- Combina VBS, HVCI, WDAC e Credential Guard per isolare codice e credenziali.
- Utilizzare l'attestazione sanitaria e l'accesso condizionale con MDM e immettere l'ID.
- Distribuisci WDAC con ConfigMgr, monitora gli eventi e firma i criteri.
- Completo di BitLocker, Exploit Guard, Application Guard e Firewall.
Per rafforzare un computer Windows non basta abilitare quattro opzioni e basta; bisogna anche allineare sicurezza dell'hardware, protezioni di sistema e policy di controllo delle applicazioni che funzionano insieme. In questa guida, mettiamo insieme tutti i componenti: Credential Guard, BitLocker, AppLocker, Device Guard/WDAC, Application Guard, VBS, HVCI e Conditional Access Health Attestation.
Se gestisci flotte o trasporti merci di alto valore, vorrai distribuire questi livelli in modo pianificato. Combinandoli bene si riducono gli attacchi pass-the-hash, i bootkit, il malware en Boot e l'esecuzione di software non autorizzatoe consente inoltre di prendere decisioni di accesso in base allo stato effettivo del dispositivo.
Livelli di protezione in Windows: hardware e avvio sicuro
Per iniziare dalla base, Windows si affida a protezioni di basso livello: TPM 2.0, UEFI con avvio protetto, misurazione dell'avvio (PCR/TCG) ed ELAML'obiettivo è caricare solo codice legittimo dal primo millisecondo e registrare tutto ciò che accade all'avvio.
El TPM (1.2 e preferibilmente 2.0) Fornisce chiavi crittografiche, metriche e funzioni per sigillare i segreti (come BitLocker o chiavi di autenticazione) e supportare l'attestazione remota. TPM 2.0 standardizza i comportamenti, supporta SHA-256 in PCR e offre una maggiore flessibilità degli algoritmi.
Con UEFI Secure Boot Il firmware convalida che il bootloader e i file binari critici di Windows siano firmati prima dell'avvio, bloccando i caricatori alternativi dannosi. Criterio di configurazione di avvio sicuro estende questo controllo ai parametri sensibili (ad esempio, impedendo la modalità di test della firma).
ELAM (Anti-Malware a lancio anticipato) consente al driver antimalware di caricarsi prima del resto del driver avviare e classificare i driver per impedire il caricamento di driver non attendibili, continuando la catena di fiducia.
Oltre a tutto questo, il Sicurezza basata sulla virtualizzazione (VBS) con Hyper-V crea un confine aggiuntivo, isolando i servizi critici (integrità del codice e credenziali) dal kernel di Windows stesso per sopravvivere anche a un kernel compromesso.
Credential Guard in dettaglio
Credential Guard isola le credenziali sensibili (tra cui hash NTLM e TGT Kerberos) in un processo protetto (LsaIso.exe) in esecuzione in modalità utente isolata grazie a VBS. Anche se un aggressore avesse ottenuto privilegi di amministratore, non sarebbe in grado di leggere la memoria LSASS per scaricare i segreti.
Il sistema utilizza chiavi di avvio e persistenti per proteggere le credenziali residenti e memorizzate; lo stato è abilitato dalla chiave di registro e dalla variabile UEFI per impedire modifiche remote non autorizzate. È possibile verificarne lo stato con msinfo32 ("Servizi di sicurezza Device Guard in esecuzione: integrità del codice applicata dall'hypervisor").
A livello di requisiti, si richiede CPU x64 con VT-x/AMD-V, IOMMU (VT-d/AMD-Vi), UEFI 2.3.1 con Secure Boot e TPMProduttori come Dell sottolineano che i driver compatibili con Windows 10 Enterprise/Education e HVCI sono fondamentali, così come BIOS opzioni di virtualizzazione aggiornate e abilitate.
Se gestisci con soluzioni EMM, è possibile Abilita Credential Guard con o senza blocco UEFI tramite policy MDM (ad esempio, in Citrix Endpoint Management l'impostazione "Configura protezione LSA").
