Panoramica di Device Guard
Device Guard è una combinazione di funzionalità di sicurezza hardware e software correlate all'organizzazione che, se configurate insieme, consentiranno di bloccare un dispositivo in modo che possa eseguire solo applicazioni attendibili. Se l'app non è attendibile non può essere eseguita, senza eccezioni. Questo significa che anche se l'autore di un attacco riesce a ottenere il controllo del kernel di Windows, è molto meno probabile che riesca a eseguire codice eseguibile dannoso dopo il riavvio del computer, a causa di come viene deciso cosa può essere eseguito e quando.
Device Guard usa la nuova sicurezza basata sulla virtualizzazione in Windows 10 Enterprise per isolare il servizio di integrità del codice dal kernel di Microsoft Windows stesso, consentendo al servizio di usare le firme definite dai criteri controllati dall'azienda per determinare cosa sia attendibile. In pratica, il servizio di integrità del codice viene eseguito a fianco del kernel in un contenitore di Windows protetto dall'hypervisor.
Per informazioni dettagliate su come implementare Device Guard, vedi Guida alla distribuzione di Device Guard.
Perché usare Device Guard
Considerate le migliaia di nuovi file dannosi creati ogni giorno, l'uso dei metodi tradizionali come il rilevamento basato sulla firma per proteggersi dal malware rappresenta una difesa inadeguata dai nuovi attacchi. Con Device Guard in Windows 10 Enterprise si passa da una modalità in cui le app sono attendibili a meno che non vengano bloccate da un antivirus o da altre soluzioni di sicurezza, a una modalità in cui il sistema operativo considera attendibile solo le app autorizzate dall'organizzazione.
Device Guard offre protezione anche dagli attacchi zero-day e contribuisce ad affrontare le problematiche correlate ai virus polimorfici.
Vantaggi dell'uso di Device Guard
Puoi sfruttare i vantaggi di Device Guard in base alle funzionalità che scegli di attivare e usare:
- Protezione avanzata antimalware con gestibilità aziendale
- La protezione antimalware più avanzata mai offerta sulla piattaforma Windows
- Migliore resistenza alla manomissione
Funzionamento di Device Guard
Device Guard limita il sistema operativo Windows 10 Enterprise all'esecuzione esclusiva del codice firmato da firmatari attendibili, come definito dai criteri di integrità del codice tramite configurazioni specifiche dell'hardware e della sicurezza, tra cui:
Integrità del codice modalità utente
Nuove regole di integrità del codice del kernel, inclusi i nuovi vincoli di firma WHQL (Windows Hardware Quality Labs)
Avvio protetto con restrizioni del database (db e dbx)
Sicurezza basata su virtualizzazione per proteggere dalla manomissione le app e i driver nella memoria di sistema e della modalità kernel.
Facoltativo: Trusted Platform Module (TPM) 1.2 o 2.0
Poiché Device Guard interagisce con il processo di creazione di immagini, puoi attivare la funzionalità di sicurezza basata su virtualizzazione per i dispositivi compatibili, configurare i criteri di integrità del codice e impostare le altre impostazioni del sistema operativo necessarie per Windows 10 Enterprise. Device Guard interviene poi per la protezione dei tuoi dispositivi:
Il tuo dispositivo viene avviato con l'avvio protetto UEFI (Universal Extensible Firmware Interface), quindi non possono essere utilizzati kit di avvio e Windows 10 Enterprise viene avviato prima di qualsiasi altra cosa.
Dopo l'avvio protetto dei componenti di avvio di Windows, Windows 10 Enterprise può avviare i servizi di sicurezza basata sulla virtualizzazione Hyper-V, tra i quali il servizio di integrità del codice in modalità kernel. Questi servizi contribuiscono alla protezione del core del sistema (kernel), dei driver privilegiati e delle difese del sistema, come le soluzioni antimalware, impedendo l'esecuzione di malware nelle fasi iniziali del processo di avvio o nel kernel dopo l'avvio.
Device Guard usa l'integrità del codice in modalità utente per verificare che tutto ciò che viene eseguito in modalità utente, ad esempio un servizio, un'app UWP (Universal Windows Platform) o un'applicazione di Windows classica, sia attendibile, consentendo l'esecuzione solo dei file binari attendibili.
Contemporaneamente a Windows 10 Enterprise viene avviato anche il modulo TPM (Trusted Platform Module). TPM offre un componente hardware isolato che consente di proteggere le informazioni sensibili, come credenziali utente e certificati.
