Quando si tratta di sicurezza digitale in ambito domestico e nelle piccole imprese, non ci si può affidare ad un team IT dedicato, come fanno invece le grandi aziende. La responsabilità di garantire la protezione della rete e dei dati dalle minacce informatiche ricade interamente sui singoli utenti.
Attendere che si verifichi un incidente di sicurezza prima di attivarsi è un errore: la pianificazione e l’implementazione di contromisure deve essere una priorità fin da subito. Per questo motivo, è importante mettere in sicurezza i propri dispositivi, sia in casa che in ufficio.
- Prevenire è meglio che curare…
- Sicurezza di Windows: da dove iniziare per mettere al sicuro i propri dati
- Mantenere Windows aggiornato: la chiave per la sicurezza
- Come evitare problemi con gli update di Windows
- I vantaggi dell’account Microsoft su Windows
- Come fare la configurazione dell’account utente
- Come mantenere sicuro l’hardware di Windows 11
- Come proteggere i file di dati?
- Attivare la crittografia BitLocker
- Eseguire il backup delle chiavi di crittografia
- Crittografare i dispositivi di archiviazione portatili
- Eseguire il backup dei file di dati
- Come proteggere i PC Windows da software dannosi?
- Gestire le applicazioni che gli account utente standard possono eseguire
- Quando usare la VPN
Prevenire è meglio che curare…
Sfortunatamente, mettere in sicurezza il proprio PC non può essere un’attività una tantum: gli hacker sono sempre in agguato e il panorama delle minacce informatiche si evolve di continuo. Per mantenere un livello efficace di protezione è necessaria una vigilanza costante e un impegno regolare.
Può sembrare eccessivo, ma in realtà bastano pochi minuti ogni settimana per controllare Sicurezza di Windows (Windows Security) e verificare che non siano presenti segnali di compromissione del sistema. Inoltre, è consigliabile effettuare una revisione più approfondita con cadenza mensile, dopo l’installazione degli aggiornamenti di sicurezza rilasciati da Microsoft.
La sicurezza digitale è un processo, non un obiettivo: piccoli interventi periodici e mirati permettono di tenere sotto controllo la sicurezza del dispositivo, senza richiedere un dispendio eccessivo di tempo ed energie.
Sicurezza di Windows: da dove iniziare per mettere al sicuro i propri dati
L’app Sicurezza di Windows è un punto di riferimento centrale per monitorare le impostazioni di sicurezza e lo stato generale del sistema operativo. Introdotta con Windows 10 e ulteriormente migliorata con Windows 11, questa app riunisce in un’unica posizione tutte le informazioni essenziali per garantire la protezione del dispositivo.
Attraverso Sicurezza di Windows, è possibile controllare e regolare le impostazioni del software antivirus e antimalware, la sicurezza dei dispositivi, il firewall, la protezione di rete e altre opzioni di sicurezza fondamentali. I segni di spunta verdi indicano l’assenza di problemi che richiedono attenzione immediata, mentre le icone gialle e rosse segnalano criticità da affrontare tempestivamente.
Sebbene possa essere allettante attivare tutte le opzioni disponibili, è consigliabile evitare modifiche eccessive, soprattutto nella sezione Controllo app e browser > Protezione exploit. Variazioni in quest’area possono causare conseguenze indesiderate nelle attività quotidiane, in particolare con le app più datate. Le impostazioni predefinite sono generalmente adeguate per la maggior parte dei sistemi. In caso di necessità di modifiche, procedere gradualmente e verificare il corretto funzionamento prima di apportare ulteriori aggiustamenti.
Mantenere Windows aggiornato: la chiave per la sicurezza
L’aspetto più importante per la sicurezza di un PC Windows è garantire l’installazione costante degli aggiornamenti. Con Windows 10, Microsoft ha introdotto il modello “Windows as a service” che ha modificato la gestione degli update. È quindi fondamentale capire le diverse tipologie di aggiornamenti di Windows e come funzionano.
In particolare, è necessario distinguere tra aggiornamenti cumulativi mensili (rilasciati il secondo martedì di ogni mese tramite Windows Update), che contengono correzioni di bug e patch di sicurezza, e aggiornamenti feature, rilasciati due volte l’anno con nuove funzionalità. Comprendere la differenza tra questi aggiornamenti e come vengono distribuiti permette di mantenere il proprio dispositivo Windows sempre aggiornato e protetto.
