Sicurezza hardware di Windows
Altre informazioni sul supporto delle funzionalità di sicurezza hardware in Windows.
Radice dell'attendibilità hardware
| Nome della funzionalità | Descrizione |
|---|---|
| Protezione del sistema di Windows Defender | Nei PC con core protetti, Windows Defender Protezione del sistema avvio sicuro protegge l'avvio con una tecnologia nota come radice dinamica di attendibilità per la misurazione (DRTM). Con DRTM, il sistema segue inizialmente il normale processo di avvio protetto UEFI. Tuttavia, prima dell'avvio, il sistema entra in uno stato attendibile controllato dall'hardware che forza la CPU verso il basso di un percorso di codice protetto dall'hardware. Se un rootkit/bootkit malware ha ignorato l'avvio protetto UEFI e risiede in memoria, DRTM impedirà l'accesso ai segreti e al codice critico protetto dall'ambiente di sicurezza basato sulla virtualizzazione. La tecnologia di riduzione della superficie di attacco del firmware può essere usata al posto di DRTM nei dispositivi di supporto, ad esempio Microsoft Surface. |
| Trusted Platform Module (TPM) | I TPM offrono vantaggi in termini di sicurezza e privacy per l'hardware del sistema, i proprietari della piattaforma e gli utenti. Windows Hello, BitLocker, Windows Defender Protezione del sistema e altre funzionalità di Windows si basano sul TPM per funzionalità quali generazione di chiavi, archiviazione sicura, crittografia, misurazioni dell'integrità di avvio e attestazione. La versione 2.0 della specifica include il supporto per gli algoritmi più recenti, che possono migliorare la firma del driver e le prestazioni di generazione delle chiavi. A partire da Windows 10, la certificazione hardware di Microsoft richiede che tutti i nuovi PC Windows includano TPM 2.0 integrato e abilitato per impostazione predefinita. Con Windows 11, i dispositivi nuovi e aggiornati devono avere TPM 2.0. |
| Microsoft Plutone | I processori di sicurezza Microsoft Pluton sono progettati da Microsoft in collaborazione con i partner di silicio. Pluton migliora la protezione dei dispositivi Windows con una radice di attendibilità hardware che fornisce una protezione aggiuntiva per le chiavi crittografiche e altri segreti. Pluton è progettato per ridurre la superficie di attacco in quanto integra il chip di sicurezza direttamente nel processore. Può essere usato con un TPM 2.0 discreto o come processore di sicurezza autonomo. Quando la radice dell'attendibilità si trova in un chip distinto e discreto nella scheda madre, il percorso di comunicazione tra la radice dell'attendibilità e la CPU può essere vulnerabile agli attacchi fisici. Pluton supporta lo standard di settore TPM 2.0, consentendo ai clienti di trarre immediatamente vantaggio dalla sicurezza avanzata nelle funzionalità di Windows che si basano su TPM, tra cui BitLocker, Windows Hello e Windows Defender Protezione del sistema. Oltre a fornire la radice dell'attendibilità, Pluton supporta anche altre funzionalità di sicurezza oltre a quanto possibile con la specifica TPM 2.0 e questa estendibilità consente di distribuire nel tempo altre funzionalità del firmware e del sistema operativo Pluton tramite Windows Update. Sono disponibili dispositivi Windows 11 abilitati per Plutone e la selezione delle opzioni con Plutone sta crescendo. |
Sicurezza assistita da processore
| Nome della funzionalità | Descrizione |
|---|---|
| Sicurezza basata su virtualizzazione (VBS) | Oltre a una moderna radice dell'attendibilità hardware, esistono numerose altre funzionalità nei chip più recenti che proteggono il sistema operativo dalle minacce, ad esempio proteggendo il processo di avvio, proteggendo l'integrità della memoria, isolando la logica di calcolo sensibile alla sicurezza e altro ancora. Due esempi includono la sicurezza basata su virtualizzazione (VBS) e l'integrità del codice protetta da Hypervisor (HVCI). La sicurezza basata su virtualizzazione( VBS), nota anche come isolamento di base, è un blocco predefinito critico in un sistema sicuro. VBS usa le funzionalità di virtualizzazione hardware per ospitare un kernel sicuro separato dal sistema operativo. Ciò significa che anche se il sistema operativo è compromesso, il kernel sicuro rimane protetto. A partire da Windows 10, tutti i nuovi dispositivi devono essere forniti con il supporto del firmware per VBS e HCVI abilitato per impostazione predefinita nel BIOS. I clienti possono quindi abilitare il supporto del sistema operativo in Windows. Con le nuove installazioni di Windows 11, il supporto del sistema operativo per VBS e HVCI è attivato per impostazione predefinita per tutti i dispositivi che soddisfano i prerequisiti. |