Requisiti hardware e software
La tabella seguente mostra l'hardware e il software che devi installare e configurare per implementare Device Guard.
| Requisito | Descrizione |
|---|---|
Windows 10 Enterprise |
Il PC deve eseguire Windows 10 Enterprise. |
Firmware UEFI versione 2.3.1 o successiva e Avvio protetto |
Per verificare che il firmware usi UEFI versione 2.3.1 o successiva e Avvio protetto, puoi eseguire la convalida rispetto al requisito System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby del programma di compatibilità hardware Windows. |
Estensioni di virtualizzazione |
Le estensioni di virtualizzazione seguenti sono necessarie per supportare la sicurezza basata su virtualizzazione:
|
Blocco del firmware |
La configurazione del firmware deve essere bloccata per impedire l'avvio di altri sistemi operativi e per impedire modifiche alle impostazioni UEFI. Devi anche disabilitare i metodi di avvio diversi dall'avvio dal disco rigido. |
Architettura x64 |
Le funzionalità usate dalla sicurezza basata su virtualizzazione in Windows Hypervisor possono essere eseguite solo su un PC a 64 bit. |
IOMMU (unità di gestione della memoria di input/output) VT-d o AMD-Vi |
In Windows 10 una IOMMU migliora la resilienza del sistema agli attacchi contro la memoria. ¹ |
Processo di aggiornamento sicuro del firmware |
Per verificare che il firmware sia conforme al processo di aggiornamento sicuro del firmware, puoi eseguire la convalida rispetto al requisito System.Fundamentals.Firmware.UEFISecureBoot del programma di compatibilità hardware Windows. |
Prima di usare Device Guard nella tua azienda
Prima di poter usare correttamente Device Guard, dovrai configurare l'ambiente e i criteri.
Firma delle app
La modalità Device Guard supporta sia app UWP che applicazioni di Windows classiche. La relazione di attendibilità tra Device Guard e le tue app viene stabilita quando le app vengono firmate con una firma da te determinata come attendibile. Non funzionerà qualsiasi firma.
Il processo di firma può avvenire nei modi seguenti:
Tramite il processo di pubblicazione di Windows Store. Tutte le app provenienti da Microsoft Store sono firmate automaticamente con firme speciali riconducibili alla nostra Autorità di certificazione (CA) o alla tua.
Con un certificato digitale o l'infrastruttura a chiave pubblica (PKI) aziendale. ISV e aziende possono firmare autonomamente le proprie applicazioni di Windows classiche, aggiungendosi all'elenco dei firmatari attendibili.
Con un'autorità di firma non Microsoft. ISV e aziende possono usare un'autorità di firma non Microsoft attendibile per firmare tutte le loro applicazioni di Windows classiche.
Con un servizio Web fornito da Microsoft (disponibile più avanti nell'anno). ISV e aziende saranno in grado di usare un servizio Web più sicuro fornito da Microsoft per firmare le proprie applicazioni di Windows classiche.
Criteri di integrità del codice
Prima di poter usare la protezione delle app inclusa in Device Guard, dovrai creare i criteri di integrità del codice tramite gli strumenti forniti da Microsoft, ma distribuiti utilizzando i tuoi strumenti di gestione correnti, ad esempio Criteri di gruppo. I criteri di integrità del codice sono un documento XML con codifica binaria che include le impostazioni di configurazione sia per la modalità utente che kernel di Windows 10 Enterprise, insieme alle restrizioni per gli host di script di Windows 10. Questi criteri limitano il codice che può essere eseguito su un dispositivo.
Per la funzionalità Device Guard, è necessario preconfigurare l'integrità del codice nei dispositivi solo se le impostazioni vengono fornite da un cliente per un'immagine fornita dal cliente.
Nota Questo documento XML può essere firmato in Windows 10 Enterprise, aggiungendo così un'ulteriore protezione dalla modifica o dalla rimozione di questi criteri eseguita da utenti amministratori.
Sicurezza basata sulla virtualizzazione con l'hypervisor di Windows 10 Enterprise
L'hypervisor di Windows 10 Enterprise introduce nuove funzionalità basate sui livelli di attendibilità virtuale, che consentono l'esecuzione dei servizi di Windows 10 Enterprise in un ambiente protetto, isolato rispetto al sistema operativo in esecuzione. La sicurezza basata sulla virtualizzazione di Windows 10 Enterprise consente di proteggere l'integrità del codice del kernel e consente di fornire l'isolamento delle credenziali per l'autorità di protezione locale (LSA). La possibilità di eseguire il servizio di integrità del codice del kernel come servizio ospitato dall'hypervisor aumenta il livello di protezione del sistema operativo radice, aggiungendo ulteriori protezioni da eventuale malware progettato per compromettere il livello del kernel.
Importante I dispositivi con Device Guard che eseguono l'integrità del codice del kernel con la sicurezza basata sulla virtualizzazione devono disporre di driver compatibili (i driver legacy possono essere aggiornati) e tutte le funzionalità di virtualizzazione devono essere attivate. Sono inclusi le estensioni di virtualizzazione e il supporto di unità IOMMU (Input/Output Memory Management Unit).