>>

A segurança ainda é uma grande preocupação dos profissionais de TI; agora que o Windows® 7 Beta está disponível, surgem perguntas sobre o que a Microsoft fez com o sistema operacional Windows 7. Existem muitas coisas a serem consideradas, muito mais do que poderia estar em um breve artigo, mas três tópicos principais merecem nossa atenção aqui.

• O Windows 7 foi desenvolvido com base nos conceitos fundamentais de segurança do sistema operacional Windows Vista®, embora a auditoria e a experiência de Controle de Conta de Usuário (UAC) tenham melhorado.
• O Windows 7 ajuda a equipe de TI a controlar os softwares que podem ser executados em seu ambiente com o AppLocker™.
• O Windows 7 aprimora os recursos básicos do BitLocker™ Drive Encryption com a introdução do BitLocker To Go™ para dispositivos de armazenamento removíveis.

Vamos examinar mais detalhadamente cada um desses tópicos.

Ambiente fundamentalmente seguro

O Windows 7 foi desenvolvido com base na forte linhagem de segurança do Windows Vista, além de preservar e criar os processos de desenvolvimento e as tecnologias que fizeram do Windows Vista a versão mais segura do cliente Windows até hoje. Os recursos básicos de segurança, tais como Kernel Patch Protection, o Sistema de Proteção de Serviços, a prevenção de execução de dados, a randomização de layout de espaço de endereço e os níveis de integridade obrigatórios continuam oferecendo proteção aprimorada contra malwares e ataques. O Windows 7 foi projetado e desenvolvido com o Ciclo de Vida do Desenvolvimento da Segurança da Microsoft (SDL) e foi fabricado para oferecer suporte a requisitos de critérios comuns a fim de atingir a certificação Evaluation Assurance Level 4 e cumprir a norma 140-2 de processamento de informações federais.

Auditoria aprimorada

O Windows 7 fornece recursos avançados de auditoria que permitem que as organizações cumpram os requisitos regulamentares e comerciais de conformidade com mais facilidade. Os aprimoramentos de auditoria começam com uma abordagem de gerenciamento simplificada com relação às configurações de auditoria e terminam com a maior visibilidade sobre o que ocorre na sua organização. Por exemplo, o Windows 7 permite entender exatamente por que alguém recebeu ou não acesso a informações específicas, além de aumentar a visibilidade das alterações feitas por pessoas ou grupos específicos.

Controle de Conta de Usuário simplificado

O Controle de Conta de Usuário (UAC) foi introduzido no Windows Vista para ajudar a execução de aplicativos herdados com direitos de usuário padrão e para ajudar os ISVs a adaptarem seus softwares a fim de que funcionem bem com os direitos de usuário padrão. O Windows 7 continua investindo no UAC com alterações específicas para aprimorar a experiência do usuário. Essas alterações incluem a diminuição do número de aplicativos e tarefas do sistema operacional que exigem privilégios administrativos e o fornecimento de um comportamento de solicitação de consentimento flexível para que os usuários continuem a executar com privilégios administrativos. Em resultado disso, os usuários podem fazer ainda mais do que antes e todos verão menos prompts.

AppLocker

O Windows 7 renova as diretivas de controle de aplicativos com o AppLocker, um mecanismo flexível e fácil de administrar que permite à equipe de TI especificar exatamente o que pode ser executado na infra-estrutura de desktops e permite que os usuários executem aplicativos, programas de instalação e scripts necessários para a realização do seu trabalho. Desse modo, a equipe de TI pode impor a padronização de aplicativos dentro da organização e, ao mesmo tempo, oferecer benefícios operacionais, de segurança e de conformidade.

O AppLocker fornece uma estrutura simples, mas poderosa através de três tipos de regra: “allow”, “deny” e “exception”. As regras “allow” limitam a execução a aplicativos de “boa reputação” e bloqueiam todo o resto. As regras “deny” adotam a abordagem oposta e permitem a execução de qualquer aplicativo, exceto dos que estão em uma lista de aplicativos de “má reputação”. Embora muitas empresas provavelmente utilizarão uma combinação dessas regras, a implantação ideal do AppLocker seria usar as regras “allow” com exceções incorporadas. As regras de exceção excluem arquivos de uma regra “allow/deny” que normalmente seriam incluídos. Com as exceções, você pode, por exemplo, criar uma regra para “permitir a execução de tudo no sistema operacional Windows, exceto dos jogos incorporados”. Usar as regras “allow” com exceções é uma maneira robusta de criar uma lista de aplicativos de “boa reputação” sem precisar criar um número infinito de regras.

O AppLocker introduz as regras de editor que se baseiam em assinaturas digitais de aplicativo. Com elas, é possível criar regras que sobrevivem às atualizações de aplicativo porque você pode especificar atributos como a versão de um aplicativo. Por exemplo, uma organização pode criar uma regra para “permitir que todas as versões superiores à 9.0 do programa Acrobat Reader sejam executadas se estiverem assinadas pelo editor do software, a Adobe”. Quando a Adobe atualizar o Acrobat, você poderá executar a atualização do aplicativo com segurança sem precisar criar outra regra para a nova versão do aplicativo.

As regras do AppLocker também podem ser associadas a um usuário ou grupo específico de uma organização. Esse controle granular permite que você ofereça suporte aos requisitos de conformidade validando e impondo aplicativos específicos que podem ser executados pelos usuários. Por exemplo, você pode criar uma regra para “permitir que os funcionários do Departamento Financeiro executem a linha de finanças dos aplicativos de negócios”. Desse modo, todos que não fazem parte do Departamento Financeiro não poderão executar aplicativos de finanças (incluindo os administradores), mas as pessoas que tiverem uma necessidade comercial de executar os aplicativos terão acesso para isso.

