Visão geral da segurança do Windows 10

  • Artigo

Este guia fornece uma descrição detalhada das melhorias de segurança mais importantes no sistema operacional Windows 10, com links para artigos mais detalhados sobre muitos de seus recursos de segurança. Sempre que possível, recomendações específicas são fornecidas para ajudá-lo a implementar e configurar recursos de segurança do Windows 10.

Introdução

O Windows 10 foi projetado para se proteger contra ameaças de segurança conhecidas e emergentes no espectro dos vetores de ataque. Três categorias amplas de trabalho de segurança foram adicionadas ao Windows 10:

  • Recursos de controle de acesso e identidade foram expandidos extremamente para simplificar e aprimorar a segurança da autenticação do usuário. Esses recursos incluem Windows Hello e Microsoft Passport, que protegem melhor as identidades do usuário por meio de uma autenticação multifator (MFA) fácil de implantar e de usar. Outro novo recurso é o Protetor de Credenciais, que usa segurança baseada em virtualização (VBS) para ajudar a proteger os subsistemas de autenticação do Windows e as credenciais dos usuários.

  • Proteção de informações que protege informações em caso de inatividade, uso e em trânsito. Além de BitLocker e BitLocker To Go para proteção de dados em inatividade, o Windows 10 inclui criptografia em nível de arquivo com proteção de dados corporativos que realiza a contenção e a separação dos dados e, quando combinada com os serviços de gerenciamento de direitos, pode manter os dados criptografados quando eles saem da rede corporativa. O Windows 10 também pode ajudar a proteger os dados usando VPNs (redes virtuais privadas) e segurança de protocolo da Internet.

  • Resistência a malware inclui alterações de arquitetura que podem isolar componentes de sistema e de segurança críticos contra ameaças. Vários novos recursos no Windows 10 ajudam a reduzir o risco de malware, incluindo a VBS, o Device Guard, o Microsoft Edge e uma versão inteiramente nova do Windows Defender. Além disso, os vários recursos antimalware do sistema operacional Windows 8.1 — incluindo AppContainers para vários recursos de proteção de inicialização, como inicialização confiável e área restrita de aplicativo — foram transferidos e aprimorados no Windows 10.

Controle de acesso e identidade

Tradicionalmente, o controle de acesso é um processo que tem três componentes:

  • Identificação - quando um usuário declara uma identidade exclusiva para o sistema de computador a fim de obter acesso a um recurso, como um arquivo ou uma impressora. Em algumas definições, o usuário é chamado de assunto e o recurso é o objeto.

  • Autenticação - o processo de provar a identidade declarada e a verificação de que o assunto é realmente o assunto.

  • Autorização - realizada pelo sistema para comparar os direitos de acesso autenticados do assunto com as permissões do objeto e permitir ou negar o acesso solicitado.

A maneira como esses componentes são implementados faz a diferença para impedir que invasores acessem dados secretos. Somente um usuário que comprove sua identidade – e esteja autorizado a acessar os dados – irá acessá-los. Mas, em segurança, há diversos graus de prova de identidade e muitos requisitos diferentes para os limites de autorização. A flexibilidade de controle de acesso necessária na maioria dos ambientes corporativos apresenta um desafio para qualquer sistema operacional. A Tabela 1 lista os desafios típicos de controle de acesso do Windows e as soluções do Windows 10.

Tabela 1. Soluções do Windows 10 para desafios de controle de acesso típicos

Desafio de controle de acesso Soluções do Windows 10

As organizações frequentemente usam senhas porque os métodos alternativos são muito complexos e caros para implantar.

As organizações que escolhem alternativas de senha, como cartões inteligentes, devem adquirir e gerenciar os leitores de cartão inteligente, cartões inteligentes e software de gerenciamento. Essas soluções atrasam a produtividade quando o componente MFA é perdido ou danificado. Consequentemente, as soluções MFA como cartões inteligentes tendem a ser usadas somente para VPN e ativos selecionados.

O Windows Hello em dispositivos biométricos e Microsoft Passport permitem MFA mais simples.

Os usuários de tablet devem digitar sua senha em uma tela sensível ao toque, que é menos eficiente do que um teclado e propensa a erros. O Windows Hello permite autenticação segura baseada em reconhecimento do rosto.

O Windows Hello permite autenticação segura baseada em reconhecimento do rosto.

A equipe de TI deve comprar e gerenciar ferramentas que não são da Microsoft para atender aos requisitos regulatórios para controle de acesso e auditoria.

Combinado com o sistema operacional Windows Server 2012, o controle de acesso dinâmico fornece controle de acesso e auditoria flexíveis projetados para atender a muitos dos requisitos regulatórios e de segurança do governo.

Os usuários não gostam de digitar suas senhas.

O SSO (logon único) permite que os usuários entrem uma vez com o Microsoft Passport e obtenham acesso a todos os recursos corporativos sem a necessidade de se autenticarem novamente.

O Windows Hello permite a autenticação baseada em impressão digital e reconhecimento facial e pode ser usado para revalidar a presença do usuário quando recursos confidenciais são acessados.

O Windows adiciona atrasos crescentes entre as tentativas de logon e pode bloquear uma conta de usuário ao detectar ataques de força bruta.

Quando o BitLocker estiver habilitado na unidade do sistema e a proteção de força bruta estiver habilitada, o Windows poderá reiniciar o computador após um determinado número de entradas de senha incorreta, bloquear o acesso ao disco rígido e exigir que o usuário digite a chave de recuperação do BitLocker de 48 caracteres para iniciar o dispositivo e acessar o disco.

 

As próximas seções descrevem esses desafios e soluções mais detalhadamente.

Microsoft Passport

O Microsoft Passport fornece autenticação forte de dois fatores (2FA), totalmente integrada ao Windows, e substitui as senhas por uma combinação de um dispositivo registrado e um PIN ou o Windows Hello. O Microsoft Passport é conceitualmente semelhante aos cartões inteligentes, mas é mais flexível. A autenticação é executada com um par de chaves assimétricas em vez de uma comparação de cadeia de caracteres (por exemplo, senha) e o material da chave do usuário pode ser protegido por hardware.

Ao contrário dos cartões inteligentes, o Microsoft Passport não exige componentes de infraestrutura extras necessários para a implantação do cartão inteligente. Em particular, você não precisa de infraestrutura de chave pública (PKI). Caso já use PKI – por exemplo, na autenticação segura de email de VPN – você poderá usar a infraestrutura existente com o Microsoft Passport. O Microsoft Passport combina as principais vantagens da tecnologia de cartão inteligente (flexibilidade de implantação para cartões inteligentes virtuais e a segurança robusta para cartões inteligentes físicos) sem qualquer uma das suas desvantagens.

O Microsoft Passport oferece três vantagens significativas sobre o estado atual da autenticação do Windows: é mais flexível, é baseado em padrões do setor e minimiza efetivamente os riscos. As seções que seguem examinam cada uma dessas vantagens mais detalhadamente.

É flexível

O Microsoft Passport oferece flexibilidade sem precedentes. Embora o formato e o uso de senhas e cartões inteligentes sejam fixos, o Microsoft Passport oferece aos administradores e aos usuários opções para gerenciar a autenticação. Em primeiro lugar, o Microsoft Passport funciona com sensores biométricos e PINs. Além disso, você pode usar o computador ou até mesmo o telefone como um dos fatores para se autenticar no computador. Por fim, suas credenciais de usuário podem ser provenientes de sua infraestrutura de PKI, ou o Windows pode criar a credencial em si.

O Microsoft Passport oferece opções além de senhas longas e complexas. Em vez de exigir que os usuários memorizem e redigitem senhas alteradas com frequência, o Microsoft Passport permite a autenticação com base em PIN e biometria através do Windows Hello para identificar os usuários com segurança.

Com o Microsoft Passport, você também obtém flexibilidade na central de dados. Para implantá-lo, você deve adicionar controladores de domínio do Windows Server 2016 ao ambiente do Active Directory, mas não é necessário substituir ou remover os servidores do Active Directory existentes: o Microsoft Passport aproveita e aprimora sua infraestrutura existente. Você pode adicionar servidores locais ou usar o Microsoft Azure Active Directory para implantar o Microsoft Passport em sua rede. A escolha de quais usuários habilitar para o uso do Microsoft Passport é totalmente ao seu critério. Você escolhe quais itens proteger e quais fatores de autenticação deseja usar. Essa flexibilidade torna fácil usar o Microsoft Passport para complementar implantações existentes de cartão inteligente ou de token, adicionando 2FA para os usuários que não a têm no momento, para implantar o Microsoft Passport em cenários que necessitam de proteção extra para recursos confidenciais ou sistemas.

Ele é padronizado

Os fornecedores de software e os clientes corporativos chegaram à conclusão de que a identidade proprietária e os sistemas de autenticação são um beco sem saída: o futuro encontra-se em sistemas abertos e interoperáveis que permitem a autenticação segura em inúmeros dispositivos, aplicativos de linha de negócios (LOB), sites e aplicativos externos. Para isso, um grupo de participatnes do setor formaram a FIDO, a Fast IDentity Online Alliance. A FIDO Alliance é uma organização sem fins lucrativos que pretende lidar com a ausência de interoperabilidade entre os dispositivos de autenticação forte, bem como os problemas que os usuários enfrentam quando precisam criar e se lembrar de vários nomes de usuário e senhas. A FIDO Alliance planeja alterar a natureza da autenticação, desenvolvendo especificações que definem um conjunto aberto, escalonável e interoperável de mecanismos que substituem a confiança em senhas para autenticar com segurança os usuários dos serviços online. Esse novo padrão para dispositivos de segurança e plug-ins de navegador permitirá a interface de qualquer aplicativo na nuvem ou site com uma ampla variedade de dispositivos FIDO existentes e futuros habilitados para que o usuário tenha segurança online.

Em 2014, a Microsoft ingressou na diretoria da FIDO Alliance. Os padrões FIDO possibilitam uma estrutura universal que um ecossistema global proporciona para uma experiência de usuário consistente e aprimorada de autenticação forte sem senha. As especificações FIDO 1.0, publicadas em dezembro de 2014, fornecem dois tipos de autenticações: sem senha (conhecida como UAF) e o segundo fator (U2F). A Alliance FIDO está trabalhando em um conjunto de propostas 2.0 que incorporam as melhores ideias de seus padrões U2F e UAF FIDO 1.0 e, claro, em novas ideias. A Microsoft contribuiu com a tecnologia Microsoft Passport para o grupo de trabalho da especificação FIDO 2.0 de revisão e comentários e continua a trabalhar com a FIDO Alliance conforme a especificação FIDO 2.0 avança. A interoperabilidade de produtos FIDO é uma característica da autenticação FIDO. A Microsoft acredita que trazer uma solução FIDO para o mercado ajudará a solucionar uma necessidade crítica para empresas e consumidores.

Ele é eficaz

O Microsoft Passport efetivamente reduz dois principais riscos de segurança. Primeiro, ele elimina o uso de senhas para logon e reduz o risco de que um invasor mal intencionado roube e reutilize as credenciais do usuário. O material de chaves de usuário é gerado e estará disponível no TPM (Trusted Platform Module) do dispositivo do usuário, que protege contra invasores que desejam capturar o material da chave e reutilizá-lo. Em segundo lugar, como o Microsoft Passport usa pares de chaves assimétricas, as credenciais dos usuários não podem ser roubadas em casos em que o provedor de identidade ou os sites que o usuário acessa sejam comprometidos.

Para comprometer uma credencial do Microsoft Passport que o TPM protege, um invasor deve ter acesso ao dispositivo físico e, em seguida, deve encontrar uma maneira de falsificar a biometria do usuário ou adivinhar seu PIN. Tudo isso deve ser feito antes que os recursos anti-hammering do TPM bloqueiem o dispositivo. Isso define os limites em um nível mais alto que os ataques de phishing de senha.

Windows Hello

O Windows Hello é o nome dado à nova opção de entrada biométrica do Microsoft Passport. Como a autenticação biométrica é criada diretamente para o sistema operacional, o Windows Hello permite que os usuários desbloqueiem seus dispositivos, usando o rosto ou a impressão digital. A partir daí, a autenticação para os dispositivos e os recursos é habilitada por meio de uma combinação de identificador biométrico exclusivo do usuário e o próprio dispositivo.

Os dados biométricos do usuário que são usados para o Windows Hello são considerados um gesto local e consequentemente não são transferidos entre os dispositivos do usuário e não são armazenados centralmente. A imagem biométrica do usuário que o sensor recebe é convertida em um formato de algoritmo que não pode ser convertido de volta para a imagem original que o sensor recebeu. Os dispositivos que possuem TPM 2.0 criptografam os dados biométricos em um formato que os tornam ilegíveis quando os dados são removidos do dispositivo. Se vários usuários compartilharem um dispositivo, cada usuário será capaz de se inscrever e usar o Windows Hello em seu perfil do Windows.

O Windows Hello dá suporte a duas opções de sensor biométrico que são adequadas para cenários corporativos:

  • O Reconhecimento do rosto usa câmeras de infravermelho especiais para distinguir com segurança entre uma fotografia ou digitalização e uma pessoa viva. Vários fornecedores entregam câmeras externas que incorporam essa tecnologia, e os principais fabricantes já entregam dispositivos integrados com a tecnologia de reconhecimento do rosto.

  • O Reconhecimento de impressão digital usa um sensor de impressão digital para digitalizar a impressão digital do usuário. Apesar de os leitores de impressão digital estarem disponíveis para computadores que executam o Windows há anos, os algoritmos de detecção, antispoofing e de reconhecimento no Windows 10 são mais avançados que as versões anteriores do Windows. A maioria dos leitores de impressão digital existentes (sejam externos ou integrados a laptops ou teclados USB) pode ser usada com o Windows Hello.

