Novidades na segurança do Windows 10
Há várias melhorias de segurança de cliente importantes que a Microsoft fez no Windows 10. Essas melhorias se concentram em três áreas principais — resistência a ameaça, proteção de identidade e controle de acesso. Além de uma visão geral dos recursos propriamente ditos, este artigo discute os requisitos de hardware para cada novo recurso e oferece recomendações de configuração e links para recursos mais detalhados.
A Microsoft projetou o sistema operacional Windows 10 para ser a versão mais segura do sistema operacional Windows até o momento. Para atingir esse meta, o Windows 10 emprega recursos de hardware avançados e agora amplamente disponíveis para ajudar a proteger os usuários e os dispositivos contra ameaças cibernéticas modernas. Com milhares de novas variantes de malware descobertas diariamente e as técnicas de ataques mal-intencionados evoluindo rapidamente, nunca antes a segurança do cliente do Windows foi tão importante. No Windows 10, as organizações podem implantar novos recursos de segurança resistentes a ameaças que fortalecem o sistema operacional de maneiras que possam trazer benefícios em cenários de dispositivo de propriedade corporativa e BYOD (Traga seu próprio dispositivo), assim como dispositivos para casos de uso especiais, como quiosques, caixas eletrônicos e sistemas PoS (ponto de venda). Esses novos recursos resistentes a ameaças são modulares, ou seja, eles foram criados para serem implantados juntos, embora você também possa implementá-los individualmente. Com todos esses novos recursos habilitados juntos, as organizações podem se proteger imediatamente contra a maioria das ameaças e malware mais sofisticados de hoje em dia.
Além das novas e impactantes reduções de ameaças, o Windows 10 inclui várias melhorias importantes na proteção de informações embutida, incluindo o novo componente de prevenção contra perda de dados (DLP). Essas melhorias permitem que as organizações separem facilmente os dados pessoais e corporativos, definam quais aplicativos têm acesso aos dados comerciais, e determinem como os dados podem ser compartilhados (por exemplo, copiar e colar). Ao contrário de outras soluções DLP, a Microsoft integrou essa funcionalidade profundamente na plataforma Windows, oferecendo o mesmo tipo de recursos de segurança que as soluções baseadas em contêiner oferecem, mas sem alterar as experiências do usuário, como exigir alterações de modo ou troca de aplicativos.
Por fim, novos recursos de controle de acesso e proteção de identidade tornam mais fácil implementar a autenticação de dois fatores (2FA) em toda a empresa, o que ajuda as organizações a se livrarem das senhas. O Windows 10 apresenta o Microsoft Passport, uma nova credencial de usuário 2FA inserida diretamente no sistema operacional, que os usuários podem acessar com um PIN ou um novo recurso controlado por biometria chamado Windows Hello. Juntas, essas tecnologias fornecem uma experiência de logon simples para os usuários, com a segurança robusta da autenticação multifator (MFA). Diferentemente das soluções multifatores de terceiros, o Microsoft Passport é projetado especificamente para a integração com o Active Directory do Microsoft Azure (AD do Azure) e ambientes híbridos do Active Directory, e requer manutenção e configuração administrativas mínimas.
Resistência a ameaças
O cenário de ameaças de segurança atual é de ameaças agressivas e obstinadas. Nos anos anteriores, invasores mal-intencionados se concentravam principalmente em receber o reconhecimento da comunidade por meio de seus ataques e diversão pessoal de estar temporariamente colocando um sistema offline. Desde então, a motivação dos invasores passou a ser a monetização de seus ataques, o que inclui o sequestro de computadores e dados até os proprietários pagarem o resgate exigido e a exploração de informações valiosas que os invasores descobrem para obter ganho monetário. Ao contrário desses exemplos, os ataques modernos cada vez mais se concentram no roubo de propriedade intelectual em grande escala; na degradação do sistema visado que resulta em perda financeira; e agora até mesmo o cyberterrorismo que ameaça a segurança de indivíduos, empresas e interesses nacionais em todo o mundo. Esses invasores são geralmente indivíduos altamente treinados e especialistas em segurança, alguns dos quais estão a serviço de estados nacionais que possuem grandes orçamentos, recursos humanos aparentemente ilimitados e motivações desconhecidas. Ameaças como essas exigem uma abordagem diferente e mitigações que podem atender ao desafio.
O Windows 10 introduz vários novos recursos de segurança que ajudam a reduzir as ameaças modernas e a proteger as organizações contra invasores cibernéticos, independentemente da motivação. A Microsoft fez investimentos significativos no Windows 10 para torná-lo o sistema operacional Windows mais resistente a malware até o momento. Em vez de simplesmente adicionar defesas ao sistema operacional, como foi o caso em versões anteriores do Windows, a Microsoft introduz alterações de arquitetura no Windows 10 que lidam com classes inteiras de ameaças. Alterando fundamentalmente a forma em que o sistema operacional funciona, a Microsoft tenta tornar o Windows 10 muito mais difícil de explorar pelos invasores modernos. Os novos recursos do Windows 10 incluem o Device Guard, a integridade de código configurável, a VBS (segurança baseada em virtualização) e melhorias no Windows Defender, para citar apenas alguns. Habilitando todos esses novos recursos ao mesmo tempo, as organizações podem se proteger imediatamente contra os tipos de malware responsáveis por aproximadamente 95% dos ataques modernos.
