Come proteggere i dati su Microsoft Windows | Sicurezza Windows

peopleinside

( 09/04/2017 16:49 )

Di Default, nella maggior parte dei casi, i PC con sistema operativo Windows Microsoft memorizzano tutte le informazioni in chiaro sugli Hard Disk inoltre esiste un account Amministratore nascosto che potrebbe dare accesso a qualunque files di qualunque utente.

Per proteggersi è necessario usare una versione professional di Windows.
Quindi attivare BitLocker per gli Hard Disk. Solitamente si riceve il messaggio di errore che TPM non è supportato.
In questo caso è necessaria una forzatura del sistema e si dovrà inserire una password in più all'accensione del PC, una password uguale per tutti gli utenti, sarà la password di criptazione.

Per forzare BitLocker visogna andare su Menu Avvio (Menu bandiera), Esegui e digitare:

gpedit.msc

quindi andare su configurazione computer, modelli amministrativi, componenti di windows, cittografia unità BitLocker, unità del sistema operativo, richiedi autenticazione aggiuntiva all'avvio... quindi provare di nuovo a lanciare Bitlocker.

Per cambiare password all'account Amminsitratore nascosto andare su Esegui

lusrmgr.msc

peopleinside

( 09/04/2017 18:18 )

Purtroppo sembra facile violare l'accesso Windows https://www.youtube.com/watch?v=sBd23RqViA0 sarà un bug o una cosa voluta?

peopleinside

BitLocker su memoria esterna, come fare quando non si attiva.

Nel caso in cui BitLocker non sia attivabile su una memoria esterna, da gestione disco di Windows sarà necessario rimuovere la partizione. Attenzione perchè tutti i dati presenti sulla memoria esterna, saranno cancellati. Dopo aver rimosso la partizione sarà necessario aggiungerla nuovamente con formato NTFS.

Nel mio caso il disco era già in partizione NTFS ma BitLocker non si attivava.
Seguendo la procedura descritta sopra ho risolto.

Bitlocker funzionerà solo su partizioni NTFS, quindi le unità esterne devono essere formattate per NTFS.

Se hai formattato l'unità in NTFS e BitLocker non è attivabile, vai alla gestione delle unità, elimina la partizione e ricreala come NTFS. Quindi rimuovi e ricollega il dispositivo USB per ripristinare l'opzione per abilitare Bitlocker.

[Fonte]

peopleinside

Verificare avvio protetto di Windows (SecureBoot):

su start digitare esegui quindi incollare la stringa: msinfo32 e premere invio.

Verificare tra le voci se l’avvio protetto è attivo.
Se non è attivo il SecureBoot (avvio protetto) deve essere attivato nel bios. Se hai attivo BitLocker sospendilo prima o potrebbe venirti successivamente richiesto il codice di ripristino.

Verificare se nel bios lo stato del safe o secure boot risulta essere su setup.. in questo caso il safeboot potrebbe essere enabled ma non attivo.

Secure bot mode deve essere impostato su custom, se è su standard và cambiato su custom.
Quindi selezionare enroll all factory default keys. Attendere e al messaggio che appare “reset without saving” premere no per evitare il riavvio e per salvare.

Disabilitare il SafeBoot e riabilitarlo.
Accettare l’impostazione reset con le nuove chiavi. Ora lo stato dovrebbe essere passato da setup a user, riavviare e il safeboot dovrebbe essere attivo, verificarlo nuovamente.

peopleinside

Disattivare la posizione

Se si è particolarmente attenti alla privacy il consiglio è quello di disattivare la funzione di posizione in Windows, in caso contrario se un browser o un’app richiede la posizione questa potrà essere individuata con facilità e incredibile precisione.