O Windows Hello oferece vários benefícios importantes. Primeiro, ele aborda os problemas de roubo de credenciais e compartilhamento, pois um invasor deve obter o dispositivo e representar a identidade biométrica do usuário, o que é mais difícil do que roubar uma senha ou PIN. Segundo, o uso de biometria oferece aos usuários um autenticador que está sempre com eles – não há nada para esquecer, perder ou deixar para trás. Em vez de se preocupar em memorizar senhas longas e complexas, os usuários podem tirar proveito de um método conveniente e seguro para fazer logon em todos os seus dispositivos do Windows. Por fim, não há nada mais a implantar ou gerenciar. Como o suporte do Windows Hello é desenvolvido diretamente para o sistema operacional, não há nenhum driver adicional para implantar.

Resistência ao ataque de força bruta

Um ataque de força bruta é o processo usado para invadir um dispositivo simplesmente tentando adivinhar a senha do usuário, PIN ou até mesmo a identidade biométrica repetidamente até que o invasor acerte. Nas últimas várias versões do Windows, a Microsoft adicionou recursos que reduzem consideravelmente as chances de que tal ataque seja bem-sucedido.

O sistema operacional Windows 7 e as versões anteriores protegiam contra ataques de força bruta de forma simples: eles diminuiam ou impediam tentativas adicionais depois de vários erros. Quando os usuários utilizam uma senha completa para fazer logon, o Windows força os usuários a aguardarem alguns segundos entre as tentativas, se eles digitarem a senha incorretamente várias vezes. Você ainda pode optar por fazer o Windows bloquear uma conta por um período de tempo quando ele detectar um ataque de força bruta.

O Windows 8.1 e o Windows 10 dão suporte a uma forma ainda mais poderosa, mas opcional, de proteção contra força bruta, quando as credenciais são vinculadas ao TPM. Se o sistema operacional detectar um ataque de força bruta contra a entrada do Windows e o BitLocker protege a unidade do sistema, o Windows poderá reiniciar automaticamente o dispositivo e colocá-lo no modo de recuperação do BitLocker até que alguém insira uma senha de chave de recuperação. Essa senha é um código de recuperação de 48 caracteres praticamente inviolável que deve ser usado antes que o Windows possa iniciar normalmente.

Se você tiver interesse em aprender como configurar a proteção contra força bruta, use um computador com Windows 10 de teste, no qual a proteção de BitLocker esteja habilitada para a unidade do sistema e, em seguida, imprima a chave de recuperação do BitLocker para garantir que ela fique disponível. Em seguida, abra o Editor de Política de Grupo Local, executando gpedit.msc e vá para Computer Configuration\Windows Settings\Security Settings\Security Options. Abra o Logon Interativo: Limite de Bloqueio de Conta de Máquina da política e defina o valor como 5, conforme mostrado na Figura 1.

Figura 1

Figura 1. Definir o número de tentativas de acesso inválidas antes do bloqueio

Agora, seu computador está configurado com proteção contra força bruta. Reinicie o computador. Quando solicitado a fazer logon, digite incorretamente a sua senha até que o computador reinicie. Agora, tente adivinhar a chave de recuperação de 48 caracteres. Você ficará feliz de ter impresso a chave antecipadamente.

Proteção de informações

Quando os usuários viajam, os dados confidenciais da organização vão com eles. Onde quer que os dados confidenciais sejam armazenados, elem devem ser protegidos contra acesso não autorizado. O Windows tem um longo histórico de fornecimento de soluções de proteção de dados em inatividade que protegem contra invasores mal intencionados, começando com o Encrypting File System no sistema operacional Windows 2000. Mais recentemente, o BitLocker fornecia criptografia para unidades completas e portáteis. No Windows 10, o BitLocker protegerá até mesmo arquivos individuais, com recursos de prevenção contra perda de dados. O Windows melhora consistentemente a proteção de dados, aprimorando as opções existentes e fornecendo novas estratégias.

A Tabela 2 lista as preocupações específicas da proteção de dados e como elas são abordadas no Windows 10 e no Windows 7.

Tabela 2. Proteção de dados no Windows 10 e no Windows 7

Windows 7 Windows 10

Quando o BitLocker é usado com um PIN para proteger a inicialização, os computadores, como os quiosques, não podem ser reiniciados remotamente.

Os dispositivos modernos do Windows estão cada vez mais protegidos com criptografia de dispositivo interna e dão suporte a SSO para proteger as chaves de criptografia BitLocker perfeitamente contra ataques de inicialização a frio.

O Desbloqueio de Rede permite que os computadores iniciem automaticamente quando conectados à rede interna.

Os usuários devem contatar o departamento de TI para alterar o PIN ou a senha do BitLocker.

Os dispositivos modernos do Windows não mais exigem um PIN no ambiente de pré-inicialização para proteger as chaves de criptografia BitLocker contra ataques de inicialização a frio.

Os usuários que têm privilégios padrão podem alterar o PIN ou a senha do BitLocker em dispositivos herdados que exigem um PIN.

Quando o BitLocker está habilitado, o processo de provisionamento pode levar várias horas.

O pré-previsionamento, a criptografia de unidades de disco rígido e a criptofrafia Used Space Only do BitLocker permitem que os administradores habilitem o BitLocker rapidamente em novos computadores.

Não há suporte para o uso do BitLocker com unidades de criptografia automática (SEDs).

O BitLocker oferece suporte à criptografia de descarregamento para unidades de disco rígido criptografadas.

Os administradores precisam usar ferramentas separadas para gerenciar unidades de disco rígidos criptografadas.

O BitLocker oferece suporte a unidades de disco rígido criptografadas com hardware de criptografia onboard integrado, que permite que os administradores usem as ferramentas administrativas familiares do BitLocker para gerenciá-las.

Criptografar uma nova unidade flash pode levar mais de 20 minutos.

A criptografia Used Space Only no BitLocker To Go permite aos usuários criptografar unidades em segundos.

O BitLocker poderia exigir que os usuários inserissem uma chave de recuperação quando ocorressem alterações de configuração do sistema.

O BitLocker exige que o usuário insira uma chave de recuperação somente quando o disco for corrompido ou quando ele perder o PIN ou a senha.

Os usuários precisam inserir um PIN para iniciar o computador e, em seguida, a senha para entrar no Windows.

Os dispositivos modernos do Windows estão cada vez mais protegidos com criptografia de dispositivo interna e dão suporte a SSO para ajudar a proteger as chaves de criptografia BitLocker contra ataques de inicialização a frio.

 

As próximas seções descrevem essas melhorias mais detalhadamente.

Preparar a criptografia de arquivos e de unidades

Os melhores tipos de medidas de segurança são transparentes para o usuário durante a implementação e o uso. Sempre que houver um possível atraso ou dificuldade devido a um recurso de segurança, há uma grande probabilidade de os usuários tentarem contornar a segurança. Essa situação é especialmente verdadeira para a proteção de dados, e esse é um cenário que as organizações precisam evitar.

Se você estiver planejando criptografar volumes inteiros, dispositivos removíveis ou arquivos individuais, o Windows 10 atenda às suas necessidades, fornecendo soluções simplificadas, utilizáveis. Na verdade, você pode usar diversas etapas antecipadamente para preparar a criptografia de dados e tornar a implantação rápida e suave.

Pré-provisionamento de TPM

No Windows 7, preparar para o uso do TPM representava alguns desafios:

  • Você pode desativar o TPM no BIOS, o que requer que alguém entre nas configurações do BIOS para ativá-lo ou instalar um driver para ativá-lo no Windows.

  • Quando você habilita o TPM, pode ser necessária uma ou mais reinicializações.

Basicamente, era uma grande dor de cabeça. Se a equipe de TI estivesse provisionando novos computadores, eles poderiam lidar com tudo isso, mas se você quisesse adicionar o BitLocker aos dispositivos que já estavam sendo usados pelos usuários, esses usuários sofreriam com os desafios técnicos e chamariam a equipe de IT para obter suporte ou simplesmente deixar o BitLocker desabilitado.

A Microsoft inclui instrumentação no Windows 10 que permite que o sistema operacional gerencie completamente o TPM. Não é necessário entrar no BIOS, e todos os cenários que exigiam uma reinicialização foram eliminados.

Implantar a criptografia de unidade de disco rígido

O BitLocker é capaz de criptografar unidades de disco rígido inteiras, incluindo unidades de dados e do sistema. O pré-provisionamento do BitLocker pode reduzir drasticamente o tempo necessário para provisionar novos computadores com o BitLocker habilitado. Com o Windows 10, os administradores podem ativar o BitLocker e o TPM de dentro do ambiente de pré-instalação do Windows antes de instalar o Windows ou como parte de uma sequência de tarefas de implantação automatizada sem qualquer interação do usuário. Combinado com a criptografia somente em espaço de disco usado e uma unidade praticamente vazia (porque o Windows ainda não está instalado), a habilitação do BitLocker leva apenas alguns segundos.

Em versões anteriores do Windows, os administradores tinham que habilitar o BitLocker depois que o Windows era instalado. Embora esse processo pudesse ser automatizado, o BitLocker precisaria criptografar a unidade inteira, um processo que poderia levar de várias horas a mais de um dia, dependendo do tamanho e do desempenho da unidade, o que atrasava significativamente a implantação. A Microsoft aprimorou esse processo por meio de vários recursos no Windows 10.

Criptografia de dispositivo

A partir do Windows 8.1, o Windows habilita automaticamente a criptografia de dispositivo BitLocker em dispositivos que dão suporte a InstantGo. No Windows 10, a Microsoft oferece suporte à criptografia de dispositivo em uma variedade muito maior de dispositivos, incluindo aqueles que são InstantGo. A Microsoft espera que a maioria dos dispositivos no futuro passará nos requisitos de teste, o que torna a criptografia de dispositivo generalizada entre dispositivos modernos do Windows. A criptografia de dispositivo protege ainda mais o sistema, implementando de forma transparente a criptografia de dados em todo o dispositivo.

Ao contrário de uma implementação padrão do BitLocker, a criptografia de dispositivo é habilitada automaticamente para que o dispositivo sempre esteja protegido. A lista a seguir descreve como isso acontece:

  • Quando uma instalação limpa do Windows 10 é concluída e a configuração inicial pelo usuário é finalizada, o computador está preparado para o primeiro uso. Como parte dessa preparação, a criptografia de dispositivo é inicializada na unidade do sistema operacional e corrigiu as unidades de dados no computador com uma chave limpa (isso é o equivalente ao estado suspenso padrão do BitLocker).

  • Se o dispositivo não ingressou no domínio, uma conta da Microsoft que tenha privilégios administrativos no dispositivo será necessária. Quando o administrador usa uma conta da Microsoft para entrar, a chave limpa é removida, uma chave de recuperação é carregada para a conta da Microsoft online e um protetor TPM é criado. Um dispositivo deve exigir a chave de recuperação, o usuário será orientado a usar um dispositivo alternativo e navegar para uma URL de acesso para recuperar a chave de recuperação, usando as credenciais da conta da Microsoft.

  • Se o usuário usar uma conta de domínio para entrar, a chave limpa não será removida até que o usuário associe o dispositivo a um domínio e a chave de recuperação tenha o backup feito com êxito no Serviços de Domínio do Active Directory(AD DS). Você deve habilitar a configuraçãoo da política de grupo Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional e selecionar a opção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional. Com essa configuração, a senha de recuperação é criada automaticamente quando o computador ingressa no domínio e, em seguida, a chave de recuperação tem o backup feito no AD DS, o protetor TPM é criado e a chave limpa é removida.

  • Semelhante a entrar com uma conta de domínio, a chave limpa é removida quando o usuário faz logon com uma conta do Azure AD no dispositivo. Conforme descrito no marcador acima, a senha de recuperação é criada automaticamente quando o usuário se autentica no Azure AD. Em seguida, é feito o backup da chave de recuperação no Azure AD, o protetor TPM é criado, e a chave limpa é removida.

A Microsoft recomenda que a criptografia de dispositivo seja habilitada em todos os sistemas que dão suporte a ela, mas o processo de criptografia de dispositivo automático pode ser impedido, alterando a configuração do registro a seguir:

  • Subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Valor: PreventDeviceEncryption equal to True (1)

  • Tipo: REG_DWORD

Os administradores podem gerenciar dispositivos que ingressaram no domínio que possuem a criptografia de dispositivo habilitada por meio de MBAM (Microsoft BitLocker Administration and Monitoring). Neste caso, a criptografia de dispositivo disponibiliza automaticamente as opções adicionais do BitLocker. Nenhuma conversão ou criptografia é necessária, e o MBAM poderá gerenciar o conjunto completo de políticas de BitLocker, se quaisquer alterações de configuração forem necessárias.

Criptografia somente em espaço de disco usado

O BitLocker em versões anteriores do Windows poderia levar muito tempo para criptografar uma unidade, pois ele criptografava cada byte no volume (incluindo partes que não tinham dados). Esta ainda é a maneira mais segura de criptografar uma unidade, especialmente se uma unidade continha anteriormente dados confidenciais que foram movidos ou excluídos desde então, nos quais os rastreamentos de caso dos dados confidenciais poderiam permanecer em partes da unidade marcadas como não utilizadas.

Mas por que criptografar uma nova unidade quando você simplesmente pode criptografar os dados conforme eles estão sendo gravados? Para reduzir o tempo de criptografia, o BitLocker no Windows 10 permite que os usuários optem por criptografar apenas seus dados. Dependendo da quantidade de dados na unidade, essa opção pode reduzir o tempo de criptografia em mais de 99%.

Entretanto, tenha cuidado ao criptografanr apenas o espaço usado em um volume existente no qual os dados confidenciais podem já ter sido armazenados em um estado não criptografado, pois esses setores podem ser recuperados por meio de ferramentas de recuperação de disco até que sejam substituídos pelos novos dados criptografados. Em compensação, criptografar apenas espaço usado em um volume totalmente novo pode diminuir significativamente o tempo de implantação sem o risco de segurança porque todos os novos dados serão criptografados conforme forem gravados no disco.

Suporte de disco rígido criptografado

As SEDs estão disponíveis há anos, mas a Microsoft não pôde usá-las em algumas versões anteriores do Windows porque as unidades não tinham recursos importantes de gerenciamento de chaves. A Microsoft trabalhou com fornecedores de armazenamento para melhorar os recursos de hardware, e agora o BitLocker dá suporte à próxima geração de SEDs, que são chamadas de unidades de disco rígido criptografadas.