Segurança baseada na virtualização
No mundo do servidor, as tecnologias de virtualização como o Microsoft Hyper-V se mostraram extremamente eficazes para isolar e proteger VMs (máquinas virtuais) no data center. Agora, com esses recursos de virtualização se tornando mais abrangentes em dispositivos modernos de cliente, há uma oportunidade incrível para novos cenários de segurança de cliente do Windows. O Windows 10 pode usar a tecnologia de virtualização para isolar serviços essenciais do sistema operacional em um ambiente separado, virtualizado, semelhante a uma VM. Esse nível adicional de proteção, chamado de segurança baseada em virtualização, garante que ninguém poderá manipular esses serviços, mesmo se o modo kernel do sistema operacional do host for comprometido.
Assim como acontece com o Hyper-V, o próprio Windows pode tirar vantagem dos processadores equipados com tecnologia SLAT (conversão de endereços de segundo nível) e extensões de virtualização, tais como Intel Virtualization Technology (VT) x e AMD V, para criar um ambiente de execução seguro para funções e dados confidenciais do Windows. Esse ambiente VBS protege os serviços a seguir:
HVCI (Integridade de Código de Hipervisor (HVCI). O serviço HVCI do Windows 10 determina se o código em execução no modo kernel foi projetado com segurança e é confiável. Ele oferece recursos de proteção contra exploração de vulnerabilidade e Zero Day, garantindo que todos os softwares em execução no modo kernel, incluindo drivers, alocam memória com segurança e funcionam da forma esperada. No Windows 10, a integridade de código do modo kernel é configurável, o que permite que as organizações dimensionem a execução do código de pré-inicialização de acordo com sua configuração desejada. Para saber mais sobre a integridade do código configurável no Windows 10, veja a seção Integridade do código configurável.
LSA (Autoridade de Segurança Local). O serviço LSA no Windows gerencia as operações de autenticação, incluindo mecanismos NT LAN Manager (NTLM) e Kerberos. No Windows 10, o recurso Credential Guard isola uma parte desse serviço e ajuda a mitigar as técnicas "pass-the-hash" e "pass-the-ticket" protegendo as credenciais do domínio. Além das credenciais de logon, essa proteção é estendida às credenciais armazenadas no Gerenciador de Credenciais. Para saber mais sobre o Credential Guard, veja a seção Credential Guard.
Observação
Para determinar se a virtualização tem suporte para um modelo de computador cliente, basta executar systeminfo em uma janela de prompt de comando.
A VBS fornece a estrutura básica para algumas das mitigações mais impactantes que o Windows 10 oferece. É crucial ter computadores cliente em sua organização que possam usar essa funcionalidade para resistência a ameças modernas. Para saber mais sobre os recursos de hardware específicos que cada recurso do Windows 10 requer, incluindo VBS, veja a seção Considerações de hardware do Windows 10.
Device Guard
O Microsoft Device Guard é um conjunto de recursos que combina recursos de proteção à integridade do sistema que revolucionam a segurança do Windows, tirando proveito das novas opções de VBS para proteger o núcleo do sistema e um modelo de não confiar em nada que você vê nos sistemas operacionais de dispositivo móvel. Esse conjunto de recursos tira proveito dos melhores recursos pré-existentes de proteção do Windows (por exemplo, Inicialização Segura do UEFI [Unified Extensible Firmware], Inicialização Confiável do Windows) e, em seguida, combina-os com novos recursos de controle de aplicativo poderosos como o serviço HVCI habilitado por VBS e integridade de código configurável, que juntos ajudam a evitar que explorações de vulnerabilidade e que aplicativos não autorizados sejam executados nos modos de usuário e kernel. Para saber mais sobre VBS no Windows 10 e os recursos adicionais que o utilizam, veja a seção Segurança baseada em virtualização. Para saber mais sobre integridade de código configurável, veja a seção Integridade de código configurável.
Embora a Microsoft tenha a intenção de executar o conjunto de recursos do Device Guard junto com os novos recursos de segurança do Windows, tal como o Credential Guard, ele pode ser executado independentemente. Dependendo dos recursos de cliente da sua organização, você pode escolher seletivamente os recursos que façam sentido para a compatibilidade de ambiente e do dispositivo. Para saber mais sobre os requisitos de hardware do Device Guard e outros recursos de segurança do Windows 10, veja a seção Considerações de hardware do Windows 10. Para saber mais sobre o Credential Guard, veja a seção Credential Guard.
Para a maioria das organizações, implementar a funcionalidade específica do Device Guard dependerá da função do dispositivo e seu usuário principal, empregando mais recursos em dispositivos de carga de trabalho única, como quiosques, e menos recursos em computadores administrativos através dos quais os usuários têm permissão de controle total. Usando esse modelo, as organizações de TI podem categorizar os usuários em grupos que se alinham com as políticas de segurança do Device Guard referentes à segurança do dispositivo e às restrições de integridade do código. Para saber mais sobre integridade de código configurável, veja a seção Integridade de código configurável.
Novos desktops e notebooks estarão disponíveis para agilizar as iniciativas de implementação do Device Guard. Os dispositivos prontos para Device Guard exigirão o mínimo de interação física com o dispositivo real até ele estar pronto para uso. Futuramente, todos os dispositivos estarão em uma destas três categorias:
Compatível com Device Guard. Esses dispositivos atenderão a todos os requisitos de hardware do Device Guard. Você ainda precisará preparar corretamente os dispositivos com componentes que exigem habilitação ou configuração para implantação do Device Guard. Os drivers de dispositivo no dispositivo devem ser compatíveis com HVCI e podem exigir atualizações por parte do OEM (fabricante de equipamento original).
