Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Avvio attendibile (avvio protetto + avvio misurato)
Windows 11 richiede a tutti i PC di usare la funzionalità di avvio protetto uefi (Unified Extensible Firmware Interface). All'avvio di un dispositivo Windows 11, l'avvio protetto e l'avvio attendibile interagiscono per impedire il caricamento di malware e componenti danneggiati. Avvio protetto fornisce protezione iniziale, quindi Avvio attendibile continua il processo.
Avvio protetto crea un percorso sicuro e attendibile dall'interfaccia UEFI (Unified Extensible Firmware Interface) tramite la sequenza di avvio attendibile del kernel Windows. Gli handshake di imposizione della firma in tutta la sequenza di avvio tra gli ambienti UEFI, bootloader, kernel e applicazione bloccano gli attacchi malware nella sequenza di avvio di Windows.
Per ridurre il rischio di rootkit del firmware, il PC verifica la firma digitale del firmware all'inizio del processo di avvio. Avvio protetto controlla quindi la firma digitale del bootloader del sistema operativo e tutto il codice eseguito prima dell'avvio del sistema operativo, assicurando che la firma e il codice non siano compromessi e attendibili in base ai criteri di avvio protetto.
Avvio attendibile continua il processo di avvio protetto. Il bootloader di Windows verifica la firma digitale del kernel Windows prima di caricarla. Il kernel Windows verifica tutti gli altri componenti del processo di avvio di Windows, inclusi driver di avvio, file di avvio e qualsiasi driver antimalware (ELAM) di avvio anticipato del prodotto antimalware. Se uno di questi file viene manomesso, il bootloader rileva il problema e rifiuta di caricare il componente danneggiato. Spesso, Windows può ripristinare automaticamente il componente danneggiato, ripristinando l'integrità di Windows e consentendo al PC di avviarsi normalmente.
Ulteriori informazioni
Cryptography
La crittografia usa il codice per convertire i dati in modo che solo un destinatario specifico possa leggerli usando una chiave. La crittografia impone la privacy per impedire a chiunque tranne il destinatario previsto di leggere i dati, l'integrità per garantire che i dati siano privi di manomissioni e l'autenticazione che verifica l'identità per garantire che la comunicazione sia sicura. Lo stack di crittografia in Windows si estende dal chip al cloud, consentendo a Windows, alle applicazioni e ai servizi di proteggere i segreti di sistema e utente.
La crittografia in Windows è certificata da FIPS (Federal Information Processing Standards) 140 . La certificazione FIPS 140 garantisce che vengano usati solo algoritmi approvati dal governo degli Stati Uniti (RSA per la firma, ECDH con curve NIST per l'accordo chiave, AES per la crittografia simmetrica e SHA2 per hash), testa l'integrità del modulo per dimostrare che non si è verificata alcuna manomissione e dimostra la casualità per le origini di entropia.
I moduli di crittografia di Windows forniscono primitive di basso livello, ad esempio:
- Generatori di numeri casuali (RNG)
- Crittografia simmetrica e asimmetrica (supporto per AES 128/256 e RSA da 512 a 16.384, in incrementi a 64 bit ed ECDSA sulle curve prime standard NIST P-256, P-384, P-521)
- Algoritmi post-quantistici (ML-KEM, ML-DSA)
- Hash (supporto per SHA-256, SHA-384, SHA-512 e SHA-3*)
- Firma e verifica (supporto della spaziatura interna per OAEP, PSS, PKCS1)
- Accordo chiave e derivazione chiave (supporto per ECDH sulle curve prime standard NIST P-256, P-384, P-521 e HKDF)
Windows espone in modo nativo i moduli di crittografia tramite l'API Crypto (CAPI) e l'API CNG (Cryptography Next Generation API), basata sulla libreria di crittografia open source SymCrypt di Microsoft. SymCrypt fa parte dell'impegno di Microsoft a favore della trasparenza, che include il Programma di sicurezza microsoft per enti pubblici globale che mira a fornire le informazioni di sicurezza riservate e le risorse di cui le persone hanno bisogno per fidarsi dei prodotti e dei servizi Microsoft. Il programma offre accesso controllato al codice sorgente, scambio di informazioni sulle minacce e sulle vulnerabilità, opportunità di interagire con contenuti tecnici su prodotti e servizi Microsoft e accesso a cinque Centri trasparenza distribuiti a livello globale. Gli sviluppatori di applicazioni possono usare le API per eseguire operazioni di crittografia di basso livello (BCrypt), operazioni di archiviazione delle chiavi (NCrypt), proteggere i dati statici (DPAPI) e condividere in modo sicuro i segreti (DPAPI-NG).