Device Guard e integrità del codice protetta dall'hypervisor (HVCI)
Device Guard non è un singolo switch; è l'insieme di VBS + HVCI + criteri di integrità del codice che bloccano la macchina in modo che possa essere eseguito solo codice attendibile (kernel e utente). HVCI fa sì che le pagine del kernel non siano mai W+X e richiede la convalida dell'integrità prima di eseguire il codice.
La decisione di fiducia è definita in un politica di integrità del codice (CIP), preferibilmente firmato, che è possibile generare con gli strumenti Microsoft e distribuire con GPO, Intune o Configuration Manager. La firma aggiunge ulteriore protezione contro amministratori locali malintenzionati, memorizzando il GUID in una variabile UEFI e consentendo solo gli aggiornamenti firmati dallo stesso firmatario.
Device Guard supporta le regole di consentire/negare, funziona molto bene in carichi di lavoro fissi (chioschi, POS, stazioni SAW) e può essere avviato in modalità di controllo per individuare quali file binari violerebbero la policy prima di entrare in modalità di applicazione.
Per convalidare la prontezza e abilitarla rapidamente, Microsoft e gli OEM raccomandano copione DG_Readiness.ps1 con opzioni come “–Capable –HVCI” o “–Enable –DG –AutoReboot”. I sistemi non sono preconfigurati; è necessario abilitare le funzionalità e implementare le policy.
Windows Defender Application Control (WDAC) e la sua distribuzione
L'ex "Device Guard (WDAC)" è ora noto come Windows Defender Controllo delle applicazioniÈ la whitelist avanzata che impedisce l'esecuzione di codice non autorizzato. Puoi gestirla con Configuration Manager (ramo attuale) per distribuire direttive tramite raccolte.
In ConfigMgr puoi scegliere le modalità di applicazione: Applicazione abilitata (solo eseguibili attendibili) o Solo audit (tutto viene eseguito e i dati non attendibili vengono registrati). Dopo l'elaborazione della policy, ConfigMgr viene contrassegnato come programma di installazione gestito, in modo che il software che distribuirai in seguito diventi automaticamente attendibile.
Cosa è solitamente consentito di default? Componenti di sistema, driver WHQL, applicazioni da Microsoft Store, il client ConfigMgr e cosa viene implementato da ConfigMgr dopo la policy. Puoi anche scegliere di fidarti della reputazione di Microsoft Intelligent Security Graph/SmartScreen (Windows 10 1709+). Indipendentemente dalla modalità scelta, I file .hta sono bloccati.
Passaggi con ConfigMgr: creare la policy (nome, descrizione, riavvio se applicabile, modalità di applicazione), decidere se autorizzi il software ISG, aggiungi percorsi attendibili specifici se necessario (per LOB o per superare le stranezze dell'installatore) e distribuisce alla raccolta con uno programmazione valutazione (giornaliera di default, è possibile abbreviarla in caso di problemi).
Considerazioni sul monitoraggio e sulla sicurezza durante l'implementazione di WDAC
Per monitorare l'elaborazione delle direttive sul client, controllare %WINDIR%\CCM\Logs\DeviceGuardHandler.logIl blocco/controllo degli eseguibili è registrato Registri applicazioni e servizi > Microsoft > Windows > Integrità del codice > Operativoe script/MSI in Microsoft > Windows > AppLocker.
Si prega di notare che, in modalità di controllo o abilitata senza riavvio, il computer è vulnerabile all'installazione di software non attendibile che potrebbe continuare a funzionare in seguito. Test di laboratorio con modalità applicazione abilitata e riavviare prima di consegnare l'apparecchiatura all'utente.
Importante: se si abilita la conformità e poi si esegue nuovamente l'audit sullo stesso dispositivo, può permettersi software inaffidabile per combinazioni di stato. Inoltre, con ConfigMgr, un l'amministratore locale potrebbe bypassare le direttive; il modo più efficace per prevenirlo è applicare una politica binaria firmata tramite GPO (non supportato da ConfigMgr al momento).
AppLocker viene utilizzato qui solo per controlla l'installatore gestito; l'applicazione effettiva è affidata a WDAC. Per un approccio a più livelli, WDAC definisce la base globale e AppLocker aggiunge restrizioni per utenti/gruppi ove opportuno.
