Sicurezza Windows 10 Enterprise: Credential Guard e Device Guard

Summary: "Panoramica di due nuove funzionalità di protezione di Windows 10 Enterprise Ready: Credential Guard e Device Guard."

Che cosa sono Device Guard e Credential Guard?

Device Guard e Credential Guard sono funzioni VBS (sicurezza basata su virtualizzazione) con LSA (autorità di protezione locale) tramite driver HVCI (Hypervisor Code Integrity) e un BIOS conforme con sistema operativo Windows 10 Enterprise/Education Edition. Sono disponibili solo per i computer coperti da un contratto multilicenza Microsoft.

Credential Guard utilizza la sicurezza basata su virtualizzazione per isolare i segreti (credenziali) in modo che possano accedervi solo software di sistema con privilegi. L'accesso non autorizzato a questi segreti può causare attacchi con furto di credenziali. Credential Guard impedisce questi attacchi proteggendo gli hash delle password NTLM (protocollo NT LAN Manager) e i ticket Kerberos Ticket Granting. Credential Guard utilizza la sicurezza basata su virtualizzazione per isolare i segreti in modo che possano accedervi solo software di sistema con privilegi. Credential Guard non dipende da Device Guard.

Device Guard è una combinazione di funzionalità di protezione hardware e software aziendali. Se configurati insieme, bloccano un dispositivo in modo che possa eseguire solo applicazioni attendibili. Le applicazioni non attendibili non vengono eseguite. È possibile configurarlo per bloccare un dispositivo. In questo modo il dispositivo può eseguire solo applicazioni attendibili definite nelle policy di integrità del codice. Device Guard dipende dalla sicurezza basata su virtualizzazione (VBS).

Torna all'inizio

Come funzionano?

Le funzioni VBS di Windows 10 Enterprise/Education sfruttano una serie di elementi di sicurezza, come UEFI, Secure Boot e Trusted Platform Module (TPM) 2.0. Dell ha verificato alcuni computer Precision, Latitude e OptiPlex che devono disporre di BIOS aggiornato e driver compatibili con HVCI.

Firmware UEFI 2.3.1 o versione successiva: UEFI è bloccato, in modo che le impostazioni in UEFI non possano essere modificate per compromettere la sicurezza di Device Guard (ordine di avvio, voci di avvio, Secure Boot, estensioni di virtualizzazione, IOMMU, Microsoft UEFI CA).

Torna all'inizio

Credential Guard.

• Sicurezza hardware: Credential Guard migliora la sicurezza delle credenziali di dominio derivate sfruttando le funzionalità di protezione della piattaforma, tra cui Secure Boot e virtualizzazione.
• Migliore protezione contro minacce persistenti avanzate: la protezione delle credenziali di dominio derivate mediante la sicurezza basata su virtualizzazione blocca le tecniche di attacco con furto di credenziali e gli strumenti utilizzati in molti attacchi mirati.
  • La sicurezza basata su virtualizzazione protegge i segreti contro i malware in esecuzione nel sistema operativo con privilegi di amministratore.
• Gestibilità: è possibile gestire Credential Guard con Criteri di gruppo, WMI, da un prompt dei comandi e Windows PowerShell.

Protezione delle credenziali di dominio derivate con Credential Guard 

Torna all'inizio

Device Guard.

• L'utilizzo di metodi tradizionali come le soluzioni antivirus offre una difesa inadeguata contro i nuovi attacchi (rilevamento basato su firma per contrastare i malware) soprattutto con migliaia di nuovi file malevoli creati ogni giorno.
• Device Guard su Windows 10 Enterprise passa da una modalità in cui le app vengono ritenute attendibili, a meno che non siano bloccate da un antivirus o da un'altra soluzione di sicurezza, a una modalità in cui il sistema operativo considera attendibili solo le app autorizzate impostate dall'azienda. È possibile designare queste app attendibili creando policy di integrità del codice.

