WEBVTT 00:00.000 --> 00:01.560 Istruttore: In questa lezione esploreremo 00:01.560 --> 00:02.730 alcune delle funzioni di 00:02.730 --> 00:05.100 sicurezza del BIOS e dell'UEFI. 00:05.100 --> 00:07.200 Oltre a fornire protezioni sulla nostra rete 00:07.200 --> 00:09.120 e nell'ambiente del nostro sistema operativo, 00:09.120 --> 00:10.740 dobbiamo anche considerare la sicurezza 00:10.740 --> 00:13.320 del nostro ambiente pre-operativo. 00:13.320 --> 00:14.520 Questa è l'area del computer 00:14.520 --> 00:16.560 che può essere attaccata durante la fase di avvio 00:16.560 --> 00:18.720 e pertanto è necessario considerare le protezioni 00:18.720 --> 00:22.290 del bootloader, comprese le password del BIOS e dell'UEFI, il processo di avvio 00:22.290 --> 00:24.900 sicuro e l'impostazione delle autorizzazioni sulle porte 00:24.900 --> 00:27.030 USB della scheda madre. 00:27.030 --> 00:29.700 Ricordiamo che il BIOS e l'UEFI sono due tipi diversi 00:29.700 --> 00:32.430 di firmware utilizzati nei nostri computer per assistere 00:32.430 --> 00:35.730 il caricamento e l'avvio del sistema operativo. 00:35.730 --> 00:38.610 Ogni computer può avere il BIOS o l'UEFI, 00:38.610 --> 00:39.870 ma non entrambi. 00:39.870 --> 00:42.300 Il BIOS è il sistema di input/output di base ed è 00:42.300 --> 00:44.880 un'interfaccia firmware che inizializza l'hardware 00:44.880 --> 00:47.790 di un sistema operativo per consentirne l'avvio. 00:47.790 --> 00:49.980 I computer che si affidano al BIOS utilizzano un 00:49.980 --> 00:53.550 master boot record, o MBR, per contenere le informazioni di avvio e identificare 00:53.550 --> 00:56.070 le partizioni di un determinato disco rigido che contengono 00:56.070 --> 00:58.320 il sistema operativo da caricare. 00:58.320 --> 01:01.980 Il BIOS è il tipo di firmware più vecchio e tradizionale. 01:01.980 --> 01:04.560 L'UEFI, o unified extensible firmware initiative, 01:04.560 --> 01:07.170 invece, è un tipo di firmware più recente. 01:07.170 --> 01:09.660 L'UEFI è un tipo di firmware di sistema che supporta 01:09.660 --> 01:12.690 le operazioni della CPU a 64 bit all'avvio, un'interfaccia utente 01:12.690 --> 01:15.660 grafica completa e le operazioni del mouse all'avvio e una migliore 01:15.660 --> 01:17.520 sicurezza all'avvio. 01:17.520 --> 01:19.920 I computer che si affidano a UEFI utilizzano una 01:19.920 --> 01:24.120 tabella di partizione GUID nota come GPT per contenere le informazioni di avvio. 01:24.120 --> 01:26.160 UEFI consente l'accesso e l'avvio da dischi 01:26.160 --> 01:28.740 di dimensioni superiori a due terabyte e fornisce 01:28.740 --> 01:31.470 un'architettura e dei driver indipendenti dalla CPU, 01:31.470 --> 01:33.960 oltre a un ambiente pre-OS che può includere funzionalità 01:33.960 --> 01:36.840 di rete e accesso alla navigazione web. 01:36.840 --> 01:39.900 In generale, l'UEFI è più recente e più avanzato del BIOS e fornisce 01:39.900 --> 01:42.150 ulteriori controlli di sicurezza e integrità 01:42.150 --> 01:45.540 durante il processo di avvio, compreso l'avvio sicuro. 01:45.540 --> 01:48.270 Ora, anche il BIOS e l'UEFI possono essere protetti 01:48.270 --> 01:50.700 con diversi tipi di password. 01:50.700 --> 01:52.740 La password comprende la password del supervisore, 01:52.740 --> 01:56.010 dell'amministratore o di impostazione, la password dell'utente o del sistema e la 01:56.010 --> 01:58.470 password dell'unità di archiviazione o del disco rigido. 