AppLocker: un componente aggiuntivo utile ovunque sia necessario
AppLocker è ancora molto utile per scenari ottimizzati per utente dove WDAC non filtra in base all'identità. Ad esempio, puoi negare l'accesso a un gruppo a una specifica app UWP o limitarlo PowerShell o cmd per supportare il personale mentre il resto non lo usa. Definire regole per editor, percorso o hash con firma digitale per una maggiore robustezza.
Ricorda che, in questo contesto, AppLocker partecipa anche come meccanismo per identificare gli installatori gestiti nel flusso ConfigMgr con WDAC, ma non per applicare la whitelist di base del sistema.
Application Guard ed Exploit Guard: contenimento e riduzione della superficie
Windows Defender Application Guard isola la navigazione verso siti non attendibili in un Contenitore Hyper-V Microsoft EdgeSe il browser si blocca, l'aggressore dovrebbe uscire dalla macchina virtuale per accedere all'host. Ciò richiede la virtualizzazione, che Microsoft consiglia. 8 GB di RAM almeno pratico; la modalità Enterprise consente di definire quali domini vanno dentro/fuori dal contenitore e di limitare le capacità (stampa, Download, telecamera, microfono).
Con Windows Defender Exploit Guard hai quattro pilastri: Regole di riduzione della superficie di attacco (ASR) per interrompere i vettori tipici (macro di Office, script, PSExec/WMI, PDF con processi figlio, eseguibili da USB, ecc.), protezione della rete (blocco HTTP/HTTPS verso domini con cattiva reputazione tramite cloud), Accesso controllato alle cartelle (attenua il ransomware) e Protezione contro gli exploit (sostituisce EMET con DEP, ASLR e ulteriori mitigazioni).
Se provieni da EMET, puoi convertire le policy in Exploit GuardE se utilizzi il cloud Microsoft, Exploit Guard e la protezione della reputazione favoriscono decisioni di prevenzione e risposta più efficaci.
Attestazione sanitaria e accesso condizionale con MDM e ID di accesso Microsoft
Proteggere non basta: bisogna misurare e dimostrare lo stato del dispositivo per concedere l'accesso a risorse di alto valore. Windows offre l'attestazione di integrità basata sull'hardware in cui il client invia al servizio Microsoft Record TCG e valori PCR firmati con AIK per verificare l'avvio (avvio protetto, debug, modalità provvisoria), BitLocker, VBS, HVCI, ELAM e l'impronta digitale della policy di integrità del codice.
Il percorso tipico: il dispositivo (con TPM) riceve un Certificato AIK rilasciato dalla Microsoft Cloud CA (derivato dall'EK per preservare la privacy), misura l'avvio (PCR0…n) e invia Registro TCG + citazione PCR al servizio. Ciò convalida la firma, la coerenza e rilascia un blob di stato crittografato che l'MDM può rispedire per la decodifica e la valutazione.
da Attestazione sanitaria CSP, l'agente MDM raccoglie e inoltra tali metriche. Intune o altri MDM richiedono il blob, il servizio controlla contatore nonce e di avvioe restituisce gli attributi di stato (avvio protetto, db/dbx, BitLocker, VBS, ELAM, hash della politica di integrità del codice, ecc.) che l'MDM utilizza per contrassegnare il dispositivo come conforme o non conforme.
Con lo stato in ID Microsoft Entra, il motore di Accesso Condizionale decide in tempo reale se consentire la pubblicazione tramite proxy di app Office 365, SaaS o locali. Se il dispositivo non è registrato o non è conforme, l'utente riceve istruzioni di bonificaSe la richiesta ha esito positivo e viene autorizzata, Entra emette il token di accesso. Sono inoltre disponibili la sincronizzazione con AD e il supporto per ADFS 2016 per scenari on-premise.
Perché l'antimalware e la gestione sono ancora necessari
Sebbene una lista consentita forte riduca notevolmente il rischio, vulnerabilità nelle app utente rimangono una via comune di infezione. Lo strato fondamentale è applicare patch e gestire il parco; l'antimalware fornisce una difesa complementare, alimenta ELAM e trae vantaggio dal report di runtime (System Guard) per verificare che l'ambiente non sia stato alterato.
