Windows Vista
Proteggere il PC con le nuove funzionalità di protezione di Windows Vista
Justin Harrison
Panoramica:
- Uso di Centro sicurezza PC Windows
- Configurazione e gestione delle impostazioni del controllo dell'account utente
- Ricerca di spyware con Windows Defender
Molti anni fa, il Presidente di Microsoft (e all'epoca Chief Software Architect) Bill Gates chiese ai dipendenti dell'azienda di fare dello sviluppo di sistemi di elaborazione affidabili la massima priorità aziendale. Parallelamente a quell'annuncio furono introdotti diversi cambiamenti nel modo in cui veniva sviluppato il software Microsoft.
Windows Vista™ è il primo sistema operativo il cui ciclo di sviluppo ha seguito interamente le linee guida del Security Development Lifecycle (SDL), un processo di progettazione incentrato sulla sicurezza volto a fare della protezione l'essenza stessa di ogni iniziativa di progettazione di software; tutti i prodotti Microsoft ad ampia diffusione devono seguire queste linee guida. Ulteriori informazioni sul ciclo SDL sono disponibili nel libro The Security Development Lifecycle (in inglese) di Michael Howard e Steve Lipner, Microsoft Press®, 2006.
Windows Vista include inoltre una serie di tecnologie di protezione nuove o aggiornate che rilevano e prevengono attivamente i rischi di protezione. Tutti questi cambiamenti hanno contribuito a fare di Windows Vista la versione di Windows® più protetta tra quelle sinora realizzate. In questo articolo presenterò la nuova applet di protezione del Pannello di controllo, Centro sicurezza PC Windows, e le soluzioni di protezione incorporate quali Windows Defender, Windows Firewall e Controllo account utente.
Il pannello di controllo per la protezione
Il Pannello di controllo di Windows Vista è organizzato in dieci aree funzionali, con la maggior parte delle applet correlate alla protezione suddivise tra le aree Protezione, Programmi e Rete e Internet. Le applet dell'area Protezione consentono di accedere a molte delle nuove tecnologie per la protezione di Windows Vista, come illustrato nella figura 1.
Figure 1 Tecnologie di protezione in Windows Vista
| Funzione | Descrizione |
| Centro sicurezza PC | Controlla aggiornamenti; controlla stato di protezione; attivare gli aggiornamenti automatici; controlla stato del firewall; password necessaria alla riattivazione. |
| Windows Firewall | Attiva/Disattiva Windows Firewall; consenti programma con Windows Firewall. |
| Windows Update | Attivare gli aggiornamenti automatici; controlla aggiornamenti; visualizza aggiornamenti installati. |
| Windows Defender | Cerca spyware e altro software potenzialmente indesiderato. |
| Opzioni Internet | Cambia impostazioni di protezione; elimina cookie; cancella cronologia. |
| Controllo genitori | Imposta Controllo genitori per qualsiasi utente; visualizza rapporti attività. |
| Crittografia unità BitLocker | Attiva crittografia unità BitLocker. |
È inoltre possibile controllare se sono disponibili nuovi aggiornamenti di Windows, attivare la funzione Crittografia unità BitLocker™, eliminare i cookie, cancellare la cronologia e impostare una password da immettere alla riattivazione del computer.
L'applet Protezione semplifica inoltre l'accesso al Centro sicurezza PC Windows, che rappresenta un'unica posizione centralizzata da cui è possibile gestire e controllare lo stato delle impostazioni di protezione del computer e la protezione incorporata.
Protezione centralizzata
Prima dell'introduzione del Centro Sicurezza PC con Windows XP Service Pack 2 (SP2), era difficile gestire tutte le impostazioni di protezione di Windows. Centro Sicurezza PC permette ora di accedere a tutte le impostazioni di protezione importanti di Windows da un'unica posizione ed è stato ulteriormente migliorato in Windows Vista.
