Sicurezza del sistema operativo Windows
La sicurezza e la privacy dipendono da un sistema operativo che protegge il sistema e le informazioni fin dall'avvio, fornendo una protezione fondamentale dal chip al cloud. Windows 11 è il Windows più sicuro in assoluto, con ampie misure di sicurezza progettate per aiutarvi a stare al sicuro. Queste misure comprendono la crittografia avanzata e la protezione dei dati integrate, una solida sicurezza di rete e di sistema e protezioni intelligenti contro le minacce in continua evoluzione.
Guarda l'ultimo video sulla sicurezza di Microsoft Mechanics Windows 11 che illustra alcune delle più recenti tecnologie di sicurezza di Windows 11.
Usa i collegamenti nelle sezioni seguenti per scoprire di più sulle caratteristiche e le funzionalità di sicurezza del sistema operativo in Windows.
Sicurezza del sistema
| Nome della funzionalità | Descrizione |
|---|---|
| Avvio sicuro e avvio attendibile | L'avvio protetto e l'avvio attendibile consentono di impedire il caricamento di malware e componenti danneggiati all'avvio di un dispositivo. L'avvio protetto inizia con la protezione iniziale di avvio e quindi l'avvio attendibile riprende il processo. Insieme, l'avvio protetto e l'avvio attendibile consentono di garantire che il sistema venga avviato in modo sicuro. |
| Avvio con misurazioni | L'avvio misurato misura tutto il codice e le impostazioni di configurazione importanti durante l'avvio di Windows. Sono inclusi: firmware, boot manager, hypervisor, kernel, kernel sicuro e sistema operativo. L'avvio misurato archivia le misurazioni nel TPM nel computer e le rende disponibili in un log che può essere testato in remoto per verificare lo stato di avvio del client. La funzionalità Avvio misurato fornisce software antimalware con un log attendibile (resistente allo spoofing e alla manomissione) di tutti i componenti di avvio avviati prima di esso. Il software antimalware può usare il log per determinare se i componenti eseguiti prima che siano attendibili o se sono infettati da malware. Il software antimalware nel computer locale può inviare il log a un server remoto per la valutazione. Il server remoto può avviare azioni di rimedio, interagendo con il software del client o attraverso meccanismi fuori banda, a seconda dei casi. |
| Servizio di attestazione dell'integrità del dispositivo | Il processo di attestazione dell’integrità dispositivi Windows supporta un paradigma di fiducia zero che sposta l'attenzione dai perimetri statici basati sulla rete agli utenti, alle risorse e agli asset. Il processo di attestazione conferma che il dispositivo, il firmware e il processo di avvio sono in buono stato e non sono stati manomessi prima di poter accedere alle risorse aziendali. Le determinazioni vengono effettuate con i dati archiviati nel TPM, che fornisce una radice sicura di attendibilità. Le informazioni vengono inviate a un servizio di attestazione, ad esempio attestazione di Azure, per verificare che il dispositivo si trova in uno stato attendibile. Quindi, uno strumento MDM come Microsoft Intune esamina l'integrità del dispositivo e connette queste informazioni con Microsoft Entra ID per l'accesso condizionale. |
| Impostazioni e controllo dei criteri di sicurezza di Windows | Microsoft offre un solido set di criteri di impostazioni di sicurezza che gli amministratori IT possono usare per proteggere i dispositivi Windows e altre risorse nell'organizzazione. |
| Accesso assegnato | Alcuni dispositivi desktop in un'azienda hanno uno scopo speciale. Ad esempio, un PC nella sala di attesa usato dai clienti per visualizzare il catalogo prodotti. Oppure, un PC che mostra il contenuto visivo come segno digitale. Il client Windows offre due diverse esperienze bloccate per uso pubblico o specializzato: un chiosco a app singola che esegue un'app piattaforma UWP (Universal Windows Platform) singola (UWP) a schermo intero sopra la schermata di blocco o un chiosco multimediale con più app che esegue una o più app dal desktop. Le configurazioni dei chioschi si basano sull'Accesso assegnato, una funzione di Windows che consente all'amministratore di gestire l'esperienza dell'utente limitando i punti di accesso alle applicazioni esposti all'utente. |