Windows Defender System Guard consolida i controlli di integrità, abilita VBS per impostazione predefinita su installazioni pulite con hardware supportato e offre certificazione runtime che convalida lo stato di avvio, l'hypervisor e i binari firmati, nonché l'integrità dell'enclave VBS.
Requisiti, licenze e compatibilità della piattaforma
Per l'attestazione sanitaria, Windows Pro, Enterprise ed Education la supportano e i diritti di utilizzo provengono dalle licenze Pro/Pro Education/SE, Enterprise E3/E5 e Education A3/A5. Per Credential Guard e Device Guard, Windows 10/11 Enterprise/Education e hardware allineato: CPU x64, VT-x/AMD-V, SLAT, IOMMU (VT-d/AMD-Vi), UEFI 2.3.1 con Secure Boot e TPM (preferibilmente 2.0).
Gli OEM descrivono in dettaglio la compatibilità dei driver BIOS/HVCI in base al modello. Esempi di famiglie verificate Tra questi rientrano le generazioni Dell Latitude, OptiPlex, Precision e XPS Skylake/Kaby Lake, con versioni specifiche di BIOS e driver. Il punto è chiaro: Mantenere il BIOS aggiornato e i driver compatibili con HVCI per evitare guasti durante l'attivazione di VBS/HVCI.
Nel BIOS/UEFI, abilita virtualizzazione, IOMMU, Secure Boot e MOR sicuroSe la tua CPU è Intel vPro solitamente implica il supporto VT-x/VT-d; anche alcuni modelli non vPro lo includono. Ricorda: L'impresa non nasce dalla fabbrica su OEM; aggiornamenti da Pro tramite licenze a volume.
Se utilizzi MDM di terze parti (ad esempio Citrix), puoi abilitare la sicurezza per la virtualizzazione, impostare il livello della piattaforma (avvio protetto con VBS o con protezione DMA) e configurare la protezione LSA (abilitare Credential Guard con o senza blocco UEFI); il server verrà distribuito solo se rileva disallineamento della configurazione riguardo al dispositivo.
BitLocker, prestazioni, aggiornamento e firewall
Informazioni sugli aggiornamenti, Windows Update lattina posticipare i download sulle reti dati (3G/4G considerato utilizzo misurato) per risparmiare sui costi, riprendendo quando si torna al Wi-Fi. Se un aggiornamento critico, è prioritario anche in scenari di connettività limitata.
Per il firewall, gestire il Firewall di Windows Defender dal Pannello di controllo o "Firewall con sicurezza avanzata". Si consiglia di abilitarlo con filtraggio in entrata e in uscita su misura per le esigenze (ad esempio, solo browser aziendali per Internet).
Come complemento, AppLocker offre regole per produttore/azienda per le tue app; "Approvazione Device Guard" per le app appare quando sono firmato da Microsoft Store, dalla tua PKI o da una CA attendibile, inserendosi nella strategia di fiducia.
Una nota pratica sulla chiusura del ciclo: protezione dell'ambiente firmware. Blocca l'accesso alle opzioni di avvio per impedire a chiunque abbia accesso fisico di disabilitare l'avvio protetto o l'avvio da USB. E se si desidera impedire l'esecuzione dello strumento di configurazione della sicurezza del sistema, aggiungere una regola che negare C:\Windows\System32\SecConfig.efi nella tua politica di integrità.
Con tutti questi strati, si passa da un approccio puramente preventivo a uno equilibrato tra prevenzione, rilevamento e risposta, dove il dispositivo dimostra il suo stato e identità e policy decidono su ciascun punto di accesso. Implementandolo in modo ordinato in laboratorio, abilitando VBS/HVCI, firmando policy WDAC, utilizzando AppLocker ove appropriato, misurando con attestazione di stato e coordinandosi con BitLocker, Exploit Guard e Application Guard, si alza davvero l'asticella per qualsiasi aggressore.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.