Sicurezza di Windows 11: è sufficiente?

[-Title-]

Sicurezza di Windows 11: è sufficiente?

[-Description-]

È già stato scritto molto su Windows 11, l'ultimo sistema operativo di Microsoft, che il gigante del software definisce "il Windows più sicuro di sempre". Tuttavia, come molti nel mondo della tecnologia si sono affrettati a sottolineare, la maggior parte dei PC che attualmente eseguono Windows non supportano i requisiti di sistema avanzati per il nuovo sistema operativo (OS).

La sicurezza di Windows 11 e gli strumenti antivirus bastano a proteggerti da tutte le minacce odierne? Io non credo, e non lo credono neanche gli esperti in sicurezza IT. L'antivirus di Windows 11 non proteggerà i tuoi dispositivi da tutte le potenziali minacce ed eventi inaspettati. Potrebbe anche essere la versione di sicurezza più affidabile di Windows, ma non è in grado di proteggerti da tutte le minacce. Fortunatamente abbiamo la migliore decisione disponibile sul mercato per risolvere questo problema e si chiama Acronis Cyber Protect Home Office per gli utenti che lavorano a casa, Acronis Cyber Protect per le aziende e Acronis Cyber Protect Cloud per i service provider.

Acronis Cyber Protect Home Office è la protezione definitiva dalle minacce per i tuoi dispositivi domestici e per la tua azienda. Gli innumerevoli strumenti di sicurezza, funzionalità di salvaguardia e innovazioni ti proteggono non solo dai software maligni, ma ti offrono anche una protezione completa dalle minacce, perché le minacce sono reali e stanno aspettando proprio dietro l'angolo, in agguato in attesa del momento giusto per colpire.

È già stato scritto molto su Windows 11, l'ultimo sistema operativo di Microsoft, che il gigante del software definisce "il Windows più sicuro di sempre". Tuttavia, come molti nel mondo della tecnologia si sono affrettati a sottolineare, la maggior parte dei PC che attualmente eseguono Windows non supportano i requisiti di sistema avanzati per il nuovo sistema operativo (OS). Secondo gli ultimi sondaggi, il numero di minacce continua ad aumentare quotidianamente, il che è motivo di preoccupazione per tutti coloro che utilizzano Windows 11 e non si sentono sufficientemente protetti dalle impostazioni di sicurezza fornite da Windows, perché il numero delle potenziali minacce continua costantemente ad aumentare. Anche se Microsoft rilascia costanti aggiornamenti per il suo software di sicurezza di Windows, come l'implementazione della protezione da exploit e la tabella TPM per impedire che utenti non autorizzati accedano alle tue chiavi di crittografia. La sicurezza di Windows per il dispositivo dovrebbe fare lo stesso, e aggiornare costantemente e sviluppare servizi di protezione sempre migliori, in modo che gli utenti possano sentirsi protetti e sicuri riguardo la loro risorsa più preziosa, i loro dati. Perché sappiamo tutti che la protezione di base offerta dalla sicurezza di Windows non è sufficiente a coprire tutti i rischi e le potenziali minacce.

Per sfruttare appieno i miglioramenti della sicurezza di Windows, i PC devono essere dotati di una CPU ultramoderna con estensioni di virtualizzazione, firmware UEFI compatibile con Secure Boot e un chip di sicurezza avanzato compatibile con TPM 2.0. Questi ed altri requisiti garantiscono il supporto per una miriade di funzionalità di cyber security che rendono Windows 11 molto più resistente dei suoi predecessori. Tuttavia, assicurano anche che la maggior parte delle organizzazioni si prenderà il tempo necessario per aggiornare i propri sistemi.

Per analizzare efficacemente i pro e i contro dell'aggiornamento a Windows 11, bisogna capire quale software di sicurezza di Windows è incluso e disponibile. Queste funzionalità di sicurezza di Windows, come sono facilitate dai nuovi requisiti hardware e software? E quale sarà l'impatto delle impostazioni di sicurezza e firewall aggiornate al fine di garantire la protezione non solo dal codice malevolo, ma una protezione completa da tutte le minacce indesiderate e impreviste che aspettano di colpire costantemente.

Tra i mandati più onerosi per l'aggiornamento a Windows 11 ci sono i requisiti della CPU. Windows 11 richiede un avanzato processore a 64 bit, 1 GHz con estensioni di virtualizzazione e due o più core (ad esempio, processore Intel di ottava generazione, AMD Zen 2 o Qualcomm 7 o 8 Series). Queste specifiche permettono a Windows 11 di sfruttare appieno la funzionalità di sicurezza di Windows, conosciuta come sicurezza basata sulla virtualizzazione (VBS).