01:58.470 --> 02:00.930 La password di supervisore, amministratore o configurazione 02:00.930 --> 02:03.180 è il primo tipo di password che si trova quando 02:03.180 --> 02:05.400 si utilizza il BIOS o l'UEFI. 02:05.400 --> 02:07.470 Questa password serve a proteggere l'accesso 02:07.470 --> 02:10.050 al BIOS o al programma di configurazione UEFI e impedisce 02:10.050 --> 02:12.090 agli utenti non autorizzati di accedere a questo 02:12.090 --> 02:14.220 strumento di configurazione sensibile. 02:14.220 --> 02:17.190 Se si imposta questa password, ogni volta che qualcuno tenta 02:17.190 --> 02:19.890 di entrare nel BIOS o nell'UEFI, verrà richiesto di 02:19.890 --> 02:22.170 inserire la password prima di concedere l'accesso, 02:22.170 --> 02:25.410 ma non si impedirà a qualcuno di accendere il computer e avviare 02:25.410 --> 02:28.710 il normale ambiente del sistema operativo. 02:28.710 --> 02:31.590 Questa password viene quasi sempre impostata sui computer 02:31.590 --> 02:33.570 di una rete aziendale o di un'impresa, in modo 02:33.570 --> 02:36.870 che gli utenti finali non possano accedere al BIOS o all'UEFI, ma gli amministratori 02:36.870 --> 02:39.360 e i tecnici del sistema possano farlo se dispongono della 02:39.360 --> 02:41.550 password giusta. 02:41.550 --> 02:43.830 La password utente o di sistema è il secondo 02:43.830 --> 02:47.430 tipo di password che può essere configurata nel BIOS o nell'UEFI. 02:47.430 --> 02:51.270 Questa password viene utilizzata per bloccare l'accesso all'intero computer. 02:51.270 --> 02:53.100 Ogni volta che il computer viene 02:53.100 --> 02:55.530 acceso, si ferma e chiede una password. 02:55.530 --> 02:58.380 Se l'utente finale inserisce la password corretta, il computer 02:58.380 --> 03:01.320 continuerà a caricare il sistema operativo e ad avviarsi. 03:01.320 --> 03:04.170 Sebbene questo sia un metodo molto sicuro per proteggere un computer, 03:04.170 --> 03:07.380 non viene quasi mai utilizzato nelle reti aziendali o di impresa, perché 03:07.380 --> 03:09.300 la password dovrebbe essere condivisa con 03:09.300 --> 03:12.120 tutti gli utenti che accedono a quel computer, e questa password 03:12.120 --> 03:14.700 condivisa annulla parte della sicurezza che stiamo cercando 03:14.700 --> 03:16.170 di ottenere. 03:16.170 --> 03:19.290 Di solito, invece, la password utente o di sistema viene utilizzata 03:19.290 --> 03:21.090 solo sul computer di qualcuno, quando 03:21.090 --> 03:23.160 è l'unico utente a utilizzarla. 03:23.160 --> 03:25.200 Si tratta di una password separata e diversa 03:25.200 --> 03:27.000 da quella dell'utente che verrà utilizzata 03:27.000 --> 03:30.570 per accedere a Windows, Linux o al sistema MacOS, e garantisce invece 03:30.570 --> 03:33.000 all'utente l'accesso al sistema in quell'ambiente 03:33.000 --> 03:35.820 pre-operativo. 03:35.820 --> 03:38.130 Il terzo tipo di password è noto come password 03:38.130 --> 03:40.050 di archiviazione o di disco rigido. 03:40.050 --> 03:42.240 Questo tipo di password era molto diffuso prima 03:42.240 --> 03:45.000 dell'inclusione del modulo di piattaforma affidabile 03:45.000 --> 03:48.180 o del modulo di sicurezza hardware nei computer moderni. 03:48.180 --> 03:50.550 Questa password bloccherebbe l'accesso a un disco 03:50.550 --> 03:53.280 rigido collegato al sistema e richiederebbe all'utente 03:53.280 --> 03:55.680 finale di inserire la password per poter leggere 03:55.680 --> 03:58.530 il disco rigido e caricare il sistema operativo. 03:58.530 --> 04:01.290 A differenza della password utente o di sistema, che blocca l'utente 04:01.290 --> 04:03.420 dall'intero sistema fino all'inserimento della 04:03.420 --> 04:05.820 password corretta, la password di archiviazione o del 04:05.820 --> 04:07.710 disco rigido blocca solo il disco rigido e la 04:07.710 --> 04:10.769 possibilità di avviare il sistema operativo da esso. 04:10.769 --> 04:12.840 La prossima funzione di sicurezza che dobbiamo 04:12.840 --> 04:14.550 trattare è nota come avvio sicuro. 