Per curiosità, Windows 10, prossimo alla scadenza del supporto, non riceve più aggiornamenti funzionali. Per Windows 11, Microsoft rilascia un aggiornamento delle funzionalità all’anno nella seconda metà dell’anno, fornito tramite Windows Update e installato automaticamente solo al termine del ciclo di vita della versione corrente.
Come evitare problemi con gli update di Windows
I dispositivi Windows moderni scaricano e installano automaticamente gli aggiornamenti di qualità non appena disponibili sui server di Microsoft, a meno che un amministratore non blocchi questa azione. Gli utenti possono sospendere tutti gli aggiornamenti per un massimo di cinque settimane, una settimana alla volta.
La scelta del momento in cui installare gli aggiornamenti comporta un compromesso tra protezione immediata e riduzione dei tempi di inattività non programmati. Sui dispositivi con edizioni Windows Pro, Enterprise ed Education, gli amministratori possono rinviare l’installazione degli aggiornamenti di qualità fino a 30 giorni e gli aggiornamenti delle funzionalità fino a 365 giorni. Sui dispositivi con Windows Home edition, non esiste un modo supportato per specificare esattamente quando installare gli aggiornamenti.
Rinviare gli aggiornamenti di qualità di 7-15 giorni è un approccio a basso rischio per evitare l’installazione di aggiornamenti difettosi che possono causare problemi di stabilità o compatibilità. Le impostazioni di Windows Update for Business possono essere regolate sui singoli PC utilizzando l’Editor criteri di gruppo locali (Gpedit.msc), disponibile in Criteri informatici locali > Modelli amministrativi > Componenti di Windows > Windows Update.
Tuttavia, la strategia di aggiornamento software non dovrebbe limitarsi a Windows stesso, ma estendersi anche alle applicazioni Windows, incluse quelle di Microsoft Office e Adobe, garantendone l’installazione automatica degli aggiornamenti.
I vantaggi dell’account Microsoft su Windows
Microsoft ha suscitato polemiche richiedendo un account Microsoft per la configurazione iniziale di un PC con Windows 11 Home edition e, successivamente, estendendo questo requisito ai computer Windows 11 Pro impostati per uso personale. Sebbene esistano soluzioni per aggirare questa restrizione, l’accesso con un account Microsoft presenta un solido vantaggio in termini di sicurezza.
L’utilizzo di un account Microsoft su Windows 10 o Windows 11 cripta automaticamente il contenuto dell’unità di sistema, salvando la chiave di ripristino in un luogo sicuro accessibile tramite l’account Microsoft. Questo riduce al minimo il rischio di perdita catastrofica di dati dovuta a una password dimenticata.
Anche in assenza di servizi Microsoft, è possibile creare al volo un nuovo account Microsoft durante il processo di configurazione e utilizzarlo esclusivamente per accedere a Windows. In questo modo si ottengono i vantaggi della crittografia completa del disco di sistema, dell’autenticazione a più fattori e di 5 GB di spazio di archiviazione OneDrive, senza costi aggiuntivi.
Se si preferisce utilizzare un account locale, è possibile configurare Windows usando prima un account Microsoft usa e getta e poi passare a un account locale. Tuttavia, questa scelta richiederà di trovare un’altra opzione di crittografia e non fornirà alcun meccanismo di recupero in caso di dimenticanza delle credenziali di accesso.
Come fare la configurazione dell’account utente
- Impostare l’autenticazione a 2 fattori per l’account Microsoft.
- Creare account standard per altri utenti (e anche per se stessi). L’account principale ha privilegi di amministratore per impostazione predefinita. Assegnare account standard agli altri utilizzatori del PC (dipendenti o familiari) per evitare modifiche non autorizzate alle impostazioni del sistema o l’installazione di software non attendibile senza approvazione.
- Installare un gestore di password e assicurarsi che tutti gli account online abbiano credenziali di accesso forti e uniche.
- Impostare l’autenticazione a più fattori per gli account online, ovunque sia disponibile.
- Per i PC di casa, impostare l’accesso dei bambini utilizzando account standard e considerare l’utilizzo delle funzioni di sicurezza per la famiglia in Windows 10 e Windows 11. Queste opzioni consentono di impostare gli orari autorizzati per l’accesso online dei giovani e di evitare che accedano a contenuti inappropriati su Internet.