Pronto para Device Guard. Os dispositivos prontos para o Device Guard virão diretamente do OEM com todos os componentes de hardware e drivers necessários para a execução do Device Guard. Além disso, todos esses componentes serão pré-configurados e habilitados, o que minimiza o esforço necessário para implantar o Device Guard. Nenhuma interação com o BIOS é necessária para implantar esses dispositivos, e você pode usar a Política de Grupo, o System Center Configuration Manager ou o Microsoft Intune para gerenciá-los.
Não compatível para Device Guard. Muitos dispositivos atuais não conseguem usufruir de todos os recursos do Device Guard porque não têm os componentes de hardware ou os drivers compatíveis com HVCI necessários. No entanto, muitos desses dispositivos podem habilitar alguns recursos do Device Guard, como a integridade de código configurável.
Para saber mais sobre como planejar, gerenciar e implantar o Device Guard, veja o Guia de implantação do Device Guard.
Integridade de código configurável
Integridade de código é o componente do sistema operacional Windows que verifica se o código que o Windows está executando é confiável e seguro. Como os modos operacionais encontrados no próprio Windows, a integridade de código do Windows também contém dois componentes principais: a integridade de código do modo kernel (KMCI) e a integridade de código do modo de usuário (UMCI). A Microsoft usou KMCI em versões recentes do Windows para impedir a execução de drivers não assinados do kernel do Windows. Embora essa abordagem seja eficaz, os drivers não são a única rota que esse malware pode usar para penetrar no espaço do modo kernel do sistema operacional. Portanto, no Windows 10, a Microsoft elevou o padrão do código do modo kernel, exigindo o uso de melhores práticas de segurança relativas ao gerenciamento da memória, e ofereceu às empresas uma forma de definir seus próprios padrões UMCI e KMCI.
Historicamente, a UMCI esteve disponível somente no Windows RT e em dispositivos com Windows Phone, o que dificultou para os invasores infectar tais dispositivos com vírus e malware. Essa taxa de infecção reduzida resulta da maneira como o sistema operacional determina qual código será executado. Nativamente, os binários seguem um processo para provar para o sistema operacional que eles são confiáveis antes de o sistema operacional permitir a execução deles. Esse processo destina-se a restringir a execução de código arbitrário e, portanto, reduzirá o risco de infecção por malware. Esse modelo bem-sucedido de sistema operacional que não confia em nada agora está disponível no Windows 10 por meio de um recurso chamado integridade de código configurável.
A integridade de código configurável permite que as organizações de TI criem e implantem políticas de integridade do código que estipulam exatamente quais binários podem ser executados em seu ambiente. Os administradores podem gerenciar esta relação de confiança em um nível de autoridade de certificação ou de editor para os valores de hash individuais de cada binário executado. Esse nível de personalização permite que as empresas criem políticas que sejam tão restritivas quanto eles desejam. Além disso, as organizações podem optar por oferecer níveis diferentes de restrição para certos tipos de computadores. Por exemplo, os dispositivos de carga de trabalho fixa como quiosques e sistemas de PoS provavelmente receberão uma política estrita, pois o objetivo deles é fornecer o mesmo serviço dia após dia. Os administradores podem gerenciar dispositivos que possuem cargas de trabalho mais variáveis, como PCs dos usuários, em um nível superior, fornecendo aplicativos de certos editores de software para instalação ou alinhando os dispositivos com o catálogo de software da organização.
Observação
A integridade de código configurável não pretende substituir tecnologias que permitem ou bloqueiam programas como o AppLocker ou um software antivírus da organização. Em vez disso, ele complementa essas tecnologias, estabelecendo uma linha de base de segurança e usando essas tecnologias adicionais para ajustar a segurança do cliente.
A integridade de código configurável não está limitada aos aplicativos da Windows Store. Na verdade, não se limita nem mesmo aos aplicativos assinados existentes. O Windows 10 oferece uma forma de assinar aplicativos de linha de negócios ou de terceiros sem ter que empacotá-los novamente: você pode monitorar a instalação e a execução inicial do aplicativo para criar uma lista de binários chamada arquivo de catálogo. Uma vez criados, você assina esses arquivos de catálogos e adiciona o certificado de assinatura à política de integridade de código, de forma que os binários contidos nos arquivos de catálogo tenham permissão para serem executados. Em seguida, você pode usar a Política de Grupo, o Gerenciador de Configurações ou qualquer outra ferramenta de gerenciamento familiar para distribuir esses arquivos de catálogo para seus computadores cliente. Historicamente, a maioria dos malwares não são assinados; simplesmente implantando as políticas de integridade do código, sua organização pode proteger-se imediatamente contra malwares não assinados, que são responsáveis pelo maioria dos ataques modernos.
Observação
Para obter informações detalhadas de planejamento e implantação sobre a integridade de código configurável, veja o Guia de implantação do Device Guard.
O processo para criar, testar e implantar um código de política de integridade é o seguinte:
Crie uma política de integridade do código. Use o cmdlet do Windows PowerShell New-CIPolicy, disponível no Windows 10, para criar uma nova política de integridade do código. Esse cmdlet verifica em um PC todos os detalhes de um nível de política específico. Por exemplo, se você definisse a regra de nível como Hash, o cmdlet adicionaria os valores de hash de todos os binários descobertos à política que resultou da verificação. Quando você aplicar e implantar a política, essa lista de valores de hash determinará exatamente quais binários têm permissão para serem executados em computadores que recebem a política. As políticas de integridade do código podem conter a política de execução do modo kernel e do modo do usuário, restringindo o que pode ser executado em um ou ambos os modos. Por fim, uma vez criada, essa política é convertida em formato binário para que o cliente gerenciado possa consumi-lo quando a política for copiada para a pasta de integridade do código do cliente.
