sicurezza-windows-10-01

Windows 10 è rivoluzionario, Microsoft ha infatti totalmente rivisto la concezione stessa del sistema operativo: oggi Windows 10 è considerato as service, ovvero come un servizio aggiornato con regolarità, rendendo la vita più semplice sia agli utenti che agli sviluppatori. Questo però richiede che alla base ci sia un sistema operativo sicuro, visto che Windows è spesso associato a parole come malware o virus.
Da parte di Microsoft c’è stato un investimento di risorse e conoscenze importanti per migliorare sempre di più la sicurezza di Windows: in questo articolo vedremo alcune tra le principali implementazioni di sicurezza che proteggono Windows 10.

Secure Boot e Early Launch Anti-Malware

Chiamato anche Avvio Sicuro, Secure Boot è una funzionalità integrata in UEFI e consente esclusivamente l’avvio dei moduli software dotati di una firma digitale autorizzata e presente nel database delle firme, contenuto nel firmware della scheda madre: questo grazie ad una specifica funzione denominata Early Launch Anti-Malware, il primo driver caricato che provvede poi ad analizzare gli altri driver che da quel momento vengono caricati, per verificarne l’attendibilità. In parole povere, questa funzionalità impedisce di fatto il caricamento di malware, root-kit e simili che trovavamo molto spesso fino a Windows 7; ricordiamo che, in presenza di problemi, l’Avvio Sicuro è disattivabile.

UEFI: com’è nato e quali sono i vantaggi rispetto al BIOS

Alla base dell’Avvio Sicuro c’è UEFI, il successore del BIOS tradizionale: il suo acronimo è Unified Extensible Firmware Interface. In verità l’idea di avere più funzionalità disponibili rispetto alle grosse limitazioni del BIOS risale ad almeno 15 anni fa: già nel 2003 Intel parlava del Boot Initiative, lanciato con l’architettura Itanium IA64. Da quel momento in poi fu fondato un consorzio con più di 140 aziende, tra cui giganti come Apple, Dell, Microsoft, Phoenix, Intel, che gestivano lo sviluppo di UEFI stesso. Per la verità Microsoft è una delle ultime che lo ha adottato, visto che le distribuzioni Linux lo supportano già dal 2002 e stesso discorso vale anche per OS X.

UEFI è un sistema di avvio molto complesso ed è completamente svincolato da CPU e driver, introducendo un concetto totalmente nuovo all’utente, visto che è possibile usare il mouse, lanciare diagnostiche hardware mirate, ed offre un’interfaccia molto più user-friendly rispetto al BIOS.

I vantaggi maggiori di UEFI sono:

  1. Sicurezza migliorata grazie al Secure Boot o Avvio Sicuro
  2. Velocità di avvio migliorata
  3. Supporto per hard disk con dimensioni maggiori di 2,2 TB grazie all’implementazione del GPT che, in ambiente Windows, supporta fino a 128 partizioni e la dimensione massima supportata di una singola partizione può essere di 9 miliardi di Terabyte. Le informazioni sull’organizzazione del disco, con GPT, vengono scritte sia all’inizio che alla fine dell’unità, rendendo possibile un recupero/ripristino nel caso in cui le informazioni scritte nel blocco iniziale vadano danneggiate. Nel primo settore del GPT c’è un MBR di protezione, il quale garantisce la retrocompatibilità con BIOS più datati o con software che non riconoscono correttamente il formato GTP.

Come abbiamo visto, il supporto al sistema UEFI ha portato enormi vantaggi nel campo della sicurezza, della stabilità e della compatibilità dei sistemi Windows – e non solo. Come il Secure Boot, ci sono altre funzionalità di sicurezza che si integrano alla perfezione con il sistema UEFI, una di questa è la Trusted Platform Module (TPM).

