Navigaweb.net logo

Bloccare l'accesso a Windows e proteggere il PC da Intrusi

Aggiornato il: Scritto Da: - @pomhey
Proteggi il computer da intrusi: dalla crittografia BitLocker al blocco USB fisico. Scopri come rendere Windows inespugnabile anche in caso di furto
Bloccare accesso computer

Lasciare il computer incustodito, anche solo per pochi minuti, è un rischio che spesso si sottovaluta. Non serve un hacker esperto per sottrarre dati: basta un collega curioso o un ladro opportunista che approfitta di una sessione aperta o di una password debole. La credenza comune è che la schermata di login di Windows sia una barriera sufficiente, ma la realtà tecnica è ben diversa: senza le giuste contromisure, l'accesso fisico al dispositivo garantisce quasi sempre l'accesso ai dati.

Per trasformare una postazione di lavoro in una cassaforte digitale, è necessario agire su più livelli, dal blocco immediato dello schermo alla crittografia del disco, fino alla disabilitazione delle porte fisiche. In questa analisi tecnica, tracciamo la rotta di Navigaweb verso una configurazione di sicurezza avanzata, combinando strumenti integrati nel sistema operativo e software open source per impedire qualsiasi accesso non autorizzato.

Prima di tutto, se non l'abbiamo ancora fatto, impariamo a bloccare lo schermo del PC con password, anche automatico

Possiamo anche leggere come proteggere l'accesso al PC Windows con blocco schermo e password.

1) Configurare il blocco automatico infallibile

Il primo errore di sicurezza è umano: dimenticarsi di premere Win + L quando ci si alza dalla scrivania. Windows possiede una funzione che automatizza questo processo basandosi sulla prossimità fisica.

Dynamic Lock (Blocco Dinamico)

Questa funzione, il blocco automatico o dinamico di Windows, utilizza il segnale Bluetooth dello smartphone come sensore di presenza. Quando il segnale scende sotto una certa soglia (ovvero quando ti allontani con il telefono in tasca), Windows disattiva lo schermo e richiede la password per rientrare.

  • Accedere a Impostazioni > Account > Opzioni di accesso.
  • Scorrere fino alla sezione Blocco dinamico.
  • Selezionare la casella Consenti a Windows di bloccare automaticamente il dispositivo quando non ci sei.

Affinché funzioni, il telefono deve essere prima associato al PC via Bluetooth. Non è un sistema istantaneo (impiega circa un minuto dall'allontanamento), ma agisce come rete di sicurezza fondamentale se si viene chiamati urgentemente altrove.

2) Protezione contro i tentativi di indovinare la password (Brute Force)

Un attaccante che ha accesso alla tastiera può tentare infinite combinazioni di password finché non trova quella giusta. Windows, di default in molte versioni Home, non blocca l'account dopo tentativi falliti. Cambiamo questa impostazione significa impostare regole di scadenza Password in Windows.

Per attivare il blocco temporaneo dell'account dopo errori ripetuti, si usa il Prompt dei Comandi con privilegi elevati (utile anche su Windows Home dove non c'è l'editor criteri di gruppo):

  1. Aprire il menu Start, cercare cmd, cliccare col destro e scegliere Esegui come amministratore.
  2. Digitare il comando: net accounts /lockoutthreshold:3 e premere Invio.
  3. Digitare: net accounts /lockoutduration:30 e premere Invio.

Con questi comandi, dopo 3 tentativi errati, l'account viene congelato per 30 minuti, rendendo vano qualsiasi tentativo manuale di indovinare la password.

Per approfondire possiamo anche leggere le nostre guide su come creare un account locale su Windows 10 e 11 e su come cambiare tipo di account in Windows 11 e 10.

3) Trasformare una chiavetta USB in una chiave fisica

Per chi gestisce dati critici, la password digitata potrebbe essere intercettata visivamente o tramite keylogger. La soluzione è spostare l'autenticazione su un oggetto fisico: se non hai la "chiave" in tasca, il PC non si sblocca. C'è un programma per creare una chiavetta USB che blocca e sblocca il computer, di cui ho parlato in un altro articolo.

