L'isolamento del core è una funzionalità di sicurezza di Microsoft Windows che protegge i processi core importanti di Windows dal software dannoso isolandoli nella memoria. Lo fa eseguendo i processi principali in un ambiente virtualizzato. 

Nota: Le informazioni visualizzate nella pagina di isolamento del nucleo possono variare a seconda della versione di Windows in uso.

Integrità della memoria

L'integrità della memoria, nota anche come integrità del codice protetta dall'hypervisor (HVCI), è una funzionalità di sicurezza di Windows che rende difficile per i programmi dannosi utilizzare driver di basso livello per dirottare il computer.

Un driver è un software che consente al sistema operativo (Windows in questo caso) e a un dispositivo (come una tastiera o una webcam, per fare due esempi) di comunicare tra loro. Quando il dispositivo vuole che Windows faccia qualcosa, utilizza il driver per inviare la richiesta.

Suggerimento: Vuoi saperne di più sui driver? Vedi Che cos'è un driver?

L'integrità della memoria funziona creando un ambiente isolato utilizzando la virtualizzazione hardware.

Pensa a una guardia di sicurezza all'interno di una cabina chiusa a chiave. Questo ambiente isolato (la cabina chiusa nella nostra analogia) impedisce che la funzionalità di integrità della memoria possa essere manomessa da un aggressore. Un programma che vuole eseguire un pezzo di codice che potrebbe essere pericoloso deve passare il codice all'integrità della memoria all'interno della cabina virtuale, in modo che possa essere verificato. Quando l'integrità della memoria ritiene che il codice sia sicuro, lo restituisce a Windows per l'esecuzione. In genere, ciò avviene molto rapidamente.

Senza l'integrità della memoria, la “guardia di sicurezza” si trova proprio all'aperto, dove è molto più facile per un attaccante interferire o sabotare la guardia, rendendo più facile per il codice dannoso passare di nascosto e causare problemi.

Come si gestisce l'integrità della memoria?

Nella maggior parte dei casi, l'integrità della memoria è attiva per impostazione predefinita in Windows 11 e può essere attivata in Windows 10.

Per attivarla o disattivarla:

  1. Sceglie il pulsante Start e digita “Isolamento core”.

  2. Seleziona le impostazioni di sistema di Isolamento core dai risultati della ricerca per aprire l'applicazione di sicurezza di Windows.

Nella pagina dell'isolamento core si trova l'Integrità della memoria e la levetta per attivarla o disattivarla.

Pagina Isolamento core di Sicurezza di Windows

Importante: Per la sicurezza è consigliabile attivare l'integrità della memoria.

Per utilizzare l'integrità della memoria, è necessario che la virtualizzazione hardware sia abilitata nell'UEFI o nel BIOS del sistema. 

Cosa succede se mi dice che ho un driver incompatibile?

Se l'integrità della memoria non si attiva, è possibile che sia stato installato un driver di periferica incompatibile. Verifica con il produttore del dispositivo se è disponibile un driver aggiornato. Se non è disponibile un driver compatibile, è possibile rimuovere il dispositivo o l'applicazione che utilizza il driver incompatibile.

La funzionalità di integrità della memoria di Windows mostra che un driver è incompatibile

Nota: Se si tenta di installare un dispositivo con un driver incompatibile dopo aver attivato l'integrità della memoria, è possibile che venga visualizzato lo stesso messaggio. In tal caso, vale lo stesso consiglio: verificare con il produttore del dispositivo se è disponibile un driver aggiornato da scaricare, oppure non installare quel particolare dispositivo finché non sarà disponibile un driver compatibile.

Protezione stack applicata tramite hardware in modalità kernel

La protezione stack applicata tramite hardware in modalità kernel è una funzionalità di sicurezza di Windows basata sull'hardware che rende difficile per i programmi dannosi utilizzare i driver di basso livello per dirottare il computer.

Un driver è un software che consente al sistema operativo (Windows in questo caso) e a un dispositivo come una tastiera o una webcam, ad esempio, di comunicare tra loro. Quando il dispositivo vuole che Windows faccia qualcosa, utilizza il driver per inviare la richiesta.

