Dal 20 settembre 2022 Microsoft sta distribuendo l’aggiornamento “22H2” di Windows 11 che si può anche definire “Windows 11 2022 Update”, considerando la volontà della casa di Redmond di rilasciare solo una versione annuale degli aggiornamenti di funzionalità in luogo delle due ricadenti in primavera e in autunno di ogni anno. Nella stessa data, a distanza di circa un anno dal precedente rilascio, Microsoft ha annunciato la disponibilità di una nuova security baseline per Windows 11 con l’aggiornamento di versione 22H2, scaricabile come parte del Microsoft Security Compliance Toolkit.
Windows 365 Cloud PC: security by design e zero trust per il lavoro ibrido e a distanza
Indice degli argomenti
Cos’è per Microsoft la security baseline
Una security baseline è un insieme di impostazioni di configurazione consigliate e preconfigurate da Microsoft corredate da opportune spiegazioni sulle implicazioni per la sicurezza e sono basate sul feedback ricevuto dai team di Microsoft per la progettazione della sicurezza oltre che dai partner e clienti stessi.
Queste impostazioni granulari di sicurezza delle baseline, possono essere analizzate, testate e personalizzate in modo da poter scegliere di applicare solo le impostazioni e i valori necessari o quelli ritenuti adeguati alla propria organizzazione.
Rappresentano un vantaggio essenziale per i clienti di Microsoft proprio perché consentono di ottenere informazioni approfondite predisposte dai team di sicurezza del produttore, per mettere in condizione i professionisti IT di fronteggiare il panorama in continua evoluzione delle minacce per la sicurezza.
Le baseline di sicurezza sono disponibili in formati già predisposti e comunque personalizzabili, per cui possono essere adottate a livello aziendale, le opportune impostazioni di sicurezza volte a mitigare i rischi di sicurezza, con distribuzioni più veloci e semplificate.
Uno sguardo allo stato della sicurezza
David Weston, Vicepresidente, Enterprise e sicurezza del sistema operativo Windows, in un articolo del security blog di Microsoft datato 20 settembre 2022, in cui descrive orgogliosamente le nuove funzionalità di sicurezza di Windows 11, riferisce:
“Gli aggressori sono in continua evoluzione, diventando sempre più sofisticati e distruttivi: il tempo medio per un utente malintenzionato per accedere ai tuoi dati privati se sei vittima di un’e-mail di phishing è di 1 ora e 12 minuti. Microsoft tiene traccia di più di 35 famiglie di ransomware e di oltre 250 aggressori unici di stati nazione, criminali informatici e altri attori. Abbiamo un’intelligence sulle minacce senza precedenti—elaborazione di oltre 43 trilioni di segnali al giorno, inclusi 2,5 miliardi di query giornaliere agli endpoint e 921 attacchi con password bloccati ogni secondo. Lavoriamo al fianco di oltre 15.000 partner nel nostro ecosistema di sicurezza e abbiamo più di 8.500 ingegneri, ricercatori, data scientist, esperti di sicurezza informatica, cacciatori di minacce, analisti geopolitici, investigatori e soccorritori in prima linea in 77 paesi. Combiniamo l’intelligenza umana e della macchina con l’IA integrata per imparare continuamente dal panorama degli attacchi e abbiamo un team dedicato, Microsoft Offensive Research and Security Engineering (MORSE), che lavora per fermare le minacce prima che raggiungano il tuo dispositivo. Tutto questo entra nel processo di progettazione per fornire un Windows più sicuro con ogni versione.”
Molto interessante anche il report semestrale sulla Sicurezza 2022 di Trend Micro che indica l’Italia come primo paese in Europa ad aver subito più attacchi ransomware e settimo al mondo. Per MacroMalware il nostro paese è primo in Europa e terzo a livello mondiale – mentre per malware in Europa siamo preceduti solo da Regno Unito oltre che essere il sesto paese più colpito al mondo.
Il report evidenzia che, a livello globale, nella prima metà del 2022, è aumentato il rilevamento di attacchi Ransomware-as-a-service. I principali ransomware come LockBit e Conti hanno fatto registrare incredibili aumenti del 500% su base annua e quasi raddoppiato il numero di rilevamenti in sei mesi.
Primati molto preoccupanti e, informaticamente parlando, decisamente tristi, per cui senza alcun dubbio abbiamo bisogno di linee guida di base per la sicurezza.