Unidades de disco rígido criptografadas fornecem recursos criptográficos onboard para criptografar dados em unidades, o que melhora o desempenho da unidade e do sistema, descarregando cálculos criptográficos do processador do computador para a unidade em si e criptografando rapidamente a unidade, usando o hardware dedicado, especificamente criado. Se você planeja usar a criptografia de unidade inteira com o Windows 10, a Microsoft recomenda que você investigue os fabricantes de disco rígido e os modelos para determinar se qualquer um dos discos rígidos criptografados deles atendem às suas necessidades de segurança e orçamento.

Para saber mais sobre unidades de disco rígido criptografadas, consulte Disco rígido criptografado.

Proteção de informações de pré-inicialização

Uma implementação de proteção de informações eficaz, como a maioria dos controles de segurança, considera a usabilidade, bem como segurança. Normalmente, os usuários preferem uma experiência de segurança simples. Na verdade, quanto mais transparente uma solução de segurança se torna, mais provável que os usuários estejam de acordo com a ela.

É essencial que as organizações protejam as informações em seus computadores, independentemente do estado do computador ou da intenção dos usuários. Essa proteção não deve ser complicada para os usuários. Uma situação indesejável e anteriormente comum é quando o usuário recebe aviso de entrada durante a pré-inicialização e depois novamente durante o logon no Windows. Solicitar entrada dos usuários mais de uma vez deve ser evitado.

O Windows 10 pode habilitar uma verdadeira experiência de SSO no ambiente de pré-inicialização em dispositivos modernos e, em alguns casos, até mesmo em dispositivos mais antigos quando configurações de proteção de informações robustas estão sendo usadas. O TPM isoladamente é capaz de proteger com segurança a chave de criptografia BitLocker enquanto está em inatividade, e pode desbloquear com segurança a unidade do sistema operacional. Quando a chave estiver em uso e, portanto, na memória, uma combinação de hardware e de recursos do Windows pode proteger a chave e impedir o acesso não autorizado por meio de ataques de inicialização a frio. Embora outras contramedidas como o desbloqueio baseado em PIN estejam disponíveis, elas não são tão fáceis de usar. Dependendo da configuração dos dispositivos, eles podem não oferecer segurança adicional quando se tratar da proteção de chave. Para saber mais sobre como configurar o BitLocker para SSO, consulte Contramedidas de BitLocker.

Gerenciar senhas e PINs

Quando o BitLocker estiver habilitado em uma unidade do sistema e o computador tiver um TPM, você poderá optar por exigir que os usuários digitem um PIN antes de o BitLocker desbloquear a unidade. Essa exigência de PIN pode impedir que um invasor que tenha acesso físico a um computador faça logon no Windows, o que torna praticamente impossível que o invasor acesse ou modifique os arquivos do sistema e os dados do usuário.

Exigir um PIN no momento da inicialização é um recurso de segurança útil porque ele atua como um segundo fator de autenticação (um segundo "algo que você sabe"). Entretanto, essa configuração tem alguns custos. Uma das formas mais significativas é a necessidade de alterar o PIN regularmente. Em empresas que usavam o BitLocker com o sistema operacional Windows 7 e Windows Vista, os usuários tinham que contatar os administradores do sistema para atualizar seu PIN ou senha do BitLocker. Essa exigência não apenas aumentava os custos de gerenciamento, mas deixava os usuários menos dispostos a alterar regularmente o PIN ou a senha do BitLocker.

Os usuários do Windows 10 podem atualizar eles mesmos os PINs e as senhas do BitLocker, sem credenciais de administrador. Esse recurso não apenas reduz os custos de suporte, mas ele pode melhorar a segurança, também, pois incentiva os usuários a alterarem seus PINs e senhas com mais frequência. Além disso, dispositivos InstantGo não exigem um PIN para inicialização: eles são criados para iniciar com pouca frequência e têm outras medidas de redução da superfície de ataque do sistema.

Para saber mais sobre como funciona a segurança da inicialização e as contramedidas que o Windows 10 oferece, consulte Proteger o BitLocker de ataques de pré-inicialização.

Configurar o Desbloqueio pela rede

Algumas organizações têm requisitos de segurança de dados de localização específica. Isso é mais comum em ambientes onde os dados de alto valor são armazenados em computadores. O ambiente de rede pode oferecer proteção de dados cruciais e forçar a autenticação obrigatória. No entanto, a política afirma que esses computadores não devem sair do edifício ou serem desconectados da rede corporativa. Proteções como bloqueios de segurança física e cerca geográfica podem ajudar a impor essa política como controles reativos. Além disso, é necessário um controle de segurança proativo que conceda acesso aos dados somente quando o computador está conectado à rede corporativa.

O Desbloqueio de Rede permite que os computadores protegidos pelo BitLocker iniciem automaticamente quando conectados a uma rede corporativa com fio na qual os serviços de implantação do Windows são executados. Sempre que o computador não estiver conectado à rede corporativa, um usuário deve digitar um PIN para desbloquear a unidade (se o bloqueio baseado em PIN estiver habilitado).

O Desbloqueio de Rede requer a infraestrutura a seguir:

  • Computadores cliente que têm firmware UEFI (Unified Extensible Firmware Interface) versão 2.3.1 ou posterior, que dá suporte a DHCP (Dynamic Host Configuration Protocol)

  • Um servidor que executa o Windows Server 2012 com a função de serviços de implantação do Windows

  • Um servidor com a função de servidor DHCP instalada

Para saber mais sobre como configurar o Desbloqueio de Rede, consulte BitLocker: como habilitar o Desbloqueio de Rede.

Microsoft BitLocker Administration and Monitoring

Parte do Microsoft Desktop Optimization Pack, o MBAM torna mais fácil gerenciar e dar suporte ao BitLocker e ao BitLocker To Go. O MBAM 2.5 com Service Pack 1, a versão mais recente, tem os seguintes recursos principais:

  • Permite que os administradores automatizem o processo de criptografar volumes em computadores cliente em toda a empresa.

  • Permite que os agentes de segurança determinem rapidamente o estado de conformidade de computadores individuais ou até mesmo da empresa em si.

  • Fornece gerenciamento centralizado de relatório e de hardware com o Microsoft System Center Configuration Manager.

  • Reduz a carga de trabalho do suporte técnico para ajudar os usuários finais com solicitações de recuperação do BitLocker.

  • Permite aos usuários finais recuperar dispositivos criptografados de forma independente, usando o Portal de Autoatendimento.

  • Permite que os agentes de segurança façam a audioria do acesso com facilidade para recuperar informações essenciais.

  • Permite que os usuários do Windows Enterprise continuem a trabalhar em qualquer lugar com a garantia de que seus dados corporativos estão protegidos.

  • Aplica as opções de política de criptografia BitLocker que você definiu para sua empresa.

  • Se integra com ferramentas de gerenciamento existentes, como o System Center Configuration Manager.

  • Oferece uma experiência de usuário de recuperação personalizada pela equipe de TI.

  • Dá suporte ao Windows 10.

Para saber mais sobre MBAM, inclusive como obtê-lo, consulte Microsoft BitLocker Administration and Monitoring no TechCenter MDOP.

Resistência a malware

Nos filmes, as ameaças de segurança sempre parecem ser iniciadas por um hacker mal intencionado sentado em frente a um monitor com texto verde rolando na tela. No mundo real, a maioria das ameaças de segurança ocorre sem qualquer interação humana. Assim como os softwares automatizaram muitos dos aspectos da nossa vida, os malwares automatizaram os ataques em nossos computadores. Esses ataques são implacáveis. O malware está constantemente mudando, e quando ele infecta um computador, em alguns casos é extremamente difícil detectar e remover.

A prevenção é a melhor opção, e o Windows 10 oferece resistência a malware forte porque tira proveito do hardware seguro, que protege o processo de inicialização, a arquitetura do sistema operacional principal e a área de trabalho.

A Tabela 3 lista ameaças específicas de malware e a redução de riscos que o Windows 10 oferece.

Tabela 3. Ameaças e reduções de risco do Windows 10

Ameaça Redução de risco do Windows 10

Os bootkits de firmware substituem o firmware com malware.

Todos os PCs certificados incluem um UEFI com inicialização segura, o que requer firmware assinado para atualização para UEFI e ROMs opcionais.

Os bootkits iniciam o malware antes que o Windows inicie.

A inicialização segura da UEFI verifica a integridade do carregador de inicialização do Windows para garantir que nenhum sistema operacional malicioso possa ser iniciado antes do Windows.

Os rootkits de driver ou de sistema iniciam o malware no nível do kernel enquanto o Windows é iniciado, antes que as soluções antimalware e o Windows Defender possam iniciar.

A inicialização confiável do Windows verifica os componentes de inicialização do Windows; os drivers da Microsoft; e o ELAM (Antimalware de Início Antecipado), que verifica os drivers que não são da Microsoft.

A inicialização medida é executada em paralelo com a inicialização confiável e pode fornecer informações para um servidor remoto que verifica o estado de inicialização do dispositivo para ajudar a garantir a inicialização confiável e que outros componentes de inicialização verificaram com êxito o sistema.

O malware no nível de usuário explora uma vulnerabilidade em um aplicativo ou no sistema e possui o dispositivo.

Melhorias na randomização de layout de espaço de endereço (ASLR), na prevenção de execução de dados (DEP), na arquitetura de pilha e nos algoritmos de gerenciamento de memória reduzem a probabilidade de que vulnerabilidades possam permitir explorações bem sucedidas.

Processos protegidos isolam os processos não confiáveis uns dos outros e dos componentes confidenciais do sistema operacional.

A VBS, criada no Microsoft Hyper-V, protege os processos confidenciais do Windows do sistema operacional Windows, isolando-os de processos do modo de usuário e do kernel do Windows.

A integridade de código configurável impõe políticas administrativas para selecionar exatamente quais aplicativos podem ser executados no modo de usuário. Nenhum outro aplicativo tem permissão para ser executado.

Os usuários baixam um software perigoso (por exemplo, um aplicativo aparentemente legítimo com um cavalo de Troia inserido) e executa-o sem conhecimento do risco.

O recurso de reputação do aplicativo SmartScreen faz parte do sistema operacional principal; o Microsoft Edge e o Internet Explorer podem usar esse recurso para alertar os usuários ou para impedir que os usuários baixem ou executem um software potencialmente mal intencionado.

O malware explora uma vulnerabilidade em um complemento do navegador.

O Microsoft Edge é um aplicativo Universal que não executa extensões binárias mais antigas, incluindo o Microsoft Active X e BHO (objetos auxiliares do navegador) usadas com frequência em barras de ferramentas, eliminando esses riscos.

Um site que inclui código malicioso explora uma vulnerabilidade no Microsoft Edge e no IE para executar malware no computador cliente.

O Microsoft Edge e o IE incluem o modo protegido avançado, que usa área restrita com base em AppContainer para proteger o sistema contra vulnerabilidades que podem ser descobertas nas extensões em execução no navegador (por exemplo, Adobe Flash, Java) ou no próprio navegador.

 

As próximas seções descrevem essas melhorias mais detalhadamente.

Hardware seguro

Embora o Windows 10 seja projetado para execução em praticamente qualquer hardware capaz de executar o Windows 8, o Windows 7 ou o Windows Vista, tirar vantagem total da segurança do Windows 10 requer melhorias na segurança baseada em hardware, incluindo a UEFI com inicialização segura, recursos de virtualização de CPU (por exemplo, Intel VT-x), recursos de proteção de memória da CPU (por exemplo, Intel VT-d), TPM e sensores biométricos.

UEFI com inicialização segura

Quando um computador é iniciado, ele inicia o processo de carregamento do sistema operacional, localizando o carregador de inicialização no disco rígido do computador. Sem proteções in-loco, o computador pode simplesmente entregar o controle para o carregador de inicialização sem mesmo determinar se ele é um sistema operacional confiável ou malware.

UEFI é uma solução baseada em padrões que oferece uma substituição moderna para o BIOS. Na verdade, ele fornece a mesma funcionalidade do BIOS enquanto adiciona recursos de segurança e outros recursos avançados. Como o BIOS, a UEFI inicializa dispositivos, mas os componentes UEFI com o recurso de inicialização segura (versão 2.3.1 ou posterior) também garantem que somente um firmware confiável em ROMs opcionais, aplicativos UEFI e carregadores de inicialização do sistema operacional podem ser iniciados no dispositivo.

O UEFI pode executar verificações de integridade internas que verificam a assinatura digital do firmware antes de executá-lo. Como apenas o fabricante do hardware do computador tem acesso ao certificado digital necessário para criar uma assinatura de firmware válida, a UEFI tem proteção contra bootkits de firmware. Portanto, a UEFI é o primeiro elo na cadeia de confiança.

O UEFI com inicialização segura tornou-se um requisito de hardware a partir dos dispositivos com Windows 8. Se um computador for compatível com UEFI, ele deverá estar habilitado por padrão. É possível desabilitar o recurso de inicialização segura em vários dispositivos, mas a Microsoft desestimula essa prática porque ela reduz consideravelmente a segurança do processo de inicialização.

Quando um computador com UEFI e inicialização segura é iniciado, o firmware UEFI verifica a assinatura digital do carregador de inicialização para verificar se ele não foi modificado depois de ter sido assinado digitalmente. O firmware também verifica se uma autoridade confiável emitiu a assinatura digital do carregador de inicialização. Essa verificação ajuda a garantir que o sistema é iniciado somente após verificar que o carregador de inicialização é confiável e não foi modificado depois da assinatura.

Todos os computadores com Windows 8 certificados devem atender aos diversos requisitos relacionados à inicialização segura:

  • Eles devem ter a inicialização segura habilitada por padrão.

  • Eles devem confiar na autoridade de certificação (CA) da Microsoft e, portanto, qualquer carregador de inicialização que a Microsoft tenha assinado.