04:14.550 --> 04:17.130 L'avvio sicuro può essere attivato nell'interfaccia 04:17.130 --> 04:20.370 e nelle impostazioni UEFI e non è supportato dal BIOS. 04:20.370 --> 04:23.310 Se abilitato, eseguirà tre diverse verifiche durante il processo 04:23.310 --> 04:25.620 di avvio di Windows o di altri sistemi operativi 04:25.620 --> 04:28.680 che supportano questa funzionalità, al fine di garantire che 04:28.680 --> 04:31.350 il computer non sia stato dirottato da un qualche tipo 04:31.350 --> 04:34.590 di codice dannoso iniettato nel sistema operativo. 04:34.590 --> 04:36.630 Diamo un'occhiata al processo di avvio completo 04:36.630 --> 04:38.550 di un normale sistema Windows. 04:38.550 --> 04:41.100 La prima fase del processo avviene all'avvio di un computer 04:41.100 --> 04:43.950 Windows, con il caricamento dei componenti di avvio del firmware 04:43.950 --> 04:45.870 e l'avvio del boot manager. 04:45.870 --> 04:48.120 Successivamente, viene avviato il caricatore 04:48.120 --> 04:49.830 di Windows, il kernel di Windows 04:49.830 --> 04:51.720 e le installazioni dei driver critici 04:51.720 --> 04:53.130 per l'avvio. 04:53.130 --> 04:55.710 A questo punto, vengono eseguite le inizializzazioni aggiuntive 04:55.710 --> 04:58.320 del sistema operativo e, infine, viene presentata all'utente 04:58.320 --> 05:00.420 la schermata di accesso a Windows. 05:00.420 --> 05:02.610 Quando i componenti di avvio del firmware vengono 05:02.610 --> 05:05.430 caricati durante un avvio sicuro, il firmware verifica innanzitutto 05:05.430 --> 05:09.030 che tutti i file eseguibili UV e lo stesso caricatore del sistema operativo abbiano 05:09.030 --> 05:11.130 la loro integrità e non siano stati compromessi 05:11.130 --> 05:13.320 da alcun tipo di malware. 05:13.320 --> 05:15.810 Ciò significa che saranno sicuri da caricare. 05:15.810 --> 05:18.300 Successivamente, i componenti di avvio di Windows verificheranno 05:18.300 --> 05:20.370 la firma digitale di ciascun componente prima 05:20.370 --> 05:21.750 di caricarlo. 05:21.750 --> 05:23.910 Se un componente non supera il controllo della 05:23.910 --> 05:26.100 firma, non verrà caricato e verrà emesso un avviso 05:26.100 --> 05:27.450 all'utente finale. 05:27.450 --> 05:30.060 Infine, i driver critici per l'avvio vengono controllati 05:30.060 --> 05:32.490 con i loro hash noti e, se superano questo controllo, 05:32.490 --> 05:35.160 vengono caricati come parte finale del processo 05:35.160 --> 05:37.110 di avvio sicuro. 05:37.110 --> 05:39.780 Ora, per quanto riguarda l'avvio sicuro, vorrei che 05:39.780 --> 05:42.210 ricordaste che si tratta di una procedura utilizzata 05:42.210 --> 05:45.060 per garantire che il sistema operativo stesso sia affidabile 05:45.060 --> 05:47.820 e non sia vittima di un tipo speciale di malware noto come 05:47.820 --> 05:49.410 root kit. 05:49.410 --> 05:51.690 Affinché il secure boot funzioni, deve essere 05:51.690 --> 05:54.750 abilitato all'interno del sistema UEFI e anche il sistema 05:54.750 --> 05:56.670 operativo deve supportarlo. 05:56.670 --> 05:59.070 L'ultima funzione di sicurezza che dobbiamo trattare all'interno 05:59.070 --> 06:01.950 del BIOS o dell'UEFI è l'impostazione dei permessi per le porte USB della 06:01.950 --> 06:03.300 scheda madre. 