Seguendo questi passaggi, è possibile configurare gli account utente in modo da garantire la massima sicurezza per il sistema e i dati, sfruttando le funzionalità offerte da Windows e dai servizi Microsoft.
Come mantenere sicuro l’hardware di Windows 11
Per garantire la sicurezza dell’hardware di Windows 11, è importante seguire alcuni passaggi chiave:
- Controllare lo stato del TPM (Trusted Platform Module).
- Assicurarsi che Secure Boot sia abilitato.
- Attivare Windows Hello, utilizzando l’autenticazione biometrica se disponibile.
Le regole di compatibilità hardware di Microsoft per Windows 11 hanno migliorato il livello di sicurezza dei PC, richiedendo un modulo TPM versione 2.0 e l’abilitazione di Secure Boot. Questo rappresenta un cambiamento significativo rispetto alle versioni precedenti di Windows, che puntavano alla massima retrocompatibilità.
Dalla pagina Sicurezza del dispositivo nell’app Sicurezza di Windows, è possibile verificare la presenza delle voci Processore di sicurezza e Avvio sicuro. Se una o entrambe le voci sono assenti, è necessario accedere alle impostazioni del firmware del dispositivo per riattivare l’impostazione. È consigliabile lasciare attivo Secure Boot, a meno che non sia strettamente necessario disabilitarlo per la risoluzione di problemi in configurazioni avanzate.
Infine, è importante impostare un PIN di Windows Hello e attivare l’autenticazione biometrica, se supportata dal dispositivo, tramite lettore di impronte digitali o fotocamera a infrarossi per il riconoscimento facciale.
Come proteggere i file di dati?
La perdita o il furto di un portatile può essere scomodo e costoso, ma occuparsi di dati persi o rubati è un vero incubo. Per mantenere i dati al sicuro, gli obiettivi principali sono due:
- Crittografare i file di dati, in modo che un ladro non possa accedere ai file protetti con una crittografia robusta e una password forte, anche in caso di furto del computer o del dispositivo di archiviazione.
- Eseguire il backup dei file di dati, così da poter ripristinare i file persi o danneggiati (anche a causa di un guasto hardware) e tornare al lavoro con un tempo minimo di inattività.
Queste precauzioni sono particolarmente importanti per i file contenenti informazioni personali o finanziarie sensibili di clienti o committenti, soprattutto se si lavora in un settore regolamentato o si è soggetti a leggi sulla violazione dei dati.
Attivare la crittografia BitLocker
La modifica di configurazione più importante da effettuare è attivare la crittografia dei dispositivi BitLocker sull’unità di sistema e su tutte le unità secondarie, comprese le unità flash USB. BitLocker crittografa ogni bit di dati sul dispositivo utilizzando lo standard XTS-AES e memorizza le chiavi di crittografia nel chip Trusted Platform Module (TPM).
I passaggi per attivare le funzioni di crittografia variano a seconda dell’edizione di Windows installata:
- Windows 10/11 Home supporta la crittografia forte dei dispositivi solo se si accede con un account Microsoft, ma non consente la gestione di un dispositivo BitLocker.
- Windows 10/11 Pro, Enterprise o Education forniscono l’accesso completo agli strumenti di gestione BitLocker, a condizione di configurare BitLocker utilizzando un account Active Directory su un dominio Windows o un account Entra ID (precedentemente noto come Azure Active Directory).
Eseguire il backup delle chiavi di crittografia
È fondamentale eseguire il backup della chiave di ripristino di 48 cifre di un’unità crittografata con BitLocker, necessaria per accedere ai dati in caso di reinstallazione di Windows o problemi con l’account.
Se si accede con un account Microsoft, la chiave di ripristino BitLocker viene salvata per impostazione predefinita in OneDrive. Su un PC gestito che utilizza un account di dominio o Entra ID, la chiave viene salvata in una posizione disponibile all’amministratore. Su un dispositivo personale, è possibile utilizzare l’applicazione Manage BitLocker per salvare o stampare una copia della chiave di ripristino.
Crittografare i dispositivi di archiviazione portatili
Non bisogna dimenticare di crittografare anche i dispositivi di archiviazione portatili, come unità flash USB, schede MicroSD e dischi rigidi portatili, utilizzando BitLocker To Go con una password per decifrare il contenuto dell’unità.
