Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Microsoft ha requisiti rigorosi per il codice in esecuzione nel kernel. Quindi, gli attori malintenzionati si stanno rivolgendo a sfruttare le vulnerabilità nei driver del kernel legittimi e firmati per eseguire malware nel kernel. Uno dei molti punti di forza della piattaforma Windows è la collaborazione con fornitori di hardware indipendenti (IHD) e OEM. Microsoft collabora a stretto contatto con la community di sicurezza e IHV per garantire ai clienti il massimo livello di sicurezza dei driver. Quando vengono rilevate vulnerabilità nei driver, collaboriamo con i nostri partner per garantire che vengano rapidamente applicate e implementate nell'ecosistema. L'elenco di blocchi dei driver vulnerabili è progettato per proteggere i sistemi dai driver non sviluppati da Microsoft nell'ecosistema Windows con uno degli attributi seguenti:
- Vulnerabilità di sicurezza note che un utente malintenzionato potrebbe sfruttare per elevare i privilegi nel kernel di Windows
- Comportamenti dannosi (malware) o certificati usati per firmare malware
- Comportamenti non dannosi ma che eludono il modello Sicurezza di Windows e un utente malintenzionato potrebbe sfruttare per elevare i privilegi nel kernel di Windows
I driver possono essere inviati a Microsoft per l'analisi della sicurezza nella pagina di invio del driver Intelligence di sicurezza Microsoft. Per altre informazioni sull'invio di driver, vedere Migliorare la sicurezza del kernel con il nuovo Microsoft Vulnerable and Malicious Driver Reporting Center.For more information about driver submission, see Improve kernel security with the new Microsoft Vulnerable and Malicious Driver Reporting Center. Per segnalare un problema o richiedere una modifica all'elenco blocchi, incluso l'aggiornamento di una regola di blocco quando è disponibile una versione fissa di un driver, visitare il portale di Intelligence di sicurezza Microsoft.
Nota
Il blocco dei driver può causare un malfunzionamento dei dispositivi o del software e, in rari casi, portare allo schermo blu. L'elenco di blocchi dei driver vulnerabili non è garantito per bloccare ogni driver che ha vulnerabilità. Quando viene generato l'elenco di blocchi, Microsoft tenta di bilanciare i rischi per la sicurezza dei driver vulnerabili con il potenziale effetto sulla compatibilità e sull'affidabilità. L'elenco di blocchi incluso in questo articolo e nei file scaricabili associati contiene in genere un set più completo di driver vulnerabili noti rispetto alla versione nel sistema operativo e recapitato da Windows Update. Spesso è necessario bloccare alcuni blocchi per evitare di interrompere le funzionalità esistenti mentre collaboriamo con i partner che stanno coinvolgendo gli utenti per l'aggiornamento alle versioni con patch. Come sempre, Microsoft consiglia di usare un approccio esplicito all'elenco di elementi consentiti per la sicurezza, laddove possibile, ma quando ciò non è fattibile, l'uso di questo elenco di blocchi è uno strumento critico per interrompere gli attori malintenzionati.
Elenco di blocchi dei driver vulnerabili microsoft
Dopo l'aggiornamento Windows 11 2022, l'elenco di blocchi dei driver vulnerabili è abilitato per impostazione predefinita per tutti i dispositivi e può essere attivato o disattivato tramite l'app Sicurezza di Windows. Ad eccezione di Windows Server 2016, l'elenco di blocchi dei driver vulnerabili viene applicato anche quando è attiva l'integrità della memoria, nota anche come integrità del codice protetta da hypervisor (HVCI), Smart App Control o modalità S. Gli utenti possono acconsentire esplicitamente a HVCI usando l'app Sicurezza di Windows e HVCI è attivato per impostazione predefinita per la maggior parte dei nuovi dispositivi Windows 11.
L'elenco di blocchi viene aggiornato trimestralmente. Inoltre, gli aggiornamenti blocklist vengono recapitati tramite gli aggiornamenti mensili di Windows come parte del processo di manutenzione standard per proteggere i clienti.