  • Ele devem permitir que o usuário adicione hashes e assinaturas ao banco de dados UEFI.

  • Eles devem permitir que o usuário desabilite completamente a inicialização segura (embora os administradores possam restringir isso).

Esse comportamento não limita a escolha do sistema operacional. Na verdade, os usuários geralmente têm três opções para executar sistemas operacionais não-Microsoft:

  • Usar um sistema operacional com um carregador de inicialização assinado pela Microsoft. A Microsoft oferece um serviço para assinar carregadores de inicialização não Microsoft, de forma que eles possam ser usados no dispositivo. Neste caso, uma assinatura da CA de UEFI de terceiros da Microsoft é usada para assinar o carregador de iniciaização não Microsoft, e a assinatura em si é adicionada ao banco de dados UEFI. Vários sistemas operacionais não Microsoft, inclusive algumas variedades do Linux, tiveram seus carregadores de inicialização assinados pela Microsoft, de forma a poder tirar vantagem da funcionalidade de inicialização segura. Para saber mais sobre a política de assinatura de UEFI de terceiros da Microsoft, leia Atualizações da política de assinatura da CA de UEFI da Microsoft e Teste de pré-envio para envios de UEFI.

    Observação  

    Computadores configurados para usar o Device Guard inicializam apenas uma versão segura do Windows e não permitem um carregador de inicialização de terceiros. Para saber mais, consulte a seção Device Guard deste documento.

     

  • Configure a UEFI para confiar em um carregador de inicialização ou hashes assinados pela Microsoft. Alguns computadores certificados para Windows 8 ou versões posteriores permitem que os usuários adicionem carregadores de inicialização não certificados por meio de uma assinatura ou hashes enviados para o banco de dados UEFI, o que permite que eles executem qualquer sistema operacional sem assinatura da Microsoft.

  • Desativar a inicialização segura. Computadores certificados com Windows 8 permitem que os usuários desativem a inicialização segura, portanto, eles podem executar sistemas operacionais não assinados. Nesse modo, o comportamento é idêntico aos computadores que tenham BIOS: o computador simplesmente executa o carregador de inicialização sem qualquer verificação. A Microsoft recomenda veementemente que a inicialização segura permaneça habilitada sempre que o dispositivo é iniciado para que ela possa ajudar a evitar infecções de bootkit.

    Observação  

    Com o Windows 10, os fabricantes de equipamento original (OEMs) têm a capacidade de enviar computadores montados conforme o pedido que bloqueiam a inicialização segura da UEFI para que ela não possa ser desabilitada e permite que somente o sistema operacional de preferência do cliente seja iniciado no dispositivo.

     

Windows, aplicativos e até mesmo malwares não podem alterar a configuração de UEFI. Em vez disso, os usuários devem estar fisicamente presentes para inicializar manualmente um computador em um shell da UEFI e, em seguida, alterar a configurações de firmware da UEFI. Para saber mais sobre a inicialização segura da UEFI, leia Protegendo o ambiente pré-sistema operacional com a UEFI.

Segurança baseada na virtualização

Uma das alterações mais eficientes no Windows 10 é a segurança baseada na virtualização. A segurança baseada em virtualização (VBS) tira proveito das melhorias na virtualização de computador para mudar o jogo quando se trata de proteger contra o comprometimento dos componentes do sistema. A VBS é capaz de isolar alguns dos componentes mais importantes de segurança do Windows 10. Esses componentes de segurança não são apenas isolados por meio das restrições de API (interface de programação de aplicativo) ou de uma camada intermediária: eles realmente são executados em um ambiente virtual diferente e são isolados do sistema operacional Windows 10 em si.

A VBS, e o isolamento que ela fornece, é realizada com o uso inovador do hipervisor Hyper V. Neste caso, em vez de executar outros sistemas operacionais sobre o hipervisor como convidados virtuais, o hipervisor dá suporte à execução do ambiente VBS em paralelo com o Windows e impõe um conjunto altamente limitado de interações e acesso entre os ambientes.

Pense no ambiente VBS como um sistema operacional em miniatura: ele tem kernel e processos próprios. Diferentemente do Windows, no entanto, o ambiente VBS executa um microkernel e apenas dois processos chamados trustlets:

  • A LSA (Autoridade de Segurança Local) impõe políticas de autenticação e autorização do Windows. A LSA é um componente de segurança bem conhecido que faz parte do Windows desde 1993. Partes confidenciais da LSA são isoladas no ambiente VBS e são protegidas por um novo recurso chamado protetor de credenciais.

  • A Integridade do código imposto pelo hipervisor verifica a integridade do código do modo kernel antes da execução. Essa é uma parte do recurso Device Guard descrito mais adiante neste documento.

A VBS oferece duas principais melhorias na segurança do Windows 10: um novo limite de confiança entre os principais componentes de sistema do Windows e um ambiente de execução seguro no qual eles são executados. Um limite de confiança entre os principais componentes de sistema do Windows está habilitado, apesar do uso da virtualização de plataforma do ambiente VBS para isolar o ambiente VBS do sistema operacional Windows. Executar o ambiente VBS e o sistema operacional Windows como convidado sobre o Hyper-V e as extensões de virtualização do processador impedem inerentemente que os convidados interajam uns com os outros fora dos canais de comunicação limitados e altamente estruturados entre os trustlets no ambiente VBS e o sistema operacional Windows.

A VBS age como um ambiente de execução seguro porque a arquitetura impede inerentemente que os processos que são executados no ambiente do Windows, mesmo aqueles que tenham todos os privilégios do sistema, acessem o kernel, os trustlets ou qualquer memória alocada no ambiente VBS. Além disso, o ambiente VBS usa o TPM 2.0 para proteger todos os dados persistentes no disco. Da mesma forma, um usuário que tenha acesso ao disco físico não consegue acessar os dados em um formato não criptografado.

A arquitetura VBS é mostrada na Figura 2.

Figura 2

Figura 2. A arquitetura VBS

Observe que a VBS requer um sistema que inclui:

  • Windows 10 Enterprise Edition

  • Um processador de 64 bits

  • UEFI com inicialização segura

  • As tecnologias SLAT (Second-Level Address Translation ) (por exemplo, EPT [Intel Extended Page Tables], RVI [Rapid Virtualization Indexing] AMD)

  • Extensões de virtualização (por exemplo, Intel VT-x, AMD RVI)

  • Virtualização de chipset IOMMU (unidade de gerenciamento de memória de E/S) (Intel VT-d ou AMD-Vi)

  • TPM 2.0

Trusted Platform Module

Um TPM é um módulo criptográfico resistente a adulterações projetado para melhorar a segurança e a privacidade das plataformas de computação. O TPM é incorporado como um componente em uma plataforma de computação confiável, tal como um computador pessoal, tablet ou telefone. A plataforma de computação foi especialmente projetada para funcionar com o TPM para dar suporte a cenários de privacidade e de segurança que não podem ser realizados apenas através do software. Uma implementação adequada de um TPM como parte de uma plataforma de computação confiável fornece uma raiz de hardware de confiança, o que significa que o hardware se comporta de forma confiável. Por exemplo, uma chave criada em um TPM com a propriedade de que ela nunca pode ser exportada do TPM realmente significa que a chave não pode deixar o TPM. A integração próxima de um TPM com uma plataforma aumenta a transparência do processo de inicialização e dá suporte a cenários de integridade do dispositivo, permitindo a criação de relatórios confiáveis do software usado para iniciar uma plataforma.

A funcionalidade que um TPM fornece inclui:

  • Gerenciamento criptográfico de chaves. Criar, armazenar e permitir o uso de chaves de maneiras definidas.

  • Protegendo e relatando medidas de integridade. O software usado para inicializar a plataforma pode ser gravado no TPM e usado para estabelecer confiança no software em execução na plataforma.

  • Provar que um TPM é realmente um TPM. As funcionalidades do TPM são tão centrais para proteger a privacidade e a segurança que um TPM precisa ser capaz de se diferenciar de um malware que se mascara como um TPM.

A Microsoft combinou essa lista pequena de benefícios do TPM com o Windows 10 e outras tecnologias de segurança de hardware para fornecer segurança prática e os benefícios de privacidade.

Entre outras funções, o Windows 10 usa o TPM para proteger as chaves de criptografia dos volumes BitLocker, cartões inteligentes virtuais, certificados e muitas outras chaves que o TPM é usado para gerar. O Windows 10 também usa o TPM para registrar com segurança e proteger as medidas relacionadas à integridade de hardware selecionado e os componentes de inicialização do Windows do recurso Inicialização Medida descrito mais adiante neste documento. Neste cenário, a Inicialização Medida mede cada componente, do firmware aos drivers e, em seguida, armazena essas medições no TPM do computador. A partir daí, você pode testar o log de medição remotamente para que um sistema separado verifique o estado de inicialização do computador com Windows 10.

O Windows 10 dá suporte a implementações de TPM que estão em conformidade com os padrões 1.2 ou 2.0. Foram feitas várias melhorias no padrão TPM 2.0, a mais relevante é a agilidade criptográfica. O TPM 1.2 está restrito a um conjunto fixo de algoritmos de criptografia e de hash. No momento em que o padrão TPM 1.2 foi criado no início dos anos 2000, esses algoritmos foram considerados criptograficamente fortes. A partir desse momento, os avanços nos algoritmos criptográficos e os ataques de análise criptográfica aumentaram as expectativas por uma criptografia mais forte. O TPM 2.0 dá suporte a algoritmos adicionais que oferecem maior proteção criptográfica, bem como a capacidade de conectar algoritmos que podem ser preferenciais em determinadas regiões geográficas ou setores. Ele também abre a possibilidade de inclusão de algoritmos de futuros sem alterar o componente do TPM em si.

O TPM geralmente é considerado para ser implantado no hardware em uma placa-mãe como um módulo discreto, mas o TPM também pode ser eficaz quando implementado no firmware. O Windows 10 dá suporte a TPM discreto e de firmware que esteja em conformidade com o padrão 2.0 (1.2 só pode ser discreto). O Windows não faz diferença entre soluções baseadas no TPM discreto e de firmware porque elas devem atender aos mesmos requisitos; portanto, qualquer recurso do Windows que pode tirar proveito do TPM pode usar qualquer implementação.

Observação  

A Microsoft não exigirá inicialmente que os novos computadores com Windows 10 incluam o suporte a TPM. A Microsoft exigirá que os sistemas incluam um TPM 2.0 a partir de um ano do lançamento do Windows 10, no entanto, para dar os fabricantes tempo suficiente para incorporar essa funcionalidade crítica e para conceder tempo suficiente aos profissionais de TI para determinar quais benefícios eles usarão.

 

Vários recursos de segurança do Windows 10 exigem TPM:

  • Cartões inteligentes virtuais

  • Inicialização Medida

  • Atestado de integridade (exige TPM 2.0 ou posterior)

  • InstantGo (exige TPM 2.0 ou posterior)

Outros recursos de segurança do Windows 10 como BitLocker podem tirar proveito do TPM se ele estiver disponível, mas não necessitam dele para funcionar. Um exemplo disso é o Microsoft Passport.

Todos esses recursos são abordados neste documento.

Biometria

Leia na seção Windows Hello deste documento que o Windows 10 tem suporte interno para hardware biométrico. O Windows incluiu certo nível de suporte interno à biometria desde o sistema operacional Windows XP, sendo assim, o que há de diferente a respeito disso no Windows 10?

O Windows 10 torna biometria um recurso de segurança principal. A biometria está totalmente integrada aos componentes de segurança do Windows 10, não é apenas uma parte adicional de um esquema de maior. Isso é uma grande mudança. Anteriormente, as implementações biométricas eram métodos amplamente front-end para simplificar a autenticação. Nos bastidores, a biometria foi usada para acessar uma senha, que foi usada para autenticação em segundo plano. A biometria pode ter sido conveniente mas não necessariamente uma autenticação em nível empresarial.

A Microsoft tem pregado a importância dos sensores biométricos de nível empresarial para OEMs que criam periféricos e computadores Windows. Muitos OEMs já fornecem sistemas que integraram sensores de impressão digital e estão fazendo a transição dos sensores para passar o dedo para os sensores baseados em toque. Os sensores de reconhecimento do rosto já estavam disponíveis quando o Windows 10 foi lançado e estão se tornando mais comuns como componentes integrados do sistema.

No futuro, a Microsoft espera que os OEMs produzam ainda mais sensores biométricos de nível empresarial e continuem a integrá-los aos sistemas, bem como a fornecer periféricos separados. Como resultado, a biometria se tornará um método de autenticação comum como parte de um sistema MFA.

Inicialização segura do Windows.

A Inicialização Segura da UEFI usa tecnologias de hardware para ajudar a proteger os usuários de bootkits. A Inicialização Segura pode validar a integridade dos dispositivos, firmware e carregador de inicialização. Depois que o carregador de inicialização é iniciado, os usuários devem confiar no sistema operacional para proteger a integridade do restante do sistema.

Inicialização Confiável

Quando a Inicialização Segura da UEFI verifica se o carregador de inicialização é confiável e inicia o Windows, o recurso de Inicialização Confiável do Windows protege o restante do processo de inicialização, verificando se todos os componentes de inicialização do Windows são confiáveis (por exemplo, assinados por uma fonte confiável) e têm integridade. O carregador de inicialização verifica a assinatura digital do kernel do Windows antes de carregá-lo. O kernel do Windows, por sua vez, verifica todos os outros componentes do processo de inicialização do Windows, incluindo os drivers de inicialização, os arquivos de inicialização e o componente ELAM.

Se um arquivo foi modificado (por exemplo, se um malware o adulterou ou corrompeu), a Inicialização Confiável detectará o problema e corrigirá automaticamente o componente corrompido. Quando reparado, o Windows será iniciado normalmente após apenas um pequeno atraso.