Centro sicurezza PC Windows viene eseguito in background e provvede al monitoraggio continuo di quattro categorie di funzionalità, come mostrato in figura 2: Firewall, Aggiornamenti automatici, Protezione da malware (virus e spyware) e Altre impostazioni di protezione (Internet e Controllo dell'account utente).
Figura 2.** Gestione delle impostazioni di protezione da un'unica posizione **(Fare clic sull'immagine per ingrandirla)
Centro sicurezza PC Windows consente di verificare quali applicazioni sono attive come firewall, antispyware e antivirus, nonché lo stato del firewall, degli aggiornamenti automatici e le impostazioni del controllo dell'account utente. Centro sicurezza PC Windows offre inoltre una caratteristica unica: è in grado infatti di monitorare lo stato delle applicazioni di terze parti oltre alle tecnologie incorporate in Windows. In particolare verifica quanto segue:
- Se è installato e attivato un firewall.
- Se è installato un programma antivirus, se le relative definizioni sono aggiornate e se è attivato il rilevamento in tempo reale.
- Se è installato un programma antispyware, se le relative definizioni sono aggiornate e se è attivato il rilevamento in tempo reale.
Centro sicurezza PC Windows rileva le applicazioni antivirus e firewall di terze parti attraverso due diverse modalità. In modalità manuale, Centro sicurezza PC Windows cerca le chiavi del Registro di sistema e i file che permettono di rilevare lo stato del software. Esegue inoltre query sui provider di Strumentazione gestione Windows (WMI) resi disponibili dai fornitori partecipanti al fine di rilevare lo stato delle relative funzioni. Questo significa che è possibile installare programmi antivirus, antispyware o firewall di altri produttori e utilizzare Centro sicurezza PC Windows per monitorare e proteggere il computer.
Centro sicurezza PC Windows può essere controllato tramite Criteri di gruppo ed è disattivato per impostazione predefinita negli ambienti di dominio. Per attivarlo, accedere al nodo Configurazione computer\Modelli amministrativi\Componenti di Windows\Centro sicurezza PC. Il nome del criterio da attivare è Attiva Centro sicurezza PC (solo computer in un dominio).
Centro sicurezza PC Windows esegue inoltre il monitoraggio dello stato delle impostazioni del controllo dell'account utente e della protezione Internet. Il controllo dell'account utente consente di utilizzare il computer come utente standard anziché come amministratore, aumentando in tal modo la protezione complessiva. Poiché le modifiche apportate da un utente standard non sono applicate all'intero sistema, gli effetti dannosi eventualmente prodotti dai programmi installati sono limitati.
In Windows Vista, se si esegue l'accesso come utente standard a un computer che non fa parte di un dominio ed è richiesta un'azione software che produce effetti sull'intero sistema, verrà richiesto all'utente di immettere la password di un account amministratore. Se l'utente ha eseguito l'accesso come amministratore, verrà richiesta l'autorizzazione a eseguire un'azione che produce effetti sull'intero sistema e in tal modo l'utente sarà informato degli effetti di tale azione (e dovrà accettare per proseguire).
Negli ambienti di dominio, il controllo dell'account utente viene gestito tramite Criteri di gruppo. Se il computer non è parte di un dominio, viene gestito tramite Criteri di protezione locali. Le impostazioni dei criteri sono disponibili nell'editor dei criteri di protezione locali o nell'Editor criteri di gruppo in Configurazione computer\Impostazioni di sistema\Criteri locali\Opzioni di protezione. L'editor dei criteri di protezione locali è disponibile in Sistema e manutenzione | Strumenti di amministrazione nel Pannello di controllo.
Come mostrato nella figura 3, Centro sicurezza PC Windows consente di controllare numerose opzioni di protezione Internet.