Protezione da virus e minacce
| Nome della funzionalità | Descrizione |
|---|---|
| Antivirus Microsoft Defender | Microsoft Defender Antivirus è una soluzione di protezione inclusa in tutte le versioni di Windows. Dal momento dell'avvio di Windows, l’antivirus Microsoft Defender monitora continuamente la presenza di malware, virus e minacce alla sicurezza. Aggiornamenti vengono scaricati automaticamente per proteggere il dispositivo dalle minacce. L’antivirus Microsoft Defender include la protezione antivirus in tempo reale, basata sul comportamento e euristica. La combinazione di analisi del contenuto sempre attiva, monitoraggio del comportamento di file e processi e altre euristiche impedisce in modo efficace le minacce alla sicurezza. Microsoft Defender Antivirus cerca continuamente malware e minacce e rileva e blocca anche le applicazioni potenzialmente indesiderate(PUA), che sono applicazioni che si ritiene influissero negativamente sul dispositivo, ma che non sono considerate malware. |
| Protezione dell'autorità di sicurezza locale (LSA) | Windows dispone di diversi processi critici per verificare l'identità di un utente. I processi di verifica includono l'Autorità di sicurezza locale (LSA), responsabile dell'autenticazione degli utenti e della verifica dei login di Windows. LSA gestisce token e credenziali, come le password, utilizzate per il single sign-on a un account Microsoft e ai servizi Azure. Per proteggere queste credenziali, la protezione aggiuntiva LSA consente solo il caricamento di codice firmato attendibile e fornisce una protezione significativa dal furto di credenziali. La protezione LSA è abilitata per impostazione predefinita sui nuovi dispositivi Windows 11 di livello aziendale, con un supporto aggiuntivo per i controlli di blocco non-UEFI e di gestione dei criteri tramite MDM e criteri di gruppo. |
| Riduzione della superficie di attacco (ASR) | Le regole di riduzione della superficie di attacco (ASR) consentono di evitare comportamenti software spesso abusati per compromettere il dispositivo o la rete. Riducendo il numero di superfici di attacco, è possibile ridurre la vulnerabilità complessiva dell'organizzazione. Gli amministratori possono configurare regole ASR specifiche per bloccare determinati comportamenti, come l'avvio di file eseguibili e script che tentano di scaricare o eseguire file, l'esecuzione di script offuscati o comunque sospetti, l'esecuzione di comportamenti che le app non avviano di solito durante il normale lavoro quotidiano. |
| Impostazioni di protezione antimanomissione per MDE | La protezione antimanomissione è una funzionalità di Microsoft Defender for Endpoint che consente di proteggere alcune impostazioni di sicurezza, come la protezione da virus e minacce, dalla disattivazione o dalla modifica. Durante alcuni tipi di attacchi informatici, gli attori non validi cercano di disabilitare le funzionalità di sicurezza nei dispositivi. La disabilitazione delle funzionalità di sicurezza offre agli attori non validi un accesso più semplice ai dati, la possibilità di installare malware e la possibilità di sfruttare i dati, l'identità e i dispositivi. La protezione dalle manomissioni aiuta a proteggersi da questi tipi di attività. |
| Accesso controllato alle cartelle | È possibile proteggere le informazioni preziose in cartelle specifiche gestendo l'accesso delle app a cartelle specifiche. Solo le app attendibili possono accedere alle cartelle protette, specificate quando viene configurato l'accesso controllato alle cartelle. Le cartelle di uso comune, ad esempio quelle usate per documenti, immagini, download, sono in genere incluse nell'elenco delle cartelle controllate. L'accesso controllato alle cartelle funziona con un elenco di app attendibili. Le app incluse nell'elenco del software attendibile funzionano come previsto. Alle app che non sono incluse nell'elenco attendibile viene impedito di apportare modifiche ai file all'interno di cartelle protette. L'accesso controllato alle cartelle consente di proteggere i dati importanti dell'utente da app dannose e minacce, ad esempio ransomware. |