La security baseline si evolve di pari passo con le minacce
Accedendo al Microsoft Security Compliance Toolkit, tra i download è disponibile il file Baseline.zip di sicurezza di Windows 11 versione 22H2 che, una volta scaricato, ci propone alcune cartelle tra le quali Documentation. Microsoft ha predisposto un file PDF di sintesi con le novità della versione 22H2 e due file Excel rispettivamente contenenti:
- la baseline 22H2 completa (file MS Security Baseline Windows 11 v22H2.xlsx)
- le differenze tra la versione 21H2 e 22H2 (Windows 11 21H2 to 22H2 Deltas.xlsx)
Le funzionalità della nuova security baseline sono numerose e riguardano protezioni aggiuntive relative alla sicurezza di hardware e driver, furto di credenziali, stampanti, DNS e blocco dell’account.
Come per le altre security baseline, oltre alla documentazione contenente file XLSX e PDF con la descrizione dettagliata delle impostazioni applicate nella security baseline, sono disponibili, tra l’altro, nella directory “GP Reports” i file HTML che producono report con le impostazioni GPO da applicare e nella directory “GPO” gli oggetti per i diversi scenari anche con la possibilità di importare i criteri nella console di Gestione criteri di gruppo (GPMC).
Una volta verificata con attenzione la documentazione, si può conseguire il vero scopo del pacchetto importando le policy della nuova baseline di sicurezza in ambito locale (file Baseline-LocalInstall.ps1) o in AD (Baseline-ADImport.ps1) utilizzando gli script PowerShell presenti nella directory Scripts.
Fortemente consigliato l’utilizzo preventivo del tool “PolicyAnalyzer” per analizzare le Group Policy esistenti e confrontarle con le policy di riferimento nella security baseline (tool anch’esso scaricabile dal Microsoft Security Compliance Toolkit).
Windows 11 security baseline: le nuove policy
Kernel Mode Hardware Enforced Stack Protection
Tra quelle presenti nella nuova security baseline di Windows 11, l’aggiunta di maggior rilievo è la protezione aggiuntiva a livello di hardware per il codice del kernel, che salvaguarda l’hardware da exploit non autorizzati e automatici, impedendo l’esecuzione di codice arbitrario.
Questa impostazione è all’interno di Criteri di gruppo alla voce: Computer Configuration\ AdministrativeTemplates\System\Device Guard\Turn on Virtualization Based Security.
In modalità enforcement, la baseline di sicurezza 22H2 configura questa impostazione come Abilitata, ovviamente se la piattaforma hardware la supporta considerando che viene richiesto un processore a partire da Intel Tiger Lake o AMD Zen3.
Un altro vincolo è HVCI (Virtualization Based Protection of Code Integrity) che per impostazione predefinita è abilitata su tutti i nuovi dispositivi Windows 11. HVCI utilizza VBS per eseguire l’integrità del codice in modalità kernel (KMCI) all’interno dell’ambiente VBS sicuro anziché nel kernel principale di Windows. Questo aiuta a prevenire gli attacchi che tentano di modificare il codice in modalità kernel, come i driver. Il ruolo KMCI consiste nel verificare che tutto il codice del kernel sia firmato correttamente e non sia stato manomesso prima che sia consentito l’esecuzione.
Quindi le aziende che si discostano da HVCI nel seguire quanto previsto nella security baseline, non possono abilitare la protezione dello stack applicata dall’hardware in modalità kernel.
Tra le note riportate nella 22H2 si legge l’invariabile consiglio di testare l’adattabilità di tale funzionalità per assicurare che un driver incompatibile non porti a instabilità, sebbene siano evenienze improbabili.
Protezione avanzata dal phishing
Questa nuova feature è presente all’interno di Criteri di gruppo alla voce: Windows Components\Windows Defender SmartScreen\Enhanced Phishing Protection ed è volta ad assicurare che le credenziali aziendali non possano essere utilizzate per scopi dannosi o non intenzionali.
Utile per proteggere meglio gli utenti aziendali (suppongo riguardi la stragrande maggioranza delle organizzazioni) che fanno ancora affidamento su un nome utente e una password per l’autenticazione di Windows.
Una volta che questa funzionalità della baseline di sicurezza viene attivata (viene abilitato un servizio), garantirà che le credenziali aziendali utilizzate nel sistema siano adeguatamente monitorate e controllate, grazie all’infrastruttura di sicurezza di Microsoft Defender SmartScreen.
Vediamo di seguito scenari concreti di applicazione.
Impostazione attiva per Notify Malicious – Un utente inserisce le proprie credenziali in un sito noto di phishing o dannoso – il servizio avvisa l’utente come illustrato di seguito.
Impostazione attiva per Notify Password Reuse – Se un utente di un’organizzazione riutilizza le proprie credenziali aziendali in un’altra applicazione o sito web – viene visualizzata e registrata una notifica, come da immagine che segue.