4) Crittografia del disco: l'unica difesa contro il furto fisico

Se un malintenzionato ruba il computer o smonta l'hard disk, tutte le password di Windows diventano inutili: basta collegare il disco a un altro PC per leggere i file. L'unica difesa è la crittografia.

  • BitLocker: Integrato nelle versioni Pro di Windows. Cifra l'intero disco e, se presente il chip TPM sulla scheda madre, è invisibile all'utente legittimo ma impenetrabile per il ladro. Si attiva cercando "Gestione BitLocker" nel menu Start.
  • VeraCrypt: Per chi usa Windows Home o non si fida di Microsoft, VeraCrypt è l'alternativa migliore. La funzione System Encryption permette di cifrare la partizione di sistema richiedendo una password ancora prima che Windows inizi a caricarsi (Pre-Boot Authentication).

5) Blindare il BIOS e l'avvio

Un metodo classico per aggirare le password di Windows è avviare il PC con una chiavetta USB contenente un sistema operativo "Live" (come Linux). Per impedirlo, bisogna intervenire a livello hardware.

Accedere al BIOS/UEFI (solitamente premendo F2 o CANC all'avvio) e poi:

  1. Impostare una Supervisor Password. Senza questa, chiunque può entrare nel BIOS e annullare le modifiche.
  2. Disabilitare il Boot da USB o modificare l'ordine di avvio mettendo l'Hard Disk come unica opzione.
  3. Attivare il Secure Boot, che impedisce l'esecuzione di software non firmato all'avvio.

6) Prevenire il furto di dati via USB

Se si lascia il PC sbloccato per un attimo, qualcuno potrebbe inserire una chiavetta e copiare gigabyte di dati in pochi secondi. È possibile configurare Windows per accettare mouse e tastiere USB, ma bloccare porte e collegamenti USB non autorizzati su PC.

Questa modifica si fa tramite il Registro di Sistema (regedit):

  • Percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  • Trovare la chiave Start nel pannello di destra.
  • Modificare il valore da 3 (Abilitato) a 4 (Disabilitato).

Al riavvio, il computer non monterà più alcuna chiavetta o hard disk esterno, bloccando l'esfiltrazione dei dati.

7) Disattivare i ponti verso l'esterno: Desktop Remoto

Spesso ci si concentra su chi entra dalla porta principale e si dimentica la finestra sul retro. Il Desktop Remoto (RDP) è uno dei vettori di attacco più usati dai ransomware e dagli intrusi di rete.

Se non è strettamente necessario per il lavoro, va disattivato: andare su Impostazioni > Sistema > Desktop remoto e assicurarsi che l'interruttore sia su Disattivato. Questo chiude la porta 3389, rendendo il PC invisibile a molti tipi di scansioni di rete.

Altre misure di sicurezza

Per completare la messa in sicurezza della postazione, ecco alcuni aspetti spesso ricercati o trascurati:

  • Bloccare Account Guest e Administrator: Verificare in Gestione Computer che l'account "Guest" sia disabilitato e che l'account "Administrator" predefinito abbia una password forte o sia disattivato.
  • Bloccare accesso a Webcam e Microfono: Nessun software garantisce la privacy totale quanto una copertura fisica (cover scorrevole o nastro adesivo) sulla webcam.
  • Login automatico browser: Non salvare mai le password dei siti sensibili (banca, email aziendale) nel browser se il PC è in un luogo pubblico. Usare un password manager esterno che richieda una Master Password ogni volta che si apre il browser.
  • BIOS Reset: Sui PC fissi, rimuovere la batteria tampone della scheda madre può resettare la password del BIOS. Un lucchetto al case del PC (Kensington lock o lucchetto fisico al pannello laterale) previene questa manomissione hardware.




Posta un commento


0%