Applicazione del Regolamento generale sulla protezione dei dati (GDPR) per Windows Server
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Questo articolo fornisce informazioni sul GDPR, incluse le informazioni e i prodotti forniti da Microsoft per facilitare la conformità.
Introduzione
Il 25 maggio 2018 entrerà in vigore una legge Europa sulla privacy che stabilisce un nuovo standard globale per diritti di privacy, sicurezza e conformità.
Il Regolamento generale sulla protezione dei dati, o GDPR, riguarda fondamentalmente la protezione e l'applicazione dei diritti di privacy delle persone. Il GDPR stabilisce rigorosi requisiti di privacy globali che regolano la modalità di gestione e protezione dei dati personali rispettando al tempo stesso la scelta individuale indipendentemente dalla posizione in cui vengono inviati, elaborati o archiviati i dati.
Microsoft e i nostri clienti sono ora in un percorso per raggiungere gli obiettivi di privacy del GDPR. Microsoft ritiene che la privacy sia un diritto fondamentale e che il GDPR sia un passo avanti importante per chiarire e applicare i diritti sulla privacy dei singoli. Tuttavia, sappiamo anche che il GDPR richiederà cambiamenti significativi da parte delle organizzazioni in tutto il mondo.
Abbiamo sottolineato il nostro impegno nei confronti del GDPR e il modo in cui supportiamo i nostri clienti nel post di blog Ottenere la conformità al GDPR con Microsoft Cloud del nostro Chief Privacy Officer Brendon Lynch e nel post di blog Guadagnare la tua fiducia con impegni contrattuali nei confronti del regolamento generale sulla protezione dei dati di Rich Sauer, Microsoft Corporate Vice President e Deputy General Counsel.
Anche se il percorso verso la conformità al GDPR può sembrare difficile, siamo qui per aiutare. Per informazioni specifiche sul GDPR, sugli impegni e su come iniziare il percorso, visitare la sezione GDPR del Centro protezione Microsoft.
Il GDPR e le sue implicazioni
Il GDPR è una regolamentazione complessa che potrebbe richiedere modifiche significative al modo in cui si raccolgono, usano e gestiscono i dati personali. Microsoft da sempre aiuta i propri clienti a rispettare normative complesse e, quando si tratta di prepararsi per il GDPR, è un partner attivo in questo percorso.
Il GDPR impone regole alle organizzazioni che offrono beni e servizi alle persone dell'Unione europea (UE) o che raccolgono e analizzano i dati legati ai residenti dell'UE, indipendentemente dalla posizione in cui si trovano tali imprese. Tra gli elementi chiave del GDPR troviamo i seguenti:
Diritti di privacy personali migliorati. Rafforzare la protezione dei dati per i residenti dell'UE assicurandosi che abbiano il diritto di accedere ai propri dati personali, correggere le inesattezze nei dati, cancellare tali dati, obiettare al trattamento dei propri dati personali e spostarli.
Maggiore responsabilità per la protezione dei dati personali. Maggiore responsabilità delle organizzazioni che elaborano i dati personali, offrendo maggiore chiarezza sulla responsabilità per garantire la conformità.
Segnalazione obbligatoria delle violazioni dei dati personali. Le organizzazioni che controllano i dati personali sono tenute a segnalare violazioni dei dati personali che rappresentano un rischio per i diritti e le libertà delle persone alle autorità di vigilanza senza ritardo e, ove possibile, entro 72 ore dalla loro conoscenza della violazione.
Come si potrebbe prevedere, il GDPR può avere un impatto significativo sull'azienda, potenzialmente richiedendo di aggiornare i criteri di privacy, implementare e rafforzare i controlli di protezione dei dati e le procedure di notifica delle violazioni, distribuire criteri altamente trasparenti e investire ulteriormente nell'IT e nella formazione. Microsoft Windows 10 può aiutarti a soddisfare in modo efficace ed efficiente alcuni di questi requisiti.
Dati personali e sensibili
Nell'ambito del proprio impegno a rispettare il GDPR, è necessario comprendere in che modo il regolamento definisce i dati personali e sensibili e il modo in cui tali definizioni sono correlate ai dati mantenuti dall'organizzazione. In base a tale comprensione, sarà possibile individuare la posizione in cui vengono creati, elaborati, gestiti e archiviati i dati.
GDPR considera i dati personali come informazioni correlate a una persona fisica identificata o identificabile. Queste attività possono includere sia l'identificazione diretta (ad esempio, il nome legale) che l'identificazione indiretta (ad esempio informazioni specifiche che chiariscono il destinatario dei riferimenti dei dati). Il GDPR rende inoltre chiaro che il concetto di dati personali include identificatori online (ad esempio indirizzi IP, ID dispositivo mobile) e dati sulla posizione.
Il GDPR introduce definizioni specifiche per i dati genetici (ad esempio la sequenza genica di un individuo) e i dati biometrici. Dati genetici e dati biometrici, insieme ad altre sotto categorie di dati personali (dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche o appartenenza sindacale: dati riguardanti la salute; o dati relativi alla vita sessuale o all'orientamento sessuale di una persona) vengono trattati come dati personali sensibili ai sensi del GDPR. I dati personali sensibili hanno protezioni avanzate e in genere richiedono il consenso esplicito di un individuo per l'elaborazione.
Esempi di informazioni relative a una persona fisica identificata o identificabile (interessato)
Questo elenco fornisce esempi di diversi tipi di informazioni che verranno regolamentate tramite il GDPR. L'elenco è incompleto.
Nome
Codice di identificazione (ad esempio il codice fiscale)
Dati sulla posizione (ad esempio, indirizzo di casa)
Identificatore online (ad esempio indirizzo e-mail, nomi visualizzati, indirizzo IP, ID dispositivo)
Dati pseudonimi (ad esempio l'uso di una chiave per identificare i singoli utenti)
Dati genetici (come campioni biologici di un individuo)
Dati biometrici (ad esempio impronte digitali, riconoscimento facciale)
Introduzione al percorso verso la conformità al GDPR
Dati tutti gli elementi in essere per raggiungere la conformità al GDPR, è consigliabile non attendere la preparazione fino all'inizio dell'applicazione. È consigliabile esaminare ora le procedure di privacy e gestione dei dati. È consigliabile iniziare il percorso di conformità al GDPR concentrandosi su quattro passaggi chiave:
Individuare. Identificare i dati personali di cui si dispone e dove risiedono.
Gestione. controllare il modo in cui i dati personali vengono usati e come accedervi.