Suggerimento: Vuoi saperne di più sui driver? Vedi Che cos'è un driver?

La Protezione dello stack applicata tramite hardware in modalità kernel funziona impedendo gli attacchi che modificano gli indirizzi di ritorno nella memoria in modalità kernel per lanciare codice dannoso. Questa funzionalità di sicurezza richiede una CPU in grado di verificare gli indirizzi di ritorno del codice in esecuzione.

Durante l'esecuzione di codice in modalità kernel, gli indirizzi di ritorno sullo stack in modalità kernel possono essere corrotti da programmi o driver dannosi per reindirizzare la normale esecuzione di codice a codice dannoso. Sulle CPU supportate, la CPU mantiene una seconda copia degli indirizzi di ritorno validi su uno shadow stack di sola lettura che i driver non possono modificare. Se un indirizzo di ritorno sullo stack normale è stato modificato, la CPU può rilevare questa discrepanza controllando la copia dell'indirizzo di ritorno sullo shadow stack. Quando si verifica questa discrepanza, il computer richiede un errore di arresto, talvolta noto come schermata blu, per impedire l'esecuzione del codice dannoso.

Non tutti i driver sono compatibili con questa funzionalità di sicurezza, poiché un piccolo numero di driver legittimi modifica l'indirizzo di ritorno per scopi non dannosi. Microsoft si è impegnata con numerosi editori di driver per garantire che i loro driver più recenti siano compatibili con la protezione dello stack rinforzata dall'hardware in modalità kernel.

Come si gestisce la protezione dello stack applicata tramite hardware in modalità kernel?

La protezione dello stack applicata tramite hardware in modalità kernel è disattivata per impostazione predefinita.

Per attivarla o disattivarla:

  1. Sceglie il pulsante Start e digita “Isolamento core”.

  2. Seleziona le impostazioni di sistema di Isolamento core dai risultati della ricerca per aprire l'applicazione di sicurezza di Windows.

Nella pagina dell'isolamento del nucleo, si trova la protezione dello stack rinforzata applicata tramite hardware in modalità kernel, insieme alla levetta per attivarla o disattivarla.

Indica la posizione dell'interruttore dell'interfaccia utente della protezione dello stack rinforzata dall'hardware in modalità kernel nella pagina Core Isolation dell'applicazione Sicurezza di Windows.

Per utilizzare la protezione dello stack applicata tramite hardware in modalità kernel, è necessario che sia abilitata l'integrità della memoria e che sia in funzione una CPU che supporti la tecnologia Intel Control-Flow Enforcement o AMD Shadow Stack.

Cosa succede se risulta che ho un driver o un servizio incompatibile?

Se la Protezione dello stack applicata tramite hardware in modalità kernel non si attiva, è possibile che venga segnalata la presenza di un driver di periferica o di un servizio incompatibile già installato. Verifica con il produttore del dispositivo o con l'editore dell'applicazione se è disponibile un driver aggiornato. Se non è disponibile un driver compatibile, è possibile rimuovere il dispositivo o l'applicazione che utilizza il driver incompatibile.

Alcune applicazioni possono installare un servizio anziché un driver durante l'installazione dell'applicazione e installare il driver solo quando l'applicazione viene avviata. Per un rilevamento più accurato dei driver incompatibili, vengono enumerati anche i servizi che sono notoriamente associati a driver incompatibili.

Pagina dei driver e servizi incompatibili per Protezione dello stack rinforzata dall'hardware in modalità kernel nell'applicazione Sicurezza di Windows, con un driver incompatibile mostrato. Il driver incompatibile è denominato ExampleDriver.sys, pubblicato da “Example Company”.

Nota: Se si tenta di installare un dispositivo o un'app con un driver incompatibile dopo aver attivato la Protezione dello stack applicata tramite hardware in modalità kernel, è possibile che venga visualizzato lo stesso messaggio. In tal caso, vale lo stesso consiglio: verificare con il produttore del dispositivo o con l'editore dell'applicazione se è disponibile un driver aggiornato da scaricare, oppure non installare quel particolare dispositivo o applicazione finché non sarà disponibile un driver compatibile.