06:03.300 --> 06:06.090 Ora, la maggior parte dei sistemi moderni può essere configurata 06:06.090 --> 06:08.700 per attivare o disattivare le porte USB sulla scheda madre, 06:08.700 --> 06:11.700 e alcuni consentono persino di limitare le porte USB in modo che 06:11.700 --> 06:13.380 non supportino alcuni tipi di dispositivi 06:13.380 --> 06:16.590 USB, pur consentendo l'utilizzo di altri. 06:16.590 --> 06:18.660 Ora, la preoccupazione maggiore è normalmente rappresentata 06:18.660 --> 06:20.940 dalle minacce informatiche e dalla perdita di dati. 06:20.940 --> 06:24.120 In termini di malware, le porte USB possono rappresentare un'ottima 06:24.120 --> 06:25.560 via d'attacco per chi cerca di introdursi 06:25.560 --> 06:27.270 nel vostro sistema. 06:27.270 --> 06:29.700 Ad esempio, se carico una chiavetta USB con un po' di 06:29.700 --> 06:32.370 malware, posso lasciarla cadere in un parcheggio fuori 06:32.370 --> 06:34.950 dall'edificio di un ufficio e se qualcuno, incuriosito, 06:34.950 --> 06:37.050 la raccoglie e la inserisce nel suo computer, 06:37.050 --> 06:39.900 può installare il malware nei vostri sistemi. 06:39.900 --> 06:42.810 Per evitare che ciò accada, disabilitiamo la capacità dell'USB 06:42.810 --> 06:46.320 di leggere e scrivere dai dispositivi di archiviazione di massa. 06:46.320 --> 06:49.110 È possibile bloccare del tutto l'USB, ma in 06:49.110 --> 06:51.630 tal caso non sarebbe possibile utilizzare 06:51.630 --> 06:55.050 cuffie, webcam, mouse e tastiere e simili. 06:55.050 --> 06:58.020 Per questo motivo, si potrebbe limitare la possibilità 06:58.020 --> 07:01.020 di utilizzarli come dispositivi di archiviazione di 07:01.020 --> 07:03.630 massa, impedendo la connessione al sistema di 07:03.630 --> 07:06.870 unità USB, unità flash o dischi rigidi esterni. 07:06.870 --> 07:08.250 Questo può aiutarci a prevenire l'introduzione 07:08.250 --> 07:10.110 di malware nel nostro sistema. 07:10.110 --> 07:13.020 Ma oltre a questo, potrebbe anche aiutarci a evitare che 07:13.020 --> 07:14.880 i dati escano dal nostro sistema. 07:14.880 --> 07:17.280 Ad esempio, supponiamo che lavoriate per un'organizzazione 07:17.280 --> 07:19.110 top secret del governo. 07:19.110 --> 07:20.760 Non vorrete che qualcuno possa entrare 07:20.760 --> 07:23.700 con una piccola chiavetta USB, collegarla al computer, scaricare 07:23.700 --> 07:25.560 tutte le vostre informazioni e poi uscire 07:25.560 --> 07:27.540 dalla porta di casa con quella. 07:27.540 --> 07:30.960 Per evitare che ciò accada, è possibile configurare l'UEFI in modo da 07:30.960 --> 07:34.560 bloccare le porte USB o impedire che vengano utilizzate per i dispositivi 07:34.560 --> 07:37.830 di archiviazione di massa, bloccando così la possibilità di utilizzare 07:37.830 --> 07:40.650 chiavette e dischi rigidi esterni, in modo che le persone 07:40.650 --> 07:42.540 non possano uscire dalla porta di casa 07:42.540 --> 07:45.120 con le vostre informazioni critiche. 07:45.120 --> 07:48.180 Quando si parla di sicurezza, ci sono tre cose principali 07:48.180 --> 07:51.270 che il BIOS o l'UEFI possono fornire. 07:51.270 --> 07:54.060 La prima è la possibilità di impostare password per controllare 07:54.060 --> 07:56.910 l'accesso a diverse parti del sistema. 07:56.910 --> 07:59.280 Il secondo è la possibilità di attivare l'avvio sicuro per 07:59.280 --> 08:01.770 garantire che il sistema operativo non sia stato compromesso 08:01.770 --> 08:03.180 prima del suo caricamento. 08:03.180 --> 08:07.050 Il terzo è la possibilità di limitare o disabilitare le porte USB sulla 08:07.050 --> 08:08.850 scheda madre per impedire l'introduzione 08:08.850 --> 08:10.380 di malware nel sistema o l'esfiltrazione 08:10.380 --> 08:13.083 di dati dal sistema.