Proteggere. stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati.
Report. Intervenire sulle richieste di dati, segnalare le violazioni dei dati e conservare la documentazione richiesta.
Per ognuno dei passaggi, sono stati descritti gli strumenti, le risorse e le funzionalità di esempio in varie soluzioni Microsoft che possono essere usate per soddisfare i requisiti di tale passaggio. Anche se questo articolo non è una guida pratica completa, sono stati inclusi collegamenti per scoprire altri dettagli e altre informazioni sono disponibili nella sezione GDPR del Centro protezione Microsoft.
Sicurezza e privacy di Windows Server
Il GDPR richiede l'implementazione di misure di sicurezza tecniche e organizzative appropriate per proteggere i dati personali e i sistemi di trattamento. Nel contesto del GDPR, gli ambienti server fisici e virtuali elaborano potenzialmente dati personali e sensibili. Per elaborazione si può intendere qualsiasi operazione o set di operazioni, ad esempio la raccolta dei dati, l'archiviazione e il recupero.
La possibilità di soddisfare questo requisito e di implementare misure di sicurezza tecniche appropriate deve riflettere le minacce affrontate in un ambiente IT sempre più ostile. Il panorama delle minacce per la sicurezza di oggi include esempi aggressivi e tenaci. Negli anni precedenti, gli utenti malintenzionati si concentravano principalmente sull'acquisizione di riconoscimento nella community attraverso i loro attacchi o amavano il brivido di portare temporaneamente offline un sistema. Da allora, le motivazioni dell'utente malintenzionato si sono spostate verso il lucro, ad esempio tenendo come ostaggi dispositivi e dati fino a quando il proprietario non paga il riscatto richiesto.
Gli attacchi moderni si concentrano sempre più sul furto di proprietà intellettuale su larga scala; un danneggiamento del sistema mirato che può comportare una perdita finanziaria; oggi, abbiamo anche il cyberterrorismo che minaccia la sicurezza di individui, imprese e interessi nazionali in tutto il mondo. Questi utenti malintenzionati sono in genere persone altamente addestrate ed esperti di sicurezza, alcuni dei quali sono al soldo di stati nazionali che hanno grandi budget e risorse umane apparentemente illimitate. Le minacce come queste richiedono un approccio adatto a questa sfida.
Non solo queste minacce sono un rischio per la capacità di mantenere il controllo di qualsiasi dato personale o sensibile di cui si potrebbe disporre, ma sono anche un rischio materiale generale per l'azienda. Considerare i dati recenti di McKinsey, Ponemon Institute, Verizon e Microsoft:
Il costo medio del tipo di violazione dei dati previsto dal GDPR è di $ 3,5 milioni.
Il 63% di queste violazioni comporta password deboli o rubate previste, una problematica che secondo il GDPR è necessario risolvere.
Oltre 300.000 nuovi esempi di malware vengono creati e distribuiti ogni giorno, rendendo le attività di contrasto e protezione dei dati ancora più impegnative.
Come visto con gli attacchi ransomware recenti, una volta definiti la peste nera di Internet, gli utenti malintenzionati stanno scegliendo obiettivi più grandi e fruttuosi, con conseguenze potenzialmente catastrofiche. Il GDPR include sanzioni che rendono i sistemi, inclusi desktop e portatili, che contengono obiettivi avanzati di dati personali e sensibili.
Due principi chiave hanno guidato e continuano a guidare lo sviluppo di Windows:
Sicurezza. I dati archiviati dal software e dai servizi per conto dei nostri clienti devono essere protetti da danni e usati o modificati solo in modi appropriati. I modelli di sicurezza devono essere facili da comprendere e integrare nelle proprie applicazioni.
Privacy. Gli utenti devono controllare il modo in cui vengono usati i dati. I criteri per l'uso delle informazioni devono essere chiari all'utente. Gli utenti devono controllare quando e se ricevono informazioni, in modo da sfruttare al meglio il proprio tempo. Dovrebbe essere facile per gli utenti specificare l'uso appropriato delle informazioni, incluso il controllo dell'uso delle e-mail che inviano.
Microsoft supporta questi principi come recentemente indicato dal proprio CEO, Satya Nadella,
"Man mano che il mondo continua a cambiare e i requisiti aziendali si evolvono, alcune cose rimangono costanti: la richiesta di sicurezza e privacy dei clienti."
Quando si lavora per rispettare il GDPR, comprendere il ruolo dei server fisici e virtuali per creazione, accesso, elaborazione, archiviazione e gestione dei dati che possono qualificarsi come dati personali e potenzialmente sensibili ai sensi del GDPR è importante. Windows Server offre funzionalità che consentono di rispettare i requisiti del GDPR per implementare misure di sicurezza tecniche e organizzative appropriate per proteggere i dati personali.
Il comportamento di sicurezza di Windows Server 2016 non è un fisso; è un principio architettonico e può essere compreso meglio in quattro principi:
Proteggere. L'attenzione e l'innovazione costanti sulle misure preventive; bloccare attacchi noti e malware noto.
Rilevamento. Strumenti di monitoraggio completi per individuare le anomalie e rispondere agli attacchi più velocemente.
Rispondere. Principali tecnologie di risposta e ripristino oltre a una profonda esperienza di consulenza.
Isolare. Isolare i componenti del sistema operativo e i segreti dei dati, limitare i privilegi di amministratore e misurare rigorosamente l'integrità dell'host.
Con Windows Server, la possibilità di proteggere, rilevare e difendersi dai tipi di attacchi che possono causare violazioni dei dati è notevolmente migliorata. Data la rigorosa necessità di notifica delle violazioni all'interno del GDPR, garantire che i sistemi desktop e portatili siano ben difesi ridurrà i rischi che si potrebbero affrontare con l'analisi e la notifica di violazioni costose.
Nella sezione seguente si vedrà in che modo Windows Server offre funzionalità che si adattano in modo ideale alla fase di protezione del percorso di conformità al GDPR. Queste funzionalità rientrano in tre scenari di protezione:
Proteggere le credenziali e limitare i privilegi di amministratore. Windows Server 2016 consente di implementare queste modifiche, per evitare che il sistema venga usato come punto di avvio per ulteriori intrusioni.
Proteggere il sistema operativo per eseguire le app e l'infrastruttura. Windows Server 2016 offre livelli di protezione che bloccano gli utenti malintenzionati esterni che eseguono software dannoso o sfruttano le vulnerabilità.