Antimalware de Início Antecipado

Um malware que visava versões anteriores do Windows geralmente tentava iniciar antes da solução antimalware. Para fazer isso, alguns tipos de malware atualizavam ou substituíam um driver não relacionado à Microsoft que inicia durante o processo de inicialização do Windows. O driver mal intencionado usava seus privilégios de acesso ao sistema para modificar partes essenciais do sistema e disfarçar sua presença, para não pudesse ser detectado quando a solução antimalware era posteriormente iniciada.

A ELAM (Antimalware de Inicialização Antecipada) é parte do conjunto de recursos de Inicialização Confiável e é projetada para permitir que a solução antimalware inicie antes de todos os drivers e aplicativos que não são da Microsoft. A ELAM verifica a integridade dos drivers que não são da Microsoft para determinar se os drivers são confiáveis. Como o Windows precisa iniciar o mais rápido possível, a ELAM não pode ser um processo complicado de verificação dos arquivos de driver contra assinaturas conhecidas de malware; pois isso poderia atrasar muito inicialização. Em vez disso, a ELAM tem a tarefa simples de examinar cada driver de inicialização e determinar se ele está na lista de drivers confiáveis. Se o malware modificar um driver relacionado à inicialização, a ELAM detectará a mudança e o Windows impedirá o driver de iniciar, bloqueando, dessa forma, os rootkits baseados no driver. A ELAM também permite que o provedor de antimalware registrado examine drivers que são carregados depois que o processo de inicialização é concluído.

O design é simples e eficiente. A ELAM é um componente de uma solução antimalware completa, e ela ajuda a evitar que drivers mal intencionados e aplicativos iniciem antes do restante da solução antimalware iniciar durante o processo de inicialização. Na verdade, a ELAM é executada somente por alguns segundos cada vez que um computador é iniciado. O Windows Defender no Windows 10 dá suporte à ELAM, assim como a Microsoft System Center 2012 Endpoint Protection e vários aplicativos antimalware que não são da Microsoft.

Se você quiser saber como configurar a ELAM, use as configurações de política de grupo para configurar como a ELAM responde aos drivers de inicialização possivelmente mal intencionados. No fornecedor de gerenciamento de política de grupo, vá para Computer Configuration\Administrative Templates\System\Early Launch Antimalware e habilite a definição Boot-Start Driver Initialization Policy configuração. Agora, você pode selecionar quais classificações de driver a ELAM carrega. Quando você seleciona a definição Good Only, ela fornece o nível mais alto de segurança, mas teste-a completamente, para garantir que ela não impede que os usuários com computadores saudáveis iniciem.

Inicialização Medida

O maior desafio com rootkits e bootkits em versões anteriores do Windows é que eles com frequência não podem ser detectados pelo cliente. Como muitas vezes iniciam antes das defesas e da solução antimalware do Windows e têm privilégios de nível do sistema, os rootkits e os bootkits podem se disfarçar completamente enquanto continuam a acessar os recursos do sistema. Embora a Inicialização Segura e a Inicialização Confiável da UEFI possam evitar a maioria dos rootkits e bootkits, invasores ainda podem potencialmente explorar alguns vetores de ataque (por exemplo, se a UEFI com Inicialização Segura estiver desabilitada ou se a assinatura usada para assinar um componente de inicialização, como um driver que não é da Microsoft, foi comprometida e está sendo usada para assinar um driver mal intencionado).

O Windows 10 implementa o recurso Inicialização Medida, que usa o componente de hardware do TPM incorporado a computadores mais recentes para gravar uma série de medidas para componentes críticos relacionados à inicialização, incluindo firmware, componentes de inicialização do Windows, drivers e até mesmo o driver ELAM. Como a Inicialização Medida usa os recursos de segurança baseados no hardware do TPM, que isola e protege os dados de medição contra ataques de malware, os dados de log são bem protegidos até mesmo contra ataques sofisticados.

A Inicialização Medida se concentra em adquirir os dados de medição e protegê-los contra violação. Ela deve ser combinada com um serviço que pode analisar os dados para determinar a integridade do dispositivo e fornecer um serviço de segurança mais completo. A próxima seção apresenta apenas esse serviço.

Verificar a conformidade do dispositivo para acesso condicional a recursos corporativos

A Inicialização Medida em si não impede o carregamento do malware durante o processo de inicialização; essa é a tarefa da Inicialização Segura, do Device Guard e da ELAM. Em vez disso, a Inicialização Medida fornece um log de auditoria protegido pelo TPM, que permite que um serviço de atestado de integridade remoto confiável avalie os componentes de inicialização, o estado e a configuração geral do computador. Se o serviço de atestado de integridade detectar que o computador carregou um componente não confiável e, portanto, está fora de conformidade, o serviço poderá bloquear o acesso ao PC para recursos específicos da rede ou a rede inteira. Você pode combinar um serviço de atestado de integridade com um sistema de gerenciamento para facilitar os recursos de acesso condicional que podem iniciar os processos de quarentena e correção para corrigir um computador infectado e retorná-lo para um estado de conformidade.

Figura 3

Figura 3. Atestado de Integridade no Windows 10

A Figura 3 ilustra o seguinte processo de verificação de conformidade do dispositivo e a implementação de acesso condicional:

  1. O computador usa o TPM para gravar medidas do carregador de inicialização, os drivers de inicialização e os drivers de ELAM. O TPM impede que qualquer pessoa falsifique essas medições, sendo assim, mesmo que um malware seja carregado com êxito, ele não poderá modificar as medições. Essas medições são assinadas com uma AIK (Chave de Identidade de Atestado) que é armazenada no TPM. Como o hardware do TPM assinou as medições, o malware não poderá modificá-las sem ser detectado.

  2. O Atestado de Integridade não é habilitado por padrão e requer um registro em um servidor MDM (gerenciamento de dispositivo móvel) para habilitá-lo. Caso esteja habilitado, o cliente do atestado de integidade contatará um servidor remoto, chamado de servidor de atestado de integridade. A Microsoft fornece um serviço de Atestado de Integridade do Windows baseado em nuvem que pode ajudar a avaliar a integridade de um dispositivo. O cliente de atestado de integridade envia as medições assinadas, o log de inicialização do TPM do dispositivo e um certificado de AIK (se houver), o que permite que o servidor de atestado de integridade verifique se a chave usada para assinar as medições foi emitida para um TPM confiável.

  3. O servidor de atestado de integridade analisa as medições e o log de inicialização, e cria uma declaração de integridade do dispositivo. Essa declaração é criptografada para ajudar a garantir a confidencialidade dos dados.

  4. Um sistema de gerenciamento, como um servidor MDM, pode solicitar que um dispositivo registrado apresente uma declaração de integridade do dispositivo. O Windows 10 dá suporte a solicitações de integridade do dispositivo de servidor MDM da Microsoft e não Microsoft. Para evitar o roubo de declarações de integridade do dispositivo e a reutilização em outros dispositivos, um servidor MDM envia ao dispositivo registrado uma solicitação de "número usado somente uma vez" (nonce) com essa solicitação para a declaração de integridade do dispositivo.

  5. O dispositivo registrado assina digitalmente o nonce com sua AIK (que é armazenada no TPM) e envia ao servidor MDM a declaração criptografada de integridade do dispositivo, o nonce assinado digitalmente e um contador de inicialização assinado, que declara que o dispositivo não foi reiniciado desde que obteve a declaração de integridade.

  6. O servidor MDM pode enviar os mesmos dados para o servidor de atestado de integridade. O servidor descriptografa a declaração de integridade, declara que o contador de inicialização na declaração coincide com o contador de inicialização que foi enviado para o servidor MDM e compila uma lista de atributos de integridade.

  7. O servidor de atestado de integridade envia essa lista de atributos de integridade de volta para o servidor MDM. O servidor MDM agora impõe políticas de acesso e conformidade se estiver configurado para fazer isso.

Para obter uma lista de pontos de dados que o servidor de atestado de integridade verifica, juntamente com uma descrição dos dados, veja o artigo HealthAttestation CSP no MSDN.

A implementação do sistema de gerenciamento determina quais atributos da declaração de integridade do dispositivo são avaliados durante a avaliação de integridade do dispositivo. Em termos gerais, o servidor de gerenciamento recebe informações sobre como o dispositivo foi inicializado, que tipo de política é imposto no dispositivo e como os dados são protegidos no dispositivo. Dependendo da implementação, o servidor de gerenciamento pode adicionar verificações que vão além do que fornece a declaração de integridade do dispositivo — por exemplo, o nível do patch do Windows e outros atributos do dispositivo.

Com base nesses pontos de dados, o servidor de gerenciamento pode determinar se o cliente está saudável e conceder acesso a uma rede limitada de quarentena ou à rede inteira. Recursos de rede individuais, como servidores, também podem conceder ou negar acesso com base em se o cliente remoto de atestado foi capaz de recuperar uma certificação de integridade válida do servidor de atestado remoto.

Como essa solução pode detectar e impedir um malware de baixo nível que pode ser extremamente difícil de detectar de qualquer outra forma, a Microsoft recomenda que você considere a implementação de um sistema de gerenciamento, como o Microsoft Intune, ou quaisquer soluções de gerenciamento que tirem proveito do recurso de servidor de atestado de integridade baseado em nuvem do Windows 10 para detectar e bloquear dispositivos tenham sido infectados por malware avançado de recursos de rede.

Proteger o núcleo do Windows

Os aplicativos criados para Windows são projetados para serem seguros e sem defeitos, mas a realidade é que, como seres humanos escrevem os códigos, as vulnerabilidades continuarão a surgir. Quando identificadoos, usuários e softwares mal intencionados podem tentar explorar vulnerabilidades, manipulando dados na memória para inicializar uma exploração bem sucedida.

Para atenuar esses riscos, o Windows 10 inclui melhorias essenciais para tornar mais difícil para o malware realizar estouro de buffer, pulverização de pilha e outros ataques de nível inferior, e até mesmo qual código tem permissão para ser executado no computador. Além disso, essas melhorias reduzem drasticamente a probabilidade de que vulnerabilidades recém-descobertas resultem em uma exploração bem-sucedida. É preciso conhecimento detalhado da arquitetura do sistema operacional e de técnicas de exploração de malware para entender completamente o impacto dessas melhorias, mas as seções a seguir as explicam em um alto nível.

Device Guard

O cenário de ameaças de segurança atual é mais agressivo do que nunca. Ataques mal intencionados modernos concentram-se na geração de receita, roubo de propriedade intelectual e degradação do sistema-alvo, resultando em perda financeira. Muitos desses invasores mal intencionados são patrocinados por nações que têm segundas intenções e grandes orçamentos cyberterrorismo. Essas ameaças podem entrar em uma empresa por meio de algo tão simples quanto um email e podem danificar permanentemente a reputação da organização em relação à proteção de funcionários, de dados dos clientes e de propriedade intelectual, sem mencionar um impacto financeiro significativo. O sistema operacional Windows 10 introduz vários novos recursos de segurança que ajudam a reduzir uma grande porcentagem das ameaças conhecidas atualmente.

Estima-se que mais de 300.000 novas variantes de malware sejam descobertas diariamente. Infelizmente, as empresas usam atualmente um método antigo para descobrir esses softwares infecciosos e impedir seu uso. Na verdade, os computadores atuais confiam em tudo o que é executado até que assinaturas antimalware determinem se existe uma ameaça; então, o software antimalware tenta limpar o computador, geralmente após o efeito do software mal intencionado já ter ocorrido. Esse sistema baseado em assinatura se concentra em reagir a uma infecção e, em seguida, garantir que essa infecção específica não aconteça novamente. Nesse modelo, o sistema que conduz a detecção de malware confia na descoberta do software mal intencionado; só então uma assinatura pode ser fornecida para o cliente para remediá-lo, o que implica em que frequentemente um computador já foi infectado. O tempo entre a detecção do malware e a emissão de uma assinatura para o cliente pode significar a diferença entre a perda de dados e a segurança.

Além das soluções antimalware, as tecnologias de "controle de aplicativo" ou "lista de exceções" estão disponíveis, incluindo o AppLocker. Essas soluções executam regras de instância única ou de permissão ou negação amplas para a execução de aplicativos. No Windows 10, esses tipos de soluções são mais eficazes quando implantadas juntamente com o recurso Device Guard do Windows 10.

O Device Guard quebra o modelo atual de detectar primeiro e bloquear depois, e permite que apenas os aplicativos confiáveis sejam executados, ponto. Essa metodologia é consistente com a estratégia de prevenção bem sucedida para a segurança do telefone celular. Com o Device Guard, a Microsoft mudou a forma como o sistema operacional Windows manipula aplicativos não confiáveis, o que torna suas defesas difíceis para um malware penetrar. Esse novo modelo de prevenção versus detecção fornecerá aos clientes do Windows a segurança necessário contra ameaças modernas e, quando implementado, reduz muitas das ameaças atuais desde o início.

Visão geral do Device Guard

O Device Guard é um conjunto de recursos que consiste em recursos de proteção à integridade do sistema de hardware e software. Esses recursos revolucionam a segurança do sistema operacional Windows, tirando proveito das novas opções de VBS para proteger o núcleo do sistema e os processos e drivers em execução no modo kernel — o modelo de não confiar em nada que você vê nos sistemas operacionais de dispositivo móvel. Um recurso essencial usado com o Device Guard é a integridade do código configurável, que permite que sua organização escolha exatamente qual software de fornecedores de software confiáveis tem permissão para executar código em suas máquinas cliente — exatamente o que tornou a segurança dos telefones celulares em algumas plataformas, como o Windows Mobile, tão bem sucedida. Aplicativos confiáveis são aqueles assinados diretamente (em outras palavras, binários) ou indiretamente, usando um arquivo assinado que lista os valores de hash para binários do aplicativo que são considerados confiáveis. Além disso, o Device Guard oferece às organizações uma maneira de assinar aplicativos LOB existentes, de forma que eles possam confiar em seu próprio código sem a exigência de que o aplicativo seja recompilado ou empacotado. Além disso, esse mesmo método de assinatura pode fornecer às organizações uma maneira de confiar em aplicativos que não são da Microsoft, incluindo aqueles que podem não ter sido assinados diretamente. O Device Guard com integridade de código configurável, a Proteção de Credenciais e o AppLocker apresentam a mais completa defesa de segurança que qualquer produto Microsoft jamais ofereceu a um cliente do Windows.

