Visão geral da segurança de superfície
Os recentes avanços na pesquisa de segurança demonstram que, à medida que mais proteções são incorporadas ao sistema operacional e aos serviços conectados, os invasores estão procurando outros caminhos de exploração com firmware emergindo como um alvo principal.
Hoje, o gerenciamento de firmware de dispositivo é uma experiência inconsistente e geralmente envolve provedores de terceiros fazendo firmware desafiador para monitorar e complicado de manter. Em última análise, isso pode limitar a capacidade dos fabricantes de hardware de detectar e enviar atualizações oportunas em resposta a ameaças.
O Microsoft Surface usa uma abordagem unificada para proteção de firmware e segurança do dispositivo desde 2015 por meio da propriedade completa de ponta a ponta do design de hardware, desenvolvimento de firmware interno e uma abordagem holística para atualizações e gerenciamento de dispositivos.
Para o Surface, nossa UEFI (Interface de Firmware Extensível Unificada) é mantida internamente, atualizada regularmente por meio de Windows Update e implantada perfeitamente para gerenciamento por meio do Windows Autopilot, minimizando o risco e maximizando o controle no nível do firmware antes das botas do dispositivo. A Microsoft fornece total transparência da base de código em nossa UEFI por meio do Mu do Projeto de Código Aberto no GitHub, gerenciado por Microsoft Intune centro de administração.
Componentes criados e projetados pela Microsoft
Cada camada do Surface do chip para a nuvem é mantida pela Microsoft, dando-lhe controle final, proteção proativa e tranquilidade em qualquer lugar e por mais que o trabalho seja feito. Os dispositivos Surface são enviados com os protocolos de segurança mais fortes que a Microsoft oferece e habilita o gerenciamento simplificado que reduz a complexidade de TI e ajuda os usuários a se manterem focados em seu trabalho.
O Surface impulsiona a segurança por meio de uma abordagem de defesa detalhada, utilizando uma camada de subcomponentes defensivos independentes. Do chip para a nuvem ou de um UEFI que garante uma Raiz de Confiança para o Microsoft Defender para Ponto de Extremidade alimentado por IA que funciona para prevenir, detectar, investigar e responder a ameaças avançadas, o Surface impõe a posição de que a posição interna da Microsoft é melhor do que bolt-on.
| Recurso | Descrição | Saiba mais |
|---|---|---|
| Microsoft Built UEFI | Software que configura o dispositivo e inicializa Windows 10 Controla a inicialização inicial do dispositivo e Windows 10, em seguida, fornece serviços de runtime de firmware para o sistema operacional. Garante significativamente mais controle sobre o hardware de um dispositivo por meio do gerenciamento local do SEMM e do gerenciamento baseado em nuvem do DFCI por meio Microsoft Intune centro de administração |
Gerenciar configurações de UEFI do Surface |
| TPM físico 2.0 | Módulo de Plataforma Confiável – Microcontrolador dedicado projetado para proteger o hardware por meio de chaves criptográficas integradas. Criptografa e armazena chaves (BitLocker, Windows Hello, Credenciais do AD) PCR – Registros de Configuração de Plataforma que protegem medidas e métricas relevantes para detectar alterações na configuração anterior |
Visão geral da tecnologia Trusted Platform Module |
| Windows Hello para Empresas | Substitui senhas por autenticação forte de dois fatores em computadores e dispositivos móveis. Essa autenticação biométrica consiste em um novo tipo de credencial de usuário que está vinculada a um dispositivo. | Como Windows Hello para Empresas funciona – Microsoft 365 Security |
| Criptografia integrada | A criptografia integrada é habilitada pelo BitLocker para proteger e criptografar seus dados e Windows Hello para habilitar o logon sem senha, combinado com TPM físico e UEFI. | BitLocker (Windows 10) – Segurança do Microsoft 365 |
| Microsoft Defender para Ponto de Extremidade | Fornece uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes a prevenir, detectar, investigar e responder a ameaças avançadas. | Microsoft Defender para Ponto de Extremidade |
Protocolos de segurança de nível de fábrica e inspeção
Do firmware ao sistema operacional e a todos os componentes de hardware antes do assembly final, os dispositivos Surface estão seguros contra ataques da cadeia de suprimentos em nossas instalações de desenvolvimento e fabricação fisicamente protegidas.