Utilizzando le funzionalità di virtualizzazione hardware di Windows, VBS crea una virtual machine e isola una petizione sicura di memoria dal resto delle impostazioni del sistema operativo per gestire dati sensibili o processi. Questo isolamento limita il grado in cui un determinato hack o exploit può compromettere le altre impostazioni di sicurezza del sistema.

"Sebbene non richiediamo VBS durante l'aggiornamento a Windows 11, crediamo che i benefici di sicurezza che offre siano così importanti che abbiamo voluto i requisiti di sistema minimi per garantire che ogni unità che esegue Windows 11 possa soddisfare la stessa sicurezza alla quale si affida il Dipartimento della Difesa degli Stati Uniti (DoD). In collaborazione con i nostri partner OEM e della silicon valley, nel corso del prossimo anno abiliteremo VBS e HVCI sulla maggior parte dei nuovi PC. E continueremo a cercare opportunità per espandere VBS su più sistemi nel corso del tempo."

• Kernel Data Protection (KDP), ad esempio, utilizza VBS per contrassegnare parti del kernel di Windows come di sola lettura, assicurando che i driver e il software in esecuzione nel kernel di Windows (cioè il codice del sistema operativo stesso) non possano essere manomessi.
•  Application Guard utilizza VBS per creare ambienti virtuali usa e getta (container) in cui gli utenti possono interagire con siti web o app di Microsoft Office e file che non sono stati esplicitamente inseriti nella whitelist. Questo garantisce che un contenuto non affidabile caricato tramite Microsoft Edge, Internet Explorer o Microsoft Office rimanga isolato dal sistema operativo host e dai dati aziendali, limitando il danno che qualsiasi contenuto infetto può causare durante la navigazione o l'utilizzo dei tuoi account online.
• Credential Guard è una funzionalità di sicurezza del sistema operativo Windows che isola le credenziali NTLM di Windows, Kerberos e altri segreti in un ambiente protetto da VBS, garantendo che solo il software di sistema privilegiato possa ottenere l'accesso. Questa funzionalità aiuta a proteggere il tuo sistema da attacchi di furto di credenziali come pass the ticket (PtT) e pass the Hash (PtH).
• Allo stesso modo, Windows Hello Enhanced Sign-In Security utilizza VBS per isolare e proteggere i dati di autenticazione (inclusi i dati biometrici) utilizzati per accedere a un determinato dispositivo, garantendo che i dati possano essere accessibili solo attraverso i processi di sicurezza di Windows in esecuzione nell'ambiente VBS. Supporta anche la creazione di percorsi sicuri per i dati di autenticazione che vengono forniti tramite componenti esterni (ad esempio, un sensore di impronte digitali o una telecamera).

Oltre ai requisiti per il processore, Windows 11 richiede un chip TPM per la gestione delle chiavi crittografiche e per la protezione del firmware e del sistema operativo del tuo computer personale. La tecnologia Trusted Platform Module (TPM) fornisce protezione anti-manomissione a livello hardware per operazioni sensibili come la generazione di chiavi, la crittografia e l'avvio del sistema. La versione 2.0 della specifica TPM è incorporata in tutte le CPU supportate da Windows 11 e presenta alcuni importanti miglioramenti per la sicurezza di Windows.

La United Extensible Firmware Interface (UEFI) prende il posto del tradizionale BIOS Legacy. Questo ambiente di avvio programmabile inizializza i dispositivi e avvia il caricatore d'avvio del sistema operativo. I PC con UEFI 2.3.1 e un chip TPM supportano anche Secure Boot, una funzionalità che controlla tutto il codice che viene eseguito prima del caricamento del sistema operativo, così come la firma digitale del caricatore d'avvio del sistema operativo. Tutti i sistemi Windows 11 sono dotati di riavvio UEFI Secure completamente abilitato fin dall'inizio, garantendo che solo il firmware autorizzato e il software con firme digitali affidabili possano essere eseguiti durante il processo di avvio, e proteggendo il sistema sia dai boot kit che dai rootkit.

Windows 11 è il primo sistema operativo a supportare Microsoft Pluton, il nuovo processore di sicurezza progettato e aggiornato da Microsoft che sarà incorporato nelle future CPU di Intel, AMD e Qualcomm per i PC Windows. Pluton implementa la sicurezza di Windows end-to-end che è creata, mantenuta e aggiornata da Microsoft, e sarà integrata con il processo standard di Windows Update, fornendo un'integrazione più stretta e più sicura con il sistema operativo a livello di hardware. Questa integrazione aiuta a rimediare a una vulnerabilità fisica delle attuali implementazioni di TPM, in cui gli hacker in possesso di un dispositivo possono ancora prendere di mira il canale di comunicazione tra la CPU e il TPM per rubare o modificare le informazioni in transito.