Os recursos de hardware avançados, como extensões de virtualização de CPU, IOMMUs e SLAT, determinam essas novas ofertas de segurança de cliente. Integrando esses recursos de hardware adicionais ao sistema operacional principal, o Windows 10 pode aproveitá-los de novas maneiras. Por exemplo, a mesma tecnologia de hipervisor tipo 1 que é usada para executar máquinas virtuais em Hyper V isola os serviços Windows principais em um contêiner protegido, baseado em virtualização. Este é apenas um exemplo de como o Windows 10 integra recursos avançados de hardware mais profundamente no sistema operacional para oferecer ampla segurança moderna aos seus usuários.

Para proporcionar essa segurança adicional, o Device Guard tem os seguintes requisitos de hardware e software:

  • Inicialização Segura da UEFI (opcionalmente com uma CA UEFI não Microsoft removida do banco de dados UEFI)

  • Suporte à virtualização habilitado por padrão no firmware do sistema (BIOS):

    • Extensões de virtualização (por exemplo, Intel VT-x, AMD RVI)

    • SLAT (por exemplo, Intel EPT, AMD RVI)

    • IOMMU (por exemplo, Intel VT-d, AMD-Vi)

  • BIOS de UEFI configurado para impedir que um usuário não autorizado desabilite recursos de segurança de hardware dependentes do Device Guard (por exemplo, a Inicialização Segura)

  • Drivers de modo kernel assinados e compatíveis com a integridade do código imposto pelo hipervisor

  • Somente Windows 10 Enterprise

  • Versão X64 do Windows

Além desses novos recursos, alguns componentes do Device Guard são ferramentas ou tecnologias existentes que foram incluídas nesta oferta estratégica de segurança para fornecer aos clientes o sistema operacional Windows mais seguro possível. O Device Guard destina-se a ser um conjunto de recursos de segurança do cliente a ser usado junto com outros recursos de resistência a ameaças disponíveis no sistema operacional Windows, alguns dos quais mencionados neste guia.

Integridade de código configurável

O sistema operacional Windows consiste em dois modos de operação: modo de usuário e modo kernel. A base do sistema operacional é executada no modo kernel, que é onde o sistema operacional Windows faz interface diretamente com os recursos de hardware. O modo de usuário é responsável principalmente por executar aplicativos e intermediar informações para e do modo kernel para solicitações de recursos de hardware. Por exemplo, quando um aplicativo em execução no modo de usuário precisa de mais memória, o processo de modo de usuário deve solicitar os recursos do kernel, não diretamente da RAM.

A integridade de código é o componente do sistema operacional Windows que verifica se o código que o Windows está executando provém de uma fonte confiável e é contra adulterações. Como o sistema operacional, o código de integridade do Windows contém dois componentes principais: a integridade de código do modo kernel (KMCI) e a integridade de código do modo de usuário (UMCI). A KMCI tem sido usada em versões recentes do sistema operacional Windows para proteger o modo kernel contra a execução de drivers não assinados. Embora eficazes, os drivers não são a única rota que esse malware pode usar para penetrar no espaço do modo kernel do sistema operacional. Entretanto, no Windows 10, a Microsoft criou requisitos para código do modo kernel integrado, bem como forneceu às empresas uma maneira de definir suas próprias políticas UMCI e KMCI. Começando com o serviço de integridade do código em si e continuando com as políticas que um cliente Windows usa para verificar se um aplicativo deve ter permissão para ser executado, a Microsoft tornou o Windows 10 mais seguro do que qualquer versão anterior do Windows. Historicamente, a UMCI esteve disponível somente no Windows RT e em dispositivos com Windows Mobile, o que tornou difícil infectar esses dispositivos com vírus e malware. Essas mesmas políticas UMCI bem-sucedidas estão disponíveis no Windows 10.

Historicamente, a maioria dos malware é não assinada. Simplesmente implantando políticas de integridade de código, as organizações se protegerão imediatamente contra malwares não assinados, que por estimativa têm sido responsáveis pela vasta maioria dos ataques atuais. Usando políticas de integridade de código, uma empresa também pode selecionar exatamente quais binários têm permissão para serem executados no modo de usuário e no modo kernel com base no signatário, no hash binário ou ambos. Quando completamente imposto, o modo de usuário no Windows funciona como algumas plataformas móveis, confiando e executando somente aplicativos específicos ou assinaturas específicas. Este recurso sozinho fundamentalmente altera a segurança em uma empresa. Essa segurança adicional não é limitada aos aplicativos do Windows e não exige uma reconfiguração do aplicativo para ser compatível com seus aplicativos existentes e possivelmente não assinados. Você pode executar a integridade de código configurável, independentemente do Device Guard, tornando-a disponível para dispositivos que não atendem aos requisitos de hardware do Device Guard.

Recursos de segurança de hardware e VBS

A funcionalidade principal e a proteção do Device Guard começa no nível do hardware. Dispositivos com processadores equipados com tecnologias SLAT e extensões de virtualização, como Intel VT x e AMD V, serão capazes de tirar vantagem de um ambiente de VBS que aumenta consideravelmente a segurança do Windows, isolando serviços… Windows essenciais do sistema operacional em si. Esse isolamento é necessário porque você deve presumir que o kernel do sistema operacional será comprometido, e você precisa de garantia de que alguns processos permanecerão seguros.

O Device Guard utiliza a VBS para isolar seu serviço de integridade de código de hipervisor (HVCI), que permite que o Device Guard proteja todos os processos e drivers do modo kernel contra explorações de vulnerabilidades e zero dias. A HVCI usa a funcionalidade de IOMMU do processador para forçar todos os softwares em execução no modo kernel a alocar memória com segurança. Isso significa que, depois que a memória foi alocada, seu estado deve ser alterado de gravável para somente leitura ou somente execução. Forçando a memória para esses estados, a HVCI ajuda a garantir que os ataques não consigam injetar código malicioso em processos e drivers do modo kernel por meio de técnicas como estouros de buffer ou pulverização de pilha. No final, o ambiente VBS protege o serviço HVCI do Device Guard contra falsificação mesmo que o kernel do sistema operacional tenha sido totalmente comprometido, e a HVCI protege os drivers e os processos do modo kernel para que um comprometimento dessa magnitude não possa ocorrer.

Outro recurso do Windows 10 que usa a VBS é a Proteção de Credenciais. A Proteção de Credenciais protege as credenciais executando o serviço de autenticação do Windows conhecido como LSA e, em seguida, armazenando as credenciais derivadas do usuário (por exemplo, hashes NTLM; tíquetes Kerberos) no mesmo ambiente VBS que o Device Guard usa para proteger seu serviço HVCI. Isolando o serviço LSA e as credenciais derivadas do usuário do modo de usuário e do modo kernel, um invasor que tenha comprometido o núcleo do sistema operacional ainda poderá adulterar a autenticação ou os dados de credencial derivados do acesso. A Proteção de Credenciais evita os tipos de ataque "pass-the-hash and ticket", que são fundamentais para o sucesso de praticamente todas as principais violações de rede das quais você já ouviu falar, o que torna a Proteção de Credenciais um dos recursos mais impactantes e importantes para implantar em seu ambiente. Para obter mais informações sobre como a Proteção de Credenciais complementa o Device Guard, consulte a seção Device Guard com Proteção de Credenciais.

Device Guard com AppLocker

Embora o AppLocker não seja considerado um novo recurso do Device Guard, você pode usá-lo para complementar a funcionalidade de integridade de código configurável quando a integridade de código forçada não puder ser totalmente implementada ou sua funcionalidade não abranger todos os cenários desejados. Há muitos cenários em que você pode usar políticas de integridade de código juntamente com as regras do AppLocker. Como prática recomendada, imponha políticas de integridade de código no nível mais restritivo possível para sua organização e use o AppLocker para ajustar as restrições para um nível inferior.

Observação  

Um exemplo em que a funcionalidade do Device Guard precisa da complementação do AppLocker é quando sua organização quer limitar quais aplicativos universais dos usuários da Windows Store podem ser instalados em um dispositivo. A Microsoft já validou aplicativos universais da Windows Store como confiáveis para serem executados, mas uma organização pode não querer permitir que aplicativos universais específicos sejam executados no seu ambiente. Você poderia usar uma regra do AppLocker para impor essa posição.

Em outro exemplo, você poderia habilitar uma política de integridade de código configurável para permitir que os usuários executassem todos os aplicativos de um fornecedor específico. Para fazer isso, você adicionaria a assinatura do fornecedor à política. Se a sua organização decidir que aplicativos específicos desse fornecedor devem ter permissão para serem executados, você adicionaria a assinatura do fornecedor à política de integridade de código configurável e, em seguida, usaria o AppLocker para determinar quais aplicativos específicos podem ser executados.

 

O AppLocker e o Device Guard podem ser executados lado a lado em sua organização, o que oferece o melhor dos dois recursos de segurança ao mesmo tempo e fornece a segurança mais abrangente para tantos dispositivos quanto possível. Além desses recursos, a Microsoft recomenda que você continue mantendo uma solução de antivírus corporativa para ter um portfólio de segurança corporativa bem consistente.

Device Guard com Proteção de Credenciais

Embora a Proteção de Credenciais não seja um recurso do Device Guard, muitas organizações provavelmente implantarão a Proteção de Credenciais junto com o Device Guard para ter proteção adicional contra roubo de credencial derivada. Semelhante à proteção baseada em virtualização do modo kernel através do serviço HVCI do Device Guard, a Proteção de Credenciais utiliza a tecnologia de hipervisor para proteger o serviço de autenticação do Windows (o LSA) e as credenciais derivadas dos usuários. Essa redução é direcionada para evitar o uso de técnicas "pass-the-hash" e "pass-the-ticket".

Como a Proteção de Credenciais usa VBS, ela é decisiva em sua capacidade de impedir que ataques "pass-the-hash" e "pass-the-ticket" ocorram em dispositivos com Windows 10. A Microsoft reconhece, no entanto, que a maioria das organizações terá uma mistura de versões do Windows em execução em seus ambientes. As reduções de risco em dispositivos incapazes de executar a Proteção de Credenciais no lado do cliente e no lado servidor estão disponíveis para ajudar nesse cenário. A Microsoft liberará detalhes para a TechNet sobre essas reduções de risco adicionais em um futuro próximo.

Capacidade de gerenciamento unificada por meio do Device Guard

Você pode gerenciar facilmente os recursos do Device Guard por meio de ferramentas familiares de gerenciamento do cliente e empresariais que o profissionais de TI usam todos os dias. Use as seguintes ferramentas de gerenciamento para habilitar e gerenciar o Device Guard:

  • Política de Grupo. O Windows 10 oferece um modelo administrativo que você pode usar para configurar e implantar as políticas de integridade de código configurável para sua organização. Esse modelo também permite que você especifique quais recursos de segurança baseada em hardware você gostaria de habilitar e implantar. Você pode gerenciar essas configurações com seus objetos de política de grupo existentes, tornando mais simples implementar os recursos do Device Guard. Além dos recursos de segurança baseada em hardware e da integridade de código, a política de grupo pode ajudar você a gerenciar seus arquivos de catálogo.

  • System Center Configuration Manager. Use o System Center Configuration Manager para simplificar a implantação e o gerenciamento de arquivos de catálogo, as políticas de integridade de código e os recursos de segurança baseada em hardware, bem como para fornecer o controle de versão.

  • Sistemas MDM. As organizações poderão usar sistemas do Microsoft Intune e MDM não Microsoft para a implantação e o gerenciamento de políticas de integridade de código e de arquivos de catálogo.

  • Windows PowerShell. Use o Windows PowerShell principalmente para criar e manter políticas de integridade de código. Essas políticas representam o componente mais impactante do Device Guard.

Essas opções fornecem a mesma experiência que você está acostumado para o gerenciamento de suas soluções empresariais de gerenciamento existentes.

ASLR (Address Space Layout Randomization)

Uma das técnicas mais comuns usadas para obter acesso a um sistema é encontrar uma vulnerabilidade em um processo privilegiado que já está em execução, adivinhar ou encontrar um local na memória onde códigos e dados importantes do sistema foram colocados, e substituir essas informações por uma carga mal intencionada. No início dos sistemas operacionais, qualquer malware que pudesse gravar diretamente na memória do sistema poderia fazer tal coisa; o malware simplesmente poderia substituir a memória do sistema em locais bem conhecidos e previsíveis.

A ASLR (Randomização de Layout de Espaço de Endereço) torna esse tipo de ataque muito mais difícil porque ela torna aleatório a forma e o local em que os dados são armazenados na memória. Com a ASLR, é mais difícil para o malware encontrar o local específico que ele precisa atacar. A Figura 4 ilustra como a ASLR funciona, mostrando como os locais de diferentes componentes essenciais do Windows podem mudar na memória entre as reinicializações.

Imagem 4

Figura 4. ASLR no trabalho

Embora a implementação da ASLR no Windows 7 tenha sido eficaz, ela não foi aplicada holisticamente em todo o sistema operacional e o nível de entropia (randomização de criptografia) não estava sempre no nível mais alto possível. Para diminuir a probabilidade de que ataques sofisticados como a pulverização de pilha fossem bem-sucedidos no sistema operacional Windows 8, a Microsoft aplicou a ASLR holisticamente em todo o sistema e aumentou o nível de entropia muitas vezes.

A implementação da ASLR no Windows 8 e no Windows 10 foi bastante aprimorada em relação ao Windows 7, especialmente com o sistema de 64 bits e os processos de aplicativos que podem tirar proveito de um espaço de memória muito maior, o que torna ainda mais difícil para o malware prever onde o Windows 10 armazena dados vitais. Quando usada em sistemas que tenham TPMs, a randomização de memória ASLR será cada vez mais exclusiva em todos os dispositivos, o que torna ainda mais difícil que uma exploração bem-sucedida que funciona em um sistema funcione confiavelmente em outro.