Windows include il supporto per la famiglia SHA-3 di funzioni hash e funzioni derivate da SHA-3 (SHAKE, cSHAKE e KMAC). Queste sono le funzioni hash standardizzate più recenti del National Institute of Standards and Technology (NIST) ed è possibile usarle tramite la libreria CNG di Windows:
- Funzioni hash SHA-3 supportate: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 non è supportato)
- Algoritmi HMAC SHA-3 supportati: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512
- Algoritmi derivati da SHA-3 supportati: funzioni di output estendibile (XOF) (SHAKE128, SHAKE256), XOFs personalizzabili (cSHAKE128, cSHAKE256) e KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Crittografia post-quantistica
All'inizio di quest'anno è stato condiviso il supporto per gli algoritmi post-quantistici (ML-KEM, ML-DSA) nella libreria di crittografia principale SymCrypt. Questa versione è stata seguita con il supporto in Windows Insider tramite CNG e le funzioni di messaggistica certificate e Cryptographic. Siamo lieti di estendere questo supporto alla build Windows 11 più recente.
L'uso di ML-KEM negli scenari in cui si desidera l'incapsulamento della chiave pubblica o lo scambio di chiavi può aiutare a prepararsi per il raccolto ora, decrittografare minacce successive .
Di seguito sono riportati i set di parametri supportati:
| Algoritmo | Dimensioni della chiave pubblica | Dimensioni del testo crittografato | Dimensioni del segreto condiviso | Livello di sicurezza NIST |
|---|---|---|---|---|
| ML-KEM 512 | 800 byte | 768 byte | 32 byte | Livello 1 |
| ML-KEM 768 | 1.184 byte | 1.088 byte | 32 byte | Livello 3 |
| ML-KEM 1024 | 1.568 byte | 1.568 byte | 32 byte | Livello 5 |
L'aggiunta di ML-DSA nell'API di crittografia: CNG (Next Generation) consente agli sviluppatori di iniziare a sperimentare algoritmi PQC per scenari che richiedono la verifica dell'identità, dell'integrità o dell'autenticità usando firme digitali.
Di seguito sono riportati i set di parametri supportati:
| Algoritmo | Dimensioni della chiave pubblica | Dimensioni della chiave privata | Dimensioni della firma | Livello di sicurezza NIST |
|---|---|---|---|---|
| ML-DSA-44 | 1.312 byte | 2.560 byte | 2.420 byte | Livello 2 |
| ML-DSA-65 | 1.952 byte | 4.032 byte | 3.309 byte | Livello 3 |
| ML-DSA-87 | 2.592 byte | 4.896 byte | 4.627 byte | Livello 5 |
Visitare la pagina dello sviluppatore di crittografia per altre informazioni su come iniziare.
Certificati
Per proteggere e autenticare le informazioni, Windows offre un supporto completo per i certificati e la gestione dei certificati. Usare l'utilità da riga di comando per la gestione dei certificati predefinita (certmgr.exe) o lo snap-in mmc (Microsoft Management Console) (certmgr.msc) per visualizzare e gestire certificati, elenchi di certificati attendibili (CCL) ed elenchi di revoche di certificati (CRL). Ogni volta che si usa un certificato in Windows, il sistema verifica che il certificato foglia e tutti i certificati nella relativa catena di attendibilità non vengano revocati o compromessi. I certificati radice e intermedi attendibili e i certificati revocati pubblicamente nel computer fungono da riferimento per l'attendibilità PKI (Public Key Infrastructure) e vengono aggiornati mensilmente dal programma Radice attendibile Microsoft. Se viene revocato un certificato attendibile o una radice, tutti i dispositivi globali vengono aggiornati, in modo che gli utenti possano considerare attendibile che Windows protegga automaticamente dalle vulnerabilità nell'infrastruttura a chiave pubblica. Per le distribuzioni cloud ed aziendali, Windows offre anche agli utenti la possibilità di registrare e rinnovare automaticamente i certificati in Active Directory con criteri di gruppo per ridurre il rischio di potenziali interruzioni a causa della scadenza o della configurazione errata del certificato.