E’ possibile eseguire un test visitando la pagina https://www.coordinate-gps.it/la-mia-posizione

Per disattivare la posizione in Windows andare su

impostazioni
privacy e sicurezza
autorizzazioni app, percorso e disattivare l’opzione.

peopleinside

Cancellare, disattivare, nascondere cronologia cartelle explorer (Esplora File)

Aprire Explorer (Esplora File)
Nella barra dei comandi in alto cliccare sul menù a tre puntini
Scegliere Opzioni
Nella finestra che si apre, sezione privacy in basso leggere la relativa riga: cancella cronologia Esplora File, premere il bottone cancella
Togliere la spunta su tutte le caselle nella sezione privacy e salvare con OK

peopleinside

Disabilitare “Tasti di scelta rapida per Tasti permanenti”.

Andare su impostazioni, Accessibilità > Tastiera e su Tasti permanenti cliccare > quindi disabilitare la prima opzione “Tasti di scelta rapida per Tasti permanenti”.

Se non fai questo i tasti di scelta rapida potrebbe essere utilizzati nella schermata di login per resettare la password utente Windows.

Questi passaggi tuttavia potrebbero non essere sufficienti.

A. Agire sul registro

Si deve impedire il funzionamento del bottone di accessibilità presente nella schermata di accesso.

Apri il registro di Windows regedit (su esegui o cerca su start)
Naviga a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon , se la cartella EmbeddedLogon non esiste crearla facendo click destro su Windows Embedded. quindi Nuovo, Chiave.
Cliccare con il destro sulla cartella EmbeddedLogon, Nuovo, Valore DWORD (32 bit) e rinominare in BrandingNeutral
Cliccare la chiave due volte inserire il valore 8, selezionare decimale e ok.
(Per applicare i cambiamenti potrebbe essere necessario riavviare il PC)

Qual’è l’opzione più sicura? se lascio l’accessibilità attiva nella schermata di login posso avere una vulnerabilità?

In Windows 11 l’opzione più sicura in assoluto è… lasciare tutto com’è. 👍

Microsoft progetta la schermata di login (Winlogon) in modo che gli strumenti di accessibilità funzionino anche senza accesso, ma in un ambiente molto limitato. Questo significa:

non hanno accesso ai file dell’utente
non possono eseguire programmi arbitrari
non permettono di elevare privilegi
funzionano in modalità controllata dal sistema
Quindi di default non costituiscono una vulnerabilità.

Metodo che funziona (blocco tramite registro)
Premi Win + R

Scrivi regedit

Vai a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Creare la chiave per utilman

Ora:

tasto destro su Image File Execution Options

Nuovo → Chiave

chiamala:

utilman.exe

utilman.exe è il programma che si avvia quando premi Accessibilità nella schermata di login.

Creare il valore Debugger

Con la chiave utilman.exe selezionata:

tasto destro nello spazio a destra

Nuovo → Valore stringa

nome: Debugger

Impostare il valore

Fai doppio clic su Debugger e inserisci:

systray.exe

Premi OK e riavvia il PC.

[Risorsa privata fonte]
[Fonte pubblica Inglese]

peopleinside

Alcuni passaggi per bloccare la telemetria

Creare un punto di ripristino di sicurezza
Per farlo apri il menù start e digita “punto di ripristino” troverai la voce “Crea un punto di ripristino”, apri tale voce.
Clicca su Crea e crea un punto di ripristino digitando un nome desiderato quindi completa la procedura che in caso di problema aiuterà a ripristinare il sistema operativo.
Apri il menù start e digita “Servizi” clicca sulla relativa voce
Cerca nella lista la voce “Esperienze utente connesse e telemetria”, clicca con il destro del mouse sopra e scegli proprietà. Clicca sul tasto interrompi. Nel menù a tendina sopra alla voce “Tipo di avvio” selezionare Disattivato quindi salvare con OK in basso.
Apri il menù start e digita “Pianificazione” quindi apri la voce “Utilità di pianificazione”.
Espandi la voce “Libreria Utilità di pianificazione”, Microsoft, Windows, Application Experience.
Qui con il tato destro disattivare le voci, in genere la penultima voce non va disattivata e non si fa’ disattivare “SdbinstMergeDbTask”
Apri start e quindi digita “Registro”, apri “Editor del registro di sistema”
Segui questo percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection poi su una parte bianca della schermata di destra cliccare con il tasto destro, scegliere nuovo, valore DWORD (32 bit) e nominarlo con Allow Telemetry, fare doppio click e assicurarsi che il valore sia su 0 (zero)