Quattro modi per gestire Device Guard

• Criteri di gruppo: Windows 10 fornisce un modello amministrativo per configurare e implementare le policy di integrità del codice configurabili per l'organizzazione. Questo modello consente inoltre di specificare le funzionalità di protezione basata su hardware che si desidera abilitare e implementare. È possibile gestire queste impostazioni insieme agli oggetti Criteri di gruppo esistenti, semplificando l'implementazione delle funzioni di Device Guard.
• Microsoft System Center Configuration Manager: è possibile usare System Center Configuration Manager per semplificare il deployment e la gestione dei file di catalogo. Includendo le policy di integrità del codice e le funzionalità di protezione basata su hardware, fornisce anche la gestione delle versioni.
• Windows PowerShell
• Microsoft Intune

Torna all'inizio

Domande frequenti.

Che cos'è la SKU Windows 10 Enterprise?
La SKU Windows 10 Enterprise è una versione diversa del sistema operativo Windows disponibile solo per i clienti con contratto multilicenza Microsoft che acquistano computer con licenza Windows 10 Professional e quindi eseguono l'aggiornamento a Windows 10 Enterprise per ottenere funzioni incrementali. Windows 10 Enterprise include due funzionalità di protezione non disponibili nelle SKU Professional oppure Home: Credential Guard e Device Guard. Dettagli di confronto delle funzioni tra le SKU del sistema operativo Windows.

Che cosa sono Device Guard e Credential Guard?
Device Guard e Credential Guard sono le nuove funzionalità di protezione disponibili attualmente solo su Windows 10 Enterprise. Device Guard è una combinazione di funzionalità di protezione hardware e software aziendali. Se configurati insieme, bloccano un dispositivo in modo che possa eseguire solo applicazioni attendibili. Le applicazioni non attendibili non vengono eseguite. Credential Guard utilizza la sicurezza basata su virtualizzazione per isolare i segreti (credenziali) in modo che possano accedervi solo software di sistema con privilegi. L'accesso non autorizzato a questi segreti può causare attacchi con furto di credenziali. Credential Guard impedisce questi attacchi proteggendo gli hash delle password NTLM e i ticket Kerberos Ticket Granting.

Che cos'è la sicurezza basata su virtualizzazione (VBS)?
Si tratta di una protezione che usa l'hypervisor per proteggere il kernel e altre parti del sistema operativo. Con VBS, la policy di integrità del codice predefinita in modalità kernel o la policy di integrità del codice configurata e implementata diventa più affidabile.

In che modo è possibile verificare che la protezione basata su virtualizzazione di integrità del codice sia abilitata?
Il meccanismo più semplice consiste nell'eseguire l'app System Information (msinfo32). Cercare la riga seguente: "Device Guard: servizi di sicurezza in esecuzione". Dovrebbe riportare: "Integrità del codice applicata da hypervisor". È inoltre disponibile un'interfaccia WMI (Windows Management Instrumentation) da esaminare utilizzando gli strumenti di gestione.

Se un computer non è Win10 Enterprise Ready, è possibile che sia ancora in esecuzione su Win10 Enterprise?
Sì, a condizione che il computer venga acquistato con Win10 Pro. I clienti con contratto multilicenza possono sempre aggiornare il computer a Win10 Enterprise. Tutte le funzioni incrementali Enterprise funzionano correttamente, AD ECCEZIONE di Device Guard e Credential Guard. Ciò è dovuto al fatto che queste due funzionalità di protezione richiedono che le funzioni del BIOS, dei driver e del processore siano conformi ai requisiti Microsoft.

Quali sono i requisiti per abilitare Device Guard e Credential Guard sui computer Dell?
I clienti che intendono aggiornare i propri computer per abilitare Device Guard e Credential Guard richiedono i seguenti tre criteri:

1. I dispositivi Latitude/OptiPlex/Precision/Venue devono essere Win10 Enterprise Ready. Accertarsi che il BIOS e i driver siano aggiornati alla versione compatibile con Enterprise Ready. Consultare l'elenco delle piattaforme per informazioni dettagliate sull'idoneità dei driver BIOS/HVCI per piattaforma.
2. La configurazione deve utilizzare processori compatibili con DG/CG. I processori compatibili con DG/CG supportano le funzioni Intel VT-x e VT-d. Queste funzioni sono requisiti obbligatori per supportare Device Guard e Credential Guard su Windows 10. Per verificare se il processore supporta Intel VT-x e VT-d, consultare questo link: Specifiche dei prodotti Intel®
3. I clienti devono disporre di un contratto multilicenza Microsoft; Win10 Enterprise non è una SKU OEM. I clienti possono ottenere solo bit di Win10 Enterprise direttamente da Microsoft.

