Windows 10, le impostazioni per la sicurezza e la privacy

Windows 10 integra alcune funzionalità per la protezione del sistema direttamente gestibili dagli utenti mentre altre, purtroppo, non possono essere ancora oggi oggetto di configurazione.
Il sistema operativo Microsoft, ad esempio, integra un meccanismo di telemetria progettato per verificare quanto accade sulle singole installazioni di Windows 10 e segnalare a Microsoft eventuali problemi o più semplicemente trasmettendo informazioni sulla configurazione hardware e software al fine di migliorare il prodotto.

Digitando Impostazioni di feedback e diagnostica nella casella di ricerca di Windows 10 si può notare come ad oggi Microsoft non permetta la completa disattivazione della telemetria. Ciò che l’utente può fare si riduce alla selezione dell’opzione Dati di diagnostica obbligatori.

Microsoft è stata esortata da alcune Autorità per la protezione dei dati personali a consentire agli utenti di personalizzare il funzionamento della telemetria con la possibilità di disattivarla dall’interfaccia di Windows 10: Telemetria di Windows 10 criticata dal Garante olandese: Microsoft deve cambiarla.
L’azienda di Redmond ha sempre gettato acqua sul fuoco spiegando che la telemetria raccoglie dati in forma anonima e che non viene mai analizzato il contenuto delle email, di altre comunicazioni personali e dei file dell’utente: Windows 10 e la privacy: Microsoft risponde sul tema.

Non solo. Dal momento che alcuni utenti (attraverso l’utilizzo di appositi software) sono soliti impedire lo scambio di dati con i server della telemetria bloccando gli indirizzi Microsoft a livello di file HOSTS, l’azienda di Redmond ha deciso di notificare queste modifiche attraverso Microsoft Defeder: Telemetria di Windows 10: adesso Microsoft indica come rischiosa la disattivazione.

La telemetria è oggi disattivabile usando ad esempio lo script presentato nell’articolo Ottimizzare e velocizzare Windows 10: come farlo automaticamente e rispondendo Sì alle domande “Disattivare la telemetria?”, “Disattivare il feedback a Microsoft?” e “Disattivare tutti i servizi di Consumer Experience?”.

Ma quali sono le impostazioni relative alla sicurezza e alla privacy che l’utente può configurare in Windows 10?

Protezione contro i programmi potenzialmente indesiderati

A partire da Windows 10 versione 2004 il sistema operativo Microsoft integra uno strumento attivabile dall’interfaccia utente (prima lo si poteva fare solo da riga di comando) che consente di rilevare e neutralizzare i programmi potenzialmente indesiderati spesso inseriti nelle procedure d’installazione.

Per attivarlo basta digitare PUA nella casella di ricerca di Windows 10 quindi selezionare Protezione basata sulla reputazione dal menu.
In corrispondenza di Blocco app potenzialmente indesiderata il consiglio è quello di attivare entrambe le caselle Blocca app e Blocca i download: nel primo caso il controllo circa la presenza di programmi superflui, indesiderati o potenzialmente lesivi della privacy viene effettuato da Microsoft Defender nel momento in cui il software viene memorizzato a livello di file system; nel secondo il controllo viene attivato dal browser Edge.

Isolamento core e integrità della memoria

Windows 10 include una funzionalità, attivabile su richiesta dall’utente, in grado di garantire che il codice in esecuzione a livello del kernel di Windows sia sicuro e affidabile.

La funzionalità Integrità della memoria usa la virtualizzazione hardware e la tecnologia Hyper-V per proteggere i processi in modalità kernel di Windows evitando l’inserimento di codice arbitrario e l’esecuzione di codice dannoso o non verificato.

Per attivare Integrità della memoria è sufficiente digitare Isolamento core nella casella di ricerca di Windows 10 e abilitare l’opzione corrispondente. Il sistema operativo verificherà la compatibilità della configurazione hardware e software.

Protezione contro i ransomware

La funzione chiamata Accesso alle cartelle controllato, configurabile digitando Protezione ransomware nella casella di ricerca di Windows 10, fa sì che le operazioni di scrittura su alcune cartelle siano bloccate per impostazione predefinita escludendo le applicazioni che hanno titolo per apportare modifiche.

Per default Accesso alle cartelle controllato protegge il contenuto delle cartelle di sistema come Documenti, Immagini, Video, Musica, Preferiti,… ma cliccando sul pulsante Aggiungi cartella protetta è possibile applicare la stessa misura di difesa ad altre cartelle. Ne parliamo nell’articolo Ransomware, come li blocca Windows 10.

Cliccando su Consenti app tramite accesso alle cartelle controllato si possono indicare le applicazioni che debbono poter interagire con il contenuto delle cartelle protette.

Scansione delle cartelle condivise in rete locale

Microsoft Defender integra anche una funzionalità un po’ meno conosciuta che permette di esaminare il contenuto delle cartelle di rete alla ricerca di eventuali elementi dannosi.