Eseguire il backup dei file di dati
Infine, è essenziale assicurarsi che i file di dati cruciali siano sottoposti a backup nel cloud e nell’archiviazione locale su un’unità crittografata. Questa precauzione può essere preziosa in caso di crash del disco e costituisce un’ottima protezione contro gli attacchi ransomware.
Per i file sensibili, è possibile utilizzare software di terze parti per la crittografia prima di caricarli nel cloud, o sfruttare funzioni come Personal Vault di OneDrive o Dropbox Vault, che richiedono una verifica aggiuntiva per accedere ai file memorizzati.
Come proteggere i PC Windows da software dannosi?
Ogni installazione di Windows include Microsoft Defender Antivirus, un software antivirus e antimalware integrato che si aggiorna tramite il meccanismo di Windows Update. Non richiede alcuna configurazione manuale, in caso di installazione di un pacchetto di sicurezza di terze parti, Windows disattiva automaticamente la protezione integrata, consentendo al software di rilevare e rimuovere le potenziali minacce.
Per controllare lo stato di Microsoft Defender Antivirus, è sufficiente utilizzare la pagina Protezione da virus e minacce nell’app Sicurezza di Windows, dove si trovano anche le opzioni di protezione contro il ransomware sotto la voce Accesso controllato alle cartelle.
Le grandi organizzazioni che utilizzano Windows Enterprise edition hanno la possibilità di implementare Microsoft Defender for Endpoint, una piattaforma di sicurezza che monitora i PC Windows 11 e altri dispositivi gestiti utilizzando sensori comportamentali. Grazie ad analisi basate sul cloud, questi strumenti sono in grado di identificare comportamenti sospetti e avvisare gli amministratori di potenziali minacce.
Gestire le applicazioni che gli account utente standard possono eseguire
Un approccio efficace per evitare che gli utenti con account standard eseguano programmi indesiderati (compreso il codice dannoso) consiste nel configurare un PC Windows in modo da impedirgli di eseguire tutte le applicazioni tranne quelle specificamente autorizzate. Per regolare queste impostazioni su un singolo PC, è necessario accedere a Impostazioni > App > App e funzionalità e, alla voce Scegli dove trovare le app, selezionare Solo il Microsoft Store.
Questa impostazione consente l’esecuzione delle applicazioni precedentemente installate, ma impedisce l’installazione di programmi scaricati dall’esterno dello Store, dove sono ora disponibili molti programmi desktop tradizionali, compresi quelli preferiti dai consumatori come VLC Media Player e iTunes.
Come prevenire gli attacchi in rete
Tutte le versioni di Windows distribuite negli ultimi vent’anni includono un firewall stateful inspection, abilitato per impostazione predefinita e che non necessita di alcuna modifica per essere efficace. Dal punto di vista della sicurezza, le principali minacce basate sulla rete per un PC Windows si verificano, infatti, durante la connessione a reti wireless.
Le organizzazioni più grandi possono migliorare significativamente la sicurezza delle connessioni wireless aggiungendo il supporto per lo standard 802.1x, che utilizza controlli di accesso invece di password condivise come nelle reti wireless WPA2. Windows 10 e Windows 11 richiedono un nome utente e una password quando si tenta di connettersi a questo tipo di rete e rifiutano le connessioni non autorizzate. Nelle reti che utilizzano una password condivisa, è fondamentale assicurarsi che i visitatori si colleghino a una rete ospite separata.
A tal proposito, comunque, può essere utile leggere la nostra guida su come eliminare un virus dal computer.
Quando usare la VPN
Quando è necessario connettersi a una rete wireless non attendibile, l’alternativa migliore è impostare una rete privata virtuale (VPN). Sia Windows 10 che Windows 11 supportano i pacchetti VPN più diffusi utilizzati nelle reti aziendali. Per configurare questo tipo di connessione, è sufficiente accedere a Impostazioni > Rete e Internet > VPN. Le piccole imprese e i privati possono scegliere tra una serie di servizi VPN di terze parti compatibili con Windows.
In questo contesto, per esempio, NordVPN offre più che adeguate garanzie, soprattutto in ottica sicurezza e performance. Grazie alla tecnologia utilizzata, questa VPN si conferma efficace durante la protezione ma, allo stesso tempo, con un basso impatto sulla banda della connessione.