Virtualizzazione sicura. Windows Server 2016 consente la virtualizzazione sicura, usando macchine virtuali schermate e infrastruttura sorvegliata. Ciò consente di crittografare ed eseguire le macchine virtuali in host attendibili nell'infrastruttura, proteggendoli meglio da attacchi dannosi.
Queste funzionalità, descritte in modo più dettagliato di seguito con riferimenti a requisiti specifici del GDPR, si basano sulla protezione avanzata dei dispositivi che consente di mantenere l'integrità e la sicurezza del sistema operativo e dei dati.
Una norma chiave all'interno del GDPR è la protezione intrinseca dei dati e per farlo vengono fornite funzionalità all'interno di Windows 10, come Crittografia dispositivo BitLocker. BitLocker usa la tecnologia Trusted Platform Module (TPM), progettata per offrire funzioni correlate alla sicurezza basate su hardware. Questo chip con criptoprocessore include diversi meccanismi di sicurezza fisica per renderlo di manomissione e di software dannoso è in grado di alterare le funzioni di protezione del TPM.
Il chip include diversi meccanismi di sicurezza fisica per renderlo di manomissione e di software dannoso è in grado di alterare le funzioni di protezione del TPM. Alcuni dei vantaggi principali dell'uso della tecnologia TPM sono i seguenti:
Generare, archiviare e limitare l'uso delle chiavi crittografiche.
Usare la tecnologia TPM per l'autenticazione del dispositivo della piattaforma tramite la chiave RSA univoca di TPM, che viene scritta su se stessa.
Per garantire l'integrità della piattaforma, eseguire e archiviare misure di sicurezza.
Una protezione avanzata aggiuntiva del dispositivo rilevante per il funzionamento senza violazioni dei dati include l'avvio attendibile di Windows per mantenere l'integrità del sistema assicurando che il malware non sia in grado di avviarsi prima delle difese del sistema.
Windows Server: supporto del percorso di conformità al GDPR
Le funzionalità principali all'interno di Windows Server consentono di implementare in modo efficiente ed efficace i meccanismi di sicurezza e privacy richiesti dal GDPR per la conformità. Anche se l'uso di queste funzionalità non garantisce la conformità, supporterà le iniziative a riguardo.
Il sistema operativo server si trova in un livello strategico nell'infrastruttura di un'organizzazione, cosa che dà vita a nuove opportunità di creare livelli di protezione dagli attacchi che potrebbero rubare i dati e interrompere l'azienda. Gli aspetti chiave del GDPR, ad esempio Privacy da progettazione, Protezione dati e Controllo di accesso, devono essere affrontati all'interno dell'infrastruttura IT a livello di server.
Windows Server 2016 aiuta a proteggere identità, sistema operativo e livelli di virtualizzazione e consente di bloccare i vettori di attacco comuni usati per ottenere l'accesso illecito ai sistemi: credenziali rubate, malware e un'infrastruttura di virtualizzazione compromessa. Oltre a ridurre i rischi aziendali, i componenti di sicurezza integrati in Windows Server 2016 consentono di soddisfare i requisiti di conformità per le normative di sicurezza principali per enti pubblici e del settore.
Queste protezioni di identità, sistema operativo e virtualizzazioni permettono di proteggere meglio i data center che eseguono Windows Server come una macchina virtuale in qualsiasi cloud e limitare il rischio che utenti malintenzionati possano compromettere le credenziali e avviare malware senza essere rilevati nella rete. Analogamente, quando viene distribuito come host Hyper-V, Windows Server 2016 offre la garanzia di sicurezza per gli ambienti di virtualizzazione tramite macchine virtuali schermate e funzionalità firewall distribuite. Con Windows Server 2016, il sistema operativo server diventa un partecipante attivo della sicurezza del data center.
Proteggere le credenziali e limitare i privilegi di amministratore
Controllare l'accesso ai dati personali e i sistemi che elaborano tali dati è un'area in cui il GDPR prevede requisiti specifici, tra cui l'accesso da parte degli amministratori. Le identità con privilegi sono tutti gli account con privilegi elevati, ad esempio gli account utente membri dei gruppi Domain Administrators, Enterprise Administrators, Local Administrators o anche Power Users. Tali identità possono includere anche account a cui sono stati concessi direttamente privilegi, ad esempio l'esecuzione di backup, l'arresto del sistema o altri diritti elencati nel nodo Assegnazione diritti utente nella console Criteri di sicurezza locali.
Come principio generale di controllo di accesso e in linea con il GDPR, è necessario proteggere queste identità privilegiate da compromissioni da parte di potenziali utenti malintenzionati. Prima di tutto, è importante comprendere come le identità vengono compromesse; è quindi possibile pianificare come impedire agli utenti malintenzionati di ottenere l'accesso a queste identità con privilegi.
Come vengono compromesse le identità con privilegi?
Le identità con privilegi possono essere compromesse quando le organizzazioni non hanno linee guida per proteggerle. Di seguito sono riportati alcuni esempi:
Più privilegi del necessario. Uno dei problemi più comuni è che gli utenti hanno più privilegi rispetto a quelli necessari per eseguire i propri compiti. Ad esempio, un utente che gestisce DNS potrebbe essere un amministratore di AD. Molto spesso, questa operazione viene eseguita per evitare la necessità di configurare livelli di amministrazione diversi. Tuttavia, se tale account viene compromesso, l'utente malintenzionato disporrà automaticamente di privilegi elevati.
Accesso costante con privilegi elevati. Un altro problema comune è che gli utenti con privilegi elevati possono usare questi privilegi per un tempo illimitato. Questo è molto comune con i professionisti IT che accedono a un computer desktop usando un account con privilegi, rimangono connessi e usano l'account con privilegi per esplorare il Web e usare la posta elettronica (funzioni tipiche del processo IT). La durata illimitata degli account con privilegi rende l'account più vulnerabile all'attacco e aumenta le probabilità che l'account venga compromesso.
Ricerca di ingegneria sociale. La maggior parte delle minacce per le credenziali inizia analizzando l'organizzazione e quindi fa ricorso all'ingegneria sociale. Ad esempio, un utente malintenzionato può eseguire un attacco di phishing tramite posta elettronica per compromettere gli account legittimi (ma non necessariamente con privilegi elevati) che hanno accesso alla rete di un'organizzazione. L'utente malintenzionato usa quindi questi account validi per eseguire ulteriori ricerche sulla rete e per identificare gli account con privilegi che possono eseguire attività amministrative.