Figure 3 Impostazioni di protezione Internet
| Centro sicurezza PC Windows controlla le tre impostazioni Internet seguenti: |
| Scarica controlli ActiveX con firma elettronica |
| Scarica controlli ActiveX senza firma elettronica |
| Inizializza ed esegui script controlli ActiveX non contrassegnati come sicuri per lo script |
| Installazione oggetti del desktop |
| Avvio di applicazioni e file non sicuri |
| Avvio di programmi e file in un IFRAME |
| Autorizzazioni al canale del software |
Se un'opzione viene impostata su uno stato non protetto, nella finestra di dialogo Proprietà Internet viene visualizzato il messaggio "Impostazioni di protezione insufficienti", mentre nella barra informativa di Microsoft Internet Explorer® viene visualizzato il messaggio "Le impostazioni di protezione correnti espongono il computer a rischi. Fare clic qui per cambiare le impostazioni di protezione..." Centro sicurezza PC Windows invia inoltre l'avviso "Non si stanno utilizzando le impostazioni di protezione Internet consigliate." All'interno della finestra Impostazioni di protezione Internet, le impostazioni non protette sono evidenziate in rosso (vedere la figura 4).
Figura 4.** Impostazione non protetta evidenziata **(Fare clic sull'immagine per ingrandirla)
In Centro sicurezza PC Windows è possibile ripristinare lo stato protetto delle impostazioni di protezione facendo clic su Ripristina impostazioni di protezione Internet ora, illustrato nella figura 5.
Figura 5.** Eliminazione di un'impostazione non protetta **(Fare clic sull'immagine per ingrandirla)
Windows Defender
Il software dannoso, quale rootkit, trojan, spyware e così via, è diventato un enorme problema poiché mette in pericolo la sicurezza delle informazioni, riduce le prestazioni del computer e può causare arresti improvvisi del sistema. Nel 2004, Microsoft ha acquisito la tecnologia antispyware Giant Software al fine di proteggere più efficacemente i propri clienti da questo tipo di problema. Questa nuova tecnologia è oggi integrata in Windows Vista attraverso Windows Defender (che è disponibile anche come download per Windows XP).
Dopo l'installazione di Windows Vista, non è necessario modificare immediatamente le impostazioni di Windows Defender poiché è già configurato per offrire la massima protezione con il minimo di interruzioni e consente pertanto all'utente di concentrarsi sull'utilizzo del computer anziché sulla gestione della protezione. Windows Defender assicura una protezione in tempo reale fin dal suo avvio e prevede la ricerca e il download automatici delle definizioni dello spyware aggiornate ogni notte alle 2 circa, rimuovendo automaticamente tutte le minacce ad alto rischio. Per regolare le impostazioni, selezionare Strumenti | Impostazioni generali in Windows Defender.
Protezione in tempo reale significa che Windows Defender controlla costantemente ogni possibile evento sospetto che si verifica nel computer. A tale scopo, utilizza i nove agenti di protezione elencati nella figura 6 per monitorare diverse aree del sistema alla ricerca di comportamenti che presentino le caratteristiche dello spyware. Gli agenti di protezione di Windows Defender eseguono il monitoraggio costante di quasi tutti i più comuni punti di ingresso dello spyware.
Figure 6 Agenti di protezione di Windows Defender
| Agente | Controllo |
| Configurazione di Internet Explorer | Impostazioni di protezione del browser. |
| Download Internet Explorer | Applicazioni eseguite in Internet Explorer, quali i controlli ActiveX e applicazioni di installazione software. |
| Componenti aggiuntivi Internet Explorer (oggetti che integrano le funzionalità del browser) | Applicazioni eseguite automaticamente all'avvio di Internet Explorer. |
| Avvio automatico | Applicazioni che vengono avviate all'avvio di Windows, incluse le applicazioni avviate tramite il Registro di sistema e la cartella Esecuzione automatica di Windows. |
| Configurazione sistema | Impostazioni di Windows relative alla protezione. |
| Servizi e driver | Servizi e driver che interagiscono con Windows e le applicazioni. |
| Componenti aggiuntivi di Windows | Utilità software integrata in Windows. |
| Esecuzione applicazioni | Applicazioni avviate ed eseguite. |
| Registrazione applicazioni (hook API) | File e strumenti nel sistema operativo in cui le applicazioni possono inserirsi per l'esecuzione. |
Risposta ai rischi
Windows Defender avvisa l'utente quando rileva software potenzialmente indesiderato o comportamenti sospetti. Quando Windows Defender rileva modifiche innocue (a basso rischio), viene visualizzato un punto esclamativo sulla barra delle applicazioni. Per i rischi più gravi (di livello medio o alto), a seconda del livello di pericolosità viene visualizzata una finestra di dialogo gialla o rossa, come illustrato nella figura 7. In questi casi è necessaria una risposta immediata da parte dell'utente.