Video dimostrativo

peopleinside

ShellBag di Windows & Windows Prefetch #627

limitare il numero di ShellBag
Puoi ridurre il limite massimo. Apri il registro si sistema

Chiave: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell
Valore DWORD 32:
BagMRU Size
Esempio:
Come valore puoi mettere 50

peopleinside

Disattivare altro tracciamento e pubblicità su Windows 11

Nel menù di Windows cercare e aprire servizi oppure Windows + R (Esegui) digita services.msc quindi premi su OK.
Tra i servizi cerca servizio piattaforma dispositivi connessi, doppio click, interrompi e disabilita l’avvio impostando tipo di avvio su disabilitato.
Premere OK per salvare.

Apri il gestore attività di Windows con control shift ed ESC, cerca ed espandi Host servizio: servizio utente piattaforma dispositivi connesssi e arresta il processo al suo interno.

Ora elimina i file cronologia aprendo C:\Users\tuonomeutente\AppData\Local\ConnectedDevicesPlatform e cancella il contenuto.

Ulteriori passaggi privacy

Apri dal menù Windows le impostazioni di Windows, Privacy e Sicurezza, Generale oppure Elementi consigliati e offerte e disattiva almeno le prime tre voci:

Consenti alle app di mostrarmi annunci oppure offerte personalizzate
Consenti ai siti web di accedere all’elenco delle lingue
Migliora i risultati di ricerca e di Start

Apri nuovamente Privacy e Sicurezza nelle impostazioni di Windows, quindi feedback e diagnostica e disattiviamo:

Invia dati di diagnostica facoltativi
Migliora input penna e digitazione

Apri nuovamente Privacy e Sicurezza nelle impostazioni di Windows, apri la voce cerca e disattiva: Consenti alle app di ricerca di mostrare i risultati

Apri Importazioni di Windows e vai sulla voce sistema quindi notifiche, impostazioni aggiuntive (dopo elenco app verso fine pagina) e disattiva le due opzioni presenti:

Suggerisci i metodi per sfruttare meglio Windows e completare la configurazione di questo dispositivo
Ricevi consigli e suggerimenti quando utilizzi Windows

Sono tutte pubblicità mascherate.

Poi ancora nelle Impostazioni di Windows vai su Personalizzazione, Start e disattiva Mostra consigli per suggerimenti, collegamenti, nuove app e altro ancora

peopleinside

Attivare il backup del registro (disattivato nelle recenti versioni di Windows)
Da PowerShell come amministratore comando.

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Configuration Manager" /v EnablePeriodicBackup /t REG_DWORD /d 1 /f

Verifica attivazione:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Configuration Manager" -Name EnablePeriodicBackup -ErrorAction SilentlyContinue

Risultato:

Se vedi EnablePeriodicBackup : 1 → L’opzione è attiva (ma potrebbe richiedere giorni per eseguire il primo backup).
Se vedi un errore rosso o nessun output → L’opzione non è attiva.

Verifica Rapida con PowerShell (Consigliato)
Per avere un report chiaro senza aprire cartelle di sistema, usa PowerShell.
Clicca col tasto destro su Start → Windows PowerShell (Amministratore) o Terminale (Admin).
Incolla ed esegui questo comando powershell:

Get-ChildItem C:\Windows\System32\config\RegBack | Select-Object Name, Length, LastWriteTime

Risultato:
Se sotto Length vedi 0 per tutti i file → Nessun backup valido presente.
Se vedi numeri grandi (es. 104857600) → Backup presente.

https://learn.microsoft.com/it-it/troubleshoot/windows-client/installing-updates-features-roles/system-registry-no-backed-up-regback-folder