Sicurezza della rete
Windows 11 alza l'barra per la sicurezza di rete, offrendo una protezione completa per aiutare le persone a lavorare con fiducia da quasi ovunque. Per ridurre la superficie di attacco di un'organizzazione, la protezione di rete in Windows impedisce agli utenti di accedere a indirizzi IP e domini pericolosi che possono ospitare truffe di phishing, exploit e altri contenuti dannosi. Usando servizi basati sulla reputazione, la protezione di rete blocca l'accesso a domini e indirizzi IP potenzialmente dannosi e a bassa reputazione.
Le nuove versioni del protocollo DNS e TLS rafforzano le protezioni end-to-end necessarie per le applicazioni, i servizi Web e la rete Zero Trust. L'accesso ai file aggiunge uno scenario di rete non attendibile con Server Message Block su QUIC e nuove funzionalità di crittografia e firma. Wi-Fi e i progressi Bluetooth offrono anche maggiore fiducia nelle connessioni ad altri dispositivi. Inoltre, le piattaforme VPN e Windows Firewall offrono nuovi modi per configurare ed eseguire facilmente il debug del software.
Negli ambienti aziendali, la protezione di rete funziona meglio con Microsoft Defender per endpoint, che fornisce report dettagliati sugli eventi di protezione nell'ambito di scenari di analisi più ampi.
Ulteriori informazioni
Transport Layer Security (TLS)
Transport Layer Security (TLS) è un protocollo di sicurezza diffuso che crittografa i dati in transito per fornire un canale di comunicazione più sicuro tra due endpoint. Windows abilita le versioni più recenti del protocollo e i pacchetti di crittografia avanzata per impostazione predefinita e offre una suite completa di estensioni, ad esempio l'autenticazione client per la sicurezza avanzata del server o la ripresa della sessione per migliorare le prestazioni dell'applicazione. TLS 1.3 è la versione più recente del protocollo ed è abilitato per impostazione predefinita in Windows. Questa versione consente di eliminare gli algoritmi di crittografia obsoleti, migliorare la sicurezza rispetto alle versioni precedenti e mirare a crittografare la maggior parte dell'handshake TLS possibile. L'handshake è più efficiente con una corsa di andata e ritorno in meno per ogni connessione in media e supporta solo suite di crittografia avanzate che offrono una perfetta segretezza in avanti e un minor rischio operativo. L'uso di TLS 1.3 offre maggiore privacy e latenze inferiori per le connessioni online crittografate. Se l'applicazione client o server su entrambi i lati della connessione non supporta TLS 1.3, la connessione torna a TLS 1.2. Windows usa la versione più recente di Datagram Transport Layer Security (DTLS) 1.2 per le comunicazioni UDP.
Ulteriori informazioni
Sicurezza DNS (Domain Name System)
In Windows 11, il client DNS windows supporta DNS su HTTPS e DNS tramite TLS, due protocolli DNS crittografati. Questi consentono agli amministratori di garantire che i propri dispositivi proteggano le query sui nomi da utenti malintenzionati sul percorso, che si tratti di osservatori passivi che registrano il comportamento di esplorazione o utenti malintenzionati attivi che tentano di reindirizzare i client a siti dannosi. In un modello Zero Trust in cui non viene inserita alcuna relazione di trust in un limite di rete, è necessaria una connessione sicura a un resolver di nomi attendibili.
Windows 11 fornisce criteri di gruppo e controlli a livello di codice per configurare il comportamento DNS su HTTPS. Di conseguenza, gli amministratori IT possono estendere la sicurezza esistente per adottare nuovi modelli, ad esempio Zero Trust. Gli amministratori IT possono imporre dns tramite protocollo HTTPS, assicurando che i dispositivi che usano DNS non sicuro non riescano a connettersi alle risorse di rete. Gli amministratori IT hanno anche la possibilità di non usare DNS su HTTPS o DNS su TLS per distribuzioni legacy in cui le appliance perimetrali di rete sono attendibili per controllare il traffico DNS in testo normale. Per impostazione predefinita, Windows 11 rinvierà all'amministratore locale in cui i resolver devono usare DNS crittografato.
Il supporto per la crittografia DNS si integra con le configurazioni DNS di Windows esistenti, ad esempio la tabella dei criteri di risoluzione dei nomi (NRPT), il file Host di sistema e i resolver specificati per scheda di rete o profilo di rete. L'integrazione consente Windows 11 garantire che i vantaggi di una maggiore sicurezza DNS non regredino i meccanismi di controllo DNS esistenti.
