Windows 11 21H2: protezione migliorata per il kernel e il phishing

2 years ago 212

Microsoft ha reso noti i miglioramenti dei sistemi per la sicurezza del primo grande aggiornamento di Windows 11 22H2.

L’aggiornamento Windows 11 2022 Update (22H2) ha introdotto diverse nuove feature di sicurezza per il nuovo sistema operativo Microsoft. Sono state apportate modifiche per migliorare e integrare protezioni aggiuntive per la sicurezza dell’hardware e dei driver, contrastare maggiormente il furto di credenziali, l’abuso di stampanti, DNS e blocco dell’account.

Protezione dello stack applicata dall’hardware in modalità kernel

È stata aggiunta una nuova funzionalità all’impostazione situata in System\Device Guard\Turn On Virtualization Based Security denominata Kernel Mode Hardware Enforced Stack Protection . Questa nuova impostazione è applicabile a Windows 11, versione 22H2 e successive e fornisce un ulteriore miglioramento della sicurezza per il codice del kernel.

Note :

  • Questo è stato discusso per la prima volta in un post sul blog nel marzo del 2020 ( Comprensione della protezione dello stack applicata dall’hardware – Microsoft Tech Community ).
  • Esiste una dipendenza hardware per questa nuova funzionalità che richiede Intel Tiger Lake e oltre o AMD Zen3 e oltre.
  • Questa impostazione ha una dipendenza da HVCI (Virtualization Based Protection of Code Integrity). Non dovrebbero esserci problemi fintanto che le aziende seguono le linee di base ma, se l’organizzazione si discosta da HVCI, non è possibile abilitare la protezione dello stack applicata dall’hardware in modalità kernel.
  • In modalità di imposizione, la baseline di sicurezza configura questa impostazione su Enabled .

Importante: se la piattaforma hardware non la supporta, non vengono abilitate le imposizioni.

  • Sebbene i problemi di compatibilità siano improbabili, i clienti sono incoraggiati a testare la compatibilità per garantire che un driver incompatibile non porti a instabilità.

Protezione avanzata dal phishing

Le novità di Windows 11, versione 22H2, sono un insieme di funzionalità per proteggere meglio gli utenti aziendali che fanno ancora affidamento su un nome utente e una password per l’autenticazione di Windows.

Queste nuove funzionalità, che si trovano in Componenti di Windows\Windows Defender SmartScreen\Enhanced Phishing Protection, assicurano che le credenziali aziendali non possano essere utilizzate per scopi dannosi o non intenzionali. L’attività utente correlata viene registrata nel portale Microsoft Defender per Endpoint.

  • Poiché si tratta di un’opzione per l’utente finale, la baseline di sicurezza impone l’abilitazione del servizio (l’ impostazione Servizio abilitato ) per garantire che le credenziali aziendali utilizzate nel sistema siano adeguatamente monitorate e controllate.

Basato sulla solida infrastruttura di sicurezza di Microsoft Defender SmartScreen, quando un utente inserisce le proprie credenziali in un sito noto di phishing o dannoso, il servizio avvisa l’utente come illustrato di seguito. In questo scenario, l’impostazione Notifica dannoso è impostata su Enabled .

  • Se un utente aziendale riutilizza le proprie credenziali aziendali in un’altra applicazione o sito Web, viene visualizzata e registrata una notifica, come illustrato di seguito. In questo scenario, l’impostazione Notifica riutilizzo password è impostata su Abilitato.

  • Se l’utente decide di salvare le proprie password in Blocco note, WordPad o altre applicazioni di Office, questa attività viene registrata con Microsoft Defender per Endpoint e l’utente viene informato dell’attività, come illustrato di seguito. In questo scenario, l’impostazione Notifica app non sicura è impostata su Enabled .

A seconda della base di utenti, le chiamate di supporto in arrivo potrebbero mettere in dubbio il motivo per cui si verificano le richieste. Microsoft consiglia alle organizzazioni di informare il personale di sicurezza e gli utenti finali sulla funzionalità e su come aiuta a mantenere le credenziali protette.