Trusted Platform Module (TPM)

La TPM è una funzione resa obbligatoria da Microsoft dalla scorsa estate: questa piattaforma consiste in un chip hardware, montato sulla scheda madre, il quale si occupa della generazione, memorizzazione e decifrazione delle chiavi di autenticazione relative alla crittografia. Le funzionalità che si servono del TPM sono le seguenti (escluse quelle prettamente di ambito business):

  1. Secure Boot e le funzionalità anti-malware presenti al suo interno
  2. Funzionalità BitLocker, per la crittografia dei dati
  3. Device Guard, disponibile solo su versioni Enterprise
  4. Windows Hello
  5. Funzionalità di accesso Microsoft Passport

Microsoft Passport e Windows Hello

Microsoft Passport permette l’accesso e l’autenticazione in due fattori, che può comprendere il PIN o l’accesso biometrico di Windows Hello, con il supporto del TPM, il quale autenticherà l’utente consentendogli di accedere. In parole povere, Passport utilizza le nostre informazioni (PIN o Windows Hello) per far generare un set di chiavi crittografate da parte del TPM, le quali funzionano solo in quel dispositivo. Windows Hello, come già accennato, permette l’autenticazione biometrica tramite riconoscimento dell’iride (più sicuro) o dell’impronta digitale.

BitLocker per la crittografia dei dati su Windows

Anche questa funzione si appoggia al TPM per poter lavorare al massimo della sicurezza: BitLocker (disponibile solo in Windows 10 Pro) è migliorato notevolmente rispetto alle precedenti edizioni, integrandosi ancor di più nel sistema e dando degli ottimi strumenti di ripristino dei dati criptati. Grazie al chip TPM, BitLocker sarà in grado di verificare il livello di integrità pre-boot del sistema operativo già dai primi istanti d’avvio del computer, per evitare modifiche eseguite a sistema spento. Nel caso, invece, che sia in esecuzione un hardware sprovvisto del chip TPM, BitLocker richiederà un drive USB di startup contenente la chiave di avvio necessaria; non sarà disponibile però il controllo del livello di integrità pre-boot.

Le funzioni di BitLocker sono utili per evitare che, in caso di furto o smarrimento, dei malintenzionati possano avere libero accesso ai nostri dati, anche i più sensibili.

Questa funzionalità cripta l’intero contenuto del disco rigido (o di una memoria rimovibile) utilizzando l’algoritmo AES nella modalità CBC con una chiave da 128 bit (che richiederebbe 3,4 × 1038 tentativi per essere trovata), ed è attiva di default in Windows 10 Home: le chiavi di autenticazione, in questo caso, sono salvate direttamente nei Server Microsoft tramite il servizio cloud OneDrive, a cui l’utente è vincolato; successivamente è possibile accedere alla pagina dedicata in OneDrive, copiare manualmente i dati in un file di testo o in un foglio, quindi eliminare la chiave: questo solo per chi ha a cuore la propria privacy, per la maggior parte degli utenti non vi è nulla di cui preoccuparsi. Con il rilascio di Windows 10 è stato introdotto l’algoritmo XTS-AES, con supporto alle chiavi sia a 128 bit che a 256 bit.

Gli utenti di Windows 10 Pro ed Enterprise possono invece creare separatamente una chiave di decriptazione e avere la scelta di stamparla, creare un drive USB di recupero oppure salvarla nel proprio Microsoft Account.

Il recupero della chiave di decriptazione, quindi, può avvenire:

  • Online accedendo all’indirizzo dedicato del servizio OneDrive, ove troveremo elencate le chiavi di decriptazione a nostra disposizione.
  • Offline tramite un documento stampato ed archiviato.
  • Offline tramite una chiavetta USB ove è stato salvato il file contenente la chiave di decriptazione.

Ricordiamo, comunque, che vi sono alcune operazioni di sistema che richiedono la sospensione di BitLocker e sono:

  1. Aggiornamento del sistema da Windows 7 a Windows 8/10
  2. Aggiornamento del firmware
  3. Aggiornamento del firmware TPM
  4. Aggiornamento di applicazioni non Microsoft che modificano l’avvio (ad esempio software antivirus, ecc.)

Per saperne di più e come abilitare BitLocker vi consigliamo di leggere il nostro articolo dedicato – Come abilitare la crittografia BitLocker delle unità su Windows 10.

Controllo Account Utente

User Access Control, abbreviato in UAC, è stato introdotto con Windows Vista e migliorato nel tempo, fino ad arrivare a Windows 10. Il controllo account utente verifica le applicazioni che vogliono avviarsi nel sistema, permettendone così il controllo in tempo reale, il riconoscimento o meno della loro attendibilità da parte dell’utente e la possibilità di negarne l’avvio. Questa funzionalità è stata ulteriormente migliorata con la versione 1511 di Windows 10: infatti l’UAC ora si interfaccia con l’AMSI (Anti-malware Scan Interface, facente parte di Windows Defender) per verificare se l’applicazione è un malware o meno: in caso affermativo, il privilegio di amministratore viene bloccato. Ricordiamo che disabilitando l’UAC le app universali smettono di funzionare.