Protezione Bluetooth
Il numero di dispositivi Bluetooth connessi a Windows 11 continua ad aumentare. Gli utenti Windows connettono le cuffie Bluetooth, i mouse, le tastiere e altri accessori e migliorano l'esperienza quotidiana dei PC grazie allo streaming, alla produttività e ai giochi. Windows supporta tutti i protocolli di associazione Bluetooth standard, incluse le connessioni classiche e LE Secure, l'associazione semplice sicura e l'associazione legacy classica e LE. Windows implementa anche la privacy a basso livello basata su host. Gli aggiornamenti di Windows consentono agli utenti di rimanere aggiornati sulle funzionalità di sicurezza del sistema operativo e dei driver in base al Gruppo di interesse speciale Bluetooth (SIG) e ai report sulle vulnerabilità Standard, nonché ai problemi oltre a quelli richiesti dagli standard del settore bluetooth core. Microsoft consiglia vivamente di mantenere aggiornati il firmware e il software degli accessori Bluetooth.
Gli ambienti gestiti da IT hanno un numero di impostazioni dei criteri disponibili tramite provider di servizi di configurazione, criteri di gruppo e PowerShell. Queste impostazioni possono essere gestite tramite soluzioni di gestione dei dispositivi come Microsoft Intune[4]. È possibile configurare Windows per l'uso della tecnologia Bluetooth, supportando al tempo stesso le esigenze di sicurezza dell'organizzazione. Ad esempio, è possibile consentire l'input e l'audio durante il blocco del trasferimento di file, forzare gli standard di crittografia, limitare l'individuabilità di Windows o persino disabilitare completamente il Bluetooth per gli ambienti più sensibili.
Ulteriori informazioni
connessioni Wi-Fi
Windows Wi-Fi supporta metodi di autenticazione e crittografia standard del settore durante la connessione a reti Wi-Fi. WPA (Wi-Fi Protected Access) è uno standard di sicurezza definito da Wi-Fi Alliance (WFA) per fornire una crittografia dei dati sofisticata e un'autenticazione utente migliore.
Lo standard di sicurezza corrente per l'autenticazione Wi-Fi è WPA3, che fornisce un metodo di connessione più sicuro e affidabile rispetto a WPA2 e ai protocolli di sicurezza precedenti. Windows supporta tre modalità WPA3: WPA3 Personal, WPA3 Enterprise e WPA3 Enterprise a 192 bit Suite B.
Windows 11 include WPA3 Personal con il nuovo protocollo H2E e WPA3 Enterprise 192-bit Suite B. Windows 11 supporta anche WPA3 Enterprise, che include la convalida avanzata del certificato server e TLS 1.3 per l'autenticazione tramite l'autenticazione EAP-TLS.
È inclusa anche la crittografia wireless opportunistica (OWE), una tecnologia che consente ai dispositivi wireless di stabilire connessioni crittografate agli hotspot Wi-Fi pubblici.
5G ed eSIM
Le reti 5G usano una crittografia più avanzata e una migliore segmentazione della rete rispetto alle generazioni precedenti di protocolli cellulari. A differenza del Wi-Fi, l'accesso 5G è sempre autenticato a vicenda. Le credenziali di accesso vengono archiviate in un eSIM certificato EAL4 che è fisicamente incorporato nel dispositivo, rendendo molto più difficile per gli utenti malintenzionati manomettere. Insieme, 5G ed eSIM forniscono una solida base per la sicurezza.
Ulteriori informazioni
Windows Firewall
Windows Firewall è una parte importante di un modello di sicurezza a più livelli. Fornisce filtri del traffico di rete bidirezionali basati su host, bloccando il traffico non autorizzato che entra o esce dal dispositivo locale in base ai tipi di reti a cui è connesso il dispositivo.
Windows Firewall offre i vantaggi seguenti:
- Riduce il rischio di minacce alla sicurezza di rete: Windows Firewall riduce la superficie di attacco di un dispositivo con regole che limitano o consentono il traffico in base a molte proprietà, ad esempio indirizzi IP, porte o percorsi di programma. Questa funzionalità aumenta la gestibilità e riduce la probabilità di un attacco riuscito
- Protegge i dati sensibili e la proprietà intellettuale: grazie all'integrazione con IPSec (Internet Protocol Security), Windows Firewall offre un modo semplice per applicare comunicazioni di rete end-to-end autenticate. Offre accesso scalabile e a livelli alle risorse di rete attendibili, contribuendo a imporre l'integrità dei dati e, facoltativamente, a proteggere la riservatezza dei dati
- Estende il valore degli investimenti esistenti: poiché Windows Firewall è un firewall basato su host incluso nel sistema operativo, non sono necessari hardware o software aggiuntivi. Windows Firewall è anche progettato per integrare soluzioni di sicurezza di rete non Microsoft esistenti tramite un'API (Application Programming Interface) documentata
Windows 11 semplifica l'analisi e il debug di Windows Firewall. Il comportamento IPSec è integrato con Packet Monitor, uno strumento di diagnostica di rete tra componenti predefinito per Windows. Inoltre, i log eventi di Windows Firewall vengono migliorati per garantire che un controllo possa identificare il filtro specifico responsabile di un determinato evento. Ciò consente l'analisi del comportamento del firewall e l'acquisizione avanzata di pacchetti senza basarsi su strumenti di terze parti.