Sfruttare gli account con privilegi elevati. Anche con un normale account utente non con privilegi elevati nella rete, gli utenti malintenzionati possono ottenere l'accesso agli account con autorizzazioni elevate. Uno dei metodi più comuni di questa operazione consiste nell'usare gli attacchi Pass-the-Hash o Pass-the-Token. Per altre informazioni su Pass-the-Hash e altre tecniche di furto di credenziali, vedere le risorse nella pagina Pass-the-Hash (PtH).
Esistono naturalmente altri metodi che gli utenti malintenzionati possono usare per identificare e compromettere le identità con privilegi (con nuovi metodi creati ogni giorno). È quindi importante stabilire procedure per consentire agli utenti di accedere con account con privilegi minimi per ridurre la capacità degli utenti malintenzionati di ottenere l'accesso alle identità con privilegi. Le sezioni seguenti illustrano le funzionalità in cui Windows Server può attenuare questi rischi.
Just-in-Time Admin (JIT) e Just Enough Admin (JEA)
Sebbene la protezione dagli attacchi Pass-the-Hash o Pass-the-Ticket sia importante, le credenziali di amministratore possono comunque essere rubate con altri mezzi, tra cui ingegneria sociale, dipendenti scontenti e forza bruta. Pertanto, oltre a isolare le credenziali il più possibile, si vuole anche un modo per limitare la portata dei privilegi a livello di amministratore nel caso in cui vengano compromessi.
Oggi, troppi account amministratore hanno privilegi elevati, anche se hanno solo un'area di responsabilità. Ad esempio, a un amministratore DNS che richiede un set di privilegi molto ristretto per gestire i server DNS, vengono spesso concessi privilegi di amministratore di dominio. Inoltre, poiché queste credenziali vengono concesse per sempre, non esiste alcun limite di tempo per il loro utilizzo.
Ogni account con privilegi di amministratore di dominio non necessari aumenta l'esposizione agli utenti malintenzionati che cercano di compromettere le credenziali. Per ridurre al minimo la superficie di attacco, si vuole fornire solo il set specifico di diritti che un amministratore deve avere per il lavoro e solo per l'intervallo di tempo necessario per completarlo.
Usando Just Enough Administration e Just-in-Time Administration, gli amministratori possono richiedere i privilegi specifici necessari per l'intervallo esatto di tempo necessario. Per un amministratore DNS, ad esempio, l'uso di PowerShell per abilitare Just Enough Administration consente di creare un set limitato di comandi disponibili per la gestione DNS.
Se l'amministratore DNS deve eseguire un aggiornamento a uno dei suoi server, richiederebbe l'accesso alla gestione del DNS tramite Microsoft Identity Manager 2016. Il flusso di lavoro della richiesta può includere un processo di approvazione, ad esempio l'autenticazione a due fattori, che potrebbe chiamare il telefono cellulare dell'amministratore per confermare l'identità prima di concedere i privilegi richiesti. Una volta concessi, tali privilegi DNS forniscono l'accesso al ruolo di PowerShell per DNS per un intervallo di tempo specifico.
Si immagini questo scenario se le credenziali dell'amministratore DNS sono state rubate. In primo luogo, poiché le credenziali non dispongono di privilegi di amministratore associati, l'utente malintenzionato non sarebbe in grado di accedere al server DNS o ad altri sistemi per apportare modifiche. Se l'utente malintenzionato ha tentato di richiedere privilegi per il server DNS, l'autenticazione a due fattori gli richiederebbe di confermare l'identità. Poiché non è probabile che l'utente malintenzionato abbia il numero di telefono cellulare dell'amministratore DNS, l'autenticazione non riesce. Ciò blocca l'utente malintenzionato dal sistema e avvisa l'organizzazione IT che le credenziali potrebbero essere compromesse.
Inoltre, molte organizzazioni usano la soluzione gratuita Local Administrator Password Solution (LAPS) come un semplice ma potente meccanismo di amministrazione JIT per i propri sistemi server e client. La funzionalità LAPS offre la gestione delle password degli account locali dei computer aggiunti a un dominio. Le password vengono archiviate in Active Directory (AD) e protette con l'Elenco di controllo di accesso, in modo che solo gli utenti idonei possano leggerle o richiederne la reimpostazione.
Come indicato nella Guida alla mitigazione del furto di credenziali di Windows,
"gli strumenti e le tecniche usate dai criminali per eseguire il furto di credenziali e riutilizzare gli attacchi migliorano, pertanto gli utenti malintenzionati trovano più facile raggiungere i loro obiettivi. Il furto di credenziali spesso si basa su procedure operative o esposizione delle credenziali utente, quindi le mitigazioni efficaci richiedono un approccio olistico che si rivolge a persone, processi e tecnologie. Inoltre, questi attacchi si basano su un utente malintenzionato che ruba le credenziali dopo aver compromesso un sistema per espandere o rendere persistente l'accesso, quindi le organizzazioni devono contenere rapidamente violazioni implementando strategie che impediscano agli utenti malintenzionati di spostarsi liberamente e non essere rilevati in una rete compromessa."
Una considerazione importante della progettazione per Windows Server è stata la mitigazione del furto di credenziali, in particolare le credenziali derivate. Credential Guard offre una sicurezza notevolmente migliorata contro il furto di credenziali derivate e il loro riutilizzo, implementando una modifica architetturale significativa in Windows progettata per eliminare gli attacchi di isolamento basati su hardware invece di tentare semplicemente di difendersi.
Quando si usa Windows Defender Credential Guard, NTLM e le credenziali derivate Kerberos sono protette tramite la sicurezza basata sulla virtualizzazione e vengono bloccati le tecniche e gli strumenti di attacco al furto delle credenziali usati in molti attacchi mirati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre segreti protetti dalla sicurezza basata sulla virtualizzazione. Anche se Windows Defender Credential Guard è una potente funzione di mitigazione, le minacce persistenti passeranno probabilmente a nuove tecniche di attacco. Inoltre, è consigliabile anche incorporare Device Guard, come descritto di seguito, insieme ad altre strategie e architetture di sicurezza.
Windows Defender Credential Guard
Windows Defender Credential Guard usa la sicurezza basata su virtualizzazione per isolare le informazioni sulle credenziali, impedendo l'intercettazione degli hash delle password o dei ticket Kerberos. Usa un processo LSA (Local Security Authority) completamente nuovo isolato, che non è accessibile al resto del sistema operativo. Tutti i file binari usati dall'LSA isolato vengono firmati con certificati convalidati prima di avviarli nell'ambiente protetto, rendendo gli attacchi Pass-the-Hash completamente inefficaci.