Addio Active-X in Microsoft Edge

Microsoft Edge, il nuovo browser implementato in Windows 10, è una nuova concezione di browser che taglia di netto con il passato e soprattutto con Internet Explorer, il quale si era creato una fama poco rassicurante. Edge non supporta più i vecchi ed obsoleti componenti Active-X, VBScript, barre degli strumenti e oggetti browser-helper, che la maggior parte delle volte erano veicolo di malware, spyware e altre minacce.

Durante la navigazione in Windows 10 abbiamo anche il supporto del filtro SmartScreen, il quale ci protegge da siti web malevoli o dove vi è la presenza di codice maligno (come ad esempio un banner pubblicitario non sicuro, tecnica chiamata malwertising). In aggiunta, Edge crea una sandbox virtuale per isolare ogni sessione di navigazione. Al Microsoft Ignite di quest’anno è stata annunciata un’ulteriore funzionalità di sicurezza che sarà introdotta: la Windows Defender Application Guard, che virtualizzerà la sessione di navigazione utilizzando Hyper-V, in modo da isolare prontamente eventuali malware impedendone la loro diffusione nel sistema.

Windows Defender

L’aspetto più vincente dell’antivirus Windows Defender è che è perfettamente integrato nel sistema, è leggero e usufruisce della protezione cloud, aggiornandosi quotidianamente.

Utilizza un approccio quadruplo per svolgere al meglio il suo compito: il contesto locale avanzato indica all’antivirus la provenienza del file, la posizione di archiviazione e altre informazioni.

L’AMSI offre uno standard di interfaccia pubblica generica che può lavorare anche con altri software anti-malware e permette l’analisi del codice offuscato prima dell’esecuzione. Lavora a stretto contatto con l’UAC: infatti, alla richiesta di elevazione dei privilegi, l’UAC interroga Windows Defender, tramite l’interfaccia AMSI, circa l’attendibilità del processo da elevare e, se risulta non attendibile, la richiesta di privilegio viene bloccata e notificata all’utente. Inoltre ripristina in automatico modifiche eseguite da parte di malware a servizi nevralgici come Windows Update o UAC. I servizi relativi l’antivirus sono protetti (come tutti i servizi del cuore di Windows) e impedisce inoltre ad applicazioni non attendibili di interagire o modificare servizi, chiavi di registro e altre punti deboli di Windows.

In ultimo, Defender si disabilita automaticamente quando rileva la presenza di un antivirus di terze parti: questo proprio per preservare la stabilità del sistema e garantire allo stesso tempo che l’antivirus installato possa lavorare nel migliore dei modi. Se il prodotto antivirus viene disabilitato o è scaduto da più di 24 ore, Windows Defender si abilita in automatico per proteggere il sistema e notifica all’utente la necessità di rinnovare o riabilitare il prodotto antivirus di terze parti. Ad oggi, comunque, la presenza di antivirus diverso da Defender può provocare instabilità al sistema e bloccare anche normali operazioni: per questo consigliamo di installare sempre l’ultima versione rilasciata dal produttore, onde evitare problemi di questo tipo.

Conclusioni

Possiamo affermare che con Windows 10 sono stati fatti enormi passi avanti, la protezione dell’utente e dei dati è la principale preoccupazione di Microsoft e questo l’ha spinta ad investire moltissime risorse in questo ambito. Alla domanda che sicurezza ci garantisce Windows 10? possiamo rispondere che il livello di protezione è molto alto e che il futuro porterà solo miglioramenti e sposterà l’asticella della sicurezza ancora più in là. Certo, dobbiamo sempre tener presente che il miglior antivirus siamo noi stessi, con il nostro comportamento online: dobbiamo sempre prestare la dovuta attenzione a che siti visitiamo, alle email che apriamo e agli allegati che salviamo. E voi, che cosa ne pensate della sicurezza di Windows 10? Utilizzate anche voi Windows Defender?

Nota | Device Guard, VBS (sicurezza basata sulla virtualizzazione), MBAM (Microsoft BitLocker Administration and monitoring) non sono state prese in esame, trattandosi di soluzioni di protezione per l’ambito business.

Articolo di Windows Blog Italia