Firma e integrità del codice
Per garantire che i file di Windows siano attendibili e non siano stati manomessi, il processo di integrità del codice di Windows verifica la firma di ogni file eseguito nel kernel di Windows. Nei sistemi che applicano il controllo smart app o un criterio controllo app per le aziende, Windows estende la verifica dell'integrità del codice a ogni file binario in modalità utente che viene eseguito. La firma del codice è fondamentale per stabilire l'integrità di firmware, driver e software nella piattaforma Windows. La firma del codice crea una firma digitale crittografando l'hash del file con la chiave privata da un certificato di firma del codice e incorporando tale firma nel file o in un catalogo di firme. Il processo di integrità del codice di Windows verifica l'integrità del file firmato confrontandone l'hash con l'hash firmato e conferma che il firmatario è un autore attendibile.
L'ambiente Windows valuta la firma digitale nel codice di avvio di Windows, nel codice del kernel Windows e nelle applicazioni in modalità utente di Windows. Prima dell'esecuzione dell'integrità del codice, l'avvio protetto verifica la firma nei caricatori di avvio, nelle VM di opzione e in altri componenti di avvio per assicurarsi che i file non siano modificati e provengano da un autore attendibile e attendibile. Per i driver che Microsoft non pubblica, l'integrità del codice in modalità kernel verifica la firma nei driver del kernel e richiede che i driver siano firmati da Windows o certificati dal programma di compatibilità hardware di Windows (WHCP). Questo programma garantisce che i driver di terze parti siano compatibili con vari hardware e Windows e che i driver proveniranno da sviluppatori di driver controllati.
Attestazione dell'integrità dei dispositivi
Il processo di attestazione integrità dispositivi Windows supporta un paradigma Zero Trust che sposta lo stato attivo dai perimetri statici basati sulla rete a utenti, asset e risorse. Il processo di attestazione conferma che il dispositivo, il firmware e il processo di avvio sono in buono stato e non vengono manomessi prima di poter accedere alle risorse aziendali. Il processo esegue queste determinazioni con i dati archiviati nel TPM, che fornisce una radice di attendibilità sicura. Le informazioni vengono inviate a un servizio di attestazione, ad esempio attestazione di Azure per verificare che il dispositivo si trova in uno stato attendibile. Una soluzione di gestione dei dispositivi nativa del cloud, ad esempio Microsoft Intune[3], esamina l'integrità dei dispositivi e connette queste informazioni con Microsoft Entra ID[3] per l'accesso condizionale.
Windows include molte funzionalità di sicurezza che consentono di proteggere gli utenti da malware e attacchi. Tuttavia, i componenti di sicurezza sono attendibili solo se la piattaforma viene avviata come previsto e non viene manomesso. Come indicato in precedenza, Windows si basa su Unified Extensible Firmware Interface (UEFI) Secure Boot, ELAM, DRTM, Trusted Boot e altre funzionalità di sicurezza hardware e firmware di basso livello per proteggere il PC dagli attacchi. Dal momento in cui si accende il PC fino all'avvio dell'antimalware, Windows è supportato con le configurazioni hardware appropriate che consentono di proteggere l'utente. Avvio misurato, implementato da bootloader e BIOS, verifica e registra in modo crittografico ogni passaggio dell'avvio in modo concatenato. Questi eventi sono associati al TPM, che funziona come radice hardware di attendibilità. L'attestazione remota è il meccanismo tramite il quale un servizio legge e verifica questi eventi per fornire un report verificabile, imparziale e resiliente alle manomissioni. L'attestazione remota è il revisore attendibile dell'avvio del sistema, che consente alle parti attendibili di associare l'attendibilità al dispositivo e alla relativa sicurezza.
Di seguito è riportato un riepilogo dei passaggi necessari per l'attestazione e Zero Trust in un dispositivo Windows:
- Durante ogni passaggio del processo di avvio, ad esempio un caricamento di file, l'aggiornamento di variabili speciali e altro ancora, le informazioni, ad esempio gli hash dei file e le firme, vengono misurate nel registro di configurazione della piattaforma TPM. Una specifica trusted computing group associa le misurazioni e determina quali eventi possono essere registrati e il formato di ogni evento. I dati forniscono informazioni importanti sulla sicurezza dei dispositivi dal momento in cui vengono attivati.
