icon
Tem um projeto?
Fale no Whatsapp
ou agende uma reunião.

Blog

Windows 11 > Segurança do Windows 11: é suficiente?
seguranca do windows 11
Windows 11

Segurança do Windows 11: é suficiente?

por 14 de março de 2023

Muito já foi escrito sobre o Windows 11, o mais recente sistema operacional da Microsoft, que a gigante do software está chamando de “o Windows mais seguro até agora”. No entanto, como muitos no mundo da tecnologia foram rápidos em apontar, a maioria dos PCs atualmente executando o Windows não oferece suporte aos requisitos avançados do sistema para o novo sistema operacional (SO).

Requisitos de sistema paraa segurança do Windows 11

Para aproveitar ao máximo os aprimoramentos de segurança do Windows 11, os PCs devem estar equipados com uma CPU ultramoderna com extensões de virtualização, firmware UEFI compatível com Secure Boot e um chip de segurança avançado compatível com TPM 2.0. Essas e outras restrições garantem suporte para uma infinidade de recursos de segurança cibernética que tornam o Windows 11 muito mais resiliente do que seus antecessores. No entanto, eles também garantem que a maioria das organizações levará seu tempo atualizando seus sistemas.

Para analisar efetivamente os prós e os contras da atualização para o Windows 11, você precisará entender quais recursos de segurança estão incluídos e disponíveis; como esses recursos são facilitados pelos novos requisitos de hardware e software; e quanto impacto a atualização deve ter em sua postura geral de segurança cibernética.

Requisitos de CPU e segurança baseada em virtualização

Entre os mandatos mais onerosos para atualizar para o Windows 11 estão os requisitos de CPU. O Windows 11 requer um processador avançado de 64 bits, 1 GHz com extensões de virtualização e dois ou mais núcleos (por exemplo, processador Intel de 8ª geração, AMD Zen 2 ou Qualcomm 7 ou 8 Series). Essas especificações permitem que o Windows 11 aproveite ao máximo um recurso conhecido como segurança baseada em virtualização (VBS).

Usando recursos de virtualização de hardware, o VBS cria e isola uma petição segura de memória do restante do sistema operacional para gerenciar dados ou processos confidenciais. Esse isolamento limita o grau em que um determinado hack ou exploit pode comprometer a segurança do sistema.

De acordo com uma declaração da equipe do Windows em agosto de 2021:

“Embora não exijamos o VBS ao atualizar para o Windows 11, acreditamos que os benefícios de segurança que ele oferece são tão importantes que queríamos os requisitos mínimos do sistema para garantir que todos os PCs com Windows 11 pudessem atender à mesma segurança do Departamento de Defesa dos Estados Unidos ( DoD) depende. Em parceria com nossos parceiros OEM e de silício, habilitaremos VBS e HVCI na maioria dos novos PCs no próximo ano. E continuaremos a buscar oportunidades para expandir o VBS em mais sistemas ao longo do tempo.”

Vários recursos de segurança diferentes no Windows 11 dependem do VBS para implementação:

  • Kernel Data Protection (KDP) , por exemplo, usa VBS para marcar partes do kernel do Windows como somente leitura, garantindo que drivers e software executados no kernel do Windows (ou seja, o próprio código do sistema operacional) não possam ser adulterados.
  •  O Application Guard usa o VBS para criar ambientes virtuais descartáveis ​​(contêineres) nos quais os usuários podem interagir com sites ou arquivos do Microsoft Office que não foram explicitamente incluídos na lista de permissões. Isso garante que o conteúdo não confiável carregado via Microsoft Edge, Internet Explorer ou Microsoft Office permaneça isolado do sistema operacional do host e dos dados corporativos, limitando os danos que qualquer conteúdo infectado pode causar.
  • O Credential Guard é um recurso de segurança do sistema operacional que isola Windows NTLM, credenciais Kerberos e outros segredos em um ambiente protegido por VBS, garantindo que apenas softwares de sistema privilegiados possam obter acesso. Esse recurso ajuda a proteger seu sistema contra ataques de roubo de credenciais, como passar o ticket (PtT) e passar o Hash (PtH).
  • Da mesma forma, o Windows Hello Enhanced Sign-In Security usa VBS para isolar e proteger os dados de autenticação (incluindo biometria) usados ​​para entrar em um determinado dispositivo, garantindo que os dados só possam ser acessados ​​por meio de processos seguros em execução no ambiente VBS. Ele também oferece suporte à criação de caminhos seguros para dados de autenticação fornecidos por meio de componentes externos (por exemplo, sensor de impressão digital ou câmera).