Por definição, uma cadeia de suprimentos segura fornece produtos concluídos que atendem às metas operacionais, de qualidade, de desempenho e de qualidade. Simplificando, uma cadeia de suprimentos segura garante que todos os componentes sejam genuínos e livres de manipulação ou sabotagem não autorizada ou mal-intencionada. Fabricamos dispositivos em fábricas altamente protegidas onde tudo, desde o firmware UEFI até o sistema operacional, vem diretamente da Microsoft. Nenhum fornecedor de BIOS de terceiros está envolvido. Essa é uma parte forte de como protegemos contra ataques da cadeia de suprimentos para produtos Surface. Reduzimos o surface de ataque em nossa UEFI removendo qualquer código não utilizado, incluindo funções SMM do modo de gerenciamento do sistema que nossos dispositivos não precisam.
Proteger instalações contra ataques externos baseados na Internet, intrusão e outras ameaças requer um investimento contínuo em áreas críticas, incluindo:
- Inspeção rigorosa e teste de todos os componentes em locais de assembly final.
- Mantendo altos níveis de segurança física na fábrica.
- Uso apenas de firmware, drivers e sistema operacional mantidos pela Microsoft.
- Logística segura e entrega confiável de dispositivos Surface diretamente para revendedores da Microsoft.
Ao sair da fábrica, os dispositivos Surface for Business são protegidos por meio de Windows Update durante todo o ciclo de vida.
Recursos avançados de segurança do Windows
A escalada de ataques de privilégios é o melhor amigo de um ator mal-intencionado, e eles geralmente visam informações confidenciais armazenadas na memória. Esses tipos de ataques podem transformar um pequeno comprometimento do modo de usuário em um comprometimento total do sistema operacional e do dispositivo. Para combater esses tipos de ataques, a Microsoft desenvolveu a VBS (segurança baseada em virtualização) e a HVCI (integridade de código protegida pelo Hypervisor), também comumente conhecida como integridade da memória). VBS e HVCI usam o poder de recursos de hardware, como virtualização, para fornecer melhor proteção contra malwares comuns e sofisticados, executando operações de segurança confidenciais em um ambiente isolado.
O Surface fornece esses recursos de segurança de hardware aprimorados do Windows habilitados para fora da caixa para dar aos clientes uma segurança ainda mais robusta que é interna e ativada por padrão.
Segurança baseada em virtualização
A segurança baseada em virtualização, ou VBS, usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional regular. O Windows pode usar esse "modo de segurança virtual" para hospedar várias soluções de segurança, fornecendo-lhes proteção significativamente maior contra vulnerabilidades no sistema operacional e impedindo o uso de explorações mal-intencionadas que tentam derrotar proteções.
Hypervisor-Enforced HVCI (Integridade do Código)
O HVCI usa o VBS para fortalecer significativamente a aplicação da política de integridade do código. A integridade do código do modo kernel verifica todos os drivers e binários do modo kernel antes de serem iniciados e impede que drivers não assinados ou arquivos do sistema sejam carregados na memória do sistema. Conforme mostrado no diagrama a seguir, o HVCI é executado em um ambiente de execução isolado e verifica a integridade do código do kernel de acordo com a política de assinatura do kernel.
O VBS e o HVCI estão habilitados para fora da caixa nos seguintes dispositivos Surface:
- Surface Pro 8
- Surface Pro 9
- Surface Pro 9 com 5G
- Surface Pro 10
- Surface Laptop Studio
- Surface Laptop Studio 2
- Surface Go 3
- Surface Go 4
- Surface Laptop 4
- Surface Laptop 5
- Surface Laptop 6
- Surface Pro 7+
- Surface Book 3
- Surface Laptop Go
- Surface Laptop Go 2
- Surface Pro X
- Surface Studio 2+
Proteger a inicialização e o boot guard
A Raiz de Confiança dos dispositivos Surface verifica assinaturas e medidas para garantir que cada estágio seja seguro e autêntico antes de permitir que a próxima fase da inicialização prossiga. Habilitada por UEFI e TPM 2.0, a Inicialização Segura garante que apenas o código assinado, medido e implementado corretamente possa ser executado em um dispositivo Surface.