Stampanti

È fondamentale continuare a proteggere i clienti aziendali negli scenari di stampa. Con Windows 11, versione 22H2, diverse nuove impostazioni in Modelli amministrativi\Stampanti sono abilitate per proteggere ulteriormente le aziende, incluse le seguenti:

  • Il supporto per RedirectionGuard viene aggiunto al servizio di stampa. RedirectionGuard è una misura di sicurezza che impedisce l’uso di primitive di reindirizzamento non create dall’amministrazione all’interno di un determinato processo. L’impostazione Configura Redirection Guard è ora abilitata come parte della linea di base.
  • Storicamente, le pipe nominate erano consentite con gli spooler di stampa. L’uso di TCP per le impostazioni Configura connessione RPC e Configura listener RPC è ora imposto.
  • Configura RPC su porta TCP assicura che le connessioni in entrata e in uscita siano predefinite su una porta TCP dinamica.

Nota : questa impostazione richiede in genere una modifica del limite (firewall) per consentire una connessione corretta.

  • Gestisci l’elaborazione dei file specifici della coda (denominati anche CopyFilesPolicy ) è stata introdotta per la prima volta come chiave di registro in risposta a CVE-2021-36958 nel settembre del 2021. Questa impostazione consente l’elaborazione del profilo colore standard utilizzando l’eseguibile mscms.dll della posta in arrivo e nient’altro. La base di sicurezza consiste nel configurare questa impostazione su Abilitato con l’opzione Limita i file specifici della coda ai profili colore .
  • Limitare l’installazione del driver di stampa agli amministratori è stato introdotto nelle linee di base della sicurezza come parte di SecGuide.ADMX prima che fosse disponibile un criterio di posta in arrivo. Questo criterio è ora contenuto nel sistema operativo e l’impostazione di MS Security Guide è obsoleta. Tuttavia, poiché entrambe le impostazioni scrivono nella stessa posizione, i valori configurati vengono comunque visualizzati in entrambe le posizioni. Il testo esplicativo nella Guida alla sicurezza MS viene aggiornato per indirizzare gli utenti alla nuova posizione.
  • Configurare l’impostazione della privacy a livello di pacchetto RPC per le connessioni in entrata è stata aggiunta a SecGuide.ADMX come risultato di CVE-2021-1678 ed è impostata su Abilitata come parte della linea di base. Il lavoro di creazione e distribuzione delle chiavi del Registro di sistema è ora incluso nella base di sicurezza fino a quando l’impostazione non diventa Posta in arrivo in Windows.

Rafforzamento del DNS

L’impostazione Configura risoluzione dei nomi DNS su HTTPS (DoH) , che si trova in Modelli amministrativi\Rete\Client DNS , è stata aggiunta come parte di Windows 11 e Windows Server 2022. Non fa ancora parte della baseline di sicurezza perché è troppo presto per imporre DNS crittografato. Le aziende che desiderano utilizzare il DNS crittografato possono adottare i seguenti passaggi per implementarlo:

  • Distribuisci la propria infrastruttura server Secure DNS over HTTPS (DoH), autogestita o fornita da un fornitore.
  • Configura Windows per utilizzare questi resolver DoH.
  • Quando non è possibile raggiungere i server DoH, le aziende potrebbero richiedere che i loro endpoint si guastino utilizzando la crittografia se il modello di minaccia richiede questa attività.

Nota : questo requisito interrompe scenari come i captive portal, quindi non è una pratica generale consigliata.

La baseline di sicurezza adotterà questa impostazione in una versione futura.

Configura le impostazioni NetBIOS

L’impostazione Configura impostazioni NetBIOS , che si trova in Modelli amministrativi\Rete\Client DNS, è configurata su Abilitato con un valore secondario di Disattiva risoluzione nomi NetBIOS su reti pubbliche . Se applicabile per la tua azienda, regola facoltativamente questa impostazione su Disable NetBIOS name resolution . In una versione futura della baseline di sicurezza, tutta la risoluzione dei nomi su NetBIOS verrà disabilitata.

Protezione dal furto delle credenziali

Windows consente l’uso di provider di supporto per la sicurezza personalizzati e provider di autenticazione per estendere le funzionalità di autenticazione disponibili durante il flusso di accesso oltre a quelle supportate nativamente da Windows. Questi provider vengono caricati in Local Security Authority Subsystem Service (LSASS). Sebbene possano fornire una funzione legittima, i pacchetti di sicurezza personalizzati possono anche essere utilizzati in modo improprio dagli aggressori per ottenere persistenza o per accedere e rubare le credenziali archiviate in Windows. È stata aggiunta una nuova impostazione per proteggere da questo scenario:

  • L’impostazione Consenti il ​​caricamento di SSP e AP personalizzati in LSASS, situata in System\Local Security Authority, limita il caricamento dei pacchetti di sicurezza personalizzati.
  • Ti consigliamo di disabilitare il caricamento dei pacchetti personalizzati a meno che non sia noto il pacchetto personalizzato che stai utilizzando.