Impostazione attiva per Notify Unsafe App – Se l’utente decide di salvare le proprie password in Blocco note, WordPad o altre applicazioni di Office – questa attività viene registrata con Microsoft Defender per Endpoint e l’utente viene informato dell’attività, come illustrato di seguito.
Anche per Protezione avanzata dal phishing, tra le note riportate nella security baseline 22H2, si legge un suggerimento che può apparire superfluo, vale a dire di informare preventivamente il personale di sicurezza e gli utenti finali su questa funzionalità e su come aiuta a mantenere le credenziali protette.
Stampanti
Diverse nuove impostazioni sono abilitate in Administrative Templates\Printers per proteggere le aziende negli scenari di stampa, le cui principali possono essere così sintetizzate.
“RedirectionGuard” – è un supporto di sicurezza aggiunto al servizio di stampa che che impedisce l’uso di primitive di reindirizzamento non create dall’amministrazione all’interno di un determinato processo.
“Configure RPC connection and Configure RPC listener” – forza l’uso di TCP a fronte dello storico uso di Named Pipes permessi con gli spoolers di stampa.
“Configure RPC over TCP port” – assicura che le connessioni in entrata e in uscita siano predefinite su una porta TCP dinamica.
“Limit print driver installation to Administrators” – questa impostazione è autosplicativa.
DNS Hardening
Per quanto l’impostazione Configure DNS over HTTPS (DoH) name resolution sia consigliata, non fa parte della security baseline (sarà adottata in una futura release). Tuttavia nella baseline 22H2 viene illustrato come abilitarla manualmente, se si vuole utilizzare il DNS crittografato.
Configure NetBIOS settings
In modo predefinito l’impostazione The setting Configure NetBIOS settings, (Administrative Templates\Network\DNS Client), è abilitata, con un sub value di “Disable NetBIOS name resolution on public networks” sulle reti pubbliche. Se applicabile in azienda, si valuti di disabilitare questa impostazione della risoluzione dei nomi NetBIOS.
In una versione futura della security baseline, tutta la risoluzione dei nomi su NetBIOS verrà disabilitata.
Credential Theft Protection
Windows consente l’uso di provider personalizzati di supporto per la sicurezza e provider di autenticazione per estendere le funzionalità di autenticazione disponibili durante il flusso di accesso, oltre a quelle supportate nativamente da Windows.
Questi provider vengono caricati in LSASS (Local Security Authority Subsystem Service) e per quanto possano fornire una funzione legittima, in quanto pacchetti di sicurezza personalizzati, possono anche essere utilizzati in modo improprio dagli aggressori per ottenere persistenza o per accedere e rubare le credenziali archiviate in Windows.
Per meglio proteggere questo scenario è stata aggiunta una nuova impostazione Allow Custom SSPs and APs to be loaded into LSASS che limita il caricamento di pacchetti di sicurezza personalizzati, con il consiglio disabilitarli a meno che non si conosca il pacchetto personalizzato in uso.
La sezione Credential Theft Protection, nella baseline di sicurezza di Windows 11 22H2, include anche altri due elementi di protezione dal furto delle credenziali con le impostazioni “Configure LSASS to run as a protected process“ e l’abilitazione di “Multiple Provider Router (MPR)”, per limitare il caricamento di pacchetti di sicurezza personalizzati e bloccare la divulgazione della password ai provider.
Attack Surface Reduction
Ulteriore nuova regola è Block abuse of exploited vulnerable signed drivers come parte dell’oggetto Criteri di gruppo di Microsoft Defender Antivirus, utile ad impedire ad un’applicazione di scrivere su disco un driver firmato vulnerabile.
Account Lockout Policies
Ulteriore policy aggiunta è Allow Administrator account lockout, posta in Security Settings\Account Policies\Account Lockout Policy per mitigare gli attacchi di autenticazione a forza bruta.
Conclusioni
Microsoft con il rilascio del primo grande aggiornamento di Windows 11 22H2 e la parallela pubblicazione della security baseline corrispondente, ha ripensato alla sicurezza in un’ottica di blocco di determinati tipi di minacce per impostazione predefinita ricorrendo a protezioni aggiuntive su aspetti centrali per la sicurezza dell’hardware e dei driver, per contrastare maggiormente il furto di credenziali, l’abuso di stampanti e blocco degli account administrator.
Non rientra specificamente nella security baseline 22H2, ma possiamo citare a margine di quest’articolo la funzionalità “Smart App Control” rilasciata con l’upgrade Windows 11 22H2, progettata per mantenere i PC liberi da malware impedendo agli utenti di eseguire app sconosciute e non affidabili.
Leggeremo presto su questi argomenti qualche nuova discussione sul blog Security Baseline Community.