Premendo Windows+X, scegliendo Windows PowerShell (amministratore) quindi digitando il comando che segue Windows 10 abiliterà la scansione delle cartelle di rete:

Set-MpPreference -DisableScanningNetworkFiles 0

Nell’articolo Windows Defender: come attivare la scansione della rete vediamo anche come controllare lo stato della funzionalità ed eventualmente come abilitarle attraverso una modifica del registro di sistema.

Per evitare di generare troppo traffico di rete a livello di LAN, la scansione delle risorse condivise in rete locale dovrebbe essere attivata su un numero limitato di sistemi.

Impostazioni della Timeline di Windows 10 che registra e visualizza la cronologia delle attività svolte

Windows 10 integra una cronologia delle attività chiamata Timeline: ne abbiamo parlato nell’articolo Timeline Windows 10: cos’è e come funziona.

La Timeline consente anche di tornare indietro nel tempo per verificare quali file si sono aperti e riprendere le attività avviate in precedenza raccogliendo anche le informazioni dagli altri PC (ove sia configurato il medesimo account utente Microsoft), da Edge e dai dispositivi Android.

I dati sulla cronologia delle attività vengono conservati sui server Microsoft: nel caso in cui si volesse evitare questo continuo scambio di dati si può scrivere Impostazioni di privacy cronologia attività nella casella di ricerca quindi togliere il segno di spunta dalla casella Invia la mia cronologia delle attività a Microsoft disattivando quindi l’opzione Mostra le attività di questi account.

Controllare i permessi accordati alle app

Le applicazioni preinstallate sul sistema operativo e quelle scaricate dal Microsoft Store possono richiedere l’utilizzo di vari permessi, esattamente come avviene sui dispositivi mobili.

È buona regola digitare App e funzionalità quindi verificare l’elenco delle applicazioni installate sul sistema. Limitatamente alle app UWP si vedrà l’indicazione Opzioni avanzate: qui si potranno verificare i permessi concessi e revocare eventualmente le autorizzazioni che si preferiscono non accordare.

Digitando Impostazioni di privacy nella casella di ricerca quindi selezionando Percorso, Fotocamera, Microfono… nella colonna di sinistra si possono decidere quali applicazioni possono accedere o meno alla geolocalizzazione, alla fotocamera, al microfono e così via con la possibilità di definire preferenze globali a livello di sistema operativo.

Nella stessa finestra, cliccando su Generale, si possono disattivare gli ID degli annunci in modo da non vedere messaggi pubblicitari personalizzati ed evitare che vengano mostrati contenuti selezionati da Microsoft (opzione Mostra il contenuto suggerito nell’app Impostazioni).
Infine, scrivendo menu Start nella casella di ricerca e selezionando la voce Mostra l’elenco delle app nel menu Start è possibile evitare la visualizzazione dei suggerimenti pubblicitari: l’opzione sulla quale è necessario agire è Mostra occasionalmente suggerimenti in Start.

BitLocker, blocco delle chiavette, cancellazione sicura dei dati

Nell’articolo Windows 10, trucchi e segreti aggiornati al 2020 abbiamo dedicato un’ampia sezione agli strumenti per la sicurezza e la privacy.

Se si utilizzasse un notebook e si fosse spesso in viaggio per lavoro non bisognerebbe mai mancare di proteggere le unità in uso (compresa quella di sistema, ove è installato Windows 10) con la crittografia. Sulle edizioni Pro, Education ed Enterprise di Windows 10 BitLocker si conferma un’ottima scelta: nell’articolo spieghiamo non solo come cifrare il contenuto delle unità di memorizzazione ma anche come richiedere un PIN prima della fase di boot vera e propria grazie all’utilizzo del chip TPM.

Nello stesso articolo spieghiamo anche come sia possibile disabilitare l’utilizzo di dispositivi rimovibili da parte di coloro che si servono di un sistema Windows 10 e come cancellare in modo sicuro il contenuto di chiavette e altre unità esterne prima di consegnarle ad altri soggetti.

Firewall di Windows e blocco delle comunicazioni da parte delle applicazioni sulle quali si nutrono dubbi

Posto che non si dovrebbero mai eseguire in Windows applicazioni non fidate (effettuare sempre una scansione preventiva con VirusTotal: VirusTotal: guida all’uso del servizio per controllare l’identità dei file), il firewall integrato in Windows 10 può essere configurato in modo tale da filtrare anche i tentativi di connessione in uscita.

Un’app gratuita come Windows Firewall Control consente di configurare il firewall di sistema in maniera tale che avvisi nel momento in cui una qualunque applicazioni tenti di inviare o ricevere dati in rete: Firewall di Windows, come configurarlo e migliorarne il comportamento.

Con un semplice trucco, poi, è possibile usare PowerShell per bloccare le comunicazioni in rete di qualunque eseguibile: Bloccare accesso Internet per un programma Windows.