Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Microsoft ha requisiti rigorosi per il codice in esecuzione nel kernel. Quindi, gli attori malintenzionati si stanno rivolgendo a sfruttare le vulnerabilità nei driver del kernel legittimi e firmati per eseguire malware nel kernel. Uno dei molti punti di forza della piattaforma Windows è la collaborazione con fornitori di hardware indipendenti (IHD) e OEM. Microsoft collabora a stretto contatto con la community di sicurezza e IHV per garantire ai clienti il massimo livello di sicurezza dei driver. Quando vengono rilevate vulnerabilità nei driver, collaboriamo con i nostri partner per garantire che vengano rapidamente applicate e implementate nell'ecosistema. L'elenco di blocchi dei driver vulnerabili è progettato per proteggere i sistemi dai driver non sviluppati da Microsoft nell'ecosistema Windows con uno degli attributi seguenti:
- Vulnerabilità di sicurezza note che possono essere sfruttate dagli utenti malintenzionati per elevare i privilegi nel kernel di Windows
- Comportamenti dannosi (malware) o certificati usati per firmare malware
- Comportamenti non dannosi ma che eludono il modello di Sicurezza di Windows e possono essere sfruttati dagli utenti malintenzionati per elevare i privilegi nel kernel di Windows
I driver possono essere inviati a Microsoft per l'analisi della sicurezza nella pagina di invio del driver Intelligence di sicurezza Microsoft. Per altre informazioni sull'invio di driver, vedere Migliorare la sicurezza del kernel con il nuovo Microsoft Vulnerable and Malicious Driver Reporting Center.For more information about driver submission, see Improve kernel security with the new Microsoft Vulnerable and Malicious Driver Reporting Center. Per segnalare un problema o richiedere una modifica all'elenco blocchi, incluso l'aggiornamento di una regola di blocco dopo che un driver è stato risolto, visitare il portale di Intelligence di sicurezza Microsoft.
Nota
Il blocco dei driver può causare un malfunzionamento dei dispositivi o del software e, in rari casi, portare allo schermo blu. L'elenco di blocchi dei driver vulnerabili non è garantito per bloccare ogni driver che ha vulnerabilità. Microsoft tenta di bilanciare i rischi per la sicurezza dei driver vulnerabili con il potenziale impatto sulla compatibilità e sull'affidabilità per produrre l'elenco di blocchi. Come sempre, Microsoft consiglia di usare un approccio esplicito all'elenco di autorizzazioni per la sicurezza, laddove possibile.
Elenco di blocchi dei driver vulnerabili microsoft
Con Windows 11 aggiornamento 2022, l'elenco di blocchi dei driver vulnerabili è abilitato per impostazione predefinita per tutti i dispositivi e può essere attivato o disattivato tramite l'app Sicurezza di Windows. Fatta eccezione per Windows Server 2016, l'elenco di blocchi dei driver vulnerabili viene applicato anche quando è attiva l'integrità della memoria (nota anche come integrità del codice protetta da hypervisor o HVCI), il controllo app intelligente o la modalità S. Gli utenti possono acconsentire esplicitamente a HVCI usando l'app Sicurezza di Windows e HVCI è attivato per impostazione predefinita per la maggior parte dei nuovi dispositivi Windows 11.
Nota
Sicurezza di Windows viene aggiornato separatamente dal sistema operativo e viene fornito all'esterno. La versione con l'interruttore blocklist del driver vulnerabile è nell'anello di convalida finale e verrà distribuita a tutti i clienti molto presto. Inizialmente, sarà possibile visualizzare solo lo stato di configurazione e l'interruttore apparirà disattivato. La possibilità di attivare o disattivare l'interruttore verrà visualizzata con un aggiornamento di Windows futuro.
Per i partecipanti a Windows Insider, l'opzione per attivare o disattivare l'elenco di blocchi di driver vulnerabili di Microsoft usando le impostazioni di Sicurezza di Windows è disattivata quando è abilitata la modalità HVCI, Smart App Control o S. È necessario disabilitare HVCI o Smart App Control oppure disattivare la modalità S del dispositivo e riavviare il dispositivo prima di poter disattivare l'elenco di blocchi dei driver vulnerabili microsoft.