Audite as exceções da política de integridade do código. Quando você cria uma política de integridade do código, o modo de auditoria é habilitado por padrão, para que você possa simular o efeito de uma política de integridade do código sem realmente bloquear a execução de nenhum binário. Em vez disso, as exceções da política são registradas no log de eventos CodeIntegrity para que você possa adicionar as exceções à política mais tarde. Certifique-se de auditar qualquer política para detectar possíveis problemas antes de implantá-la.
Mescle os resultados da auditoria com a política existente. Após você ter auditado uma política, use os eventos de auditoria para criar uma política de integridade de código adicional. Como cada computador processa apenas uma política de integridade do código, você deve mesclar as regras de arquivo dessa nova política de integridade do código com a política original. Para fazer isso, execute o cmdlet Merge-CIPolicy, que está disponível no Windows 10 Enterprise.
Aplique e assine a política. Depois de criar, auditar e mesclar as políticas de integridade do código resultantes, é hora de aplicar a política. Para fazer isso, execute o cmdlet Set-RuleOption para remover a regra Política Não assinada. Quando aplicada, nenhum binário que seja exceção à política poderá ser executado. Além de aplicar uma política, as políticas assinadas oferecem um nível adicional de proteção. As políticas de integridade do código assinadas inerentemente se protegem contra manipulação e exclusão, até mesmo por administradores.
Implante a política de integridade do código. Quando você tiver aplicado e opcionalmente assinado sua política de integridade do código, ela estará pronta para implantação. Para implantar suas políticas de integridade do código, você pode usar tecnologias de gerenciamento de cliente da Microsoft, soluções de gerenciamento de dispositivo móvel ou a Política de Grupo, ou pode simplesmente copiar o arquivo para o local correto em seus computadores cliente. Para a implantação da Política de Grupo, um novo modelo administrativo está disponível no Windows 10 e no sistema operacional Windows Server 2016 para simplificar o processo de implantação.
Observação
A integridade de código configurável está disponível no Windows 10 Enterprise e no Windows 10 Education.
Você pode habilitar a integridade de código configurável como parte de uma implantação do Device Guard ou como um componente autônomo. Além disso, você pode executar a integridade de código configurável no hardware que é compatível com o sistema operacional Windows 7, mesmo se esse hardware não estiver pronto para Device Guard. As políticas de integridade do código podem se alinhar com um catálogo de aplicativo existente, uma estratégia corporativa de geração de imagens existente ou qualquer outro método que fornece os níveis de restrição desejados da organização. Para saber mais sobre a integridade de código configurável com o Device Guard, veja o Guia de implantação do Device Guard.
Inicialização medida e Atestado remoto
Embora as soluções antivírus e antimalware baseadas em software sejam eficazes, elas não têm como detectar uma modificação de recurso pré-sistema operacional ou infecção por bootkits e rootkits — softwares mal-intencionados que podem manipular um cliente antes que o sistema operacional e as soluções antimalware sejam carregadas. Bootkits, rootkits e softwares semelhantes são praticamente impossíveis de detectar apenas com soluções baseadas em software, portanto, o Windows 10 usa o TPM (Trusted Platform Module) do cliente e o recurso Inicialização Medida do Windows para analisar a integridade geral da inicialização. Quando solicitado, o Windows 10 fornece informações sobre integridade para o serviço de atestado de integridade de dispositivo baseado em nuvem, que pode ser usado em coordenação com soluções de gerenciamento como o Intune para analisar os dados e fornecer acesso condicional aos recursos com base no estado de integridade do dispositivo.
A Inicialização Medida usa uma das funcionalidades principais do TPM e oferece benefícios exclusivos para proteger as organizações. O recurso pode relatar com precisão e segurança o estado de base computacional confiável (TCB) de um computador. Medindo a TCB de um sistema, que consiste em componentes de segurança essenciais relacionados à inicialização, tal como o firmware, o carregador do sistema operacional, os drivers e o software, o TPM pode armazenar o estado do dispositivo atual nos PCRs (registros de configuração de plataforma). Quando esse processo de medição estiver concluído, o TPM assina criptograficamente esses dados de PCR para que as informações de inicialização medida possam ser enviadas para o serviço de atestado de integridade de dispositivo baseado em nuvem do Windows ou um serviço equivalente que não seja da Microsoft para assinatura ou revisão. Por exemplo, se uma empresa quer apenas validar informações de BIOS do computador antes de permitir o acesso à rede, PCR [0], que é o PCR que contém informações de BIOS, seria adicionado à política para o servidor de atestado validar. Dessa forma, quando o servidor de atestado recebe o manifesto do TPM, o servidor sabe quais valores esse PCR deve conter.
A Inicialização Medida em si não impede que o malware seja carregado durante o processo de inicialização, mas ela fornece um log de auditoria protegido por TPM que permite que um servidor de atestado remoto confiável avalie os componentes de inicialização do PC e determine sua confiabilidade. Se o servidor de atestado remoto indica que o PC carregou um componente não confiável e está, portanto, sem conformidade, um sistema de gerenciamento pode usar as informações para cenários de acesso condicional para bloquear o acesso do PC a recursos da rede ou realizar outras ações de quarentena.