- Dopo l'avvio di Windows, l'attestor (o il verificatore) richiede al TPM di ottenere le misurazioni archiviate nei relativi PCR insieme al log di avvio misurato. Insieme, queste misurazioni costituiscono l'evidenza di attestazione inviata al servizio attestazione di Azure.
- Il servizio certificati Azure verifica il TPM usando le chiavi o il materiale di crittografia disponibile nel chipset.
- Il servizio attestazione di Azure riceve le informazioni precedenti per verificare che il dispositivo si trova in uno stato attendibile.
Ulteriori informazioni
Impostazioni e controllo dei criteri di sicurezza di Windows
Le impostazioni dei criteri di sicurezza svolgono un ruolo fondamentale nella strategia di sicurezza complessiva. Windows offre un set completo di criteri di impostazione di sicurezza che gli amministratori IT possono usare per proteggere i dispositivi Windows e altre risorse nell'organizzazione. È possibile configurare le impostazioni dei criteri di sicurezza in uno o più dispositivi per controllare:
- Autenticazione utente in una rete o in un dispositivo
- Risorse a cui gli utenti possono accedere
- Se registrare le azioni di un utente o di un gruppo nel registro eventi
- Appartenenza a un gruppo
Il controllo della sicurezza è uno degli strumenti più potenti che è possibile usare per mantenere l'integrità della rete e degli asset. Il controllo può aiutare a identificare attacchi, vulnerabilità di rete e minacce contro destinazioni di alto valore. È possibile specificare categorie di eventi correlati alla sicurezza per creare criteri di controllo personalizzati in base alle esigenze dell'organizzazione usando i provider di servizi di configurazione (CSP) o i criteri di gruppo.
Tutte le categorie di controllo vengono disabilitate quando si installa Windows per la prima volta. Prima di abilitarli, seguire questa procedura per creare un criterio di controllo della sicurezza efficace:
- Identificare le risorse e le attività più critiche.
- Identificare le impostazioni di controllo necessarie per monitorarle.
- Valutare i vantaggi e i costi potenziali associati a ogni risorsa o impostazione.
- Testare queste impostazioni per convalidare le scelte.
- Sviluppare piani per la distribuzione e la gestione dei criteri di controllo.
Ulteriori informazioni
Stampa protetta da Windows
La stampa protetta da Windows offre un sistema di stampa moderno e sicuro che ottimizza la compatibilità e mette gli utenti al primo livello. Semplifica l'esperienza di stampa consentendo ai dispositivi di stampare esclusivamente usando lo stack di stampa moderno di Windows.
I vantaggi della stampa protetta di Windows includono:
- Maggiore sicurezza del PC
- Esperienza di stampa semplificata e coerente, indipendentemente dall'architettura del PC
- Rimuove la necessità di gestire i driver di stampa
La stampa protetta da Windows funziona solo con stampanti certificate Mopria. Molte stampanti esistenti sono già compatibili.
Ulteriori informazioni
Rust per Windows
Rust è un linguaggio di programmazione moderno noto per la sua attenzione alla sicurezza, alle prestazioni e alla concorrenza. Impedisce errori di programmazione comuni, ad esempio la dereferenziazione dei puntatori Null e gli overflow del buffer, che possono causare vulnerabilità e arresti anomali della sicurezza. Rust ottiene questa protezione tramite il sistema di proprietà univoco, che garantisce la sicurezza della memoria senza la necessità di un Garbage Collector. Stiamo espandendo l'integrazione di Rust nel kernel windows per migliorare la sicurezza e l'affidabilità della codebase di Windows. Questa mossa strategica sottolinea il nostro impegno ad adottare tecnologie moderne per migliorare la qualità e la sicurezza di Windows.
Ulteriori informazioni
Funzionalità sysmon
La funzionalità Sysmon sarà presto disponibile in Windows. La funzionalità Sysmon in Windows offre segnali di rilevamento delle minacce facili da attivare, avanzati e personalizzabili valutati dai team di sicurezza aziendali, dai fornitori di sicurezza di terze parti e da altri partner. La prossima versione della funzionalità Sysmon in Windows consente di semplificare le operazioni, ridurre gli oneri di distribuzione e aumentare significativamente la visibilità nei log di Windows. Con questa funzionalità, i team di sicurezza possono identificare le minacce in modo più rapido ed efficiente.
Ulteriori informazioni