I clienti che desiderano sempre l'elenco di blocchi di driver più aggiornato possono anche usare Controllo app per le aziende per applicare l'elenco di blocchi di driver consigliato più recente incluso in questo articolo. Per comodità, forniamo un download dell'elenco di blocchi di driver vulnerabili più aggiornato insieme alle istruzioni per applicarlo al computer alla fine di questo articolo.
Blocco dei driver vulnerabili tramite Controllo app
Microsoft consiglia di abilitare la modalità HVCI o S per proteggere i dispositivi dalle minacce alla sicurezza. Se questa impostazione non è possibile, Microsoft consiglia di bloccare questo elenco di driver all'interno dei criteri di Controllo app per le aziende esistenti. Il blocco dei driver del kernel senza test sufficienti può causare il malfunzionamento di dispositivi o software e, in rari casi, lo schermo blu. È innanzitutto necessario convalidare questo criterio in modalità di controllo ed esaminare gli eventi del blocco di controllo prima di distribuire una versione applicata.
Importante
Microsoft consiglia anche di abilitare la regola di riduzione della superficie di attacco (ASR) Bloccare l'abuso di driver firmati vulnerabili sfruttati per impedire a un'applicazione di scrivere un driver firmato vulnerabile su disco. La regola ASR non impedisce il caricamento di un driver già esistente nel sistema, ma l'abilitazione dell'elenco di blocchi dei driver vulnerabili microsoft o l'applicazione di questo criterio di controllo app impedisce il caricamento del driver esistente.
Passaggi per scaricare e applicare il file binario dell'elenco di blocchi del driver vulnerabile
Se si preferisce applicare l'elenco di blocchi di driver vulnerabili, seguire questa procedura:
- Scaricare lo strumento di aggiornamento dei criteri di Controllo app
- Scaricare ed estrarre i file binari dell'elenco di blocchi dei driver vulnerabili
- Selezionare la versione solo di controllo o la versione applicata e rinominare il file in SiPolicy.p7b
- Copiare SiPolicy.p7b in %windir%\system32\CodeIntegrity
- Eseguire lo strumento di aggiornamento dei criteri di controllo delle app scaricato nel passaggio 1 precedente per attivare e aggiornare tutti i criteri di Controllo app nel computer
Per verificare che il criterio sia stato applicato correttamente nel computer:
- Apri il Visualizzatore eventi
- Passare ai log di applicazioni e servizi - Microsoft - Windows - CodeIntegrity - Operational
- Selezionare Filtro log corrente...
- Sostituire "<Tutti gli ID> evento" con "3099" e selezionare OK.
- È necessario trovare un evento 3099 in cui PolicyNameBuffer e PolicyIdBuffer corrispondono alle impostazioni Nome e ID di PolicyInfo disponibili nell'elenco di blocchi Xml dei criteri di controllo delle app in questo articolo. NOTA: il computer potrebbe avere più di un evento 3099 se sono presenti altri criteri di controllo delle app.
Nota
Se sono già in esecuzione driver vulnerabili che bloccano il criterio, è necessario riavviare il computer per bloccare tali driver. I processi in esecuzione non vengono arrestati quando si attiva un nuovo criterio di controllo delle app senza riavvio.
CODICE XML dell'elenco di blocchi del driver vulnerabile
Il file di criteri xml blocklist consigliato può essere scaricato dall'Area download Microsoft.
Questo criterio contiene consenti tutte le regole. Se la versione di Windows supporta più criteri di Controllo app, è consigliabile distribuire questi criteri insieme a tutti i criteri di Controllo app esistenti. Se si prevede di unire questo criterio con un altro criterio, rimuovere le regole Consenti tutte prima di unirlo se gli altri criteri applicano un elenco di elementi consentiti espliciti. Per altre informazioni, vedere Creare un criterio di negazione del controllo app.
Nota
Per usare questo criterio con Windows Server 2016, è necessario convertire il codice XML dei criteri in un dispositivo che esegue un sistema operativo più nuovo. I criteri disponibili nel collegamento All'Area download Microsoft forniti in precedenza in questo articolo includono anche le versioni per Windows Server 2016.