Condividi tramite


Panoramica della protezione di Surface

Man mano che le minacce informatiche si evolvono, anche le strategie per combatterle devono evolversi. Microsoft Surface adotta un approccio proattivo e "Zero Trust" per affrontare le minacce emergenti incorporando funzionalità di sicurezza avanzate a ogni livello per impostazione predefinita, dall'hardware ai servizi cloud, dalla concezione del prodotto alla rimozione, garantendo che i dispositivi Surface rimangano altamente sicuri, adattabili e resilienti per tutta la durata del ciclo di vita.

La sicurezza da chip a cloud è fondamentale per la strategia di Surface. Offriamo protezioni della piattaforma avanzate con potenti funzionalità di sicurezza Windows 11 abilitate per impostazione predefinita. Mentre ci muoviamo verso un futuro abilitato per l'intelligenza artificiale, Surface aiuta le organizzazioni a rafforzare il proprio comportamento di sicurezza in hardware, sistema operativo, dati, app e identità con una base di protezione predefinita.

Catena di approvvigionamento di Surface protetta

Per garantire che i dispositivi Surface siano "sicuri per progettazione, protetti per impostazione predefinita e protetti nella distribuzione", Microsoft applica rigorosi controlli di sicurezza per l'intero ciclo di vita del prodotto. Questi controlli riguardano sia componenti hardware fisici che software. I dispositivi Surface vengono sottoposti a rigorose verifiche di sicurezza a partire dal concepimento, passando attraverso progettazione, sviluppo, produzione, consegna e manutenzione. Queste revisioni complete della sicurezza supportano una catena di attendibilità senza problemi durante tutto il ciclo di vita del dispositivo.

A livello di produzione, Microsoft esegue controlli regolari dei fornitori per prevenire potenziali minacce come ransomware, phishing e malware. Inoltre, i dispositivi Surface beneficiano anche dei programmi di sicurezza Customs-Trade Partnership Against Terrorism (C-TPAT) e Transported Asset Protection Association (TAPA), che proteggono ulteriormente il commercio globale e supportano la logistica sicura per la spedizione di dispositivi Surface in tutto il mondo.

Per il software, Microsoft ha sviluppato il ciclo di vita dello sviluppo sicuro (SDL) e ha applicato questo framework in tutti i prodotti per adattarsi in modo proattivo al mutevole panorama delle minacce e alle richieste normative come l'ordine esecutivo degli Stati Uniti 14028 ("Miglioramento della sicurezza informatica della nazione"). Inoltre, Microsoft e i suoi fornitori devono firmare digitalmente i componenti software, usare canali e protocolli sicuri per la comunicazione e fornire aggiornamenti tempestivi e regolari ai dispositivi Surface per risolvere eventuali problemi potenziali. Infine, Surface UEFI collabora con Project Mu open source di Microsoft per offrire uno stack UEFI (Unified Extensible Firmware Interface) completamente di proprietà di Microsoft per ogni dispositivo Surface, riducendo la dipendenza dai provider di firmware non Microsoft, garantendo trasparenza e protezione per i livelli più bassi e sensibili del dispositivo.

Grazie alla proprietà della progettazione hardware e dello sviluppo del firmware, Microsoft riduce al minimo i rischi della supply chain, consentendo risposte rapide a eventuali vulnerabilità potenziali. Con queste procedure proattive, i dispositivi Surface sono progettati per soddisfare i più alti standard per la sicurezza della supply chain sia digitale che fisica. Questo approccio interno unificato migliora la sicurezza dei dispositivi Surface prima ancora che lascino la fabbrica.

Microsoft ha progettato & componenti compilati

Microsoft progetta e gestisce dispositivi Surface per offrire ai clienti controllo completo, protezione proattiva e tranquillità in qualsiasi ambiente di lavoro. I dispositivi Surface sono dotati delle principali funzionalità di sicurezza di Microsoft per proteggerti da attacchi sofisticati e semplificare la gestione dei dispositivi.

Sicurezza predefinita di Surface

Dal momento in cui premi il pulsante di accensione al momento dell'arresto del dispositivo, Surface offre sicurezza integrata e all'avanguardia in ogni fase del ciclo di vita.

Ogni dispositivo Surface in esecuzione Windows 11 predefinito usa un modulo TPM (Trusted Platform Module) 2.0 che consente di garantire l'integrità della piattaforma impedendo la manomissione e la gestione delle chiavi crittografiche per varie operazioni sicure. Il TPM supporta la radice dell'attendibilità hardware, un modulo dedicato che consente di creare un limite di sicurezza basato su hardware per garantire che il dispositivo venga avviato in uno stato attendibile. Insieme, il TPM e la radice dell'attendibilità funzionano come ancoraggio protetto per le operazioni di crittografia e sicurezza integrate, stabilendo le basi di sicurezza per BitLocker, la sicurezza basata su virtualizzazione (VBS),l'integrità della memoria/HVCI, la sicurezza avanzata Sign-In (ESS) per Windows Hello for Business e altre operazioni sicure.