Melhorias no Windows Defender
No Windows 10, a Microsoft reformulou o Windows Defender e o combinou com a Microsoft System Center Endpoint Protection. Ao contrário do Microsoft System Center 2012 R2, não haverá nenhum cliente da System Center Endpoint Protection para implantar em computadores com Windows 10, pois o Windows Defender é integrado ao sistema operacional e habilitado por padrão.
Além da implantação simplificada, o Windows Defender contém várias melhorias. As melhorias mais importantes para o Windows Defender são:
Compatível com ELAM (Antimalware de Inicialização Antecipada). Depois que a Inicialização Segura tiver verificado se o sistema operacional que está sendo carregado é confiável, o ELAM pode iniciar um aplicativo antimalware registrado e assinado antes de quaisquer outros componentes do sistema operacional. O Windows Defender é compatível com o ELAM.
Contexto local para detecções e dados de sensor centralizados. Ao contrário da maioria dos softwares antimalware e das versões anteriores do Windows Defender, o Windows Defender no Windows 10 fornece informações adicionais sobre o contexto das ameaças descobertas. Essas informações incluem a origem do conteúdo que contém a ameaça, assim como o movimento histórico do malware no sistema. Quando a coleta estiver concluída, o Windows Defender fornece essas informações (quando o usuário opta por habilitar a proteção baseada em nuvem) e as utiliza para reduzir ameaças mais rapidamente.
Integração com o UAC (Controle de Conta de Usuário). O Windows Defender agora está estreitamente integrado com o mecanismo UAC no Windows 10. Sempre que for feita uma solicitação de UAC, o Windows Defender verifica automaticamente a ameaça antes de avisar ao usuário, o que ajuda a impedir que os usuários concedam privilégios elevados para o malware.
Gerenciamento simplificado. No Windows 10, você pode gerenciar o Windows Defender com mais facilidade do que nunca. Gerencie as configurações por meio da Política de Grupo, do Intune ou do Configuration Manager.
Proteção de informações
Proteger a integridade dos dados da empresa, bem como impedir a divulgação inadequada e o compartilhamento de dados são uma prioridade para as organizações de TI. Tendências como BYOD e mobilidade tornam a tarefa de proteção de informações mais desafiadora que nunca. O Windows 10 inclui várias melhorias na proteção de informações internas, incluindo um novo recurso EDP (Proteção de Dados Empresariais) que oferece funcionalidade DLP. Esse recurso permite que os próprios usuários de uma organização classifiquem os dados e oferece a capacidade de classificar automaticamente os dados conforme eles ingressam de recursos da empresa. Ele também ajuda a impedir que os usuários copiem conteúdo comercial para locais não autorizados, como documentos pessoais ou sites.
Ao contrário de algumas soluções DLP atuais, a EDP não exige que os usuários alternem modos ou aplicativos ou trabalhem dentro de contêineres para proteger dados, e a proteção acontece nos bastidores sem alterar a experiência com a qual os usuários já estão acostumados no Windows. Para saber mais sobre EDP no Windows 10, veja a seção Proteção de Dados Corporativos.
Além da EDP, a Microsoft fez aperfeiçoamentos significativos no BitLocker, incluindo a capacidade de gerenciamento simplificada por meio de MBAM (Microsoft BitLocker Administration and Monitoring), criptografia somente de espaço usado e SSO (logon único). Para saber mais sobre as melhorias do BitLocker no Windows 10, veja a seção Melhorias no BitLocker.
Proteção de Dados Empresariais
Os sistemas DLP se destinam a proteger dados corporativos confidenciais por meio de criptografia e uso gerenciado enquanto os dados estão em uso, em movimento ou em repouso. O software DLP tradicional normalmente é invasivo e frustrante para os usuários e pode ser complicado para os administradores para configurar e implantar. O Windows 10 agora inclui um recurso de EDP que oferece funcionalidades de DLP e é interno e simples de usar. Essa solução oferece a flexibilidade para definir as políticas que o ajudarão a determinar os tipos de dados a serem protegidos, como dados comerciais, e o que deve ser considerado pessoal. Com base nessas políticas, você também pode escolher o que fazer, automática ou manualmente, sempre que suspeitar que os dados estão prestes a serem comprometidos ou já foram. Por exemplo, se um funcionário tiver um dispositivo pessoal mas gerenciado que contém dados comerciais, uma organização de TI pode impedir esse usuário de copiar e colar dados comerciais em documentos não comerciais e locais ou poderia até mesmo seletivamente apagar os dados comerciais do dispositivo a qualquer momento sem afetar os dados pessoais no dispositivo.
Você pode configurar políticas de EDP para criptografar e proteger arquivos automaticamente de acordo com a origem da rede na qual o conteúdo foi obtido, como um servidor de email, compartilhamento de arquivos ou um site do Microsoft SharePoint. As políticas podem funcionar com recursos locais, bem como aqueles que se originam da Internet. Quando especificado, todos os dados recuperados de recursos internos da rede sempre estarão protegidos como dados comerciais; mesmo que esses dados sejam copiados para armazenamento portátil, como uma unidade flash ou CD, a proteção permanece. Em um esforço para permitir correções fáceis de dados classificados incorretamente, os usuários que acham que a EDP protegeu incorretamente seus dados pessoais podem modificar a classificação dos dados. Quando uma tal modificação ocorre, você tem acesso aos dados de auditoria no computador cliente. Você também pode usar uma política para impedir que os usuários reclassifiquem os dados. O recurso EDP no Windows 10 também inclui controles de política que permitem que você defina quais aplicativos têm acesso aos dados comerciais e inclusive à rede virtual privada (VPN) corporativa.