Conforme mostrado na figura a seguir, a integridade do firmware é verificada em cada estágio, desde pressionar o botão de energia até executar o sistema operacional.
Figura 1. Inicialização segura para dispositivos Surface
| Etapa | Fase de Inicialização Segura |
|---|---|
| 1 | A segurança é instanciada sempre que o botão de energia é pressionado de uma raiz de confiança fornecida pelo TPM. Quando um dispositivo é ligado pela primeira vez, o sistema executa uma série de verificações de segurança para garantir que o firmware do dispositivo não tenha sido adulterado ou corrompido. |
| 2 | Quando ativado, o SoC usa uma chave de fornecedor de chipset para validar e iniciar o carregamento de microcódigo usando o ACM (Authenticated Code Module) (em dispositivos baseados em Intel). |
| 3 | O ACM mede o código UEFI antes de carregá-lo e o compara à medida conhecida no Registro de Configuração de Plataforma [PCR] do TPM para garantir que o código UEFI não tenha sido alterado. |
| 4 | Antes de permitir que o UEFI seja executado, o Boot Guard verifica se o UEFI está assinado com uma chave OEM do Surface. O módulo UEFI verificado inicialmente é a segurança da SEC e as seções PEI Pré-EFI mostradas no diagrama. |
| 5 | A seção PEI verifica uma assinatura do Surface no ambiente de execução do driver, o módulo DXE, conforme ele é carregado. O módulo DXE inclui a fase de seleção do dispositivo de inicialização. |
| 6 | Depois que o dispositivo de inicialização é selecionado, o UEFI lê o dispositivo de inicialização e verifica a assinatura do carregador de inicialização do sistema operacional antes de permitir que ele seja executado. |
| 7 | Em seguida, o sistema operacional verifica suas assinaturas em seu componente main à medida que ele traz o sistema operacional. |
Proteção contra malware
Para ajudar a proteger seu dispositivo contra ataques de software mal-intencionados, o Surface permite a inicialização Segura para garantir que uma versão autêntica do Windows 10 seja iniciada e que o firmware seja tão genuíno quanto era quando saiu da fábrica.
O SoC em dispositivos Surface tem um processador de segurança separado de todos os outros núcleos. Quando você inicia um dispositivo Surface pela primeira vez, somente o processador de segurança é iniciado antes que qualquer outra coisa possa ser carregada. A Inicialização Segura é usada para verificar se os componentes do processo de inicialização, incluindo drivers e o sistema operacional, são validados em um banco de dados de assinaturas válidas e conhecidas. Isso ajuda a evitar ataques de um sistema clonado ou modificado que executa código mal-intencionado oculto no que parece ser uma experiência de usuário diária. Para saber mais, confira visão geral da inicialização segura.
Depois que o sistema operacional é verificado como originário da Microsoft e seu dispositivo Surface conclui o processo de inicialização, o dispositivo examina o código executável. Nossa abordagem para a proteção do sistema operacional envolve identificar a assinatura do código de todos os executáveis, permitindo que somente os que passarem nossas restrições sejam carregados no tempo de execução. Esse método de assinatura de código permite que o sistema operacional verifique o autor e confirme se o código não foi alterado antes de ser executado no dispositivo.
Proteção DRTM em dispositivos AMD
Os dispositivos Surface que contêm processadores AMD implementam equivalentemente a Inicialização Segura. O Surface Laptop 4 com processador AMD Ryzen Microsoft Surface Edition protege o firmware contra o power-on inicial usando o DRTM (Dynamic Root of Trust Measurements). O DRTM controla todas as CPUs, forçando a execução ao longo de um caminho medido e restabelece a confiança em vários estágios para verificar a integridade do firmware/software do sistema. A transição para esse estado confiável antecipadamente fornece proteção adicional contra possíveis ataques nos estágios de inicialização.