Questi requisiti di Windows 11 garantiscono il supporto per alcune tecnologie di sicurezza avanzata di Windows come la crittografia del dispositivo. Alcune, come UEFI Secure Boot, sono abilitate per impostazione predefinita in qualsiasi installazione di Windows 11, facilitando la protezione Zero Trust pronta all'uso

La protezione dello stack imposta dall'hardware (HSP) è una funzionalità che aiuta a identificare e a bloccare gli exploit che funzionano dirottando il flusso di esecuzione del codice di un'applicazione. HSP consente alle applicazioni di utilizzare l'hardware della CPU locale per proteggere lo stack (memoria) - dove il codice viene archiviato in runtime - contro le modifiche. Questo viene realizzato confrontando lo stack di chiamate dell'applicazione con uno shadow stack (un registro protetto dall'hardware del normale flusso di esecuzione del codice dell'app). Se l'integrità dello stack è compromessa, il processo verrà terminato.

Sebbene questa funzionalità sia disponibile dal marzo 2020 (almeno nei progetti dello sviluppatore), il meccanismo dello shadow stack è disponibile solo su certi chipset avanzati, come quelli richiesti da Windows 11, garantendo una adozione più diffusa sul nuovo OS.

L'integrità del dispositivo è assicurata con Windows 11, grazie a funzionalità come il riavvio UEFI sicuro e la protezione dati del Kernel. Come tale, il Sistema Operativo garantisce anche il supporto immediato per l'attestazione del dispositivo remoto; cioè, la verifica remota che qualsiasi dispositivo Windows che si connette alla tua rete sia effettivamente affidabile. L'attestazione stabilisce la fiducia convalidando l'identità e l'integrità dei componenti hardware e software essenziali. Il metodo di attestazione remota fornisce alle parti che vi si affidano un report del dispositivo verificabile, imparziale e resistente alle manomissioni su un peer remoto.

Microsoft Azure Attestation (MAA) è un ottimo esempio di servizio di attestazione remota che può essere utilizzato per verificare l'integrità dei dispositivi Windows in modo completo e utilizzare queste informazioni per imporre l'accesso condizionato ad applicazioni e dati basati su cloud tramite Azure Active Directory.

ImageMicrosoft ha compiuto grandi passi avanti per garantire che il suo nuovo sistema operativo sia sicuro fin dall'inizio, grazie al software di sicurezza di Windows. Il necessario hardware, incentrato sulla sicurezza, che supporta funzionalità come VBS e Secure Boot UEFI, potrebbe abilitare l'antivirus integrato di Windows 11 a neutralizzare completamente intere classi di attacchi malware e garantire una protezione completa da ransomware come rootkit e attacchi di programmazione orientata al ritorno (ROP). Un'altra utile applicazione dell'app di sicurezza di Windows è defender smartscreen, che protegge anche dai file potenzialmente dannosi di siti web di phishing e malware.

Tuttavia, la maggior parte degli utenti di Windows continua a lavorare con sistemi più vecchi. Alcuni di loro utilizzano una rete privata virtuale, come garanzia per una protezione più forte quando si collegano il dispositivo e internet. Molti di questi utenti sono già ansiosi di provare le funzioni di sicurezza del nuovo sistema operativo e potrebbero non comprendere appieno che i nuovi miglioramenti di sicurezza di Windows 11 vanno di pari passo con le nuove restrizioni hardware. Quindi, la possibilità di app maligne e attacchi malware aumenta notevolmente. Alcuni potrebbero persino prendere in considerazione l'idea di tralasciare i requisiti di sistema, in questo modo non riceveranno nemmeno la protezione di base contro le minacce dei virus, e ciò può portare a conseguenze catastrofiche. E comunque gli utenti (o gli amministratori IT) che installano Windows 11 eludendo i requisiti hardware o disabilitando importanti funzionalità di sicurezza di Windows, perdono di conseguenza molti dei vantaggi di sicurezza della piattaforma e degli strumenti antivirus.

Inoltre, tieni presente che molti dei vettori di attacco affrontati dalla tua attuale strategia di cyber security non sono specificatamente affrontati dalle nuove funzionalità di sicurezza dei servizi Microsoft in Windows 11. I criminali informatici sono costantemente alla ricerca di nuove vulnerabilità e creano nuovi malware e altri exploit, alcuni dei quali funzionano ancora bene sui sistemi protetti da TPM, come il phishing. Nonostante Windows 11 abbia un software di protezione da virus e minacce, che esegue periodicamente scansioni approfondite in grado di rilevare automaticamente le minacce, non è una cattiva idea eseguire manualmente una scansione di tanto in tanto. Questo diventa ancora più evidente quando si considera che, nonostante l'afflusso di nuove tecnologie implementate in Windows 11, Microsoft è ancora obbligata a continuare a supportare numerose applicazioni legacy nella sicurezza di Windows come Security Boot elencato nella pagina di sicurezza del dispositivo, che è creato per prevenire attacchi malware al processo di avvio; tutto quello che devi fare è abilitare l'avvio sicuro ed eseguirlo in sicurezza. Windows 11 fornisce anche una retrocompatibilità e sicurezza migliorata. Di conseguenza, è ragionevole aspettarsi che molte vulnerabilità precedentemente non segnalate che riguardano Windows 10 possano anche applicarsi a Windows 11 (come è stato infatti rivelato in un recente aggiornamento della patch).