Utilizzi di Windows Defender Credential Guard:
Sicurezza basata sulla virtualizzazione (richiesta). Altri requisiti:
CPU a 64 bit
Estensioni di virtualizzazione CPU, oltre a tabelle di pagine estese
Windows Hypervisor
Avvio protetto (obbligatorio)
TPM 2.0 discreto o firmware (preferito: fornisce il binding all'hardware)
È possibile usare Windows Defender Credential Guard per proteggere le identità con privilegi salvaguardando le credenziali e i relativi derivati in Windows Server 2016. Per altre informazioni sui requisiti di Windows Defender Credential Guard, vedere Proteggere le credenziali di dominio derivate con Windows Defender Credential Guard.
Windows Defender Remote Credential Guard
Windows Defender Remote Credential Guard in Windows Server 2016 e Windows 10 Anniversary Update consente anche di proteggere le credenziali per gli utenti con connessioni Desktop remoto. In precedenza, tutti gli utenti che usavano Servizi Desktop remoto dovevano accedere al computer locale e quindi accedere di nuovo una volta eseguita una connessione remota al computer di destinazione. Questo secondo account di accesso passerà le credenziali al computer di destinazione, esponendole agli attacchi Pass-the-Hash o Pass-the-Ticket.
Con Windows Defender Remote Credential Guard, Windows Server 2016 implementa l'accesso Single Sign-On per le sessioni di Desktop remoto, eliminando il requisito di immettere nuovamente il nome utente e la password. Usa invece le credenziali già usate per accedere al computer locale. Per usare Windows Defender Remote Credential Guard, il client Desktop remoto e il server devono soddisfare i requisiti seguenti:
Devono essere aggiunti a un dominio di Active Directory e trovarsi nello stesso dominio o in un dominio con una relazione di trust.
Necessario l'utilizzo dell'autenticazione Kerberos.
Devono avere almeno Windows 10 versione 1607 o Windows Server 2016.
È necessaria l'app Desktop remoto classica di Windows. L'app Desktop remoto per la piattaforma UWP (Universal Windows Platform) Desktop remoto non supporta Windows Defender Remote Credential Guard.
È possibile abilitare Windows Defender Remote Credential Guard usando un'impostazione del Registro di sistema sul server Desktop remoto e Criteri di gruppo o un parametro Connessione Desktop remoto nel client Desktop remoto. Per altre informazioni su come abilitare Windows Defender Remote Credential Guard, vedere Proteggere le credenziali di Desktop remoto con Windows Defender Remote Credential Guard. Come per Windows Defender Credential Guard, è possibile usare Windows Defender Remote Credential Guard per proteggere le identità con privilegi in Windows Server 2016.
Proteggere il sistema operativo per eseguire le app e l'infrastruttura
La prevenzione delle minacce informatiche richiede anche la ricerca e il blocco di malware e attacchi che cercano di ottenere il controllo sovvertendo le procedure operative standard dell'infrastruttura. Se gli utenti malintenzionati possono fare in modo che un sistema operativo o un'applicazione vengano eseguiti in modo non predeterminato e non fattibile, è probabile che usino tale sistema per eseguire azioni dannose. Windows Server 2016 offre livelli di protezione che bloccano gli utenti malintenzionati esterni che eseguono software dannoso o sfruttano le vulnerabilità. Il sistema operativo svolge un ruolo attivo nella protezione dell'infrastruttura e delle applicazioni, avvisando gli amministratori dell'attività che indica che un sistema è stato violato.
Windows Defender Device Guard
Windows Server 2016 include Windows Defender Device Guard per garantire che solo il software attendibile possa essere eseguito nel server. Usando la sicurezza basata sulla virtualizzazione, può limitare i file binari che possono essere eseguiti nel sistema in base ai criteri dell'organizzazione. Inoltre, oltre ai file binari specificati che tenta di eseguire, Windows Server 2016 lo blocca e registra il tentativo non riuscito in modo che gli amministratori possano vedere che si è verificata una potenziale violazione. La notifica di violazione è una parte fondamentale dei requisiti per la conformità al GDPR.
Windows Defender Device Guard è integrato anche con PowerShell, in modo da poter autorizzare gli script che possono essere eseguiti nel sistema. Nelle versioni precedenti di Windows Server, gli amministratori potrebbero ignorare l'imposizione dell'integrità del codice semplicemente eliminando i criteri dal file di codice. Con Windows Server 2016, è possibile configurare un criterio firmato dall'organizzazione in modo che solo una persona con accesso al certificato che ha firmato il criterio possa modificarlo.
Protezione del flusso di controllo
Windows Server 2016 include anche la protezione integrata contro alcune classi di attacchi al danneggiamento della memoria. L'applicazione di patch ai server è importante, ma c'è sempre la possibilità che il malware possa essere sviluppato per una vulnerabilità non ancora identificata. Alcuni dei metodi più comuni per sfruttare queste vulnerabilità consistono nel fornire dati insoliti o estremi a un programma in esecuzione. Un utente malintenzionato, ad esempio, può sfruttare una vulnerabilità di overflow del buffer fornendo più input a un programma del previsto e sovraccaricare l'area riservata dal programma per contenere una risposta. Ciò può danneggiare la memoria adiacente che potrebbe contenere un puntatore di funzione.
Quando il programma chiama tramite questa funzione, può quindi passare a una posizione imprevista specificata dall'utente malintenzionato. Questi attacchi sono noti anche come attacchi JOP (Jump-Oriented Programming). Control Flow Guard impedisce attacchi JOP imponendo restrizioni rigorose sul codice dell'applicazione che può essere eseguito, in modo particolare per le istruzioni di chiamate indirette. Aggiunge controlli di sicurezza leggeri per identificare il set di funzioni nell'applicazione che sono destinazioni valide per le chiamate indirette. Quando un'applicazione viene eseguita, verifica che queste destinazioni di chiamata indiretta siano valide.
Se il controllo Control Flow Guard ha esito negativo in fase di esecuzione, Windows Server 2016 termina immediatamente il programma, interrompendo qualsiasi exploit che tenta di chiamare indirettamente un indirizzo non valido. Control Flow Guard offre un importante livello di protezione aggiuntivo per Device Guard. Se un'applicazione consentita elencata è stata compromessa, potrà essere eseguita evitando i controlli da Device Guard, perché lo screening di Device Guard noterà che l'applicazione è stata firmata ed è considerata attendibile.