Para gerenciar a EDP, você deve usar as mesmas ferramentas de gerenciamento de sistema que provavelmente já usa para gerenciar computadores cliente com Windows, como o Configuration Manager e o Intune. Para saber mais sobre EDP, veja a Visão geral da Proteção de Dados Corporativos.
Melhorias no BitLocker
Com muitos notebooks roubados anualmente, a proteção de dados em repouso deve ser uma prioridade para qualquer organização de TI. A Microsoft oferece uma solução de criptografia chamada BitLocker diretamente no Windows desde 2004. Se o seu último encontro com o BitLocker foi no Windows 7, você perceberá que o gerenciamento e as funcionalidades de SSO que anteriormente estavam faltando agora estão incluídas no Windows 10. Essas e outras melhorias tornam o BitLocker uma das melhores escolhas no mercado para proteger dados em dispositivos Windows. O Windows 10 amplia as melhorias do BitLocker feitas nos sistemas operacionais Windows 8.1 e Windows 8 para tornar o BitLocker mais gerenciável e para simplificar ainda mais a sua implantação.
A Microsoft fez as seguintes melhorias principais no BitLocker:
Criptografia de unidade automática por meio de criptografia de dispositivo. Por padrão, o BitLocker é habilitado automaticamente em instalações limpas do Windows 10, se o dispositivo tiver sido aprovado no teste de requisitos de criptografia de dispositivo no Kit de Certificação de Hardware do Windows. Muitos computadores compatíveis com Windows 10 atenderão a esse requisito. Esta versão do BitLocker é chamada de Criptografia de Dispositivo. Sempre que dispositivos nos quais a Criptografia de Unidade está habilitada ingressam em seu domínio, as chaves de criptografia podem ser caucionadas no Active Directory ou no MBAM.
Melhorias de MBAM. O MBAM oferece um console de gerenciamento simplificado para administração do BitLocker. Isso também simplifica as solicitações de recuperação, fornecendo um portal de autoatendimento em que os usuários podem recuperar suas unidades sem chamar o suporte técnico.
SSO. O BitLocker para Windows 7 geralmente requeria o uso de um PIN de pré-inicialização para acessar a chave de criptografia da unidade protegida e permitir que o Windows iniciasse. No Windows 10, a autenticação de pré-inicialização baseada na entrada do usuário (em outras palavras, um PIN) não é necessária porque o TPM mantém as chaves. Além disso, o hardware moderno mitiga muitas vezes os ataques de inicialização a frio (por exemplo, ataques de acesso direto à memória com base em porta) que anteriormente precisavam de proteção de PIN. Para obter mais informações para determinar quais casos e tipos de dispositivos requerem o uso de proteção de PIN, consulte Contramedidas do BitLocker.
Criptografia somente em espaço usado. Em vez de criptografar todo o disco rígido, você pode configurar o BitLocker para criptografar apenas o espaço usado em uma unidade. Essa opção reduz drasticamente o tempo geral de criptografia necessário.
Proteção de identidade e controle de acesso
As credenciais do usuário são vitais para a segurança geral do domínio da organização. Até o Windows 10, as combinações de senha e nome de usuário foram a principal maneira de uma pessoa provar sua identidade para um computador ou o sistema. Infelizmente, as senhas são facilmente roubadas, e invasores podem usá-las remotamente para falsificar a identidade do usuário. Algumas organizações implantam soluções baseadas em PKI (infraestrutura de chave pública), como cartões inteligentes, para lidar com a fraqueza das senhas. Entretanto, devido à complexidade e os custos associados a essas soluções, elas são raramente implantadas e, mesmo quando usadas, frequentemente destinam-se a proteger apenas ativos de alta prioridade, como a VPN corporativa. O Windows 10 apresenta novos recursos de proteção de identidade e controle de acesso que lidam com as falhas das soluções atuais e podem efetivamente eliminar a necessidade de senhas de usuário em uma organização.
O Windows 10 também inclui um recurso chamado Microsoft Passport, um novo mecanismo de 2FA inserido diretamente no sistema operacional. Os dois fatores de autenticação incluem uma combinação de algo que você conhece (por exemplo, um PIN), algo que você tem (por exemplo, seu computador, seu telefone), ou algo sobre o usuário (por exemplo, biometria). Com o Microsoft Passport habilitado, quando você faz logon em um computador, o Microsoft Passport é responsável por intermediar a autenticação do usuário na rede, fornecendo a mesma experiência de SSO com a qual você está familiarizado. Para saber mais sobre o Microsoft Passport, veja a seção Microsoft Passport.
O fator de biometria disponível para o Microsoft Passport é conduzido por outro novo recurso do Windows 10 chamado Windows Hello. O Windows Hello usa uma variedade de sensores biométricos para aceitar pontos diferentes de medida biométrica, como rosto, íris e impressões digitais, o que permite que as empresas tenham várias opções quando consideram o que faz mais sentido para seus usuários e dispositivos. Combinando o Windows Hello com o Microsoft Passport, os usuários não precisam mais se lembrar de uma senha para o acesso a recursos corporativos. Para saber mais sobre o Windows Hello, veja a seção Windows Hello.
Por fim, o Windows 10 usa VBS para isolar o serviço Windows responsável por manter e intermediar credenciais derivadas do usuário (por exemplo, tíquete Kerberos, hash NTLM) por meio de um recurso chamado Credential Guard. Além do isolamento de serviço, o TPM protege os dados de credencial enquanto o computador está em execução e quando ele está desligado. O Credential Guard oferece uma estratégia abrangente para proteger credenciais derivadas do usuário no tempo de execução, bem como em repouso, impedindo que elas sejam acessadas e usadas em ataques tipo "pass-the-hash". Para saber mais sobre o Credential Guard, veja a seção Credential Guard.