Tramite i controlli di virtualizzazione e integrità forniti rispettivamente da VBS e HVCI, il kernel del dispositivo è ospitato separatamente dal sistema operativo per un kernel protetto, vale a dire anche se il sistema operativo è compromesso, il kernel è ancora protetto. La protezione DMA del kernel consente di proteggere la memoria del dispositivo da attacchi DMA (Direct Memory Access) drive-by proteggendo il kernel da periferiche esterne che ottengono accesso non autorizzato alla memoria.

Per supportare l'integrità dell'avvio del dispositivo all'accensione, l'avvio protetto usa la radice dell'attendibilità del dispositivo per impedire l'esecuzione del firmware non autorizzato in fase di avvio. Abilitata da UEFI e TPM 2.0compilati da Microsoft, consente di garantire che venga eseguito solo il firmware autorizzato prima del caricamento del sistema operativo. Questo firmware deve provenire da Microsoft, dai fornitori di hardware indipendenti (IHV) o dai repository open source approvati e rimanere non modificato durante il transito e il provisioning nel dispositivo. Questo processo protegge l'integrità del firmware in ogni fase della sequenza di avvio, dalla pressione del pulsante di accensione all'avvio del sistema operativo. Nell'ambito di Protezione del sistema Avvio sicuro, i dispositivi Surface proteggono anche l'avvio tramite LAM (Dynamic Root of Trust Measurement) o FASR (Firmware Attack Surface Reduction),che stabiliscono entrambe una radice di attendibilità basata su hardware progettata per garantire l'integrità del processo di avvio e difendersi dagli attacchi a livello di firmware.

Molte di queste funzionalità di sicurezza predefinite costituiscono la base di Secured-Core PC (SCPC), che integra hardware, firmware e virtualizzazione per proteggere i dispositivi da varie minacce, tra cui malware, problemi di possesso fisico (come perdita o furto) e attacchi di accesso. SCPC consente di proteggere i dati anche se un dispositivo è compromesso.

Dalla fine del 2021, ogni dispositivo Surface che esegue Windows 11 è un PC Secured-Core, con il massimo livello di protezione abilitato. Le funzionalità di sicurezza seguenti sono un subset di queste funzionalità abilitate per impostazione predefinita per tutti i dispositivi SURFACE SCPC:

Funzionalità Descrizione Ulteriori informazioni
Trusted Platform Module (TPM) 2.0 Un cryptoprocessor sicuro per garantire l'integrità della piattaforma fornendo meccanismi di sicurezza per impedire manomissioni e generare e gestire chiavi crittografiche per funzioni come lo sblocco dell'unità di sistema, la crittografia del disco, la misurazione del processo di avvio e l'autenticazione biometrica. Panoramica della tecnologia Trusted Platform Module
Radice dell'attendibilità hardware Consente di stabilire uno stato di avvio attendibile applicando le funzionalità di misurazione TPM e root-of-trust del dispositivo per attenuare le vulnerabilità del firmware. Crea un limite di sicurezza basato su hardware, isolando la memoria del sistema dal sistema operativo per proteggere i servizi critici e i dati sensibili dalle vulnerabilità del sistema operativo, supportando l'integrità del sistema tramite l'attestazione. Radice dell'attendibilità hardware
BitLocker Fornisce la crittografia per affrontare le minacce di furto o esposizione dei dati da dispositivi smarriti, rubati o non sufficientemente rimossi. Se abilitato, BitLocker garantisce che i dati rimangano inaccessibili anche se il dispositivo cade in mani non autorizzate. Panoramica di Bitlocker
Sicurezza basata su virtualizzazione (VBS) Usa la virtualizzazione hardware per creare e isolare un'area sicura di memoria dal normale sistema operativo. Windows può usare questa "modalità sicura virtuale" per ospitare una serie di soluzioni di sicurezza, per proteggere le operazioni da eventuali vulnerabilità o exploit nel sistema operativo. Sicurezza basata su virtualizzazione (VBS)
Integrità della memoria