Protezione dell'accesso alla memoria

Nota anche come “protezione Kernel DMA”, protegge il dispositivo dagli attacchi che possono verificarsi quando un dispositivo dannoso viene collegato a una porta PCI (Peripheral Component Interconnect) come una porta Thunderbolt.

Un semplice esempio di uno di questi attacchi potrebbe essere quello di chi si allontana dal PC per una breve pausa caffè e, durante la sua assenza, un aggressore accede, inserisce un dispositivo simile a una USB e riesce a portare via i dati sensibili dalla macchina, oppure inietta un malware che gli consente di controllare il PC da remoto. 

La protezione dell'accesso alla memoria impedisce questo tipo di attacchi negando l'accesso diretto alla memoria a questi dispositivi, tranne che in circostanze particolari, in particolare quando il PC è bloccato o l'utente è uscito.

È consigliabile attivare la protezione dell'accesso alla memoria.

Suggerimento: Per ulteriori dettagli tecnici su questo argomento, vedi Protezioni Kernel DMA.

Protezione del firmware

Ogni dispositivo ha un software scritto nella memoria di sola lettura del dispositivo - in pratica scritto in un chip sulla scheda di sistema - che viene utilizzato per le funzioni di base del dispositivo, come il caricamento del sistema operativo che esegue tutte le applicazioni che siamo abituati a usare. Poiché tale software è difficile (ma non impossibile) da modificare, viene definito firmware.

Poiché il firmware viene caricato per primo e viene eseguito sotto il sistema operativo, gli strumenti e le funzionalità di sicurezza eseguiti nel sistema operativo hanno difficoltà a rilevarlo o a difendersi da esso. Come una casa che dipende da buone fondamenta per essere sicura, un computer ha bisogno che il suo firmware sia sicuro per assicurare che il sistema operativo, le app e i dati dei clienti su quel computer siano al sicuro.

Windows Defender System Guard è un insieme di funzionalità che aiuta a garantire che gli utenti malintenzionati non possano avviare il dispositivo con un firmware non attendibile o dannoso.

Se il dispositivo lo supporta, ti consigliamo di attivarlo.

Le piattaforme che offrono la protezione del firmware in genere proteggono anche la modalità di gestione del sistema (SMM), una modalità operativa altamente privilegiata, in misura variabile. Si può prevedere uno dei tre valori, con un numero più alto che indica un maggior grado di protezione SMM:

  • Il dispositivo è conforme alla versione 1 della protezione del firmware: offre le mitigazioni di sicurezza fondamentali per aiutare SMM a resistere allo sfruttamento da parte di malware e impedisce l'esfiltrazione di segreti dal sistema operativo (compresi i VBS).

  • Il dispositivo è conforme alla versione due della protezione del firmware: oltre alla versione uno della protezione del firmware, la versione due garantisce che SMM non possa disattivare le protezioni VBS (Virtualization-based Security) e DMA del kernel.

  • Il dispositivo è conforme alla versione tre della protezione del firmware: oltre alla versione due della protezione del firmware, questa versione rafforza ulteriormente l'SMM impedendo l'accesso a determinati registri in grado di compromettere il sistema operativo (incluso VBS).

Suggerimento: Se vuoi maggiori dettagli tecnici su questo argomento, vedi Windows Defender System Guard: come una root of trust basata sull'hardware aiuta a proteggere Windows

Protezione dell'Autorità di sicurezza locale

La protezione dell'Autorità di sicurezza locale (LSA) è una funzionalità di sicurezza di Windows che aiuta a prevenire il furto delle credenziali utilizzate per l'accesso a Windows.   

L'Autorità di sicurezza locale (LSA) è un processo cruciale di Windows, coinvolto nell'autenticazione degli utenti. È responsabile della verifica delle credenziali durante il processo di accesso e della gestione dei token di autenticazione e dei ticket utilizzati per abilitare l’accesso single sign-on per i servizi. La protezione LSA impedisce al software non attendibile di essere eseguito all'interno di LSA o di accedere alla memoria di LSA.  