| Protezione dagli exploit | Protezione dagli exploit applica automaticamente diverse tecniche di mitigazione degli exploit sia ai processi del sistema operativo sia alle singole app. La protezione dagli exploit funziona al meglio con Microsoft Defender per Endpoint, che offre alle organizzazioni un reporting dettagliato sugli eventi e sui blocchi di protezione dagli exploit come parte dei tipici scenari di indagine degli avvisi. È possibile attivare la protezione da exploit su un singolo dispositivo e poi utilizzare MDM o i criteri di gruppo per distribuire il file di configurazione a più dispositivi. Quando viene rilevata una mitigazione nel dispositivo, viene visualizzata una notifica nel Centro azioni. Puoi personalizzare la notifica con dettagli dell'azienda e le informazioni di contatto. Puoi inoltre abilitare le regole individualmente per indicare in modo personalizzato quali tecniche monitorare. |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen protegge da applicazioni e siti Web di phishing e malware e dal download di file potenzialmente dannosi. Per una protezione avanzata dal phishing, SmartScreen avvisa anche le persone quando immettono le credenziali in una posizione potenzialmente rischiosa. L'IT può personalizzare le notifiche da visualizzare tramite MDM o criteri di gruppo. La protezione viene eseguita in modalità di controllo per impostazione predefinita, offrendo agli amministratori IT il pieno controllo delle decisioni relative alla creazione e all'applicazione dei criteri. |
| Microsoft Defender per endpoint | Microsoft Defender per endpoint è una soluzione di rilevamento e risposta per gli endpoint aziendali che aiuta i team di sicurezza a rilevare, indagare e rispondere alle minacce avanzate. Le organizzazioni possono utilizzare i ricchi dati sugli eventi e gli approfondimenti sugli attacchi che Defender per endpoint fornisce per indagare sugli incidenti. Defender per endpoint riunisce gli elementi seguenti per fornire un quadro più completo degli indicenti di sicurezza: sensori comportamentali degli endpoint, analisi della sicurezza cloud, intelligence sulle minacce e funzionalità di risposta avanzate. |
Sicurezza della rete
| Nome della funzionalità | Descrizione |
|---|---|
| Transport Layer Security (TLS) | Transport Layer Security (TLS) è un protocollo di crittografia progettato per garantire la sicurezza delle comunicazioni su una rete. TLS 1.3 è la versione più recente del protocollo ed è abilitato per impostazione predefinita in Windows 11. Questa versione elimina gli algoritmi di crittografia obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare la maggior parte dell'handshake TLS possibile. La stretta di mano è più performante con un giro di andata e ritorno in meno per connessione in media e supporta solo cinque suite di crittografia avanzate che offrono una perfetta segretezza in avanti e un minor rischio operativo. |
| Sicurezza DNS (Domain Name System) | A partire da Windows 11, il client DNS Windows supporta DNS su HTTPS (DoH), un protocollo DNS crittografato. Ciò consente agli amministratori di garantire che i propri dispositivi proteggano le query DNS dagli utenti malintenzionati sul percorso, che si tratti di osservatori passivi che registrano il comportamento di esplorazione o utenti malintenzionati attivi che tentano di reindirizzare i client a siti dannosi. In un modello a attendibilità zero in cui non è presente alcuna relazione di trust all'interno di un limite di rete, è necessaria una connessione sicura a un resolver di nomi attendibili. |
| Protezione dell'associazione e della connessione Bluetooth | Il numero di dispositivi Bluetooth connessi a Windows continua ad aumentare. Windows supporta tutti i protocolli di associazione Bluetooth standard, incluse le connessioni classiche e LE Secure, l'associazione semplice sicura e l'associazione legacy classica e LE. Windows implementa anche la privacy LE basata sull'host. Gli aggiornamenti di Windows consentono agli utenti di rimanere aggiornati sulle funzionalità di sicurezza del sistema operativo e dei driver in conformità con il gruppo di interesse speciale Bluetooth (SIG), i report sulle vulnerabilità standard e i problemi oltre a quelli richiesti dagli standard del settore bluetooth core. Microsoft raccomanda vivamente agli utenti di assicurarsi che il firmware e/o il software degli accessori Bluetooth siano aggiornati. |
