Compartilhar via


Proteção de identidade do Windows

Saiba mais sobre tecnologias de proteção de identidade no Windows.

Aviso

Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos modernos de autenticação de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são incentivados a migrar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos Windows Hello para Empresas ou chaves de segurança FIDO2.

Entrada sem senha

Nome do recurso Descrição
Windows Hello para Empresas Windows 11 dispositivos podem proteger as identidades do usuário removendo a necessidade de usar senhas desde o primeiro dia. É fácil começar a usar o método correto para sua organização. Uma senha só pode precisar ser usada uma vez durante o processo de provisionamento, após o qual as pessoas usam um PIN, rosto ou impressão digital para desbloquear credenciais e entrar no dispositivo.

Windows Hello para Empresas substitui o nome de usuário e a senha combinando uma chave de segurança ou certificado com um PIN ou dados de biometria e mapeando as credenciais para uma conta de usuário durante a instalação. Há várias maneiras de implantar Windows Hello para Empresas, dependendo das necessidades da sua organização. As organizações que dependem de certificados normalmente usam a PKI (infraestrutura de chave pública) local para dar suporte à autenticação por meio da Confiança do Certificado. As organizações que usam a implantação de confiança de chave exigem a raiz de confiança fornecida por certificados em controladores de domínio.
Sensor de presença do Windows O sensor de presença do Windows fornece outra camada de proteção de segurança de dados para trabalhadores híbridos. Windows 11 dispositivos podem se adaptar inteligentemente à sua presença para ajudá-lo a se manter seguro e produtivo, seja trabalhando em casa, no escritório ou em um ambiente público. O sensor de presença do Windows combina sensores de detecção de presença com Windows Hello reconhecimento facial para bloquear automaticamente seu dispositivo quando você sair e, em seguida, desbloquear seu dispositivo e entrar usando Windows Hello reconhecimento facial quando você retornar. Requer hardware de suporte para OEM.
Windows Hello para Empresas ESS (entrada de segurança aprimorada) Windows Hello biometria também dá suporte à segurança de entrada aprimorada, que usa componentes especializados de hardware e software para aumentar ainda mais a barra de segurança para entrada biométrica.

A biometria de segurança de entrada aprimorada usa o VBS e o TPM para isolar processos e dados de autenticação do usuário e proteger o caminho pelo qual as informações são comunicadas. Esses componentes especializados protegem contra uma classe de ataques que incluem injeção de amostra biométrica, reprodução, adulteração e muito mais.

Por exemplo, os leitores de impressão digital devem implementar o Protocolo de Conexão de Dispositivo Seguro, que usa a negociação de chaves e um certificado emitido pela Microsoft para proteger e armazenar com segurança os dados de autenticação do usuário. Para reconhecimento facial, componentes como a tabela Dispositivos Seguros (SDEV) e o isolamento do processo com trustlets ajudam a evitar uma classe adicional de ataques.
Experiência sem senha do Windows A experiência sem senha do Windows é uma política de segurança que visa criar uma experiência mais amigável para Microsoft Entra dispositivos ingressados eliminando a necessidade de senhas em determinados cenários de autenticação. Ao habilitar essa política, os usuários não terão a opção de usar uma senha nesses cenários, o que ajuda as organizações a se afastarem das senhas ao longo do tempo.
Chaves de passagem As chaves de passe fornecem um método mais seguro e conveniente para fazer logon em sites e aplicativos em comparação com senhas. Ao contrário das senhas, que os usuários devem lembrar e digitar, as chaves de passe são armazenadas como segredos em um dispositivo e podem usar o mecanismo de desbloqueio de um dispositivo (como biometria ou um PIN). As chaves de passe podem ser usadas sem a necessidade de outros desafios de entrada, tornando o processo de autenticação mais rápido, seguro e conveniente.
Chave de segurança FIDO2 As especificações de CTAP e WebAuthN definidas pelo FIDO (Fast Identity Online) estão se tornando o padrão aberto para fornecer autenticação forte que não seja phishable, amigável ao usuário e respeito à privacidade com implementações de grandes provedores de plataforma e partes confiáveis. Os padrões e certificações FIDO estão se tornando reconhecidos como o padrão líder para criar soluções de autenticação segura entre empresas, governos e mercados consumidores.

Windows 11 pode usar chaves de segurança FIDO2 externas para autenticação ao lado ou além de Windows Hello que também é uma solução sem senha certificada fiDO2. Windows 11 pode ser usado como um autenticador FIDO para muitos serviços populares de gerenciamento de identidade.
Cartões inteligentes para o Serviço do Windows As organizações também têm a opção de usar cartões inteligentes, um método de autenticação que pré-data a entrada biométrica. Os cartões inteligentes são dispositivos de armazenamento portáteis e resistentes a adulterações que podem aprimorar a segurança do Windows ao autenticar clientes, assinar código, proteger emails e entrar com contas de domínio do Windows. Os cartões inteligentes só podem ser usados para entrar em contas de domínio, não em contas locais. Quando uma senha é usada para entrar em uma conta de domínio, o Windows usa o protocolo Kerberos versão 5 (v5) para autenticação. Se você usar um cartão inteligente, o sistema operacional usará a autenticação Kerberos v5 com certificados X.509 v3.