Noto anche come integrità del codice applicata da Hypervisor (HVCI)
Consente di mantenere l'integrità del codice nel kernel, un'area con privilegi elevati del sistema operativo. Controlla tutti i driver e i file binari in modalità kernel prima dell'esecuzione e blocca il caricamento in memoria di driver o file di sistema non firmati. Operando all'interno di un ambiente isolato, verifica l'integrità del codice del kernel in base ai criteri di firma del kernel. Abilitare la protezione basata su virtualizzazione dell'integrità del codice
Sicurezza avanzata Sign-In (ESS) Usa VBS e TPM 2.0 per la comunicazione isolata e sicura della biometria per l'autenticazione per abilitare Windows Hello con l'accesso biometrico senza password. Sicurezza accessi migliorata di Windows Hello
Windows Hello for Business Consente l'accesso senza password usando l'autenticazione a due fattori in base alla biometria sicura (ESS) o al PIN e alle credenziali specifiche del dispositivo associate all'identità aziendale. Questo metodo di autenticazione offre sicurezza e praticità elevate per gli utenti. Funzionamento di Windows Hello for Business
Kernel protetto Opera all'interno di un ambiente virtualizzato per la protezione dal sistema operativo Windows garantendo il passaggio di tutti i controlli dei criteri di integrità del codice. Usa VBS e HVCI per un ambiente isolato per la protezione del kernel da potenziali vulnerabilità del sistema operativo. Kernel protetto
Protezione DMA kernel Protegge dalle periferiche esterne dall'accesso non autorizzato alla memoria. Consente di proteggersi dagli attacchi DMA drive-by. Protezione DMA kernel
UEFI creato da Microsoft Firmware che configura il dispositivo e avvia il sistema operativo sviluppato congiuntamente da Microsoft e Surface. Fornisce servizi di runtime del firmware e, con Microsoft Intune, migliora significativamente il controllo sull'hardware tramite la gestione basata sul cloud o locale. Surface UEFI: evoluzione nell'avvio, sicurezza & gestione dei dispositivi per creare un PC sicuro leader del settore



Gestire le impostazioni UEFI di Surface
Avvio protetto Garantisce che un dispositivo avvii solo software attendibile controllando la firma di ogni componente del software di avvio prima di passare alla fase di avvio successiva. Questo processo stabilisce gli handoff imposti dalla firma tra gli ambienti UEFI, bootloader, kernel e applicazione per bloccare gli attacchi malware o altre potenziali minacce nella sequenza di avvio. Avvio protetto
Drtm (Dynamic Root of Trust Measurement) Avvia il dispositivo da uno stato non attendibile a uno stato attendibile forzando le CPU verso il basso un percorso di codice noto e misurato per una radice di attendibilità hardware stabilita dinamicamente durante il runtime per supportare l'integrità del sistema. Forzare la misurazione e l'attestazione del codice del firmware tramite avvio sicuro in Windows 10
Riduzione della superficie di attacco del firmware (FASR) Stabilisce un percorso di avvio certificato che riduce al minimo l'esposizione del firmware a potenziali attacchi limitando il codice eseguibile nell'ambiente del firmware. Riduzione della superficie di attacco del firmware (FASR)

Vantaggio per la sicurezza commerciale di Surface

Gestione remota

Gli amministratori IT possono gestire i dispositivi Surface in remoto. Microsoft Intune'interfaccia di amministrazione con Intune e Windows Autopilot consente la gestione remota completa dei dispositivi Surface dal cloud di Azure, offrendo dispositivi completamente configurati agli utenti all'avvio. Le funzionalità di cancellazione e ritiro consentono all'IT di riutilizzare rapidamente un dispositivo per un nuovo utente remoto o cancellare un dispositivo rubato. Queste funzionalità consentono risposte rapide e sicure, consentendo la rimozione remota di tutti i dati aziendali e la riconfigurazione di un dispositivo Surface come dispositivo completamente nuovo.

Come parte di Microsoft Intune, Device Firmware Configuration Interface (DFCI) consente la gestione basata sul cloud delle impostazioni del firmware, inclusa la disabilitazione remota dell'hardware e il blocco delle impostazioni UEFI. Come alternativa simile, surface enterprise management mode (SEMM) è un'altra soluzione di gestione per proteggere e gestire le impostazioni del firmware all'interno di un'organizzazione.

Sicurezza reattiva

In un'era digitale in rapida evoluzione, la capacità di reagire in modo rapido e proattivo è fondamentale. Microsoft Defender per endpoint offre una protezione in tempo reale basata sull'intelligenza artificiale dalle minacce avanzate, contribuendo a proteggere i dati e le comunicazioni sensibili. Le organizzazioni traggono vantaggio dalla potenza di Windows Update per le aziende usando uno stack gestito da Microsoft di applicazioni firmware e del sistema operativo. Questo servizio mantiene i sistemi aggiornati con le protezioni di sicurezza più recenti e consente la gestione IT dei dispositivi già commissionati.