Prevenção de Execução de Dados

O malware depende da sua capacidade de colocar uma carga mal intencionada na memória para que ela seja executada mais tarde, e a ASLR tornará isso muito mais difícil. Não seria ótimo se você pudesse impedir que o malware fosse executado, se ele tivesse sido gravado em uma área que foi alocada apenas para o armazenamento de informações?

A DEP (Prevenção de Execução de Dados) faz exatamente isso, reduzindo consideravelmente o intervalo de memória que código malicioso pode usar para seu benefício. A DEP não usa o bit No eXecute em CPUs modernas para marcar blocos de memória como somente leitura para que eles não possam ser usados para executar código mal intencionado que pode ser inserido por meio de uma exploração de vulnerabilidade.

Devido à importância da DEP, os usuários não podem instalar o Windows 10 em um computador que não tenha funcionalidade DEP. Felizmente, a maioria dos processadores lançados desde meados dos anos 2000 tem suporte à DEP.

Se você quiser ver quais aplicativos usam DEP, execute estas etapas:

  1. Abra o Gerenciador de Tarefas: pressione Ctrl+Alt+Esc ou pesquise na tela inicial.

  2. Clique em Mais Detalhes (se necessário) e, em seguida, clique na guia Detalhes.

  3. Clique com botão direito do mouse em qualquer título de coluna e, em seguida, clique em Selecionar Colunas.

  4. Na caixa de diálogo Selecionar Colunas, marque a última caixa de seleção Prevenção de Execução de Dados.

  5. Clique em OK.

Agora você pode ver quais processos possuem a DEP habilitada. A Figura 5 mostra os processos em execução em um computador com Windows 10 com um único processo que não oferece suporte à DEP.

Figura 5

Figura 5. Processos nos quais a DEP foi habilitada no Windows 10

Pilha do Windows

A pilha é um local na memória que o Windows usa para armazenar dados dinâmicos do aplicativo. O Windows 10 continua a aprimorar os designs de pilha em versões anteriores do Windows, reduzindo mais o risco de explorações de pilha que poderiam ser usadas como parte de um ataque.

O Windows 10 tem várias melhorias importantes para a segurança de pilha em relação ao Windows 7:

  • Estruturas de dados internas que a pilha usa agora estão melhor protegidas contra corrupção de memória.

  • As alocações de memória de pilha agora têm locais e tamanhos aleatórios, o que torna mais difícil para um invasor prever o local de memória crítico para sobregravar. Especificamente, o Windows 10 adiciona um deslocamento aleatório ao endereço de uma pilha recém-alocada, o que torna a alocação muito menos previsível.

  • O Windows 10 usa "páginas de proteção" antes e depois de blocos de memória como tripwires. Se um invasor tentar gravar após um bloco de memória (uma técnica comum conhecida como estouro de buffer), ele terá que substituir uma página de proteção. Qualquer tentativa de modificar uma página de proteção é considerada um corrupção da memória, e o Windows 10 responde instantaneamente encerrando o aplicativo.

O Windows 10 resolve ataques de pilha conhecidos que poderiam ser usados para comprometer um computador que executa versões anteriores do Windows.

Reservas de memória

Os 64 KB mais baixos da memória de processo são reservados para o sistema. Os aplicativos não têm permissão para alocar essa parte da memória, o que torna mais difícil para o malware sobregravar estruturas de dados críticas do sistema na memória.

Proteção do Fluxo de Controle

Quando os aplicativos são carregados na memória, eles são espaços alocados com base no tamanho do código, da memória solicitada e de outros fatores. Quando um aplicativo começa a executar código, ele chama um código adicional localizado em outros endereços de memória. As relações entre os locais de código são bem conhecidas. Elas são gravadas no código em si. Mas antes do Windows 10, o fluxo entre esses locais não era forçado, o que dá aos invasores a oportunidade de alterar o fluxo para atender às suas necessidades. Em outras palavras, uma exploração de aplicativo tira vantagem desse comportamento, executando um código que o aplicativo normalmente não executaria.

Esse tipo de ameaça é reduzido no Windows 10 por meio do recurso CFG (Proteção de Fluxo de Controle). Quando um aplicativo confiável que foi compilado para usar CFG chama o código, o CFG verifica se o local do código chamado é confiável para execução. Se a localização não for confiável, o aplicativo é encerrado imediatamente como um potencial risco à segurança.

Um administrador não pode configurar o CFG; em vez disso, um desenvolvedor de aplicativo pode tirar proveito do CFG, configurando-o quando o aplicativo é compilado. Os administradores devem pensar em pedir aos desenvolvedores de aplicativos e aos fornecedores de software que forneçam aplicativos Windows confiáveis compilados com o CFG habilitado. Obviamente, os navegadores são um ponto de entrada essencial para os ataques; portanto, o Microsoft Edge, o IE e outros recursos do Windows aproveitam ao máximo o CFG.

Processos protegidos

Benjamin Franklin disse uma vez "antes prevenir do que remediar". Sua sabedoria aplica-se diretamente à segurança do computador. A maioria dos controles de segurança são projetados para impedir o ponto inicial de infecção. O raciocínio é que, se um malware não pode infectar o sistema, o sistema é imune a malware.

Entretanto, nenhum computador é imune a malware. Apesar de todos os melhores controles de prevenção, o malware finalmente pode encontrar uma maneira de infectar qualquer sistema operacional ou plataforma de hardware. Sendo assim, embora a prevenção com uma estratégia de defesa abrangente seja importante, ela não pode ser o único tipo de controle de malware.

O cenário de segurança essencial é presumir que o malware está em execução em um sistema, mas limitar o que ele pode fazer. O Windows 10 tem controles de segurança e recursos de design implantados para reduzir o comprometimento causado por infecções por malware existentes. Os processos protegidos são um recurso desse tipo.

Com os processos protegidos, o Windows 10 impede que processos não confiáveis interajam ou falsifiquem aqueles que foram assinados especialmente. Os processos protegidos definem os níveis de confiança dos processos. Processos menos confiáveis são impedidos de interagir e, portanto, atacar processos mais confiáveis. O Windows 10 usa os processos protegidos mais amplamente em todo o sistema operacional e, pela primeira vez, você pode inserir soluções antimalware no espaço de processo protegido, o que ajuda a tornar as soluções de sistema e antimalware menos suscetíveis à violação por malware que consegue chegar ao sistema.

Proteger a área de trabalho do Windows

O Windows 10 inclui melhorias críticas no núcleo do Windows e do ambiente de área de trabalho, onde ataques e malwares entram com mais frequência. O ambiente de área de trabalho agora é mais resistente a malwares, graças às melhorias significativas do Windows Defender e dos Filtros SmartScreen. A navegação na Internet é uma experiência mais segura por causa do Microsoft Edge, um navegador totalmente novo. A Windows Store reduz a probabilidade de um malware infectar dispositivos, garantindo que todos os aplicativos que entram no ecossistema da Windows Store tenham sido revisados completamente antes de serem disponibilizados. Os aplicativos universais do Windows são inerentemente mais seguros do que os aplicativos típicos porque eles estão em área restrita. A área restrita restringe o risco de o aplicativo ser comprometido ou adulterado de maneira a colocar o sistema, os dados e outros aplicativos em risco.

As próximas seções descrevem as melhorias do Windows 10 na segurança dos aplicativos mais detalhadamente.

Microsoft Edge e Internet Explorer 11

A segurança do navegador é um componente essencial de qualquer estratégia de segurança e por um bom motivo: o navegador é a interface do usuário com a Internet, um ambiente que é literalmente sobrecarregado de sites mal intencionados e conteúdo aguardando para atacar. A maioria dos usuários não pode realizar pelo menos parte do seu trabalho sem um navegador, e muitos usuários dependem totalmente de um. Essa realidade tornou o navegador o caminho número um do qual os hackers mal intencionados iniciam seus ataques.

Todos os navegadores permitem uma quantidade de extensibilidade para fazer coisas além do escopo original do navegador. Dois exemplos comuns são extensões Flash e Java que permitem que seus respectivos aplicativos sejam executados em um navegador. Manter o Windows 10 seguro para navegação na Web e aplicativos, especialmente para esses dois tipos de conteúdo, é uma prioridade.

A Microsoft incluiu um navegador totalmente novo, Microsoft Edge, no Windows 10. O Microsoft Edge é mais seguro de várias maneiras, especialmente:

  • O Microsoft Edge não oferece suporte a extensões de binários que não são da Microsoft. O Microsoft Edge dá suporte a conteúdo em Flash e à visualização de PDF por padrão através de extensões internas, mas não há outras extensões de binários, incluindo controles ActiveX e Java.

  • O Microsoft Edge executa processos de 64 bits Um computador de 64 bits executando uma versão mais antiga do Windows geralmente é executado no modo de compatibilidade de 32 bits para dar suporte a extensões mais antigas e menos seguras. Ao ser executado em um computador de 64 bits, Microsoft Edge executa apenas processos de 64 bits, que são muito mais seguros quando vulnerabilidades são detectadas e são feitas tentativas de explorá-las.

  • O Microsoft Edge é projetado como um aplicativo Universal do Windows. Ele é inerentemente compartimentalizado e é executado em um AppContainer que protege o navegador do sistema, dados e outros aplicativos. O IE11 no Windows 10 também pode tirar proveito da mesma tecnologia de AppContainer através do modo de proteção avançado. No entanto, como ele pode ser executar ActiveX e BHOs, o navegador e a área restrita estão suscetíveis a uma variedade muito maior de ataques que o Microsoft Edge.

  • O Microsoft Edge simplifica as tarefas de configuração de segurança. Como o Microsoft Edge usa uma estrutura de aplicativo simplificada e uma configuração de área restrita única, há menos configurações de segurança necessárias. Além disso, a Microsoft criou as configurações padrão do Microsoft Edge que se alinham com as práticas recomendadas de segurança, o que o torna seguro por padrão.

Além do Microsoft Edge, a Microsoft incluiu o IE11 no Windows 10 principalmente para compatibilidade com versões anteriores com sites e extensões de binários que não funcionam com o Microsoft Edge. Ele não deve ser configurado como o navegador principal, mas como uma alternativa automática ou opcional, conforme mostrado na Figura 6.

Figura 6

Figura 6. Configure o Windows 10 para alternar do Microsoft Edge para o IE11 para compatibilidade com versões anteriores.

A recomendação da Microsoft é usar o Microsoft Edge como navegador da web principal porque ele fornece compatibilidade com a Web moderna e a melhor segurança possível. Para sites que exigem compatibilidade do IE11, incluindo aqueles que exigem extensões de binários e plug-ins, habilite o modo Empresarial e use a lista de sites do modo Enterprise para definir quais sites têm a dependência. Se configurado, quando os usuários usam o Microsoft Edge e ele identifica um site que requer o IE11, eles serão automaticamente transferidos para o IE11.

O Filtro SmartScreen

As versões recentes do Windows têm muitas técnicas eficazes para impedir que o malware se instale sem o conhecimento do usuário. Para contornar essas restrições, os ataques de malware usam com frequência técnicas de engenharia social para enganar os usuários para executar o software. Por exemplo, um malware conhecido como um cavalo de Troia finge ser algo útil, por exemplo, um utilitário, mas carrega uma carga adicional, mal intencionada.

A partir do Windows Internet Explorer 8, o Filtro SmartScreen ajudou a proteger os usuários contra aplicativos maliciosos e sites mal intencionados usando o serviços de reputação de URL e aplicativos do Filtro SmartScreen. O Filtro SmartScreen no Internet Explorer deve verificar URLs e aplicativos baixados recentemente com base em um serviço de reputação online mantido pela Microsoft. Se o aplicativo ou a URL não eram conhecidos por serem seguros, o Filtro SmartScreen avisava ao usuário ou até impedia o carregamento do aplicativo ou da URL, dependendo de como os administradores de sistemas tinham configurado as definições de política de grupo.

Para o Windows 10, a Microsoft desenvolveu ainda mais o Filtro SmartScreen, integrando suas habilidades de reputação de aplicativo no sistema operacional em si, o que permite que o filtro proteja os usuários, independentemente do navegador da Web que eles estão usando ou do caminho que o aplicativo usa para chegar no dispositivo (por exemplo, email, unidade flash USB). Na primeira vez em que um usuário executa um aplicativo que se origina da Internet, mesmo se o usuário copiá-lo de outro computador, o Filtro SmartScreen verifica a reputação do aplicativo, usando assinaturas digitais e outros fatores em um serviço que a Microsoft mantém. Se o aplicativo não tem uma boa reputação ou é conhecido por ser mal intencionado, o Filtro SmartScreen avisa ao usuário ou bloqueia a execução inteiramente, dependendo de como o administrador tiver configurado a política de grupo (ver Figura 7).

Figura 7

Figura 7. O Filtro SmartScreen funcionando no Windows 10

Por padrão, os usuários têm a opção de ignorar a proteção do Filtro SmartScreen para que ele não impeça um usuário de executar um aplicativo legítimo. Você pode usar as configurações do Painel de Controle ou da política de grupo para desabilitar o Filtro SmartScreen ou impedir completamente que os usuários executem aplicativos que o Filtro SmartScreen não reconhece. As configurações do Painel de Controle são mostradas na Figura 8.

Figura 8

Figura 8. As opções de configuração do Windows SmartScreen no Painel de Controle

Se você quiser experimentar o Filtro SmartScreen, use o Windows 7 para baixar este arquivo de malware simulado (mas não perigoso):freevideo.exe. Salve-o no seu computador e depois execute-o a partir do Windows Explorer. Conforme mostrado na Figura 9, o Windows executa o aplicativo sem muito aviso. No Windows 7, você pode receber uma mensagem de aviso sobre o aplicativo não ter um certificado, mas pode ignorá-la facilmente.