Tuttavia, poiché Control Flow Guard è in grado di identificare se l'applicazione è in esecuzione in un ordine non predeterminato e non fattibile, l'attacco avrà esito negativo, impedendo l'esecuzione dell'applicazione compromessa. Insieme, queste protezioni rendono molto difficile per gli utenti malintenzionati inserire malware in esecuzione in Windows Server 2016.
Gli sviluppatori che creano applicazioni in cui verranno gestiti i dati personali sono invitati ad abilitare Control Flow Guard (CFG) al loro interno. Questa funzionalità è disponibile in Microsoft Visual Studio 2015 ed è in esecuzione in versioni "CFG-Aware" di Windows, x86 e x64 per Desktop e Server di Windows 10 e Windows 8.1 Update (KB3000850). Non è necessario abilitare CFG per ogni parte del codice, perché verrà eseguita correttamente una combinazione di codice abilitato per CFG e non. Tuttavia, l'abilitazione del CFG per tutto il codice può comportare lacune nella protezione. Inoltre, il codice abilitato per CFG funziona correttamente nelle versioni "CFG-Unaware" di Windows ed è quindi completamente compatibile con esse.
Windows Defender Antivirus
Windows Server 2016 include le funzionalità di rilevamento attive leader del settore di Windows Defender per bloccare il malware noto. Windows Defender Antivirus (AV) funziona insieme a Windows Defender Device Guard e Control Flow Guard per impedire l'installazione di codice dannoso di qualsiasi tipo nei server. È attivato per impostazione predefinita, l'amministratore non deve eseguire alcuna azione per farlo iniziare a funzionare. Windows Defender è AV è anche ottimizzato per supportare i vari ruoli server in Windows Server 2016. In passato, gli utenti malintenzionati usavano shell come PowerShell per avviare codice binario dannoso. In Windows Server 2016 PowerShell è ora integrato con Windows Defender AV per cercare malware prima di avviare il codice.
Windows Defender AV è una soluzione antimalware predefinita che fornisce la sicurezza e la gestione antimalware per desktop, computer portatili e server. Windows Defender AV è stato notevolmente migliorato da quando è stato introdotto in Windows 8. Windows Defender Antivirus in Windows Server usa un approccio a più rami per migliorare l'antimalware:
La protezione fornita dal cloud consente di rilevare e bloccare il nuovo malware entro pochi secondi, anche se non è mai stato rilevato prima.
Il Contesto locale avanzato migliora la modalità di identificazione del malware. Windows Server informa Windows Defender AV non solo su contenuti come file e processi, ma anche sulla provenienza del contenuto, sulla sua archiviazione e altro ancora.
I sensori globali estesi aiutano a mantenere Windows Defender AV aggiornato e a conoscere anche il malware più recente. Questa operazione viene eseguita in due modi: raccogliendo i dati del contesto locale avanzato dagli endpoint e analizzando centralmente i dati.
La protezione dalla manomissione aiuta a proteggere Windows Defender AV stesso da attacchi malware. Ad esempio, Windows Defender AV usa processi protetti, cosa che impedisce a quelli non attendibili di tentare di manomettere i componenti di Windows Defender AV, le relative chiavi del Registro di sistema e così via.
Le funzionalità a livello aziendale offrono ai professionisti IT gli strumenti e le opzioni di configurazione necessari per rendere Windows Defender AV una soluzione antimalware di classe aziendale.
Controllo di sicurezza avanzato
Windows Server 2016 avvisa attivamente gli amministratori di potenziali tentativi di violazione con il controllo della sicurezza avanzato che fornisce informazioni più dettagliate, che possono essere usate per un rilevamento più rapido degli attacchi e analisi forensi. Registra gli eventi da Control Flow Guard, Windows Defender Device Guard e altre funzionalità di sicurezza in un'unica posizione, rendendo più semplice per gli amministratori determinare quali sistemi potrebbero essere a rischio.
Le nuove categorie di eventi includono:
Controllare l'appartenenza a gruppi. Consente di controllare le informazioni sull'appartenenza al gruppo nel token di accesso di un utente. Gli eventi vengono generati quando le appartenenze ai gruppi vengono enumerate o sottoposte a query nel PC in cui è stata creata la sessione di accesso.
Controllare attività PnP. Consente di controllare quando il sistema plug and play rileva un dispositivo esterno che potrebbe contenere malware. Gli eventi PnP possono essere usati per tenere traccia delle modifiche apportate all'hardware di sistema. Nell'evento è incluso un elenco di ID fornitori di hardware.
Windows Server 2016 si integra facilmente con sistemi SIEM (Security Incident Event Management), ad esempio Microsoft Operations Management Suite (OMS), che possono incorporare le informazioni nei report di intelligence sulle potenziali violazioni. La profondità delle informazioni fornite dal controllo avanzato consente ai team di sicurezza di identificare e rispondere alle potenziali violazioni in modo più rapido ed efficace.
Virtualizzazione sicura
Le aziende oggi virtualizzano tutto ciò che possono, da SQL Server a SharePoint ai controller di dominio Active Directory. Le macchine virtuali semplificano la distribuzione, la gestione, il servizio e l'automazione dell'infrastruttura. Ma quando si tratta di sicurezza, i fabric di virtualizzazione compromessi sono diventati un nuovo vettore di attacco difficile da proteggere, almeno fino a oggi. Dal punto di vista del GDPR, è consigliabile considerare la protezione delle macchine virtuali in modo simile ai server fisici, incluso l'uso della tecnologia TPM delle macchine virtuali.
Windows Server 2016 modifica fondamentalmente il modo in cui le aziende possono proteggere la virtualizzazione, includendo più tecnologie che consentono di creare macchine virtuali che verranno eseguite solo in un'infrastruttura personalizzata; per proteggere i dispositivi di archiviazione, rete e host in cui vengono eseguite.
Macchine virtuali schermate
Gli stessi elementi che semplificano la migrazione, il backup e la replica delle macchine virtuali semplificano anche la modifica e la copia. Una macchina virtuale è solo un file, quindi non è protetta nella rete, nell'archiviazione, nei backup o altrove. Un altro problema è che gli amministratori del fabric (di storage o di rete) hanno accesso a tutte le macchine virtuali.