C'è un sondaggio che indica che l'80% degli utenti Windows utilizza ancora solo la password, invece di utilizzare un'autenticazione biometrica molto più sicura, come il riconoscimento dell'impronta digitale o il riconoscimento facciale nel loro account Microsoft, dove è possibile anche abilitare il blocco dinamico utilizzato per bloccare automaticamente il tuo PC quando ti allontani con il tuo smartphone in mano. Inoltre, se vuoi collegare qualsiasi dispositivo Bluetooth al tuo PC, puoi ancora utilizzare il blocco dinamico per tutti i dispositivi collegati. Tutte queste utili applicazioni di sicurezza di Windows si possono trovare nelle impostazioni delle opzioni di accesso del tuo account amministratore, dove puoi gestire e modificare le impostazioni del sistema se necessario come preferisci. C'è un'altra ottima applicazione per il controllo del browser, se vuoi rimanere protetto dall'app di sicurezza di Windows mentre sei online, archivi i file e navighi su internet. Dall'altra parte è molto importante utilizzare un gestore di password quando devi accedere a un account esistente o a un nuovo account. Così genererai password uniche e sicure per ogni sito web in cui effettui la registrazione.

La sicurezza di Windows non è sufficiente a tenere a bada gli hacker, nonostante la protezione basata sulla reputazione, e questo è preoccupante, perché così si possono verificare guasti software o hardware in ogni momento. Gli esperti IT consigliano a tutti di cambiare la password del proprio account almeno due volte all'anno, e di avere sempre un simbolo speciale in tutte le password, per una migliore protezione delle informazioni di accesso personali.

Un altro ottimo consiglio è quello di aprire l'app Sicurezza di Windows e di consultare con attenzione l'app Impostazioni e la modalità di crittografia, nel caso in cui tu voglia crittografare i tuoi dati più preziosi con una password per una maggiore sicurezza. Se dimentichi la password, è importante creare una chiave di recupero; inoltre, puoi consultare informazioni dettagliate su altri strumenti utili e scegliere dove dare i permessi alle app, per la migliore sicurezza possibile del tuo account principale o dell'account standard.

Alla fine dei conti, le nuove funzioni di sicurezza di Windows 11 sono assolutamente un passo nella giusta direzione. Inoltre, Microsoft sembra affrontare abbastanza rapidamente le problematiche recentemente segnalate. Detto questo, individui, organizzazioni e fornitori di servizi gestiti (MSP) scopriranno che possono ottenere sicurezza e protezione efficienti solo con soluzioni sviluppate da fornitori di sicurezza informatica come Acronis. Concentrandosi sull'integrazione della protezione dei dati, della cyber security e della gestione dei workload, le soluzioni Acronis prevengono le moderne minacce informatiche, compresi gli attacchi zero-day, e consentono agli amministratori della sicurezza di ripristinare dati, applicazioni e sistemi attraverso un'unica piattaforma.

Che tu sia un utente domestico, un'azienda o un service provider, Acronis offre la migliore protezione di cyber security sul mercato di oggi. Le sue soluzioni includono:

Per gli utenti domestici: Acronis Cyber Protect Home Office (in precedenza Acronis True Image) offre tutto ciò di cui un utente domestico ha bisogno per proteggere il proprio PC o Mac e eseguire il backup dei dati, rendendolo più resistente alle minacce odierne, dai guasti del disco agli attacchi ransomware. Grazie alla sua singolare integrazione di backup e CyberSecurity in un unico prodotto, consente di risparmiare tempo e ridurre i costi, le complessità e i rischi causati dalla gestione di più soluzioni.

Per le aziende: Acronis Cyber Protect offre alle aziende una soluzione di protezione informatica che integra in modo nativo la sicurezza informatica, il backup dei dati aziendali e la gestione del carico di lavoro per proteggere endpoint, sistemi e dati. Integrando la protezione dati con la cyber security, la tua azienda può eliminare la complessità, fornire una migliore protezione contro le minacce odierne e massimizzare l'efficienza risparmiando tempo e denaro.

Per i fornitori di servizi: Acronis Cyber Protect Cloud unisce backup e ripristino nel cloud, anti-malware di nuova generazione e gestione del workload in un'unica soluzione. Integrazione e automazione offrono una semplicità senza confronti per i Service Provider, che possono ridurre la complessità e, al tempo stesso, aumentare la produttività e ridurre i costi operativi.