L'elenco blocchi viene aggiornato con ogni nuova versione principale di Windows, in genere 1-2 volte all'anno. L'elenco di blocchi più recente è ora disponibile anche per gli utenti Windows 10 20H2 e Windows 11 21H2 come aggiornamento facoltativo da Windows Update. Microsoft pubblicherà occasionalmente aggiornamenti futuri tramite la normale manutenzione di Windows.
I clienti che vogliono sempre l'elenco di blocchi di driver più aggiornato possono anche usare Controllo app per le aziende per applicare l'elenco di blocchi di driver consigliato più recente. Per comodità, forniamo un download dell'elenco di blocchi di driver vulnerabili più aggiornato insieme alle istruzioni per applicarlo al computer alla fine di questo articolo.
Blocco dei driver vulnerabili tramite Controllo app
Microsoft consiglia di abilitare la modalità HVCI o S per proteggere i dispositivi dalle minacce alla sicurezza. Se questa impostazione non è possibile, Microsoft consiglia di bloccare questo elenco di driver all'interno dei criteri di Controllo app per le aziende esistenti. Il blocco dei driver del kernel senza test sufficienti può causare il malfunzionamento di dispositivi o software e, in rari casi, lo schermo blu. È consigliabile convalidare prima di tutto questo criterio in modalità di controllo ed esaminare gli eventi del blocco di controllo.
Importante
Microsoft consiglia anche di abilitare la regola di riduzione della superficie di attacco (ASR) Bloccare l'abuso di driver firmati vulnerabili sfruttati per impedire a un'applicazione di scrivere un driver firmato vulnerabile su disco. La regola asr non impedisce il caricamento di un driver già esistente nel sistema, ma l'abilitazione dell'elenco di blocchi dei driver vulnerabili microsoft o l'applicazione di questo criterio di controllo app impedirà il caricamento del driver esistente.
Passaggi per scaricare e applicare il file binario dell'elenco di blocchi del driver vulnerabile
Se si preferisce applicare l'elenco di blocchi di driver vulnerabili, seguire questa procedura:
- Scaricare lo strumento di aggiornamento dei criteri di Controllo app
- Scaricare ed estrarre i file binari dell'elenco di blocchi dei driver vulnerabili
- Selezionare la versione solo di controllo o la versione applicata e rinominare il file in SiPolicy.p7b
- Copiare SiPolicy.p7b in %windir%\system32\CodeIntegrity
- Eseguire lo strumento di aggiornamento dei criteri di controllo delle app scaricato nel passaggio 1 precedente per attivare e aggiornare tutti i criteri di Controllo app nel computer
Per verificare che il criterio sia stato applicato correttamente nel computer:
- Apri il Visualizzatore eventi
- Passare ai log di applicazioni e servizi - Microsoft - Windows - CodeIntegrity - Operational
- Selezionare Filtro log corrente...
- Sostituire "<Tutti gli ID> evento" con "3099" e selezionare OK.
- Cercare un evento 3099 in cui PolicyNameBuffer e PolicyIdBuffer corrispondono alle impostazioni Name e Id PolicyInfo disponibili nella parte inferiore dell'elenco di blocchi App Control Policy XML in questo articolo. NOTA: il computer potrebbe avere più di un evento 3099 se sono presenti anche altri criteri di controllo delle app.
Nota
Se sono già in esecuzione driver vulnerabili che potrebbero essere bloccati dai criteri, è necessario riavviare il computer per bloccare tali driver. I processi in esecuzione non vengono arrestati quando si attiva un nuovo criterio di controllo delle app senza riavvio.
CODICE XML dell'elenco di blocchi del driver vulnerabile
Il file di criteri xml blocklist consigliato può essere scaricato dall'Area download Microsoft.
Questo criterio contiene consenti tutte le regole. Se la versione di Windows supporta più criteri di Controllo app, è consigliabile distribuire questi criteri insieme a tutti i criteri di Controllo app esistenti. Se si prevede di unire questo criterio con un altro criterio, potrebbe essere necessario rimuovere le regole Consenti tutte prima di unirle se gli altri criteri applicano un elenco consenti esplicito. Per altre informazioni, vedere Creare un criterio di negazione del controllo app.
Nota
Per usare questo criterio con Windows Server 2016, è necessario convertire il codice XML dei criteri in un dispositivo che esegue un sistema operativo più nuovo.