Módulo de plataforma confiável (TPM) 2.0

Além dos requisitos do processador, o Windows 11 requer um chip TPM para gerenciar chaves criptográficas, bem como proteger o firmware e o sistema operacional do seu computador pessoal. O Trusted Platform Module (TPM) fornece proteção antiviolação em nível de hardware para operações confidenciais, como geração de chave, criptografia e inicialização do sistema. A versão 2.0 da especificação TPM está incorporada em todas as CPUs com suporte do Windows 11 e apresenta alguns aprimoramentos importantes.

United Extensible Firmware Interface (UEFI) e inicialização segura

A United Extensible Firmware Interface (UEFI) substitui o BIOS legado tradicional. Este ambiente de inicialização programável inicializa os dispositivos e inicia o carregador de inicialização do sistema operacional. Os PCs com UEFI 2.3.1 e um chip TPM também oferecem suporte ao Secure Boot, um recurso que verifica todo o código executado antes do carregamento do sistema operacional, bem como a assinatura digital do gerenciador de inicialização do sistema operacional. Todas as máquinas com Windows 11 vêm com o UEFI Secure Boot totalmente ativado desde o início, garantindo que firmware e software autorizados apenas com assinaturas digitais confiáveis ​​possam ser executados durante o processo de inicialização e protegendo o sistema contra kits de inicialização e rootkits.

Microsoft Pluton

O Windows 11 é o primeiro sistema operacional a oferecer suporte ao Microsoft Pluton, o novo processador de segurança projetado e atualizado pela Microsoft que será incorporado às futuras CPUs Intel, AMD e Qualcomm para PCs com Windows. O Pluton implementa segurança de ponta a ponta que é criada, mantida e atualizada pela Microsoft e será integrada ao processo padrão do Windows Update, fornecendo integração mais rígida e segura com o sistema operacional no nível do hardware. Essa integração ajuda a corrigir uma vulnerabilidade física das implementações atuais do TPM, em que os invasores que possuem um dispositivo ainda podem direcionar o canal de comunicação entre a CPU e o TPM para roubar ou modificar as informações em trânsito.

Seguro por design

Esses requisitos do Windows 11 garantem suporte para várias tecnologias de segurança avançadas. Alguns, como o UEFI Secure Boot, são ativados por padrão em qualquer instalação do Windows 11, facilitando a proteção Zero Trust pronta para uso . 

Proteção de pilha aplicada por hardware

A proteção de pilha aplicada por hardware (HSP) é um recurso que ajuda a identificar e encerrar explorações que funcionam sequestrando o fluxo de execução de código de um aplicativo. O HSP permite que os aplicativos usem o hardware da CPU local para proteger a pilha (de memória) — onde o código é armazenado em tempo de execução — contra modificação. Isso é feito comparando a pilha de chamadas do aplicativo com uma pilha de sombra (um registro protegido por hardware do fluxo normal de execução do código do aplicativo). Se a integridade da pilha for comprometida, o processo será encerrado.

Embora esse recurso esteja disponível desde março de 2020 (pelo menos nas compilações do desenvolvedor), o mecanismo de pilha de sombra está disponível apenas em determinados chipsets avançados, como os exigidos pelo Windows 11, garantindo uma adoção mais ampla no novo sistema operacional.

Atestado do Microsoft Azure

A integridade do dispositivo é garantida com o Windows 11, graças a recursos como UEFI Secure Boot e Kernel Data Protection. Como tal, o sistema operacional também garante suporte pronto para uso para atestado de dispositivo remoto; ou seja, verificação remota de que todos os dispositivos Windows conectados à sua rede são realmente confiáveis. O atestado estabelece confiança ao validar a identidade e a integridade dos componentes essenciais de hardware e software. O método de atestado remoto fornece às partes confiáveis ​​um relatório de dispositivo verificável, imparcial e resistente a violações sobre um ponto remoto.