| Sicurezza Wi-Fi | Wi-Fi Protected Access (WPA) è un programma di certificazione di sicurezza progettato per proteggere le reti wireless. WPA3 è l'ultima versione della certificazione e fornisce un metodo di connessione più sicuro e affidabile rispetto a WPA2 e ai protocolli di sicurezza precedenti. Windows supporta tre modalità WPA3: WPA3 personal con il protocollo Hash-to-Element (H2E), WPA3 Enterprise e WPA3 Enterprise a 192 bit Suite B. Windows 11 supporta anche WPA3 Enterprise definito da WFA che include la convalida avanzata del certificato server e TLS 1.3 per l'autenticazione tramite l'autenticazione EAP-TLS. |
| Crittografia wireless opportunistica (OWE) | La crittografia wireless opportunistica (OWE) è una tecnologia che consente ai dispositivi wireless di stabilire connessioni criptate agli hotspot Wi-Fi pubblici. |
| Windows Firewall | Windows Firewall offre filtri del traffico di rete bidirezionali basati su host, bloccando il traffico non autorizzato che entra o esce dal dispositivo locale in base ai tipi di reti a cui è connesso il dispositivo. Windows Firewall riduce la superficie di attacco di un dispositivo con regole per limitare o consentire il traffico in base a molte proprietà, ad esempio indirizzi IP, porte o percorsi di programma. La riduzione della superficie di attacco di un dispositivo aumenta la gestibilità e riduce la probabilità di un attacco riuscito. Grazie all'integrazione con Internet Protocol Security (IPsec), Windows Firewall offre un modo semplice per applicare comunicazioni di rete end-to-end autenticate. Offre accesso scalabile e a livelli alle risorse di rete attendibili, contribuendo a imporre l'integrità dei dati e, facoltativamente, a proteggere la riservatezza dei dati. Windows Firewall è un firewall basato su host incluso nel sistema operativo, non sono necessari hardware o software aggiuntivi. Windows Firewall è progettato anche per integrare soluzioni di sicurezza di rete non Microsoft esistenti attraverso un'interfaccia di programmazione delle applicazioni (API) documentata. |
| Rete privata virtuale (VPN) | La piattaforma client VPN Windows include protocolli VPN predefiniti, supporto di configurazione, un'interfaccia utente VPN comune e supporto di programmazione per protocolli VPN personalizzati. Le app VPN sono disponibili in Microsoft Store per VPN aziendali e dell’utente, incluse le app per i gateway VPN aziendali più diffusi. In Windows 11, i controlli VPN più comunemente usati sono integrati direttamente nel riquadro Azioni rapide. Nel riquadro Azioni rapide gli utenti possono visualizzare lo stato della VPN, avviare e arrestare i tunnel VPN e accedere all'app Impostazioni per altri controlli. |
| VPN Always On (tunnel del dispositivo) | Con Always On VPN, è possibile creare un profilo VPN dedicato per il dispositivo. A differenza di User Tunnel, che si connette solo dopo l'accesso di un utente al dispositivo, Device Tunnel consente alla VPN di stabilire la connettività prima dell'accesso dell'utente. Sia Device Tunnel che User Tunnel operano in modo indipendente con i propri profili VPN, possono essere connessi contemporaneamente e possono usare metodi di autenticazione diversi e altre impostazioni di configurazione VPN in base alle esigenze. |
| Accesso diretto | DirectAccess consente la connettività per gli utenti remoti alle risorse di rete dell'organizzazione senza la necessità di connessioni di rete privata virtuale (VPN) tradizionali. Con le connessioni DirectAccess, i dispositivi remoti sono sempre connessi all'organizzazione e non è necessario che gli utenti remoti avviino e interrompano le connessioni. |
| Servizio file Server Message Block (SMB) | La crittografia SMB fornisce la crittografia end-to-end dei dati SMB e protegge i dati dalle intercettazioni sulle reti interne. In Windows 11, il protocollo SMB include aggiornamenti della sicurezza significativi, tra cui crittografia AES-256 bit, firma SMB accelerata, crittografia di rete RDMA (Remote Directory Memory Access) e SMB su QUIC per le reti non attendibili. Windows 11 introduce suite di crittografia AES-256-GCM e AES-256-CCM per la crittografia SMB 3.1.1. Gli amministratori di Windows possono imporre l'uso di una sicurezza più avanzata o continuare a usare la crittografia AES-128 più compatibile e ancora sicura. |