Un amministratore compromesso nel fabric può causare facilmente a sua volta la compromissione di dati tra macchine virtuali. Tutto ciò che l'autore dell'attacco deve fare è usare le credenziali compromesse per copiare i file di macchina virtuale desiderati in un'unità USB e uscire dall'organizzazione, per poi accedere a tali file da qualsiasi altro sistema. Se una di queste macchine virtuali rubate fosse un controller di dominio di Active Directory, ad esempio, l'autore dell'attacco potrebbe visualizzare facilmente il contenuto e usare tecniche di forza bruta disponibili per violare le password nel database di Active Directory, concedendole infine l'accesso a tutto il resto all'interno dell'infrastruttura.
Windows Server 2016 introduce macchine virtuali schermate per proteggersi da scenari come quello appena descritto. Le macchine virtuali schermate includono un dispositivo TPM virtuale, che consente alle organizzazioni di applicare la crittografia BitLocker alle macchine virtuali e assicurarsi che vengano eseguite solo su host attendibili per proteggersi da risorse di archiviazione, rete e amministratori host compromessi. Le macchine virtuali schermate vengono create usando macchine virtuali di seconda generazione, che supportano il firmware UEFI (Unified Extensible Firmware Interface) e hanno TPM virtuale.
Servizio Sorveglianza host
Oltre alle macchine virtuali schermate, il servizio Sorveglianza host è un componente essenziale per la creazione di un'infrastruttura di virtualizzazione sicura. Il processo consiste nell'attestare l'integrità di un host Hyper-V prima di consentire l'avvio di una macchina virtuale schermata o la migrazione a tale host. Contiene le chiavi per le macchine virtuali schermate e non le rilascia fino a quando non viene garantita l'integrità della sicurezza. Esistono due modi per richiedere agli host Hyper-V di attestare il servizio Sorveglianza host.
Il primo, e più sicuro, è l'attestazione con attendibilità hardware. Questa soluzione richiede che le macchine virtuali schermate siano in esecuzione in host con chip TPM 2.0 e UEFI 2.3.1. Questo hardware è necessario per fornire le informazioni di integrità del kernel del sistema operativo e di avvio misurate richieste dal servizio Sorveglianza host per garantire che l'host Hyper-V non sia stato manomesso.
Le organizzazioni IT possono in alternativa usare l'attestazione con attendibilità amministratore, che può essere utile se l'hardware TPM 2.0 non è in uso nell'organizzazione. Questo modello di attestazione è facile da distribuire perché gli host vengono semplicemente inseriti in un gruppo di sicurezza e il servizio Sorveglianza host è configurato per consentire l'esecuzione delle macchine virtuali schermate negli host membri del gruppo di sicurezza. Con questo metodo, non esiste alcuna misurazione complessa per assicurarsi che il computer host non sia stato manomesso. Tuttavia, si elimina la possibilità che macchine virtuali non crittografate si rendano disponibili nelle unità USB o che la macchina virtuale venga eseguita in un host non autorizzato. Ciò è dovuto al fatto che i file della macchina virtuale non verranno eseguiti in alcun computer diverso da quelli del gruppo designato. Se non si dispone ancora di hardware TPM 2.0, è possibile iniziare con l'attestazione con attendibilità amministratore e passare all'attestazione con attendibilità hardware quando l'hardware viene aggiornato.
Virtual Machine Trusted Platform Module
Windows Server 2016 supporta TPM per le macchine virtuali, il che consente di supportare tecnologie di sicurezza avanzate, ad esempio Crittografia unità BitLocker® nelle macchine virtuali. È possibile abilitare il supporto TPM in qualsiasi macchina virtuale Hyper-V di seconda generazione usando la console di gestione di Hyper-V o il cmdlet Enable-VMTPM di Windows PowerShell.
È possibile proteggere il TPM virtuale (vTPM) usando le chiavi di crittografia locali archiviate nell'host o archiviate nel servizio Sorveglianza host. Pertanto, mentre il servizio Sorveglianza host richiede più infrastruttura, offre anche una maggiore protezione.
Firewall di rete distribuito con rete software-defined
Un modo per migliorare la protezione negli ambienti virtualizzati consiste nel segmentare la rete in modo da consentire alle macchine virtuali di comunicare solo con i sistemi specifici necessari per funzionare. Ad esempio, se l'applicazione non deve connettersi a Internet, è possibile partizionarla, eliminando tali sistemi come destinazioni da utenti malintenzionati esterni. Il software-defined networking (SDN) in Windows Server 2016 include un firewall di rete distribuito che consente di creare in modo dinamico i criteri di sicurezza che possono proteggere le applicazioni da attacchi provenienti dall'interno o dall'esterno di una rete. Questo firewall di rete distribuito aggiunge livelli alla sicurezza consentendo di isolare le applicazioni nella rete. I criteri possono essere applicati ovunque nell'infrastruttura di rete virtuale, isolando il traffico tra macchine virtuali, il traffico da macchina virtuale a host o il traffico da macchina virtuale a Internet, se necessario, per singoli sistemi che potrebbero essere stati compromessi o a livello di codice tra più subnet. Le funzionalità di rete software-defined di Windows Server 2016 consentono anche di instradare o eseguire il mirroring del traffico in ingresso verso appliance virtuali non Microsoft. Ad esempio, è possibile scegliere di inviare tutto il traffico di posta elettronica tramite un'appliance virtuale Barracuda per una protezione aggiuntiva con il filtro della posta indesiderata. In questo modo è possibile eseguire facilmente un livello di sicurezza aggiuntivo sia in locale che nel cloud.
Altre considerazioni sul GDPR per i server
Il GDPR include requisiti espliciti per la notifica di una violazione dei dati personali: "una violazione della sicurezza che causa la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso a dati personali trasmessi, archiviati o altrimenti elaborati." Ovviamente, non è possibile iniziare a soddisfare i rigorosi requisiti di notifica GDPR entro 72 ore se non è possibile rilevare innanzitutto la violazione.
Come indicato nel white paper del Centro sicurezza di Windows, Post Violazione: gestione delle minacce avanzate
"A differenza della pre-violazione, l'approccio post-violazione presuppone che una violazione sia già avvenuta, fungendo da una sorta di "scatola" nera e investigazione di una scena del crimine. L'approccio post-violazione fornisce ai team di sicurezza le informazioni e il set di strumenti necessari per identificare, analizzare e rispondere agli attacchi che altrimenti rimarrebbero non rilevati."
In questa sezione verrà illustrato come Windows Server consente di soddisfare gli obblighi di notifica delle violazioni del GDPR. Ciò ha inizio con la comprensione dei dati sulle minacce sottostanti disponibili per Microsoft raccolti e analizzati e del modo in cui, tramite Windows Defender Advanced Threat Protection (ATP), questi dati possono essere fondamentali per l'utente.