O Microsoft Azure Attestation (MAA) é um excelente exemplo de um serviço de atestado remoto que pode ser usado para revisar a integridade do dispositivo Windows de forma abrangente e usar essas informações para impor o acesso condicional a aplicativos e dados baseados em nuvem por meio do Azure Active Directory.

Então, o Windows 11 pode manter os hackers afastados?

A ImageMicrosoft deu grandes passos para garantir que seu novo sistema operacional seja seguro imediatamente. O hardware necessário com foco na segurança, com suporte a recursos como VBS e UEFI Secure Boot, ainda pode permitir que o Windows 11 neutralize totalmente classes inteiras de ataques de malware, como rootkits e ataques de programação orientada a retorno (ROP).

No entanto, a maioria dos usuários do Windows continua trabalhando com máquinas mais antigas. Muitos desses usuários já estão ansiosos para experimentar o novo sistema operacional e podem não entender completamente que os novos aprimoramentos de segurança do Windows 11 andam de mãos dadas com as novas restrições de hardware. Alguns podem até considerar ignorar os requisitos do sistema. No entanto, os usuários (ou administradores de TI) que instalam o Windows 11 ignorando os requisitos de hardware ou desativando importantes recursos de segurança estão, consequentemente, perdendo muitos dos benefícios de segurança da plataforma.

Além disso, lembre-se de que muitos dos vetores de ataque abordados por sua estratégia atual de segurança cibernética não são especificamente abordados pelos novos recursos de segurança do Windows 11. Os cibercriminosos estão constantemente buscando novas vulnerabilidades e criando novos malwares e outras explorações, algumas das quais ainda serão funcionam bem em sistemas protegidos por TPM, como phishing. Isso se torna ainda mais aparente quando você considera que — apesar do influxo de novas tecnologias implementadas no Windows 11 — a Microsoft ainda é obrigada a continuar oferecendo suporte a vários aplicativos legados e fornecer compatibilidade com versões anteriores. Consequentemente, é razoável esperar que muitas vulnerabilidades não relatadas anteriormente que afetam o Windows 10 também possam se aplicar ao Windows 11 (como foi revelado em uma atualização de patch recente).

Acronis oferece segurança cibernética vencedora para o Windows 11

Quando tudo estiver dito e feito, os novos recursos de segurança do Windows 11 são absolutamente um passo na direção certa. Além disso, a Microsoft parece estar lidando com problemas recém-relatados com bastante rapidez. Dito isso, indivíduos, organizações e provedores de serviços gerenciados (MSPs) descobrirão que podem obter segurança e proteção eficientes apenas com soluções desenvolvidas por fornecedores de segurança cibernética como a Acronis. Com foco na integração de proteção de dados, segurança cibernética e gerenciamento de carga de trabalho, as soluções da Acronis evitam ameaças cibernéticas modernas, incluindo ataques de dia zero e permitem que os administradores de segurança recuperem dados, aplicativos e sistemas por meio de uma única plataforma.

Seja você um usuário doméstico, empresarial ou provedor de serviços, a Acronis oferece a melhor proteção de segurança cibernética do mercado atualmente. Suas soluções incluem:

Para usuários domésticos: o Acronis Cyber ​​Protect Home Office (anteriormente Acronis True Image) oferece tudo que um usuário doméstico precisa para proteger seu PC ou Mac e fazer backup de dados , tornando-o mais resiliente às ameaças atuais — de falhas de disco a ataques de ransomware. Graças à sua integração exclusiva de backup e segurança cibernética em um, economiza tempo e reduz o custo, a complexidade e o risco causados ​​pelo gerenciamento de várias soluções pontuais.

Para empresas: o Cyber ​​Protect oferece às empresas uma solução de proteção cibernética que integra nativamente segurança cibernética, backup de dados corporativos e gerenciamento de carga de trabalho para proteger terminais, sistemas e dados. Ao integrar a proteção de dados com a segurança cibernética, sua empresa pode eliminar a complexidade, oferecer melhor proteção contra as ameaças atuais e maximizar a eficiência economizando tempo e dinheiro.

Para provedores de serviços: Cyber ​​Protect Cloud une backup e recuperação em nuvem, anti-malware de última geração e gerenciamento de carga de trabalho em uma solução. Integração e automação fornecem facilidade inigualável para MSPs — reduzindo a complexidade enquanto aumentam a produtividade e diminuem os custos operacionais.

Compartilhe
Tags:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *