Sicurezza del dispositivo nell'app Sicurezza di Windows

Integrità della memoria, nota anche come Integrità del codice protetta da Hypervisor (HVCI) è una funzionalità di sicurezza di Windows che rende difficile per i programmi dannosi utilizzare driver di basso livello per dirottare il PC.

Un driver è un componente software che consente al sistema operativo (Windows in questo caso) e a un dispositivo (come una tastiera o una webcam) di comunicare tra loro. Quando il dispositivo vuole che Windows eservi un'operazione, usa il driver per inviare la richiesta.

L'integrità della memoria funziona creando un ambiente isolato usando la virtualizzazione hardware.

Pensa a una guardia di sicurezza all'interno di una cabina chiusa a chiave. Questo ambiente isolato (la cabina chiusa nella nostra analogia) impedisce che la funzionalità di integrità della memoria possa essere manomessa da un aggressore. Un programma che vuole eseguire un pezzo di codice che potrebbe essere pericoloso deve passare il codice all'integrità della memoria all'interno della cabina virtuale, in modo che possa essere verificato. Quando l'integrità della memoria ritiene che il codice sia sicuro, lo restituisce a Windows per l'esecuzione. In genere, ciò avviene molto rapidamente.

Senza l'integrità della memoria in esecuzione, la protezione della sicurezza si distingue direttamente all'aperto, dove è molto più facile per un utente malintenzionato interferire con o sabotare la guardia, rendendo più facile per il codice dannoso di sgattaiolare passato e causare problemi.

È possibile attivare odisattivare l'integrità della memoria usando l'interruttore.

Cosa succede se mi dice che ho un driver incompatibile?

Se l'integrità della memoria non viene attivata, potrebbe indicare che è già installato un driver di dispositivo incompatibile. Verifica con il produttore del dispositivo se è disponibile un driver aggiornato. Se non è disponibile un driver compatibile, è possibile rimuovere il dispositivo o l'applicazione che utilizza il driver incompatibile.

La protezione dello stack applicata all'hardware è una funzionalità di sicurezza basata sull'hardware che rende difficile per i programmi dannosi usare driver di basso livello per dirottare il PC.

Un driver è un componente software che consente al sistema operativo (Windows in questo caso) e a un dispositivo (come una tastiera o una webcam) di comunicare tra loro. Quando il dispositivo vuole che Windows eservi un'operazione, usa il driver per inviare la richiesta.

La protezione dello stack applicata dall'hardware funziona impedendo agli attacchi che modificano gli indirizzi restituiti nella memoria in modalità kernel di avviare codice dannoso. Questa funzionalità di sicurezza richiede una CPU in grado di verificare gli indirizzi di ritorno del codice in esecuzione.

Durante l'esecuzione di codice in modalità kernel, gli indirizzi di ritorno sullo stack in modalità kernel possono essere corrotti da programmi o driver dannosi per reindirizzare la normale esecuzione di codice a codice dannoso. Sulle CPU supportate, la CPU mantiene una seconda copia degli indirizzi di ritorno validi su uno shadow stack di sola lettura che i driver non possono modificare. Se un indirizzo di ritorno sullo stack normale è stato modificato, la CPU può rilevare questa discrepanza controllando la copia dell'indirizzo di ritorno sullo shadow stack. Quando si verifica questa discrepanza, il computer richiede un errore di arresto, talvolta noto come schermata blu, per impedire l'esecuzione del codice dannoso.

Non tutti i driver sono compatibili con questa funzionalità di sicurezza, poiché un piccolo numero di driver legittimi modifica l'indirizzo di ritorno per scopi non dannosi. Microsoft ha interageto con numerosi editori di driver per garantire che i driver più recenti siano compatibili con la protezione dello stack applicata all'hardware.

È possibile attivare o disattivare la protezione dallo stack applicata all'hardware usando l'interruttore.

Per usare la protezione dello stack applicata all'hardware, è necessario che sia abilitata l'integrità della memoria e che sia in esecuzione una CPU che supporti Intel Control-Flow Enforcement Technology o lo stack di ombreggiature AMD.

Cosa succede se risulta che ho un driver o un servizio incompatibile?

Se la protezione dallo stack applicata all'hardware non viene attivata, è possibile che sia già installato un driver di dispositivo o un servizio incompatibile. Verifica con il produttore del dispositivo o con l'editore dell'applicazione se è disponibile un driver aggiornato. Se non è disponibile un driver compatibile, è possibile rimuovere il dispositivo o l'applicazione che utilizza il driver incompatibile.

Alcune applicazioni potrebbero installare un servizio anziché un driver durante l'installazione dell'applicazione e installare il driver solo all'avvio dell'applicazione. Per un rilevamento più accurato dei driver incompatibili, vengono enumerati anche i servizi che sono notoriamente associati a driver incompatibili.

Nota anche come protezione DMA kernel questa funzionalità di sicurezza protegge il dispositivo dagli attacchi che possono verificarsi quando un dispositivo dannoso è collegato a una porta Peripheral Component Interconnect (PCI), come una porta Thunderbolt.

Un semplice esempio di uno di questi attacchi potrebbe essere quello di chi si allontana dal PC per una breve pausa caffè e, durante la sua assenza, un aggressore accede, inserisce un dispositivo simile a una USB e riesce a portare via i dati sensibili dalla macchina, oppure inietta un malware che gli consente di controllare il PC da remoto. 

La protezione dall'accesso alla memoria impedisce questo tipo di attacchi negando l'accesso diretto alla memoria a tali dispositivi, ad eccezione di circostanze speciali, in particolare quando il PC è bloccato o l'utente è disconnetto.

Ogni dispositivo ha un software scritto nella memoria di sola lettura del dispositivo - in pratica scritto in un chip sulla scheda di sistema - che viene utilizzato per le funzioni di base del dispositivo, come il caricamento del sistema operativo che esegue tutte le applicazioni che siamo abituati a usare. Poiché tale software è difficile (ma non impossibile) da modificare, viene definito firmware.

Poiché il firmware viene caricato per primo e viene eseguito sotto il sistema operativo, gli strumenti e le funzionalità di sicurezza eseguiti nel sistema operativo hanno difficoltà a rilevarlo o a difendersi da esso. Come una casa che dipende da una buona base per essere sicuro, un computer ha bisogno che il suo firmware sia sicuro per garantire che il sistema operativo, le applicazioni e i dati su quel computer siano sicuri.

Protezione del sistema è un set di funzionalità che consente di evitare che gli utenti malintenzionati possano avviare il dispositivo con firmware non attendibile o dannoso.

Le piattaforme che offrono la protezione del firmware in genere proteggono anche la modalità di gestione del sistema (SMM), una modalità operativa altamente privilegiata, in misura variabile. Si può prevedere uno dei tre valori, con un numero più alto che indica un maggior grado di protezione SMM:

• Il dispositivo è conforme alla versione 1 della protezione del firmware: offre le mitigazioni di sicurezza fondamentali per aiutare SMM a resistere allo sfruttamento da parte di malware e impedisce l'esfiltrazione di segreti dal sistema operativo (compresi i VBS).

• Il dispositivo è conforme alla versione due della protezione del firmware: oltre alla versione uno della protezione del firmware, la versione due garantisce che SMM non possa disattivare le protezioni VBS (Virtualization-based Security) e DMA del kernel.

• Il dispositivo è conforme alla versione tre della protezione del firmware: oltre alla versione due della protezione del firmware, questa versione rafforza ulteriormente l'SMM impedendo l'accesso a determinati registri in grado di compromettere il sistema operativo (incluso VBS).

La protezione dell'Autorità di sicurezza locale (LSA) è una funzionalità di sicurezza di Windows che aiuta a prevenire il furto delle credenziali utilizzate per l'accesso a Windows.   

L'Autorità di sicurezza locale (LSA) è un processo cruciale di Windows, coinvolto nell'autenticazione degli utenti. È responsabile della verifica delle credenziali durante il processo di accesso e della gestione dei token di autenticazione e dei ticket utilizzati per abilitare l’accesso single sign-on per i servizi. La protezione LSA impedisce al software non attendibile di essere eseguito all'interno di LSA o di accedere alla memoria di LSA.  

Ricerca per categorie gestire la protezione delle autorità di sicurezza locali?

Puoi attivare o disattivare la protezione LSA usando l'interruttore.

Dopo aver modificato l'impostazione, è necessario riavviare per renderla effettiva. 

Cosa succede se ho un software incompatibile? 

Se la protezione LSA è abilitata e blocca il caricamento del software nel servizio LSA, una notifica indica il file bloccato. Potresti essere in grado di rimuovere il software che carica il file oppure disabilitare avvisi futuri per il file quando viene bloccato il caricamento in LSA.  