Dati analitici di diagnostica della sicurezza
Da quasi due decenni, Microsoft trasforma le minacce in utili informazioni che possono aiutare a rafforzare la piattaforma e proteggere i clienti. Oggi, con gli enormi vantaggi del calcolo offerti dal cloud, stiamo trovando nuovi modi per usare i nostri motori di analisi avanzati basati sull'intelligence sulle minacce per proteggere i clienti.
Applicando una combinazione di processi automatizzati e manuali, l'apprendimento automatico e gli esperti umani, è possibile creare un Intelligent Security Graph che apprende da se stesso e si evolve in tempo reale, riducendo il tempo collettivo per rilevare e rispondere a nuovi eventi imprevisti nei nostri prodotti.
L'ambito dell'intelligence sulle minacce di Microsoft si estende letteralmente su miliardi di punti dati: 35 miliardi di messaggi analizzati ogni mese, 1 miliardo di clienti in segmenti aziendali e consumer che accedono a 200+ servizi cloud e 14 miliardi di autenticazioni eseguite ogni giorno. Tutti questi dati vengono raggruppati per conto di Microsoft per creare Intelligent Security Graph che consentono di proteggere gli ingressi in modo dinamico per garantire la sicurezza, rimanere produttivi e soddisfare i requisiti del GDPR.
Rilevamento di attacchi e indagini forensi
Alla fine, anche le migliori difese endpoint possono essere violate, poiché gli attacchi informatici diventano sempre più sofisticati e mirati. È possibile usare due funzionalità per facilitare il rilevamento di potenziali violazioni: Windows Defender Advanced Threat Protection (ATP) e Microsoft Advanced Threat Analytics (ATA).
Windows Defender Advanced Threat Protection (ATP) consente di rilevare, analizzare e rispondere ad attacchi avanzati e violazioni dei dati nelle reti. I tipi di violazione dei dati previsti dal GDPR prevedono l'applicazione di misure di sicurezza tecniche per garantire la riservatezza, l'integrità e la disponibilità continuativa dei dati personali e dei sistemi di trattamento.
Tra i principali vantaggi di Windows Defender ATP troviamo:
Rilevamento di elementi non rilevabili. Sensori integrati in profondità nel kernel del sistema operativo, esperti di sicurezza di Windows e ottiche uniche provenienti da oltre 1 miliardo di computer e segnali in tutti i servizi Microsoft.
Incorporato, non fisso. Senza agente, con prestazioni elevate e impatto minimo, basato sul cloud; facile gestione senza distribuzione.
Singolo pannello per la sicurezza di Windows. Esplorazione di 6 mesi di eventi di sicurezza avanzati, con sequenza temporale del computer, unificando gli eventi di sicurezza da Windows Defender ATP, Windows Defender Antivirus e Windows Defender Device Guard.
Potenza di Microsoft Graph. Sfrutta Microsoft Intelligence Security Graph per integrare il rilevamento e l'esplorazione con l'abbonamento a Office 365 ATP, per tenere traccia e rispondere agli attacchi.
Per altre informazioni, vedere Novità di Windows Defender ATP Creators Update.
ATA è un prodotto locale che consente di rilevare la compromissione delle identità in un'organizzazione. ATA può acquisire e analizzare il traffico di rete per protocolli di autenticazione, autorizzazione e raccolta di informazioni, ad esempio Kerberos, DNS, RPC, NTLM e altri protocolli. ATA usa questi dati per creare un profilo comportamentale sugli utenti e altre entità in una rete in modo che possa rilevare anomalie e modelli di attacco noti. Nella tabella seguente sono elencati i tipi di attacco rilevati da ATA.
| Tipo di attacco | Descrizione |
|---|---|
| Attacchi dannosi | Questi attacchi vengono rilevati cercandoli in un elenco noto di tipi di attacco, tra cui:
|
| Comportamento anomalo | Questi attacchi vengono rilevati usando l'analisi comportamentale e viene usato l'apprendimento automatico per identificare le attività discutibili, tra cui:
|
| Problemi e rischi di sicurezza | Questi attacchi vengono rilevati esaminando la configurazione di rete e di sistema corrente, tra cui:
|
È possibile usare ATA per rilevare gli utenti malintenzionati che tentano di compromettere le identità con privilegi. Per altre informazioni sulla distribuzione di ATA, vedere gli argomenti Pianificare, Progettare e Distribuire nella documentazione di Advanced Threat Analytics.
Contenuto correlato per le soluzioni Windows Server 2016 associate
Windows Defender Antivirus:
Windows Defender Advanced Threat Protection:
Eseguire l'onboarding dei server Windows nel servizio Microsoft Defender per endpoint
Windows Defender Device Guard:
Criteri di distribuzione di Controllo di applicazioni di Windows Defender
Windows Defender Credential Guard:Windows Defender Credential Guard (video di YouTube)
Proteggere le credenziali di dominio derivate con Windows Defender Credential Guard
Protezione del flusso di controllo:
Sicurezza e controllo:
Dichiarazione di non responsabilità
Questo articolo è un commento sul GDPR, come interpretato da Microsoft, fatta fede la data di pubblicazione. Abbiamo analizzato a fondo il GDPR e ci piace pensare di aver gestito al meglio il suo intento e significato. Tuttavia, l'applicazione del GDPR è altamente specifica in base ai fatti e non tutti gli aspetti e le interpretazioni del GDPR sono compresi appieno e radicati.
Di conseguenza, questo articolo viene fornito solo a scopo informativo e non deve essere considerato come consulenza legale o per determinare come il GDPR può essere applicato all'utente e all'organizzazione. È consigliabile collaborare con un professionista qualificato a livello legale per discutere il GDPR, come si applica in modo specifico all'organizzazione e come garantire la conformità.
MICROSOFT ESCLUDE OGNI GARANZIA, ESPRESSA, IMPLICITA O DI LEGGE NEI CONFRONTI DELLE INFORMAZIONI FORNITE NEL PRESENTE ARTICOLO. Questo articolo viene fornito "così com'è". Le informazioni e le indicazioni riportate nel presente articolo, inclusi URL e altri riferimenti a siti Web Internet, sono soggette a modifica senza preavviso.
Il presente articolo non implica la concessione di alcun diritto di proprietà intellettuale in relazione ai prodotti Microsoft. È possibile copiare e usare questo articolo solo per fini di riferimento interno.
Data di pubblicazione: settembre 2017
Versione 1.0
© 2017 Microsoft. Tutti i diritti sono riservati.