Secondo il NIST, negli ultimi tre anni gli attacchi hardware sono aumentati di oltre cinque volte. Inoltre, sulla base dello studio Security Signals di Microsoft, oltre l’80 % dei dirigenti di alto livello ha riferito di aver subito un attacco hardware nei due anni precedenti.
Con la minaccia di attacchi più imminente che mai, è logico che Microsoft metta la sicurezza come una priorità per il suo nuovo sistema operativo Windows 11. Microsoft ha utilizzato le lezioni apprese dai PC secure-core e le ha applicate al nuovo sistema operativo Windows 11. I PC secure-core sono stati inizialmente sviluppati per settori altamente focalizzati come servizi finanziari, governo e assistenza sanitaria per proteggere i dati sensibili, quindi diventa chiaro il motivo per cui Microsoft vorrebbe utilizzarli come standard. Costruire una base più solida e sicura è l’obiettivo dei nuovi requisiti di sicurezza hardware di Windows 11. Descritto in un post ufficiale sul blog, ci sono molte funzionalità di sicurezza di Windows 11 e Microsoft sta ora investendo più di 1 miliardo di dollari all’anno in sicurezza. Per i consumatori, Windows 11 mira a semplificare l’acquisizione immediata della protezione contro le minacce sofisticate. Window 11 si concentra sulla sicurezza in ogni livello, secondo Microsoft.
I motivi principali per cui Windows 11 migliora la tua posizione di sicurezza
Uno dei motivi è che tutti i PC Windows 11 dovranno disporre di un chip TPM 2.0 che aiuta a salvaguardare le chiavi di crittografia, le password degli utenti e altri dati sensibili. Una “root-of-trust” incorporata è ciò che rende TPM 2.0 il nuovo standard per la sicurezza hardware. Avrai la possibilità di mitigare il ransomware e altri attacchi più sofisticati sfruttando questo hardware moderno, e controlla quale antivirus è buono, che possa migliorare le funzionalità di Window e aiutarti ad aumentare la sicurezza. Windows Hello e BitLocker usano anche TPM 2.0 come componente fondamentale per una maggiore protezione dell’identità e dei dati. Vale la pena notare che i TPM svolgono anche un ruolo importante nella sicurezza Zero Trust per molti clienti aziendali, fornendo un elemento sicuro per certificare lo stato di salute dei dispositivi. Inoltre, Microsoft sta introducendo Pluton, che porta il chip TPM all’interno della CPU. Questa funzione protegge ulteriormente i dispositivi dagli attacchi fisici. Pluton è una risposta diretta alla capacità di estrarre la chiave di crittografia (chiave Bitlocker) di un chip TPM attraverso un attacco fisico avanzato.
Protezione del kernel con la virtualizzazione hardware assistita
Saranno necessarie CPU moderne per Windows 11 e funzionalità di sicurezza integrate e attivate come la sicurezza basata sulla virtualizzazione (VBS), l’integrità del codice protetta dall’hypervisor (HVCI) e l’avvio protetto sono incluse come standard di protezione da attacchi di malware e ransomware. VBS utilizza la virtualizzazione hardware per creare un’area di memoria separata dal sistema operativo, che viene quindi utilizzata per mantenere isolate le soluzioni di sicurezza. HVCI utilizza VBS per creare un kernel sicuro all’interno di uno spazio virtualizzato anziché nel kernel effettivo. Con HVCI, il codice del kernel può essere verificato per la corretta firma del codice prima di consentirne l’esecuzione: ciò garantisce che solo il codice convalidato possa essere eseguito in modalità kernel. Attacchi come WannaCry sono mitigati da questa capacità.
Protezione firmware contro Bootkits e Rootkits
Windows 11 si basa sullo standard di avvio protetto UEFI (Unified Extensible Firmware Interface). L’avvio protetto aiuta a garantire che solo il firmware e il software autorizzati con firme digitali affidabili possano essere eseguiti. Tuttavia, mantenere un elenco “noto bene” è problematico, quindi Microsoft ha introdotto Windows Defender System Guard Secure Launch. Questa funzionalità ha introdotto la possibilità per le macchine di seguire il normale processo UEFI, ma prima di avviare Windows, il dispositivo fisico entra in uno stato attendibile controllato dall’hardware che costringe le CPU a disattivare il percorso del codice protetto dall’hardware, bloccando bootkit e rootkit. Microsoft ha un articolo approfondito su questa funzionalità per gli interessati.
Basandosi sulle funzionalità di Windows 10, le macchine che eseguono Windows 11 sono in grado di segnalare l’integrità del dispositivo in diversi modi:
- Se il dispositivo può essere considerato affidabile
- Se il sistema operativo è stato avviato correttamente
- Se il sistema operativo ha abilitato il set corretto di funzionalità di sicurezza
Per le aziende che sfruttano le funzionalità Zero Trust nell’accesso condizionale di Azure, ciò significa che è possibile creare criteri che bloccano l’accesso alle risorse quando l’attestazione del dispositivo non riesce.
Sicurezza della rete migliorate
Windows 11 viene fornito con TLS 1.3 abilitato per impostazione predefinita. Questa è l’ultima iterazione di Transport Layer Security (che sostituisce TLS 1.2). Windows 11 utilizzerà TLS 1.3 ove possibile e ritornerà a TLS 1.2 quando necessario. Ciò si tradurrà in handshake efficienti leggermente migliorati (1 andata e ritorno in meno per connessione) e l’eliminazione di algoritmi obsoleti. Windows 11 supporta DNS su HTTPS, che è un protocollo DNS crittografato. Ciò fornisce ulteriore sicurezza a livello di rete contro reindirizzamenti dannosi e registrazione del comportamento di navigazione. Il protocollo DNS su HTTPS può essere richiesto dagli amministratori, assicurando che i dispositivi che utilizzano DNS non sicuri non riescano a connettersi alle risorse di rete. Gli amministratori IT hanno anche la possibilità di escludere DNS su HTTP per le distribuzioni legacy in cui le appliance perimetrali di rete sono affidabili per l’ispezione del traffico DNS in testo normale.