Proteção avançada de credenciais

Nome do recurso Descrição
Logon da Web O logon da Web é um provedor de credencial inicialmente introduzido no Windows 10 com suporte apenas para TAP (Passe de Acesso Temporário). Com a versão do Windows 11, os cenários e os recursos com suporte do logon da Web foram expandidos. Por exemplo, os usuários podem entrar no Windows usando o aplicativo Microsoft Authenticator ou com uma identidade federada.
Entrada federada Windows 11 Education edições dão suporte à entrada federada com provedores de identidade que não são da Microsoft. A entrada federada permite a entrada segura por meio de métodos como códigos QR ou imagens.
Windows LAPS A Solução de Senha do Administrador Local do Windows (Windows LAPS) é um recurso do Windows que gerencia e faz backup automático da senha de uma conta de administrador local em seu Microsoft Entra dispositivos ingressados ou ingressados em Windows Server Active Directory. Você também pode usar o Windows LAPS para gerenciar e fazer backup automático da senha da conta DSRM (Modo de Restauração dos Serviços de Diretório) em seus controladores de domínio Windows Server Active Directory. Um administrador autorizado pode recuperar a senha DSRM e usá-la.
Política de Bloqueio da Conta As configurações da Política de Bloqueio de Conta controlam o limite de resposta para tentativas de logon com falha e as ações a serem tomadas após o limite ser atingido.
Proteção de phishing aprimorada com SmartScreen Os usuários que ainda estão usando senhas podem se beneficiar de uma poderosa proteção de credencial. Microsoft Defender SmartScreen inclui proteção de phishing aprimorada para detectar automaticamente quando um usuário insere sua senha da Microsoft em qualquer aplicativo ou site. Em seguida, o Windows identifica se o aplicativo ou site está se autenticando com segurança na Microsoft e avisa se as credenciais estão em risco. Como os usuários são alertados no momento do possível roubo de credencial, eles podem tomar medidas preventivas antes que sua senha seja usada contra eles ou sua organização.
Controle de Acesso (ACL/SACL) O controle de acesso no Windows garante que os recursos compartilhados estejam disponíveis para usuários e grupos diferentes do proprietário do recurso e estejam protegidos contra uso não autorizado. Os administradores de TI podem gerenciar o acesso de usuários, grupos e computadores a objetos e ativos em uma rede ou computador. Depois que um usuário é autenticado, o sistema operacional Windows implementa a segunda fase de proteção de recursos usando tecnologias internas de autorização e controle de acesso para determinar se um usuário autenticado tem as permissões corretas.

Controle de Acesso Listas (ACL) descrevem as permissões para um objeto específico e também podem conter o SACL (System Controle de Acesso Listas). Os SACLs fornecem uma maneira de auditar eventos específicos do nível do sistema, como quando um usuário tenta acessar objetos do sistema de arquivos. Esses eventos são essenciais para acompanhar a atividade para objetos confidenciais ou valiosos e exigem monitoramento extra. Ser capaz de auditar quando um recurso tenta ler ou gravar parte do sistema operacional é fundamental para entender um ataque em potencial.
Credential Guard Habilitado por padrão em Windows 11 Enterprise, o Credential Guard usa VBS (segurança baseada em virtualização) com suporte em hardware para proteger contra roubo de credenciais. Com a Credential Guard, a LSA (Autoridade de Segurança Local) armazena e protege segredos em um ambiente isolado que não é acessível para o resto do sistema operacional. A LSA usa chamadas de procedimento remoto para se comunicar com o processo isolado da LSA.

Ao proteger o processo LSA com segurança baseada em Virtualização, o Credential Guard protege os sistemas contra técnicas de ataque de roubo de credencial, como passar o hash ou passar o tíquete. Ele também ajuda a impedir que o malware acesse segredos do sistema, mesmo que o processo esteja em execução com privilégios de administrador.
Credential Guard remoto O Remote Credential Guard ajuda você a proteger suas credenciais em uma conexão de Área de Trabalho Remota redirecionando as solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece experiências de logon único para sessões de Área de Trabalho Remota.

As credenciais de administrador são altamente privilegiadas e devem ser protegidas. Quando você usa o Remote Credential Guard para se conectar durante sessões de Área de Trabalho Remota, seus derivativos de credencial e credencial nunca são passados pela rede para o dispositivo de destino. Se o dispositivo de destino estiver comprometido, suas credenciais não serão expostas.