Gli amministratori possono configurare altre impostazioni tramite i modelli di criteri Firewall e Regola firewall nel nodo Endpoint Security in Microsoft Intune[4], usando il supporto della piattaforma del provider del servizio di configurazione del firewall (CSP) e applicando queste impostazioni agli endpoint di Windows.
Novità di Windows 11 versione 24H2
Il provider del servizio di configurazione del firewall (CSP) in Windows applica ora un approccio tutto o niente all'applicazione delle regole del firewall all'interno di ogni blocco atomico. In precedenza, se il provider di servizi di configurazione rilevava un problema con qualsiasi regola in un blocco, non solo interrompeva l'elaborazione della regola, ma interrompeva anche l'elaborazione delle regole successive, lasciando potenzialmente un vuoto di sicurezza con blocchi di regole parzialmente distribuiti. Ora, se non è possibile applicare correttamente una regola nel blocco, il CSP interrompe l'elaborazione delle regole successive ed esegue il rollback di tutte le regole da tale blocco atomico, eliminando l'ambiguità dei blocchi di regole parzialmente distribuiti.
Ulteriori informazioni
Reti private virtuali (VPN)
Le organizzazioni si affidano da tempo a Windows per fornire soluzioni VPN (Virtual Private Network) affidabili, protette e gestibili. La piattaforma client VPN windows include protocolli VPN predefiniti, supporto della configurazione, un'interfaccia utente VPN comune e supporto di programmazione per protocolli VPN personalizzati. Le app VPN sono disponibili in Microsoft Store per VPN aziendali e dell’utente, incluse le app per i gateway VPN aziendali più diffusi.
In Windows 11 i controlli VPN usati più di frequente sono stati integrati direttamente nel riquadro azioni rapide Windows 11. Nel riquadro Azioni rapide gli utenti possono verificare lo stato della VPN, avviare e arrestare la connessione e aprire facilmente Impostazioni per altri controlli.
La piattaforma VPN Windows si connette a Microsoft Entra ID[4] e all'accesso condizionale per l'accesso Single Sign-On, inclusa l'autenticazione a più fattori (MFA) tramite Microsoft Entra ID. La piattaforma VPN supporta anche l'autenticazione classica aggiunta al dominio. È supportato da Microsoft Intune[4] e da altre soluzioni di gestione dei dispositivi. Il profilo VPN flessibile supporta protocolli predefiniti e protocolli personalizzati. Può configurare più metodi di autenticazione e può essere avviato automaticamente in base alle esigenze o avviato manualmente dall'utente finale. Supporta anche la VPN split tunnel e la VPN esclusiva con eccezioni per siti esterni attendibili.
Con le app VPN piattaforma UWP (Universal Windows Platform) (UWP), gli utenti finali non si bloccano mai su una versione precedente del client VPN. Le app VPN dallo Store verranno aggiornate automaticamente in base alle esigenze. Naturalmente, gli aggiornamenti sono di controllo degli amministratori IT.
La piattaforma VPN windows è ottimizzata e avanzata per i provider VPN basati sul cloud, ad esempio VPN di Azure. Funzionalità come l'autenticazione Microsoft Entra ID, l'integrazione dell'interfaccia utente di Windows, i selettori di traffico IKE idraulici e il supporto del server sono integrate nella piattaforma VPN windows. L'integrazione nella piattaforma VPN windows porta a un'esperienza di amministrazione IT più semplice. L'autenticazione utente è più coerente e gli utenti possono trovare e controllare facilmente la VPN.
Ulteriori informazioni
Server Message Block File Services
Server Message Block (SMB) e file services sono i carichi di lavoro Windows più comuni nell'ecosistema commerciale e pubblico. Gli utenti e le applicazioni si basano su SMB per accedere ai file che eseguono organizzazioni di tutte le dimensioni.
Windows 11 introdotto aggiornamenti significativi della sicurezza per soddisfare le minacce attuali, tra cui la crittografia SMB AES-256, la firma SMB accelerata, la crittografia di rete RDMA (Remote Directory Memory Access) e SMB su QUIC per le reti non attendibili.
Novità di Windows 11 versione 24H2
Le nuove opzioni di sicurezza includono la firma SMB obbligatoria per impostazione predefinita, il blocco NTLM, la limitazione della velocità di autenticazione e diversi altri miglioramenti.
Ulteriori informazioni