| Integrità del codice protetta da Hypervisor (HVCI) | L'integrità del codice protetta da Hypervisor (HVCI), detta anche integrità della memoria, usa VBS per eseguire l'integrità del codice in modalità kernel (KMCI) all'interno dell'ambiente VBS sicuro anziché nel kernel windows principale. Ciò consente di evitare attacchi che tentano di modificare il codice in modalità kernel, ad esempio i driver. Il ruolo KMCI consiste nel verificare che tutto il codice del kernel sia firmato correttamente e che non sia stato manomesso prima che sia consentito l'esecuzione. HVCI consente di garantire che solo il codice convalidato possa essere eseguito in modalità kernel. A partire da Windows 10, tutti i nuovi dispositivi devono essere forniti con il supporto del firmware per VBS e HCVI abilitato per impostazione predefinita nel BIOS. I clienti possono quindi abilitare il supporto del sistema operativo in Windows. Con le nuove installazioni di Windows 11, il supporto del sistema operativo per VBS e HVCI è attivato per impostazione predefinita per tutti i dispositivi che soddisfano i prerequisiti. |
| Protezione dello stack applicata dall'hardware. | La protezione dello stack applicata dall'hardware integra software e hardware per una difesa moderna contro minacce informatiche come il danneggiamento della memoria e gli exploit zero-day. In base alla tecnologia di imposizione del flusso di controllo (CET) di Intel e AMD Shadow Stacks, la protezione dello stack applicata dall'hardware è progettata per proteggere dalle tecniche di exploit che tentano di dirottare gli indirizzi restituiti nello stack. |
| Protezione DMA (Kernel Direct Memory Access) | La protezione DMA del kernel protegge dalle periferiche esterne dall'accesso non autorizzato alla memoria. Le minacce fisiche, ad esempio gli attacchi DMA (Direct Memory Access) drive-by, in genere si verificano rapidamente mentre il proprietario del sistema non è presente. I dispositivi plug a caldo PCIe come Thunderbolt, USB4 e CFexpress consentono agli utenti di collegare nuove classi di periferiche esterne, incluse schede grafiche o altri dispositivi PCI, ai pc con la facilità plug-and-play di USB. Poiché le porte di connessione ad accesso frequente PCI sono esterne e facilmente accessibili, i dispositivi sono soggetti ad attacchi DMA drive-by. |
PC con core protetto
| Nome della funzionalità | Descrizione |
|---|---|
| Protezione del firmware del PC con core protetto | Microsoft ha collaborato con i partner OEM per offrire una categoria speciale di dispositivi denominata PC con core protetti. I dispositivi sono dotati di misure di sicurezza aggiuntive abilitate a livello di firmware, o core del dispositivo, alla base di Windows. I PC di base protetti consentono di prevenire gli attacchi di malware e ridurre al minimo le vulnerabilità del firmware avviando uno stato pulito e attendibile all'avvio con una radice di attendibilità applicata dall'hardware. La sicurezza basata su virtualizzazione viene abilitata per impostazione predefinita. Con la memoria del sistema di schermatura HVCI (Hypervisor Protected Code Integrity) incorporata, i PC con core protetti assicurano che tutti gli eseguibili siano firmati solo da autorità note e approvate. I PC con core protetti proteggono anche da minacce fisiche, ad esempio attacchi DMA (Direct Memory Access) drive-by. |
| Blocco della configurazione con core protetto | Il blocco della configurazione con core protetto è una funzionalità SCPC (Secured-Core PC) che impedisce agli utenti di apportare modifiche indesiderate alle impostazioni di sicurezza. Con il blocco di configurazione, il sistema operativo monitora le chiavi del Registro di sistema che configurano ogni funzionalità e, quando rileva una deriva, ripristina lo stato SCPC desiderato dall'IT in pochi secondi. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per