O DRTM protege as medidas criptografando-as usando TSME (Total System Memory Encryption). Depois que o TSME for definido, ele não poderá ser desmarcado, exceto por uma redefinição do sistema. Uma nova chave de criptografia para cada redefinição garante a criptografia de uso único para segurança.
As chamadas de runtime para o SMM (Modo de Gerenciamento de Sistema) são executadas no nível mais alto, o que pode ser arriscado se o código SMM tiver problemas. O Surface Laptop 4 com AMD Ryzen protege o sistema interceptando o SMI (System Management Interrupts) e despacha a execução do código SMM para um nível menor (usuário) para proteger o sistema contra acesso inválido a código e dados. A proteção SMM usa proteções de hardware para restringir o código, os dados e os recursos do sistema que podem ser acessados, impondo ainda mais a proteção contra incidentes inadvertidos ou mal-intencionados.
O Surface Laptop 4 com AMD Ryzen dá suporte às Diretrizes de Resiliência do Firmware da Plataforma NIST 800-193, além do robusto suporte à atualização de firmware. O mecanismo de atualização resiliente para firmware de inicialização usa um mecanismo do A-B Recovery que fornece recuperação automática para uma cópia de backup do firmware caso a sequência de inicialização detecte uma cópia corrompida do firmware durante a inicialização.
Para saber mais sobre DRTM e SMM, consulte Como um Windows Defender System Guard ajuda a proteger Windows 10.
Controle de gerenciamento de dispositivo remoto
Os administradores de TI podem gerenciar remotamente dispositivos Surface sem tocar fisicamente em todos os dispositivos. Microsoft Intune centro de administração com Intune e o Windows Autopilot habilita o gerenciamento remoto completo de dispositivos Surface do Azure Cloud, fornecendo dispositivos totalmente configurados aos usuários após a inicialização. Os recursos de limpeza e retirada permitem que a TI reutilize um dispositivo facilmente para um novo usuário remoto e limpe um dispositivo que foi roubado. Isso permite recursos de resposta rápidos e seguros em caso de perda ou roubo de um dispositivo Surface, permitindo que você remova remotamente todos os dados da empresa e reconfigure o Surface como um dispositivo totalmente novo.
| Recurso | Descrição | Saiba mais |
|---|---|---|
| DCFI (Interface de Configuração do Firmware de Dispositivo) | Fornece gerenciamento de firmware remoto em escala de nuvem com provisionamento de dispositivo com toque zero. A UEFI da Microsoft permite uma implementação mais forte do DCFI, permitindo que as organizações desabilitem elementos de hardware e bloqueiem remotamente a UEFI usando Intune. ¹ | Gerenciamento pelo Intune das configurações de UEFI do Surface Gerenciar configurações de UEFI do Surface |
| SEMM (Modo de Gerenciamento do Surface Enterprise) | Habilita o engajamento empresarial centralizado das configurações de firmware UEFI em ambientes locais, híbridos e de nuvem.¹ | Modo de gerenciamento empresarial do Surface |
| Windows Update para Empresas | Permite que os administradores de TI mantenham os dispositivos Windows 10 em sua organização continuamente atualizados com as defesas de segurança mais recentes, recursos do Windows e firmware do Surface conectando diretamente esses sistemas ao serviço Windows Update. Você pode usar soluções Política de Grupo ou MDM, como Microsoft Intune para configurar as configurações do Windows Update for Business que controlam como e quando os dispositivos Surface são atualizados. | Windows Update para Empresas Gerenciar e implantar atualizações de driver e firmware do Surface |
Saiba mais
- Os novos PCs do Surface habilitam a VBS (segurança baseada em virtualização) por padrão para capacitar os clientes a fazer mais, com segurança
- Estudo destaca função crítica da proteção de firmware do Surface
- Aprimorando a segurança e a conformidade com o Microsoft Surface e o Microsoft 365
- Gerenciar configurações de UEFI do Surface
- Gerenciamento pelo Intune das configurações de UEFI do Surface
- Project Mu
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de