Microsoft Passport
Historicamente, as empresas têm reduzido o risco de roubo de credenciais implementando a 2FA. Nesse método, uma combinação de algo que você conhece (por exemplo, um PIN), algo que você tem (tradicionalmente um cartão inteligente ou token) ou possivelmente algo sobre o usuário (por exemplo, biometria) reforça o processo de logon. O fator adicional além de algo que você conhece requer que um ladrão de credencial adquira um dispositivo físico ou, no caso de biometria, o usuário real.
O Microsoft Passport apresenta um mecanismo de 2FA forte integrado diretamente no Windows. Muitas organizações usam 2FA atualmente, mas não integram sua funcionalidade na organização devido ao custo e o tempo necessário para fazer isso. Portanto, a maioria das organizações usa MFA somente para proteger conexões VPN e os recursos de valor mais alto da rede e, em seguida, usa senhas tradicionais para logon em dispositivos e para navegar no restante da rede. O Microsoft Passport é diferente dessas outras formas de 2FA no sentido em que a Microsoft o projetou especificamente para lidar com a complexidade, o custo e os desafios de experiência do usuário das soluções de 2FA tradicionais, tornando-o simples de implantar em toda a empresa por meio da infraestrutura e dos dispositivos existentes.
O Microsoft Passport pode usar as informações biométricas do Windows Hello ou um PIN exclusivo com chaves de assinatura criptográficas armazenadas no TPM do dispositivo. Para organizações que não têm uma PKI existente, o TPM — ou o Windows, quando não há TPM presente — pode gerar e proteger essas chaves. Se a sua organização tiver uma PKI local ou deseja implantar uma, você poderá usar certificados da PKI para gerar as chaves e armazená-las no TPM. Quando o usuário registrou o dispositivo e usa o Windows Hello ou um PIN para fazer logon no dispositivo, a chave privada do Microsoft Passport atende a todas as solicitações de autenticação subsequentes. O Microsoft Passport combina a flexibilidade de implantação dos cartões inteligentes virtuais com a segurança robusta dos cartões inteligentes físicos, sem a necessidade dos componentes de infraestrutura extras necessários para implantações de cartão inteligente tradicionais e hardware como cartões e leitores.
No Windows 10, o fator físico de autenticação é o dispositivo do usuário — o PC ou o telefone celular. Usando o novo recurso de entrada por telefone que estará disponível para Participantes do Programa Windows Insider como uma versão de visualização no início de 2016, os usuários podem debloquear o computador sem nem mesmo tocá-lo. Os usuários simplesmente registram o telefone no Microsoft Passport, emparelhando-o com o computador via Wi-Fi ou Bluetooth e instalam um aplicativo simples de usar no telefone que permite selecionar qual computador deve ser desbloqueado. Quando selecionado, os usuários podem inserir um PIN ou o logon biométrico do telefone para desbloquear o computador.
Windows Hello
Senhas representam um mecanismo de controle de acesso e identidade fraco. Quando uma organização depende de autenticação do Windows controlada por senha, basta para os invasores determinarem uma única cadeia de caracteres de texto para acessar qualquer recurso em uma rede corporativa que essas credenciais protegem. Infelizmente, os invasores podem usar vários métodos para recuperar a senha do usuário, tornando o roubo de credencial relativamente fácil para invasores determinados. Mudando para um mecanismo MFA para verificar as identidades dos usuários, as organizações podem eliminar as ameaças que as opções de fator único como as senhas representam.
O Windows Hello é o recurso de integração biométrica corporativo no Windows 10. Esse recurso permite que os usuários usem o rosto, a íris ou impressão digital em vez de uma senha para se autenticar. Embora os recursos de logon biométrico existam desde o sistema Windows XP, eles nunca foram tão simples, precisos e seguros como são no Windows 10. Em usos anteriores de biometria no Windows, o sistema operacional usava as informações biométricas apenas para desbloquear o dispositivo; em seguida, nos bastidores, a senha de usuário tradicional era usada para acessar os recursos na rede da organização. Além disso, a organização de TI tinha que executar um software adicional para configurar os dispositivos biométricos para fazer logon no Windows ou nos aplicativos. O Windows Hello é integrado diretamente no sistema operacional e por isso não exige software adicional para funcionar. No entanto, como acontece com qualquer outro logon baseado em biometria, o Windows Hello exige hardware específico para funcionar:
Reconhecimento facial. Para estabelecer o reconhecimento facial, o Windows Hello usa câmeras de infravermelho especiais e tecnologia antifalsificação para determinar com segurança a diferença entre uma fotografia e uma pessoa viva. Esse requisito assegura que ninguém pode levar o computador de uma pessoa e falsificar sua identidade simplesmente pela obtenção de uma imagem de alta definição. Muitos fabricantes já oferecem os modelos de computador que incluem essas câmeras e, portanto, são compatíveis com o Windows Hello. Para esses computadores que atualmente não incluem essas câmeras especiais, várias câmeras externas estão disponíveis.
Reconhecimento de impressão digital. Sensores de impressão digital já existem em uma grande porcentagem de computadores de consumidor e comerciais. A maioria deles (sejam externos ou integrados em notebooks ou teclados USB) funcionam com o Windows Hello. A detecção e a tecnologia antifalsificação disponível no Windows 10 são muito mais avançadas do que em versões anteriores do Windows, tornando mais difícil para invasores enganarem o sistema operacional.