Funzionalità Descrizione Ulteriori informazioni
Microsoft Intune Una soluzione di gestione degli endpoint basata sul cloud che consente alle organizzazioni di gestire l'accesso degli utenti, le app e i dispositivi, garantendo l'accesso sicuro alle risorse aziendali. Supporta il modello di sicurezza Zero Trust applicando la conformità dei dispositivi, integrando con i servizi di difesa e proteggendo i dati di identità e app. Microsoft Intune gestisce in modo sicuro le identità, gestisce le app e gestisce i dispositivi
Windows Autopilot Consente la configurazione basata sul cloud e la preconfigurazione di nuovi dispositivi per prepararli all'uso produttivo e ridurre al minimo la tensione per gli amministratori IT. Può anche essere usato per reimpostare, riutilizzare o ripristinare i dispositivi per semplificare il ciclo di vita dei dispositivi Windows. Panoramica di Windows Autopilot
Device Firmware Configuration Interface (DFCI) Consente la gestione remota delle impostazioni UEFI nei dispositivi registrati in Windows Autopilot e gestiti tramite Microsoft Intune. Consente il controllo remoto delle impostazioni del firmware, la disabilitazione dei componenti hardware e l'applicazione delle configurazioni autorizzate per rafforzare la sicurezza dei dispositivi. Gestire DFCI nei dispositivi Surface
SEMM (Surface Enterprise Management Mode) Consente la gestione centralizzata delle impostazioni del firmware UEFI in ambienti locali, ibridi e cloud. Consente agli amministratori IT di preparare le impostazioni di configurazione UEFI e installarle nei dispositivi Surface. Introduzione alla modalità di gestione di Surface Enterprise
Microsoft Defender per endpoint Piattaforma di sicurezza di livello aziendale che rileva, previene e risponde a minacce sofisticate. Offre una sicurezza degli endpoint basata sull'intelligenza artificiale affidabile per i dispositivi Surface gestiti. Microsoft Defender per endpoint
Windows Update for Business Consente agli amministratori IT di mantenere sempre aggiornati i dispositivi client Windows dell'organizzazione con gli aggiornamenti della sicurezza più recenti e le funzionalità di Windows connettendo direttamente questi sistemi al servizio Windows Update. Che cos'è Windows Update for Business?

Scalabilità della sicurezza

Con l'evolversi del panorama delle minacce, Surface sta iniziando ad adottare altre funzionalità di sicurezza in dispositivi selezionati. Queste funzionalità devono ancora essere integrate nell'intero portafoglio di prodotti Surface, ma vengono ridimensionate su diverse linee di prodotti nei prossimi anni. Ecco alcune funzionalità di sicurezza specifiche del prodotto:

Funzionalità Descrizione Ulteriori informazioni
Espansione della sicurezza della memoria Il linguaggio di programmazione Rust garantisce alcune garanzie di sicurezza della memoria che possono ridurre fino al 70% delle vulnerabilità rispetto al codice C tradizionale. I componenti di destinazione all'interno del software e del firmware di Surface vengono convertiti in Rust, a partire da parti degli stack UEFI e Microcontroller Unit (MCU), oltre a creare un framework di driver per lo sviluppo di driver Rust. Supporto di Rust per lo sviluppo UEFI tramite Project Mu



Piattaforma di sviluppo di driver Rust open source
Microsoft Pluton Security Processor Microsoft Pluton Security Processor è un cryptoprocessor sicuro integrato nella CPU per la sicurezza nel core del dispositivo. Processore di sicurezza Microsoft Pluton
Microsoft Pluton TPM Microsoft Pluton supporta TPM 2.0 per una radice di trust in silicio per proteggere le informazioni sensibili e le chiavi di crittografia. Supporta anche l'inserimento di miglioramenti della sicurezza tramite Windows Aggiornamenti. Microsoft Pluton come modulo piattaforma attendibile
Copilot+ PC PC con unità di elaborazione neurale predefinite (NPU) che accelerano le esperienze e le operazioni di intelligenza artificiale all'interno del dispositivo. Altre informazioni su PC Copilot+ e PC Windows 11 da Surface

Anche se queste funzionalità di sicurezza vengono ridimensionate, più dispositivi Surface li integreranno come impostazione predefinita nei loro prodotti. Ad esempio, i PC Copilot+, nuovi PC Windows con unità di elaborazione neurale predefinite (NPU) che accelerano le esperienze e le operazioni di intelligenza artificiale (IA) all'interno del dispositivo, contengono il processore Microsoft Pluton abilitato per impostazione predefinita oltre alla suite completa di funzionalità di sicurezza surface descritte in questa pagina.

Riferimenti

La funzionalità FASR è esclusiva per i prodotti Surface progettati da Intel. FASR non si applica ai prodotti Surface progettati con processori Qualcomm (QC) o AMD.