Come si gestisce la protezione dell'Autorità di sicurezza locale

La protezione LSA è attivata per impostazione predefinita nelle nuove installazioni di Windows 11 versione 22H2 e 23H2 sui dispositivi gestiti dalle aziende. È attivata per impostazione predefinita su tutte le nuove installazioni di Windows 11 versione 24H2 e successive. 

Se si sta eseguendo l'aggiornamento a Windows 11 24H2 e la protezione LSA non è già abilitata, la protezione LSA tenterà di essere abilitata dopo l'aggiornamento. La protezione LSA entrerà in modalità di valutazione dopo l'aggiornamento e verificherà la presenza di problemi di compatibilità per un periodo di 5 giorni. Se non vengono rilevati problemi, la protezione LSA verrà attivata automaticamente al successivo riavvio dopo la fine della finestra di valutazione.  

Per attivarla o disattivarla: 

  1. Seleziona Start sulla barra delle applicazioni e digita "Isolamento core".

  2. Seleziona le impostazioni di sistema di Isolamento core dai risultati della ricerca per aprire l'applicazione di sicurezza di Windows.

Nella pagina Isolamento core, si trova la protezione dell'Autorità di sicurezza locale e la levetta per attivarla o disattivarla. Dopo aver modificato l'impostazione, è necessario riavviare per renderla effettiva. 

Controllo per la protezione LSA nella pagina Isolamento del nucleo dell'applicazione Sicurezza di Windows

Cosa succede se ho un software incompatibile? 

Se la protezione LSA è attivata e blocca il caricamento del software nel servizio LSA, viene visualizzata una notifica che indica il file bloccato. È possibile rimuovere il software che carica il file o disabilitare gli avvisi futuri per quel file quando viene bloccato il caricamento in LSA.  

Avviso lanciato quando la protezione LSA blocca il caricamento di un file.

Microsoft Defender Credential Guard

Nota: Microsoft Defender Credential Guard viene visualizzato solo su dispositivi che eseguono le versioni Enterprise di Windows 10 o 11.

Mentre si utilizza il computer aziendale o dell'istituto di istruzione, si accede silenziosamente a una serie di elementi quali file, stampanti, applicazioni e altre risorse dell'organizzazione. Per rendere questo processo sicuro e allo stesso tempo semplice per l'utente, il computer deve disporre di un certo numero di token di autenticazione (spesso chiamati “segreti”) in qualsiasi momento.

Se un utente malintenzionato riesce ad accedere a uno o più di questi segreti, potrebbe essere in grado di utilizzarli per ottenere l'accesso alla risorsa organizzativa (file sensibili, ecc.) a cui il segreto è destinato. Microsoft Defender Credential Guard aiuta a proteggere questi segreti inserendoli in un ambiente protetto e virtualizzato, dove solo determinati servizi possono accedervi quando necessario.

Se il dispositivo lo supporta, ti consigliamo di attivarlo.

Suggerimento: Se desideri maggiori dettagli tecnici su questo argomento, vedi Funzionamento di Defender Credential Guard.

Elenco di blocchi dei driver vulnerabili Microsoft

Un driver è un software che consente al sistema operativo (Windows in questo caso) e a un dispositivo (come una tastiera o una webcam, per fare due esempi) di comunicare tra loro. Quando il dispositivo vuole che Windows faccia qualcosa, utilizza il driver per inviare la richiesta. Per questo motivo, i driver hanno un accesso molto riservato al sistema.

A partire dall'aggiornamento di Windows 11 2022, ora è disponibile una lista di blocco dei driver che presentano vulnerabilità di sicurezza note, che sono stati firmati con certificati utilizzati per firmare malware o che eludono il Modello di Sicurezza di Windows.

Se l'integrità della memoria, Smart App Control o la modalità S di Windows sono attivi, sarà attivo anche l'elenco di blocco dei driver vulnerabili.

Vedere anche

Massima protezione con Sicurezza di Windows

Guida e formazione su Microsoft Security

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365