Requisiti dettagliati:

Altri requisiti per Windows 10 1607

È necessario disporre di un contratto multilicenza Microsoft per Win10 Enterprise fornito direttamente da Microsoft (anche per i clienti che eseguono l'aggiornamento da una SKU Windows 10 Pro fornita da Dell). Dell non fornisce Windows 10 Enterprise come SKU OEM.

Se si desidera implementare Device Guard, consultare: Guida al deployment di Windows Defender Device Guard Per implementare Credential Guard, consultare: Requisiti e linee guida per la pianificazione del deployment per Device Guard 

Quali sono le impostazioni del BIOS da impostare per Device Guard e Credential Guard?
Queste opzioni devono essere abilitate. Assicurarsi di disporre della versione più recente del BIOS indicata nell'elenco delle versioni del BIOS supportate.

Come convalidare Device Guard e Credential Guard?
È possibile utilizzare lo strumento di convalida per Device Guard e Credential Guard

• Verificare se il computer è in grado di eseguire Device Guard o Credential Guard
• Disabilitare e abilitare Device Guard o Credential Guard

Prima di eseguire lo strumento, accertarsi di aver abilitato la policy di esecuzione corretta in PowerShell. Vedere la Figura 1 di seguito.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Figura 1. - Policy di esecuzione nell'esempio di PowerShell.

Per convalidare: DG_Readiness.ps1 –Capable -[DG/CG/HVCI] -AutoReboot

Per abilitare: DG_Readiness.ps1 –Enable -[DG/CG] –AutoReboot

Per disabilitare: DG_Readiness.ps1 –Disable -[DG/CG] -AutoReboot

Il computer è preconfigurato con Device Guard o Credential Guard?
No. Dell garantisce che i computer verificati siano completamente verificati dal punto di vista della conformità del firmware del BIOS e dei driver HVCI. Questo è ciò che serve per abilitare i computer per Device o Credential Guard. È necessario abilitare le funzioni in base allo switch di abilitazione precedente o alla procedura dettagliata nella guida al deployment (vedere la sezione delle risorse).

Che cos'è l'idoneità dei driver HVCI e come sapere se si dispone dei driver giusti?
HVCI è l'acronimo di Hypervisor Code Integrity. Il servizio HVCI in Windows 10 determina se il codice in esecuzione in modalità kernel è progettato in modo sicuro e affidabile. Offre funzionalità di protezione zero-day e di exploit delle vulnerabilità. Garantisce che tutto il software venga eseguito in modalità kernel, inclusi i driver, allochi in modo sicuro la memoria e funzioni come previsto.

Utilizzare lo strumento DGReadiness:

Per convalidare: DG_Readiness.ps1 –Capable –HVCI -AutoReboot

NOTA: Dell ha verificato l'idoneità dei driver supportati da Dell. Se si installano altri driver di terze parti sul computer, è necessario assicurarsi che siano conformi alla tecnologia HVCI. Compatibilità dei driver con Device Guard in Windows 10

Quali computer Dell supportano Device Guard e Credential Guard?
Per abilitare Device Guard e Credential Guard, i computer Dell delle generazioni SkyLake e KabyLake richiedono un BIOS compatibile e driver compatibili con HVCI (Hypervisor Code Integrity).

Ecco tutti i computer su cui Dell supporta questa funzione impostata. La tabella seguente elenca le versioni dei driver e le versioni del BIOS per ciascuna piattaforma.

Se un processore è vPro, significa che è compatibile con DG/CG?
Sì. Inoltre, anche alcuni processori non vPro sono compatibili con DG/CG (VT-x/VT-d). Per verificare se il processore supporta Intel VT-x e VT-d, consultare questo link: Specifiche dei prodotti Intel®

Torna all'inizio

Risorse

• Sicurezza Windows 11 Enterprise: Credential Guard e Device Guard
• Guida al deployment di Device Guard (in inglese)
• Requisiti hardware di Windows Defender Credential Guard (in inglese)
• Requisiti hardware di Windows Defender Device Guard (in inglese)

Torna all'inizio