Figura 7.** La finestra rossa indica un livello di rischio elevato **(Fare clic sull'immagine per ingrandirla)
Tutte le azioni eseguite da Windows Defender vengono registrate nel registro eventi di sistema con origine "Windows Defender". Tali azioni includono gli aggiornamenti delle definizioni e il rilevamento e la rimozione di spyware.
Gli avvisi di Windows Defender sono intelligenti e consentono all'utente di continuare il proprio lavoro senza interruzioni. Poiché una finestra di avviso può notificare più rischi di protezione, è possibile scegliere di rispondere a tutti i rischi contemporaneamente ("Rimuovi tutti"). È inoltre possibile configurare il programma in modo che gli avvisi per i rischi non classificati e il software noto di cui è autorizzata l'esecuzione vengano gestiti diversamente. Per configurare gli avvisi, aprire Windows Defender e fare clic su Strumenti | Opzioni. Scorrere verso il basso fino alla voce "Opzioni di protezione in tempo reale" e scegliere se si desidera ricevere notifiche relative al software non ancora classificato e alle modifiche apportate al computer dal software consentito.
Tenere presente che se il produttore o l'utente di un'applicazione ritiene che sia stata classificata erroneamente in Windows Defender, potrà inviare una nota di contestazione all'indirizzo microsoft.com/athome/security/spyware/software/isv/cdform.aspx (in inglese). Se un'applicazione non dannosa è stata classificata erroneamente come spyware, è possibile segnalare un caso di falso positivo all'indirizzo microsoft.com/athome/security/spyware/software/isv/fpform.aspx (in inglese).
Protezione su richiesta
Windows Defender esegue un monitoraggio costante del computer per rilevare la presenza di software potenzialmente indesiderato, ma l'utente può decidere di avviare il rilevamento di eventuali spyware in qualsiasi momento ritenga opportuno. Windows Defender prevede tre tipi di rilevamento:
- L'analisi veloce esegue una ricerca rapida degli spyware che è più probabile che infettino il computer.
- L'analisi completa esegue la ricerca su tutti i file sul disco rigido, nelle applicazioni in esecuzione, nel Registro di sistema e altrove.
- L'analisi personalizzata consente di specificare i file o le cartelle da analizzare ed esegue automaticamente un'analisi veloce all'avvio.
Per avviare un'analisi, aprire Windows Defender e fare clic sulla freccia in giù accanto al pulsante Analizza, quindi selezionare il tipo di analisi che si desidera eseguire, come illustrato nella figura 8.
Figura 8.** Scelta del tipo di analisi **(Fare clic sull'immagine per ingrandirla)
Quando viene rilevato un rischio durante un'analisi, vengono visualizzate la relativa descrizione e le azioni che è possibile intraprendere per risolvere il rischio. Per impostazione predefinita, viene visualizzata l'azione ottimale. Se vengono rilevati più rischi, è possibile selezionare le risposte da adottare e applicarle immediatamente facendo clic su Applica azioni oppure rimuovere tutti i rischi facendo clic su Rimuovi tutti. Le azioni che è possibile intraprendere includono:
- Rimuovi: rimuove completamente il rischio dal sistema.