Figura 9

Figura 9. O Windows 7 permite que o aplicativo seja executado

Agora, repita o teste em um computador que executa o Windows 10, copiando o arquivo para um computador com Windows 10 ou baixando o arquivo novamente e salvando-o em seu computador local. Execute o arquivo diretamente do Explorador de Arquivos e o Filtro SmartScreen irá avisá-lo antes que ele tenha permissão para ser executado. Dados da Microsoft mostram que para a grande maioria dos usuários, esse aviso extra é suficiente para salvá-los de uma infecção por malware.

Aplicativos Universais do Windows

A boa notícia é que o download e uso de aplicativos Universais do Windows ou até mesmo de aplicativos Clássicos do Windows (Win32) da Windows Store reduzirão consideravelmente a probabilidade de você encontrar malwares em seu computador porque todos os aplicativos passam por um processo de triagem cuidadoso antes de serem disponibilizados na loja. Os aplicativos que as organizações compilam e distribuem por meio de processos de sideload precisam ser analisados internamente para garantir que atendam aos requisitos de segurança da organização.

Independentemente de como os usuários adquirirem os aplicativos Universais do Windows, eles podem usá-los com mais confiança. Ao contrário dos aplicativos Clássicos do Windows, que podem ser executados com privilégios elevados e ter acesso potencial ao sistema e aos dados, os aplicativos Universais do Windows são executados em uma área restrita do AppContainer com privilégios e recursos limitados. Por exemplo, os aplicativos Universais do Windows não têm acesso no nível do sistema, têm interações estritamente controladas com outros aplicativos, e não têm acesso aos dados, a menos que o usuário conceda explicitamente a permissão ao aplicativo.

Além disso, todos os aplicativos Universais do Windows seguem o princípio de segurança de privilégios mínimos. Os aplicativos recebem somente os privilégios mínimos de que precisam para realizar suas tarefas legítimas, portanto, mesmo que um invasor explore um aplicativo, os danos que a exploração pode causar são muito limitados e devem estar contidos em uma área restrita. A Windows Store exibe as funcionalidades exatas que o aplicativo requer (por exemplo, acesso à câmera), juntamente com a classificação etária e o fornecedor do aplicativo.

Por fim, o processo de distribuição de aplicativos da Windows Store e os recursos de área restrita de aplicativos do Windows 10 reduzem drasticamente a probabilidade de que os usuários encontrem aplicativos mal intencionados no sistema.

Windows Defender

Os softwares antimalware, também chamados genericamente de verificadores de vírus, antivírus, e uma série de outros nomes, existem há um longo tempo. A Microsoft lançou seu primeiro programa dessa categoria, o Microsoft Anti-Virus, em 1993 para MS DOS 6.0. Na época, a abordagem de executar um programa de MS DOS independente para localizar e remover vírus era suficiente.

Os tempos mudam e a tecnologia avança, e os softwares antimalware também evoluíram. É essencial ter várias camadas de defesa com interoperabilidade ao gerenciar ameaças modernas. O Windows Defender usa o sistema operacional amplamente para alcançar a interoperabilidade entre as diferentes camadas de defesa. É importante ter uma solução antimalware eficaz implantada como um obstáculo importante entre o malware e os ativos corporativos, e ela complementa recursos como o Device Guard. Por exemplo, uma solução antimalware poderia ajudar a detectar comportamento mal intencionado na memória ou até mesmo em aplicativos confiáveis, uma área com a qual o Device Guard não foi projetado para lidar.

O Windows Defender evoluiu para atender à crescente complexidade da TI e aos desafios que vêm com essa complexidade. O Windows incluiu o Windows Defender, uma solução antimalware de caixa de entrada robusta, começando com o Windows 8. Agora, com o Windows 10, a Microsoft melhorou significativamente o Windows Defender.

O Windows Defender no Windows 10 usa uma abordagem em quatro fases para melhorar o antimalware: contexto local avançado, sensores globais extensivos, verificação contra adulterações e a capacitação de profissionais de TI. Esta seção explica cada fase.

O Contexto local, avançado aprimora a forma em que o malware é identificado. O Windows 10 informa ao Windows Defender não apenas sobre conteúdo como arquivos e processos, mas também de onde o conteúdo provém, onde ele foi armazenado, e muito mais. As informações sobre a origem e o histórico permitem que o Windows Defender aplique níveis de apuração diferentes o conteúdo distinto.

Por exemplo, um aplicativo baixado da Internet seria mais intensamente examinado que um aplicativo instalado em um servidor confiável. O Windows 10 mantém o histórico do aplicativo originado da Internet no nível do sistema operacional para que o aplicativo não possa apagar seus próprio rastros. O histórico é controlado e armazenado pelo Persisted Store, um novo recurso do Windows 10 que gerencia com segurança o contexto local avançado e impede a modificação ou a exclusão não autorizada. As melhorias no contexto local avançado também ajudam a impedir que os malwares usem táticas como ofuscação para escapar da detecção.

O contexto local também se estende à forma de o software antimalware expor as interfaces. O Windows Defender implementa a AMSI (Antimalware Scan Interface), uma interface pública genérica padrão que permite que aplicativos e serviços solicitem ao Windows Defender para verificar e analisar o código ofuscado antes da execução. A AMSI está disponível para qualquer aplicativo e solução antimalware implementar. No Windows 10, a AMSI é acessível por meio do Windows PowerShell, Windows Script Host, JavaScript e Microsoft JScript.

No Windows 10, a Microsoft implementou uma nova tecnologia que permite que o Windows Defender funcione juntamente com as solicitações UAC (controle de conta de usuário). Quando o sistema UAC é acionado, ele solicita uma verificação do Windows Defender antes de solicitar a elevação. O Windows Defender verifica o arquivo ou o processo e determina se é mal intencionado. Se ele for mal intencionado, o usuário verá uma mensagem que explica que o Windows Defender bloqueou a execução do arquivo ou do processo. Se não for mal intencionado, o UAC será executado e exibirá o aviso de solicitação de elevação usual.

Os Sensores globais extensivos ajudam a manter o Windows Defender atualizado e informado até mesmo do malware mais recente. Isso é feito de duas maneiras: coletando os dados de contexto local avançado de pontos de extremidade e analisando centralmente esses dados. O objetivo é identificar o malware novo e emergente e bloqueá-lo nas primeiras horas críticas de seu ciclo de vida para limitar a exposição ao ecossistema mais amplo do computador.

Com o Windows Defender no Windows 8, a Microsoft introduziu primeiro a proteção de nuvem do Windows Defender, que ajuda a melhor reagir no cenário de malware em rápida evolução. O objetivo é bloquear o malware na "primeira vez em que é visto" nas primeiras horas críticas de um ataque de malware.

Para ajudar a preservar a privacidade dos clientes, a Microsoft permite que os clientes consintam em ativar ou desativar o sistema. Para participar, você simplesmente escolhe o programa. Para aceitar o Windows 10, clique em Configurações, em Atualização e Segurança e em Windows Defender. As opções de consentimento são mostradas na Figura 10.

Figura 10

Figura 10. Configurações de consentimento do Windows Defender no Windows 10

Obviamente, os administradores do sistema têm o controle centralizado de todas as configurações do Windows Defender por meio da política de grupo. As definições de configuração do Windows Defender são mostradas em Computer Configuration/Windows Components/Windows Defender, como mostrado na Figura 11.

Figura 11

Figura 11. As configurações do Windows Defender na política de grupo: as opções de envio de exemplo estão listadas em MAPS

A Verificação contra adulterações é a proteção do Windows Defender em si contra ataques de malware. Os criadores de malware pressupõem que o software antimalware é implementado na maioria dos computadores. Muitos criadores de malware optam por superar esse obstáculo, criando malwares que modificam o software antimalware de alguma maneira, tal como desativando a verificação em tempo real ou ocultando processos específicos. Alguns tipos de malware vão tão longe quanto desabilitar completamente o software antimalware, fazendo ele parecer totalmente funcional para o usuário.

O Windows Defender é projetado para resistir à falsificação. Ele usa várias tecnologias de segurança disponíveis no Windows 10, a principal delas é o Protected Processes, que impede que processos não confiáveis tentem violar componentes do Windows Defender, chaves do Registro e assim por diante. A verificação contra adulterações no Windows Defender também é o resultado indireto de componentes de segurança de todo o sistema, incluindo UEFI com Inicialização Segura e ELAM. Esses componentes ajudam a fornecer um ambiente mais seguro no qual o Windows Defender pode iniciar antes de começar a se defender.

A Capacitação de profissionais de TI significa que o Windows Defender oferece aos profissionais de TI as ferramentas e as opções de configuração necessárias para torná-lo uma solução antimalware de classe empresarial. Ele possui vários recursos de nível empresarial que o coloca no mesmo nível dos principais produtos dessa categoria:

  • A integração com o software de gerenciamento centralizado, incluindo Microsoft Intune, System Center Configuration Manager e Microsoft System Center Operations Manager. Ao contrário do Windows 8.1, nenhum cliente adicional é necessário, pois o Windows Defender agora está integrado ao Windows e apenas uma camada de gerenciamento precisa ser adicionada.

  • O Windows Defender dá suporte ao padrão Open Mobile Alliance Device Management para o gerenciamento centralizado por muitas soluções de gerenciamento de dispositivo que não são da Microsoft.

  • Ele inclui linha de comando clássica integrada e o suporte a cmdlet do Windows PowerShell.

  • O suporte para relatório e gerenciamento de aplicativo do Windows Management Instrumentation é integrado.

  • A integração total com a política de grupo oferece gerenciamento de configuração de TI completo.

Além disso, o Windows Defender agora integra a Windows Defender Offline Tool, que anteriormente necessitava da criação de uma versão autônoma inicializável do Windows Defender no Ambiente de Recuperação do Windows. Isso simplifica o processo de correção de infecções de malware de baixo nível, que podem ser difíceis de detectar e remover com a solução antimalware em execução na área de trabalho do Windows. Você pode atualizar assinaturas para esse ambiente automaticamente a partir da experiência do Windows Defender Offline.

Além do Windows Defender, o Windows 10 oferece acesso profundo ao sistema operacional para produtos antimalware. Os fornecedores de antimalware não Microsoft podem tirar proveito das novas interfaces e APIs da Microsoft para obter acesso sem precedentes aos recursos do Windows 10 para detecção e remoção de malware. As soluções antimalware não Microsoft podem implementar drivers ELAM, que analisam o Windows 10 enquanto ele está no seu processo de inicialização inicial. O amplo conjunto de novas interfaces de baixo nível permite que as soluções antimalware não Microsoft executem a detecção de malware avançada de uma forma que permite que elas mantenham a compatibilidade do aplicativo mesmo quando a Microsoft não faz alterações significativas nos componentes internos do Windows, como muitas vezes é feito entre versões do sistema operacional principal.

No entanto, esse acesso apresenta um desafio de segurança: como o Windows 10 concede acesso completo ao software antimalware, garantindo que o malware não aproveite o mesmo acesso? A Microsoft tem trabalhado arduamente com vários fornecedores de software não Microsoft para superar esse desafio. Se um terceiro quiser esse nível de acesso, ele deverá atender a determinados critérios e requisitos de verificação e, em seguida, a Microsoft deve assinar digitalmente seu software. Isso permite que a Microsoft verifique a autenticidade dos fornecedores de software e impede que pessoas mal intencionadas criem seus próprios verificadores de malware falsos autoassinados.

Para ser claro, a Microsoft não está restringindo os fornecedores de antimalware ou suas inovações. Nem alterando canais de distribuição de software da Microsoft. Quando a Microsoft tiver assinado o aplicativo antimalware, você poderá implantá-lo e instalá-lo por qualquer meio. A Microsoft está basicamente garantindo que esses desenvolvedores de software são entidades autênticas, reconhecidas no mercado, antes de assinar seu software antimalware e, dessa forma, concedendo privilégios estendidos para ele.

Outra ameaça de segurança que os clientes enfrentam particularmente em cenários de consumidor e traga seu próprio dispositivo (BYOD) é um produto antimalware desabilitado ou desatualizado. Um computador BYOD que tenha um produto antimalware instalado, mas ineficiente, pode ser mais perigoso que nenhum produto, pois ele oferece a ilusão de segurança. O Windows Defender no Windows 10 reduz essa ameaça, ajudando a garantir que o Windows Defender ou a solução não Microsoft preferencial do cliente esteja em execução e em um estado íntegro.

Sempre que a proteção em tempo real não Microsoft esteja em um estado inoperante (por exemplo, desabilitada, expirada) por 24 horas, o Windows Defender é ativado automaticamente para garantir que o dispositivo esteja protegido. O Windows tenta ajudar o usuário a corrigir o problema com a solução antimalware não Microsoft, avisando 5 dias antes de o software expirar. Se a solução expirar, o Windows habilitará o Windows Defender e continuará a lembrar o usuário para renovar a solução não Microsoft. Quando o usuário atualiza ou reativa a solução, o Windows Defender é desabilitado automaticamente. Por fim, o objetivo é garantir que uma solução antimalware operável está sendo executada em todos os momentos.

Conclusão

O Windows 10 é o apogeu de muitos anos de esforço da Microsoft, e seu impacto de uma perspectiva da segurança será significativo. Muitos de nós ainda lembramos dos anos do Windows XP, quando os ataques ao sistema operacional Windows, aos aplicativos e aos dados aumentou em volume e se converteu em ameaças sérias. Com as plataformas e as soluções de segurança existentes que você provavelmente já implantou, você está melhor protegido do que nunca. Mas como os invasores se tornaram mais avançados, não há dúvida de que eles superaram sua capacidade de defender sua organização e os usuários. A evidência desse fato pode ser encontrada nas notícias praticamente todos os dias, mesmo que outra grande organização tenha sido vítima. Especificamente, a Microsoft projetou o Windows 10 para lidar com essas ameaças e táticas modernas dos adversários mais avançados. Ele realmente pode mudar o jogo para sua organização, e pode restabelecer sua vantagem contra aqueles que gostariam de fazer de você a próxima vítima.

Tópicos relacionados

Especificações do Windows 10

CSP HealthAttestation

Tornando o Windows 10 mais pessoal e mais seguro com o Windows Hello

Proteger o BitLocker contra ataques de pré-inicialização