| Server Message Block diretto (SMB diretto) | SMB diretto (SMB tramite accesso diretto alla memoria remoto) è un protocollo di archiviazione che consente il trasferimento diretto dei dati da memoria a memoria tra dispositivo e archiviazione, con utilizzo minimo della CPU, mentre usa schede di rete standard con supporto per RDMA. SMB Diretto supporta la crittografia e ora è possibile operare con la stessa sicurezza del TCP tradizionale e le prestazioni di RDMA. In precedenza, l'abilitazione della crittografia SMB disabilitava il posizionamento diretto dei dati, rendendo RDMA lento come TCP. Ora i dati vengono crittografati prima del posizionamento, con conseguente riduzione relativamente minore delle prestazioni e l'aggiunta della privacy dei pacchetti protetti da AES-128 e AES-256. |
Crittografia e protezione dei dati
| Nome della funzionalità | Descrizione |
|---|---|
| Gestione di BitLocker | Il CSP BitLocker consente una soluzione MDM, come Microsoft Intune, di gestire le funzionalità di crittografia BitLocker nei dispositivi Windows. Sono inclusi i volumi del sistema operativo, le unità fisse e l'archiviazione rimovibile e la gestione delle chiavi di ripristino in Microsoft Entra ID. |
| Abilitazione di BitLocker | Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e gestisce le minacce di furto dei dati o l'esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer. BitLocker usa l'algoritmo AES in modalità di funzionamento XTS o CBC con lunghezza della chiave a 128 bit o a 256 bit per crittografare i dati nel volume. L'archiviazione nel cloud in Microsoft OneDrive o Azure può essere usata per salvare il contenuto della chiave di ripristino. BitLocker può essere gestito da qualsiasi soluzione MDM, come Microsoft Intune, usando un provider di servizi di configurazione (CSP). BitLocker fornisce la crittografia per il sistema operativo, i dati fissi e le unità dati rimovibili sfruttando tecnologie come HSTI (Hardware Security Test Interface), Modern Standby, avvio sicuro UEFI e TPM. |
| Disco rigido crittografato | I dischi rigidi crittografati sono una classe di dischi rigidi che vengono crittografati automaticamente a livello hardware e consentono la crittografia hardware del disco completo, pur essendo trasparenti per l'utente del dispositivo. Queste unità combinano i vantaggi di sicurezza e gestione offerti da Crittografia unità BitLocker con la potenza delle unità con crittografia automatica. Mediante l'offload delle operazioni di crittografia nell'hardware, i dischi rigidi crittografati migliorano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo energetico. Poiché le unità disco rigido crittografate crittografa rapidamente i dati, la distribuzione di BitLocker può essere espansa in tutti i dispositivi aziendali con un impatto minimo o nullo sulla produttività. |
| Crittografia dati personali (PDE) | La crittografia dei dati personali (PDE) funziona con BitLocker e Windows Hello for Business per proteggere ulteriormente i documenti utente e altri file, anche quando il dispositivo è acceso e bloccato. I file vengono crittografati automaticamente e senza problemi per offrire agli utenti maggiore sicurezza senza interrompere il flusso di lavoro. Windows Hello for Business viene usato per proteggere il contenitore, che ospita le chiavi di crittografia usate da PDE. Quando l'utente accede, il contenitore viene autenticato per rilasciare le chiavi nell’applicazione contenitore per decrittografare il contenuto dell'utente. |
| Crittografia Email (S/MIME) | La crittografia email consente agli utenti di crittografare i messaggi e gli allegati di posta elettronica in uscita, in modo che solo i destinatari previsti con un ID digitale (certificato) possano leggerli. Gli utenti possono firmare digitalmente un messaggio, che verifica l'identità del mittente e conferma che il messaggio non è stato manomesso. I messaggi crittografati possono essere inviati da un utente ad altri utenti all'interno dell'organizzazione o a contatti esterni se hanno certificati di crittografia appropriati. |
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per