Windows 11: ecco tutto quello che devono sapere i professionisti della sicurezza - Cyber Security 360

SECURITY BY DEFAULT

Windows 11: ecco tutto quello che devono sapere i professionisti della sicurezza

Sono tante le novità in Windows 11 in materia di sicurezza, ma il reale grande progresso del nuovo sistema operativo rispetto al suo predecessore è l’attivazione per impostazione predefinita, by default, delle funzionalità che erano facoltative in Windows 10. Ecco tutto quello che c’è da sapere

08 Ott 2021
A
Claudio Augusto

Chief Information Officer / IT Manager

La data fatidica preannunciata da Microsoft del 5 ottobre è arrivata e la release ufficiale di Windows 11 è disponibile, accompagnata dalla “curiosa” definizione “il Windows più sicuro di sempre”, riportata ovunque nelle documentazioni commerciali e tecniche del colosso di Redmond.

Sarebbe parso ben strano e divertente che l’ultima versione di Windows fosse meno sicura delle precedenti. Sta di fatto che con questa definizione Microsoft intende ostinatamente sottolineare un diverso approccio strategico utilizzato nella versione 11 di Windows: la sicurezza.

La necessità della sicurezza

Anche Microsoft ha dovuto fare i conti con l’esponenziale crescita dei bisogni di sicurezza informatica manifestatisi nell’ultimo anno e mezzo, durante i quali ogni azienda ha visto espandere il proprio luogo di lavoro rendendo immediatamente reali e concreti concetti quali: lavoro remoto e lavoro ibrido. Parallelamente, queste esperienze hanno manifestato, nella stessa misura esponenziale, la crescita di nuove minacce e rischi informatici.

Microsoft ha avuto precisa consapevolezza di questi enormi fenomeni visto che, tra l’altro, nel 2020 ha protetto i clienti da 30 miliardi di minacce e-mail, da 6 miliardi di minacce ai dispositivi endpoint e ha elaborato oltre 30 miliardi di autenticazioni.

Tanta attenzione sulla sicurezza, Microsoft l’ha già applicata al cloud ugualmente con la recente soluzione Windows 365 Cloud PC proponendo modelli security by design e zero trust per il lavoro ibrido e a distanza.

Ma cosa poteva essere fatto per gli strumenti che non hanno una protezione nel cloud?

Proprio da uno studio commissionato da Microsoft è emerso uno smisurato aumento di attacchi al firmware (80% delle aziende ha subito almeno un attacco al firmware negli ultimi due anni) a fronte del fatto che le aziende non prestano abbastanza attenzione alla protezione di questo livello critico.

Da qui la risposta di sicurezza di Microsoft: protezione dal chip al cloud.

Attacco al firmware, un problema di cyber security: ecco perché

Windows 11: sicurezza per impostazione predefinita

Security by default è l’espressione che condensa le novità di sicurezza in Windows 11. Microsoft ha trasferito in questa versione del sistema operativo tutta l’esperienza accumulata dal 2019 collaborando con i principali produttori di firmware e hardware per creare una nuova classe di PC Secured-core e un nuovo processore specifico per la sicurezza, Microsoft Pluton, che ridefinisce la sicurezza di Windows sulla CPU.

È noto che certi livelli di sicurezza sono raggiungibili solo con l’isolamento e Windows 11 è stato costruito su questo concetto: isolare il software dall’hardware. Microsoft ritiene che, in tal modo, si riesca meglio “a proteggere l’accesso, dalle chiavi di crittografia e le credenziali dell’utente ad altri dati sensibili, dietro una barriera hardware, in modo che malware e aggressori non possano accedere o manomettere tali dati durante il processo di avvio”.

Windows 11, sull’hardware compatibile, è in grado di abilitare maggiori protezioni come Windows Hello, Device Encryption, sicurezza basata sulla virtualizzazione (VBS), integrità del codice protetto dall’hypervisor (HVCI) e Secure Boot. Secondo Microsoft quest’insieme di funzionalità ha dimostrato di ridurre il rischio malware del 60% sui dispositivi oggetto di test.

È tutto veramente nuovo?

È facile rispondere leggendo le dichiarazioni di David Weston, Director of Enterprise and OS Security di Microsoft, che indica il reale grande progresso di Windows 11 rispetto al suo predecessore in materia di sicurezza: attivazione per impostazione predefinita delle funzionalità che erano facoltative in Windows 10.

Quindi funzionalità di sicurezza in parte preesistenti ma attivate in Windows 11 by default. Questo è veramente nuovo.

Lo stesso Weston ha affermato che Windows 10 versione 20H2 è già in grado di utilizzare le funzionalità di sicurezza hardware proprio come Windows 11, con la differenza che bisogna abilitarle manualmente.

L’elemento dirimente, pertanto, non è la versione 11 o 10 di Windows, ma disporre delle caratteristiche hardware che diremo successivamente.

I principali elementi di sicurezza di Windows 11

Non possiamo che partire dai principi del modello zero trust in riferimento all’integrità del dispositivo Windows e per il contenimento dei rischi introdotti sia dai dispositivi che dagli utenti.

Windows 11 abilita come impostazione predefinita l’attestazione dell’integrità del dispositivo e le funzionalità di accesso condizionale, utilizzate per concedere l’accesso alle risorse aziendali.