- Ignora: il rischio viene ignorato. Alla successiva analisi, il rischio verrà nuovamente rilevato.
- Quarantena: disattiva temporaneamente il rischio. È possibile utilizzare questa opzione per verificare se la rimozione del rischio produce effetti avversi sul sistema. In tal caso sarà possibile rimuovere l'elemento dalla quarantena dall'interno di Windows Defender.
- Consenti sempre: il rischio non verrà più rilevato e verrà aggiunto all'elenco degli elementi consentiti. È possibile rimuovere gli elementi da questo elenco facendo clic su Strumenti | Opzioni in Windows Defender.
Prevenzione delle intrusioni nella rete
Windows Vista include Windows Firewall, un firewall bidirezionale con informazioni di stato caratterizzato da numerosi miglioramenti rispetto alla versione per Windows XP. Il firewall incluso in Windows Vista filtra sia il traffico in ingresso che in uscita e prevede la configurazione di regole relative a:
- Account e gruppi di Active Directory
- Numero di protocollo IP
- Tipi di interfacce specifici
- Servizi
- ICMP e ICMPv6 in base al tipo e al codice
- Indirizzi IP di origine e di destinazione
- Tutte le porte TCP, UDP o porte specifiche
In Windows Vista è inoltre possibile consentire a un programma specifico di accedere alla rete o impedire il traffico tramite un elenco di eccezioni. Per accedere all'elenco Eccezioni, fare clic su Start | Pannello di controllo | Protezione e quindi scegliere Consenti programma con Windows Firewall.
Per impostazione predefinita, Windows Firewall blocca tutto il traffico in ingresso tranne se richiesto diversamente o se esiste una regola contraria e consente tutto il traffico in uscita tranne se esiste una regola contraria.
Windows Vista è dotato inoltre di un nuovo snap-in di Microsoft Management Console (MMC), chiamato Windows Firewall con protezione avanzata (vedere la figura 9), che consente agli amministratori di configurare le impostazioni del firewall sui computer remoti. Per accedere al nuovo snap-in, fare clic su Sistema e manutenzione e quindi su Strumenti di amministrazione nel Pannello di controllo e scegliere Windows Firewall con protezione avanzata.
Figura 9.** Creazione di regole avanzate per proteggere il computer dai rischi di rete **(Fare clic sull'immagine per ingrandirla)
Per aggiungere una nuova regola, è inoltre possibile utilizzare lo snap-in Editor criteri di gruppo per accedere a Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Windows Firewall con protezione avanzata. Infine, è possibile configurare le impostazioni di protezione avanzata utilizzando lo strumento da riga di comando netsh advfirewall.
Ogni volta che viene eseguita la connessione a una nuova rete, viene creato un profilo specifico per la rete. Il profilo salvato verrà utilizzato alla successiva connessione alla rete. Una delle prime informazioni che è necessario specificare quando si esegue la connessione a una nuova rete è se si tratta di una rete pubblica o privata. Ciò consente di determinare quale profilo verrà caricato in Windows Firewall per ottenere le configurazioni e le regole da utilizzare. Per modificare i profili salvati, fare clic su Proprietà Windows Firewall all'interno dello snap-in Windows Firewall con protezione avanzata, quindi scegliere la scheda Profilo privato o Profilo pubblico, come mostrato nella figura 10.
Da Centro connessioni di rete e condivisione è eventualmente possibile modificare il profilo associato a una rete dopo aver eseguito la connessione. Per modificare il profilo di rete, scegliere Pannello di controllo | Rete e Internet | Centro connessioni di rete e condivisione, quindi fare clic su Personalizza accanto al nome della rete a cui è stata eseguita la connessione.