La protezione aggiuntiva dell’autorità di sicurezza locale (LSA) fornisce la difesa eseguendo LSA come processo protetto. La protezione LSA è stata introdotta per la prima volta nella baseline di sicurezza di Windows 8.1, come parte delle mitigazioni Pass-the-Hash originali.

  • Una nuova impostazione Configura LSASS per l’esecuzione come processo protetto , situata in System\Local Security Authority, è ora inclusa nella posta in arrivo con Windows 11, versione 22H2.
  • La nuova impostazione non è backport. Pertanto, tutti i sistemi operativi precedenti dovrebbero continuare a utilizzare l’impostazione di MS Security Guide LSA Protection , contenuta in SecGuide.ADMX. La baseline di sicurezza continua a rafforzare il valore di Enabled with UEFI Lock , ma aggiunge una nuova opzione di configurazione che consente la protezione LSA senza il blocco UEFI. Questo lo porta alla parità con altre funzionalità che supportano il blocco UEFI, come Credential Guard e Hypervisor-Protected Code Integrity, e consente una maggiore flessibilità.

Il legacy Multiple Provider Router (MPR) fornisce notifiche ai gestori delle credenziali registrati o ai provider di rete quando si verifica un evento di accesso o un evento di modifica della password. MPR è stato creato in modo che i provider che necessitano della password di un utente possano raccogliere e archiviare le credenziali. Questa funzionalità viene utilizzata da applicazioni legittime, ma può anche essere utilizzata in modo improprio dagli aggressori per raccogliere le credenziali di accesso.

  • Per disabilitare le notifiche MPR viene utilizzata una nuova impostazione Abilita notifiche MPR per il sistema , che si trova in Componenti di Windows\Opzioni di accesso a Windows\.
  • Ti consigliamo di configurare questa impostazione per bloccare la divulgazione della password ai provider.

Riduzione della superficie d’attacco

Una nuova regola Blocca l’abuso dei driver firmati vulnerabili sfruttati è ora inclusa nelle linee di base del sistema operativo come parte dell’oggetto Criteri di gruppo di Microsoft Defender Antivirus. Questa regola si applica sia al client che al server e aiuta a impedire a un’applicazione di scrivere su disco un driver firmato vulnerabile.

Politiche di blocco dell’account

Viene aggiunto un nuovo criterio Consenti blocco account amministratore , che si trova in Impostazioni di sicurezza\Criteri account\Criteri di blocco account per mitigare gli attacchi di autenticazione a forza bruta. I valori consigliati per i criteri Durata blocco account e Reimposta contatore blocco account dopo vengono modificati per essere coerenti con le impostazioni predefinite per le installazioni di Windows predefinite.

Le installazioni Windows esistenti, inclusi gli aggiornamenti a Windows 11, versione 22H2, non hanno configurato per impostazione predefinita il blocco dell’account amministratore o altri criteri di blocco dell’account.

Altre modifiche

In questa versione è stata corretta una mancata corrispondenza tra la documentazione di base della sicurezza e i criteri di gruppo di accompagnamento per le impostazioni di Microsoft Defender Antivirus. La documentazione affermava che i componenti di Windows\Microsoft Defender Antivirus\Protezione in tempo reale\Attiva monitoraggio del comportamento devono essere impostati su Enabled , ma l’oggetto Criteri di gruppo effettivo è rimasto in uno stato Non configurato . Questo è stato corretto in questa versione.

A proposito dei nuovi miglioramenti della sicurezza di Windows 11 22H2 potete leggere maggiori dettagli sulle nuove funzionalità Smartscreen e Smart App Control di Windows Defender nel nostro articolo dedicato.

Con questa mossa Microsoft spera di migliorare ulteriormente la sicurezza di Windows 11. Cosa ne pensate? Vi sentite al sicuro utilizzando Windows? Scrivete la vostra opinione nei commenti.

Read Entire Article