Reconhecimento de íris. Como o reconhecimento facial, o reconhecimento baseado em íris usa câmeras de infravermelho especiais e tecnologia antifalsificação para determinar com segurança a diferença entre a íris do usuário e um impostor. O reconhecimento de íris estará disponível em dispositivos móveis até o final de 2016, mas ele também está disponível para fornecedores independentes de hardware e OEMs incorporarem em computadores.
Com o Windows Hello em conjunto com o Microsoft Passport, os usuários têm a mesma experiência de SSO que teriam se fizessem logon com credenciais de domínio: eles simplesmente usam biometria, em vez disso. Além disso, como não há senhas envolvidas, os usuários não ligarão para o suporte técnico dizendo que esqueceram a senha deles. Para um invasor falsificar a identidade do usuário, ele teria que estar em possessão física do usuário e do dispositivo no qual o usuário está configurado para usar o Windows Hello. De uma perspectiva da privacidade, as organizações podem ter certeza de que os dados biométricos que o Windows Hello usa não são armazenados centralmente; não podem ser convertidos em imagens de impressão digital do usuário, face ou íris; e são projetados para nunca deixarem o dispositivo. Por fim, o Windows Hello e o Microsoft Passport podem remover completamente a necessidade de senhas em ambientes do AD do Azure e do AD do Azure/Active Directory híbridos, e para os aplicativos e os serviços da Web que dependem delas para serviços de identidade. Para saber mais sobre o Microsoft Passport, veja a seção Microsoft Passport.
Credential Guard
"Pass the hash" é o ataque de credencial derivada mais comumente usado hoje em dia. Esse ataque começa com um invasor extraindo as credenciais derivadas de uma conta de usuário (valor de hash) da memória. Em seguida, usando um produto como o Mimikatz, o invasor reutiliza (passa) essas credenciais para outros computadores e recursos da rede para obter acesso adicional. A Microsoft criou o Credential Guard especificamente para eliminar o roubo de credenciais derivadas e os ataques do tipo "pass-the-hash".
O Credential Guard é outro novo recurso do Windows 10 Enterprise que emprega VBS para proteger as credenciais de domínio contra roubo, mesmo quando o sistema operacional host é comprometido. Para obter esse tipo de proteção, o Credential Guard isola uma parte do serviço LSA, que é responsável por gerenciar a autenticação, dentro de um contêiner virtualizado. Este contêiner é semelhante a uma VM em execução em um hipervisor, mas é extremamente leve e contém somente os arquivos e os componentes necessários para operar o LSA e outros serviços isolados. Isolando uma parte do serviço LSA dentro desse ambiente virtualizado, as credenciais são protegidas mesmo se o kernel do sistema for comprometido, removendo o vetor de ataque para passar o hash.
Para saber mais sobre os requisitos de hardware do Credential Guard, veja a seção Considerações de hardware do Windows 10. Para saber mais sobre VBS no Windows 10, veja a seção Segurança baseada em virtualização.
Observação
Como ele requer o modo de usuário isolado e um hipervisor do Hyper-V, você não pode configurar o Credential Guard em uma VM, apenas em um computador físico.
O recurso Credential Guard destina-se a resistir ao uso de técnicas "pass-the-hash" e "pass-the-ticket". Empregando uma opção MFA, como o Microsoft Passport com o Credential Guard, você pode obter proteção adicional contra essas ameaças. Para obter informações mais detalhadas sobre como funciona o Credential Guard e as mitigações específicas que ele oferece, veja Proteger credenciais de domínio derivadas com o Credential Guard.
Considerações de hardware do Windows 10
Muitos dos recursos que este artigo descreve dependem de hardware específico para maximizar suas funcionalidades. Ao comprar hardware que inclui esses recursos durante seu próximo ciclo de compra, você poderá aproveitar o pacote de segurança de cliente mais abrangente que o Windows 10 tem a oferecer. Uma consideração cuidadosa sobre qual fornecedor de hardware e modelos específicos comprar é vital para o sucesso do portfólio de segurança de cliente da sua organização. A Tabela 1 contém uma lista de cada novo recurso de segurança do Windows 10 e seus requisitos de hardware.
Tabela 1. Requisitos de hardware do Windows 10
| Recurso do Windows 10 | TPM | Unidade de gerenciamento de memória de entrada/saída | Extensões de virtualização | SLAT | UEFI 2.3.1 | Somente arquitetura x64 |
|---|---|---|---|---|---|---|
| Credential Guard | R | N | Y | Y | Y | Y |
| Device Guard | N | Y | Y | Y | Y | Y |
| BitLocker | R | N | N | N | N | N |
| Integridade de código configurável | N | N | N | N | R | R |
| Microsoft Passport | R | N | N | N | N | N |
| Windows Hello | R | N | N | N | N | N |
| VBS | N | Y | Y | Y | N | Y |
| Inicialização segura UEFI | R | N | N | N | Y | N |
| Atestado de integridade do dispositivo por meio de Inicialização Medida | Y* | N | N | N | Y | Y |
* Requer o uso do TPM 2.0.
Observação
Nesta tabela, R significa recomendado, S significa que o componente de hardware é necessário para esse recurso do Windows 10 e N significa que o componente de hardware não é usado com esse recurso do Windows 10.
Tópicos relacionados
Tornando o Windows 10 mais pessoal e mais seguro com o Windows Hello
Proteger o BitLocker contra ataques de pré-inicialização