O AppLocker fornece uma sólida experiência para os administradores de TI através das ferramentas e dos assistentes de criação de novas regras. Usando uma abordagem detalhada e a Ajuda totalmente integrada, a criação de novas regras, a geração de regras automaticamente e a importação/exportação de regras são intuitivas e a manutenção é fácil. Por exemplo, os administradores de TI podem gerar regras automaticamente usando uma máquina de referência de teste e, em seguida, importar as regras para um ambiente de produção visando a implantação geral. O administrador de TI também pode exportar diretivas como backup da configuração de produção ou para fornecer documentação para fins de conformidade.

BitLocker e BitLocker To Go

Todos os anos, centenas de milhares de computadores sem a proteção apropriada são perdidos, roubados ou descomissionados. No entanto, a perda ou o roubo dos dados não afeta apenas os computadores físicos. Unidades flash USB, e-mails, documentação extraviada, entre outras coisas, fornecem outros canais por meio dos quais os dados podem cair nas mãos erradas. O Windows 7 combate a ameaça contínua de vazamento de dados com atualizações de implantação e capacidade de gerenciamento do BitLocker Drive Encryption e a introdução do BitLocker To Go, que fornece proteção aprimorada contra roubo e exposição dos dados estendendo o suporte do BitLocker para os dispositivos de armazenamento removíveis.

O BitLocker Drive Encryption (BitLocker para abreviar) ajuda a evitar que um ladrão inicie outro sistema operacional, execute uma ferramenta de hacking que corrompa o arquivo do Windows 7 e as proteções do sistema ou visualize off-line os arquivos armazenados na unidade protegida. O BitLocker do Windows 7 oferece os mesmos benefícios básicos do BitLocker do Windows Vista; no entanto, a funcionalidade básica do BitLocker do Windows 7 foi aprimorada para fornecer uma melhor experiência para profissionais de TI e usuários finais. Para os clientes que não implantaram o Windows Vista com a configuração de disco de duas partições exigida pelo BitLocker, o novo particionamento da unidade para habilitar o BitLocker foi mais complicado do que deveria. O Windows 7 cria automaticamente as partições de disco necessárias durante a instalação para simplificar muito as implantações do BitLocker. Outra mudança no BitLocker do Windows 7 é a possibilidade de clicar com o botão direito do mouse em uma unidade para habilitar a proteção do BitLocker.  

O BitLocker do Windows 7 inclui o suporte do Agente de recuperação de dados (DRA) para todos os volumes protegidos. Uma grande solicitação dos clientes, o suporte do DRA permite que a equipe de TI crie uma regra para que todos os volumes protegidos pelo BitLocker (o sistema operacional, volumes corrigidos e os novos volumes portáteis) sejam criptografados com um DRA apropriado. O DRA é um novo protetor de chave gravado em cada volume de dados, de modo que os administradores de TI autorizados sempre terão acesso aos volumes protegidos pelo BitLocker.

O BitLocker To Go estende o suporte do BitLocker para os dispositivos de armazenamento removíveis, incluindo unidades flash USB e unidades de disco portáteis. O BitLocker To GO também permite que os administradores controlem como os dispositivos de armazenamento removíveis podem ser utilizados em seu ambiente e qual nível de proteção é necessário. Os administradores podem exigir a proteção dos dados para qualquer dispositivo de armazenamento removível no qual os usuários queiram gravar dados e, ao mesmo tempo, permitir a utilização de dispositivos de armazenamento sem proteção no modo somente leitura.  Além disso, existem diretivas disponíveis para exigir senhas apropriadas ou credenciais de cartão inteligente ou usuário de domínio a fim de permitir o uso de um dispositivo de armazenamento removível protegido.

O BitLocker To Go pode ser utilizado sozinho, sem que a partição do sistema seja protegida com o recurso BitLocker tradicional. Finalmente, o BitLocker To Go fornece suporte somente leitura para dispositivos removíveis em versões mais antigas do sistema operacional Windows, o que permite que os usuários compartilhem arquivos com mais segurança com aqueles que ainda executam o Windows Vista e o Windows XP com o BitLocker To Go Reader.  

Não importa se você está viajando com seu notebook, compartilhando grandes arquivos com um parceiro confiável ou levando trabalho para casa, o BitLocker e o BitLocker To Go ajudam a assegurar que somente os usuários autorizados possam ler os dados, mesmo se a mídia for perdida, roubada ou usada indevidamente.

Conclusão

Desenvolvido com base no conceito de segurança do Windows Vista, o Windows 7 introduz diversos aprimoramentos de segurança para que os usuários continuem sabendo que a Microsoft sempre busca as melhores maneiras de proteger os investimentos de TI e os dados dos usuários. As empresas serão beneficiadas com os aprimoramentos que ajudam a proteger as informações confidenciais da organização, fornecem níveis de proteção mais fortes contra malwares e ajudam a proteger o acesso aos recursos e dados corporativos. Os usuários finais podem aproveitar os benefícios dos computadores e da Internet sabendo que o Windows 7 está usando novas tecnologias e recursos para proteger a privacidade e informações pessoais. Finalmente, todos os usuários aproveitarão as flexíveis opções de configuração de segurança do Windows 7 - opções que ajudarão os usuários a ter o equilíbrio certo entre segurança e usabilidade para satisfazer suas necessidades específicas.