Mentre si usa il dispositivo aziendale o dell'istituto di istruzione, l'accesso e l'accesso a un'ampia gamma di elementi, ad esempio file, stampanti, app e altre risorse nell'organizzazione, verranno disattivati. Rendere questo processo sicuro, ma semplice per l'utente, significa che il tuo PC dispone di una serie di token di autenticazione in un determinato momento.

Se un utente malintenzionato può accedere a uno o più token, potrebbe usarli per accedere alla risorsa dell'organizzazione (file sensibili e così via) a cui è destinato il token. Credential Guard aiuta a proteggere questi token inserendoli in un ambiente protetto e virtualizzato, in cui solo determinati servizi possono accedervi quando necessario.

Un driver è un componente software che consente al sistema operativo (Windows in questo caso) e a un dispositivo (come una tastiera o una webcam) di comunicare tra loro. Quando il dispositivo vuole che Windows eservi un'operazione, usa il driver per inviare la richiesta. Per questo motivo, i driver hanno un accesso molto riservato al sistema.

Windows 11 include un elenco di driver che presentano vulnerabilità di protezione note, sono stati firmati con certificati usati per firmare il malware o che eludono il modello di Sicurezza di Windows.

Se l'integrità della memoria, Smart App Control o la modalità S di Windows sono attivi, sarà attivo anche l'elenco di blocco dei driver vulnerabili.

Qui puoi trovare informazioni sul produttore del processore sicurezza e i numeri delle versioni, nonché le informazioni sullo stato del processore sicurezza.

Nell'app Sicurezza di Windows nel PC, seleziona Sicurezza  dispositivi> Dettagli processore di sicurezza o usa il collegamento seguente:

Dettagli processore sicurezza

Se il processore sicurezza non funziona correttamente, puoi selezionare il collegamento risoluzione dei problemi del processore di sicurezza per visualizzare i messaggi di errore e le opzioni avanzate oppure usa il collegamento seguente:

Risoluzione dei problemi del processore sicurezza

La pagina di risoluzione dei problemi del processore sicurezza fornisce tutti i messaggi di errore pertinenti sul TPM. Ecco un elenco dei messaggi di errore e dei dettagli:

Messaggio	Dettagli
È necessario un aggiornamento del firmware per il processore di sicurezza (TPM).	La scheda madre del dispositivo non sembra supportare il TPM al momento, ma un aggiornamento del firmware potrebbe risolvere il problema. Contatta il produttore del dispositivo per verificare se è disponibile un aggiornamento del firmware e come installarlo. Gli aggiornamenti del firmware sono in genere gratuiti.
TPM è disabilitato e richiede l'intervento dell'utente.	Il modulo piattaforma attendibile è probabilmente disattivato nel BIOS di sistema (Basic Input/Output System) o nella UEFI (Unified Extensible Firmware Interface). Per istruzioni su come attivarlo, consulta la documentazione del supporto tecnico del produttore del dispositivo o contatta il supporto tecnico.
L'archiviazione TPM non è disponibile. Deselezionare il TPM.	Il pulsante cancella TPM si trova in questa pagina. È consigliabile assicurarsi di avere un buon backup dei dati prima di procedere.
L'attestazione sull'integrità del dispositivo non è disponibile. Deselezionare il TPM.	Il pulsante cancella TPM si trova in questa pagina. È consigliabile assicurarsi di avere un buon backup dei dati prima di procedere.
L'attestazione dell'integrità del dispositivo non è supportata in questo dispositivo.	Ciò significa che il dispositivo non fornisce informazioni sufficienti per determinare il motivo per cui il TPM potrebbe non funzionare correttamente sul tuo dispositivo.
Il TPM non è compatibile con il firmware e potrebbe non funzionare correttamente.	Contatta il produttore del dispositivo per verificare se è disponibile un aggiornamento del firmware e come ottenerlo e installarlo. Gli aggiornamenti del firmware sono in genere gratuiti.
Il registro di avvio misurato TPM è mancante. Prova a riavviare il tuo dispositivo.
Si è verificato un problema con il TPM. Prova a riavviare il tuo dispositivo.

Se i problemi persistono anche dopo aver eseguito le procedure di risoluzione relative a un messaggio di errore, contatta il produttore del dispositivo per assistenza.

Seleziona Cancella TPM per reimpostare il processore sicurezza alle impostazioni predefinite.