L’attestazione di integrità è volta a verificare l’identità e lo stato dei componenti essenziali e che il dispositivo, il firmware e il processo di avvio non siano stati alterati. Le informazioni sul firmware, sul processo di avvio e sul software vengono utilizzate per convalidare lo stato di sicurezza del dispositivo.

Queste informazioni sono archiviate con crittografia nel TPM (Trusted Platform Module) del coprocessore di sicurezza. Una volta che il dispositivo è stato verificato, può essere concesso l’accesso alle risorse.

L’accesso condizionale fa precedere un controllo degli elementi di identità per confermare che gli utenti siano chi dicono di essere prima che gli venga concesso l’accesso.

Quindi, tra le funzionalità di sicurezza di Windows 11, le verifiche e attestazioni suddette sono il punto di partenza, visto che l’efficacia di ogni altro componente di sicurezza può essere ottenuta solo se la piattaforma si avvia come previsto e non risulta manomessa.

Dal momento in cui si accende un PC fino all’avvio dell’antimalware, Windows 11 viene supportato con Secure Boot, Trusted Boot e Measured Boot creando un’architettura fondamentalmente resistente a bootkit e rootkit.

Il cambiamento di Windows 11, rispetto alla protezione dello stack applicata dall’hardware, introdotta in Windows 10, è dato dall’estendere il modo di proteggere il codice in esecuzione in modalità kernel e in modalità utente.

Altro concetto chiave nell’approccio di Microsoft alla sicurezza è la virtualizzazione (VBS). VBS esegue Windows su un hypervisor utilizzando, quindi, le stesse tecniche che tengono separati i sistemi operativi guest per creare contesti sicuri e isolati dal sistema operativo principale.

Anche le funzionalità di virtualizzazione così come quelle precedenti riferite all’uso del TPM, sono basate su hardware e sulla disponibilità di potenza adeguate per non vedere inficiate le prestazioni.

Su VBS si basano le seguenti caratteristiche di sicurezza:

  • KDP (Kernel Data Protection) – previene gli attacchi di danneggiamento dei dati proteggendo parti del kernel e dei driver di Windows.
  • HVCI (Hypervisor-protected Code Integrity) – è un componente critico che protegge l’ambiente virtuale eseguendo controlli dell’integrità del codice in modalità kernel al suo interno e limitando le allocazioni di memoria del kernel che potrebbero essere usate per compromettere il sistema.
  • Application Guard – è di fatto una sandbox in cui eseguire Edge e Microsoft Office, per isolare siti web e file di Office non attendibili, limitando i danni che possono causare.
  • Credential Guard – esegue il servizio del sottosistema dell’autorità di sicurezza locale in un contenitore virtuale, che impedisce agli aggressori di scaricare le credenziali e di utilizzarle negli attacchi di tipo pass-the-hash.
  • Windows Hello Enhanced Sign – in questo caso viene usato VBS per isolare il software biometrico e per creare percorsi sicuri verso componenti esterni come la fotocamera e il TPM.

La sicurezza di Windows 11 è disponibile per tutti?

I requisiti critici richiesti per l’esecuzione di Windows 11, sono due:

  • CPU recenti (a partire da ottava generazione di Intel e Zen 2 di AMD – vale a dire le CPU realizzate negli ultimi 4 anni);
  • TPM 2.0.

Queste due connotazioni, in particolare la prima, bastano per ritenere esclusi un numero significativo di PC dall’installazione di Windows 11, anche se è possibile comunque ignorare questi requisiti visto che Microsoft lo sconsiglia ma non lo impedisce. Si tenga però conto che Microsoft, anche se non lo ha confermato, potrebbe non rilasciare aggiornamenti di sicurezza critici se l’installazione viene effettuata utilizzando Media Creation Tool o script (questi ultimi già disponibili online), quindi ignorando i controlli hardware.

Nella pagina dedicata è possibile verificare i requisiti generali richiesti per l’installazione di Windows 11, di poter consultare la lista dei processori supportati e leggere le istruzioni su come il proprio PC possa o meno essere abilitato a soddisfare i requisiti TPM e firmware di sistema.

È sicuramente consigliato di scaricare e utilizzare l’app Controllo integrità del PC per verificare se sono soddisfatti i requisiti per eseguire Windows 11.

Visto il nostro focus sugli aspetti di sicurezza, è assolutamente consigliato per le organizzazioni il ricorso alla Security baseline di Windows 11, pubblicate nella stessa data di uscita del sistema operativo. Si tratta di un insieme di impostazioni di configurazione consigliate da Microsoft in cui si spiega l’impatto sulla sicurezza. Queste impostazioni sono basate sul feedback ricevuto dai team di Microsoft per la progettazione della sicurezza, gruppi di prodotti, partner e clienti.

Conclusioni

Il passaggio a Windows 11, nonostante sia gratuito se eseguito da Windows 10, è senza dubbio influenzato negativamente dal fatto che non potrà essere usato su molti computer, nonostante essi siano perfettamente funzionanti. Anche il termine non a breve del supporto mainstream di Windows 10, ottobre 2025, potrebbe non favorire questa scelta di cambiamento.

Ma se si mette al primo posto, così come va fatto, il continuo miglioramento della sicurezza (gli hacker malevoli si adeguano e si adattano continuamente), non si dovrebbe ritardare di molto il passaggio a Windows 11.

La sicurezza per impostazione predefinita dovrebbe essere una scelta di tutti, non solo di Microsoft.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5