce crittografia persistente a livello di file e gestione dei diritti di base, integrandosi anche con i servizi Azure Active Directory e Rights Management. La protezione delle informazioni richiede un qualche tipo di gestione dei dispositivi mobili, Microsoft Intune o una piattaforma di terze parti come AirWatch di VMware, o System Center Configuration Manager (SCCM) per gestire le impostazioni. Un amministratore può definire un elenco di Windows Store o applicazioni desktop che possono accedere ai dati di lavoro o bloccarli completamente. Windows Information Protection consente di controllare chi può accedere ai dati per prevenire la perdita accidentale di informazioni. Active Directory aiuta a semplificare la gestione ma non è necessario per utilizzare Information Protection,secondo Microsoft.

Virtualizzazione delle difese di sicurezza

Credential Guard, disponibile solo per Windows 10 Enterprise ed Education, può isolare i "segreti" utilizzando la sicurezza basata sulla virtualizzazione (VBS) e limitare l'accesso al software di sistema privilegiato. Aiuta a bloccare gli attacchi pass-the-hash, sebbene i ricercatori sulla sicurezza abbiano recentemente trovato modi per aggirare le protezioni. Anche così, avere Credential Guard è ancora meglio che non averlo affatto. Funziona solo su sistemi x64 e richiede UEFI 2.3.1 o versione successiva. Le estensioni di virtualizzazione come Intel VT-x, AMD-V e SLAT devono essere abilitate, nonché IOMMU come Intel VT-d, AMD-Vi e BIOS Lockdown. TPM 2.0 è consigliato per abilitare l'attestazione dell'integrità del dispositivo per Credential Guard, ma se TPM non è disponibile, è possibile utilizzare invece protezioni basate su software.

Un'altra funzionalità di Windows 10 Enterprise ed Education è la modalità protetta virtuale, un contenitore Hyper-V che protegge le credenziali di dominio salvate su Windows.