Figura 10.** Personalizzazione della protezione in base al tipo di rete **(Fare clic sull'immagine per ingrandirla)
Conclusioni
Windows Vista è la prima versione completa del sistema operativo pubblicata dopo l'annuncio della Trustworthy Computing Initiative avvenuto diversi anni fa. Sviluppato in base alle linee guida previste dal Security Development Lifecycle di Microsoft e dotato di soluzioni di protezione incorporate quali Windows Defender, Windows Firewall e Controllo account utente, Windows Vista assicura un livello di protezione ineguagliabile sia per i computer autonomi che per i computer che sono parte di un dominio. Centro sicurezza PC Windows, Windows Firewall e Controllo account utente prevedono configurazioni dei criteri di gruppo che ne consentono l'efficiente distribuzione negli ambienti di dominio o l'ampia configurazione locale sul computer.
La community SpyNet
I rischi di protezione mutano costantemente e talvolta non è sufficiente aggiornare quotidianamente le definizioni degli spyware per mantenere il computer protetto dai nuovi rischi. Per offrire agli utenti una protezione ancora più efficace, Microsoft ha creato la community SpyNet, che rappresenta un luogo d'incontro virtuale in cui tutti gli utenti interessati possono condividere informazioni sugli spyware.
La community SpyNet è un gruppo globale e volontario utilizzato dagli utenti di Windows Defender per segnalare gli spyware rilevati agli altri utenti e a Microsoft. Chi partecipa a questa community contribuisce in modo importante a determinare quali applicazioni sospette verranno classificate come spyware e favorisce inoltre un veloce rilevamento dei nuovi rischi di protezione a beneficio di tutti gli utenti di Windows Defender.
La community SpyNet è volontaria e pertanto gli utenti devono decidere esplicitamente di parteciparvi. Se si sceglie di non aderirvi, le informazioni sugli eventuali spyware rilevati non potranno essere inviate a SpyNet e non si riceveranno avvisi nel caso in cui venga rilevato nel computer software potenzialmente indesiderato che non è ancora stato classificato. Questo software potrà in seguito venire classificato ed essere quindi incluso nei normali aggiornamenti delle definizioni degli spyware.
Chi sceglie di partecipare alla community può scegliere tra due livelli di appartenenza:
Membri di livello avanzato. Questi membri inviano a Microsoft informazioni sul software non classificato e sulle azioni intraprese. I membri avanzati ricevono avvisi relativi al software non ancora classificato che potrebbe presentare dei rischi. Potrebbero essere inviate a Microsoft alcune informazioni personali che tuttavia non verranno utilizzate per contattare gli utenti.
I membri avanzati ricevono inoltre dati statistici sulle azioni intraprese dagli altri utenti avanzati dopo aver rilevato gli stessi rischi di protezione nei loro computer. Queste informazioni aiutano a decidere se software potenzialmente indesiderato non ancora classificato è pericoloso oppure no e agire di conseguenza. Ad esempio, se una nuova applicazione distribuita tramite Internet viene rilevata da Windows Defender come applicazione sospetta, alcuni utenti avanzati potrebbero decidere di segnalarla alla community SpyNet e rimuoverla. Di conseguenza, gli altri utenti nei cui computer venga rilevata la stessa applicazione sapranno quanti altri utenti avanzati hanno segnalato e rimosso l'applicazione e potranno usare questa informazione per prendere una decisione più informata sul da farsi.
Membri di livello base. Questi membri inviano solo informazioni di base sul software sospetto eventualmente rilevato nei loro computer. Potrebbero inoltre essere inviate a Microsoft alcune informazioni personali che tuttavia non verranno utilizzate per contattare gli utenti. I membri di livello base non ricevono notifiche sul software non classificato.
Per aderire alla community Spynet, aprire Windows Defender, selezionare Strumenti e quindi fare clic su Microsoft SpyNet.
Justin HarrisonJustin Harrison (justin@harrison.org) è un esperto in protezione Windows, tecnologie digitali multimediali e documenti digitali. Ha lavorato per GE Energy e i team Digital Documents e Casual Games di Microsoft.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.