Segurança do sistema operacional Windows
A segurança e a privacidade dependem de um sistema operacional que proteja seu sistema e suas informações desde o momento em que ele é iniciado, fornecendo proteção fundamental do chip para nuvem. O Windows 11 é o Windows mais seguro até agora, com amplas medidas de segurança projetadas para ajudar a mantê-lo seguro. Essas medidas incluem criptografia avançada integrada e proteção de dados, rede robusta e segurança do sistema e proteções inteligentes contra ameaças em constante evolução.
Assista ao vídeo mais recente de segurança do Microsoft Mechanics Windows 11, que mostra algumas das mais recentes tecnologias de segurança do Windows 11.
Use os links nas seções a seguir para saber mais sobre os recursos e funcionalidades de segurança do sistema operacional no Windows.
Segurança do sistema
Nome do recurso | Descrição |
---|---|
Inicialização Segura e Inicialização Confiável | A Inicialização Segura e a Inicialização Confiável ajudam a impedir o carregamento de malwares e componentes corrompidos quando um dispositivo é iniciado. A Inicialização Segura começa com a proteção inicial de inicialização e, em seguida, a Inicialização Confiável inicia o processo. Juntos, a Inicialização Segura e a Inicialização Confiável ajudam a garantir que o sistema seja inicializado com segurança. |
Inicialização Medida | A inicialização medida mede todos os códigos importantes e definições de configuração durante a inicialização do Windows. Isso inclui: o firmware, o gerenciador de inicialização, o hipervisor, o kernel, o kernel seguro e o sistema operacional. A Inicialização Medida armazena as medidas no TPM do computador e as disponibiliza em um log que pode ser testado remotamente para verificar o estado de inicialização do cliente. O recurso Inicialização Medida fornece um software anti-malware com um log confiável (resistente à falsificação e adulteração) de todos os componentes de inicialização que começaram antes dele. O software anti-malware pode usar o log para determinar se os componentes executados antes dele são confiáveis ou se estão infectados com malware. O software anti-malware no computador local pode enviar o log para um servidor remoto para avaliação. O servidor remoto pode iniciar ações de correção, interagindo com o software no cliente ou por meio de mecanismos fora de banda, conforme apropriado. |
Serviço de atestado de integridade do dispositivo | O processo de atestado de integridade do dispositivo Windows dá suporte a um paradigma de confiança zero que transfere o foco de perímetros estáticos, baseados em rede, para usuários, ativos e recursos. O processo de atestado confirma que o dispositivo, o firmware e o processo de inicialização estão em um bom estado e não foram adulterados antes de poderem acessar recursos corporativos. As determinações são feitas com dados armazenados no TPM, que fornece uma raiz segura de confiança. As informações são enviadas para um serviço de atestado, como Atestado do Azure, para verificar se o dispositivo está em um estado confiável. Em seguida, uma ferramenta MDM como Microsoft Intune revisa a integridade do dispositivo e conecta essas informações com Microsoft Entra ID para acesso condicional. |
Configurações e auditoria da política de segurança do Windows | A Microsoft fornece um conjunto robusto de políticas de configurações de segurança que os administradores de TI podem usar para proteger dispositivos Windows e outros recursos em sua organização. |
Acesso atribuído | Alguns dispositivos da área de trabalho em uma empresa têm uma finalidade especial. Por exemplo, um computador no lobby que os clientes usam para ver seu catálogo de produtos. Ou um computador que exibe conteúdo visual como um sinal digital. O cliente Windows oferece duas experiências bloqueadas diferentes para uso público ou especializado: um quiosque de aplicativo único que executa um único aplicativo UWP (Plataforma Universal do Windows) em tela inteira acima da tela de bloqueio ou um quiosque de vários aplicativos que executa um ou mais aplicativos da área de trabalho. As configurações de quiosque são baseadas no Acesso Atribuído, um recurso no Windows que permite que um administrador gerencie a experiência do usuário limitando os pontos de entrada do aplicativo expostos ao usuário. |
Proteção contra vírus e ameaças
Nome do recurso | Descrição |
---|---|
Microsoft Defender Antivírus | O Microsoft Defender Antivírus é uma solução de proteção incluída em todas as versões do Windows. A partir do momento em que você inicializa o Windows, o Microsoft Defender Antivírus monitora continuamente a existência de malware, vírus e ameaças à segurança. As atualizações são baixadas automaticamente para ajudar a manter seu dispositivo seguro e protegê-lo contra ameaças. O Microsoft Defender Antivírus inclui proteção antivírus em tempo real, baseada em comportamento e heurística. A combinação de verificação de conteúdo sempre ativa, monitoramento de comportamento de arquivos e processos e outras heurísticas efetivamente impede ameaças à segurança. Microsoft Defender Antivírus verifica continuamente malware e ameaças e também detecta e bloqueia aplicativos potencialmente indesejados (PUA), que são aplicativos considerados que afetam negativamente seu dispositivo, mas não são considerados malware. |
Proteção LSA (Autoridade de Segurança Local) | O Windows tem vários processos críticos para verificar a identidade de um usuário. Os processos de verificação incluem a LSA (Autoridade de Segurança Local), que é responsável por autenticar usuários e verificar logons do Windows. O LSA lida com tokens e credenciais, como senhas que são usadas para logon único em um conta Microsoft e serviços do Azure. Para ajudar a proteger essas credenciais, a proteção LSA adicional permite apenas o carregamento de código assinado confiável e fornece proteção significativa contra roubo de credenciais. A proteção LSA é habilitada por padrão em novos dispositivos Windows 11 associados à empresa com suporte adicional para bloqueio não UEFI e controles de gerenciamento de política via MDM e política de grupo. |
Redução da superfície de ataque (ASR) | As regras de redução de superfície de ataque (ASR) ajudam a evitar comportamentos de software que geralmente são inadequados para comprometer seu dispositivo ou rede. Ao reduzir o número de superfícies de ataque, você pode reduzir a vulnerabilidade geral da sua organização. Os administradores podem configurar regras ASR específicas para ajudar a bloquear determinados comportamentos, como iniciar arquivos executáveis e scripts que tentam baixar ou executar arquivos, executar scripts ofuscados ou suspeitos, executar comportamentos que os aplicativos geralmente não iniciam durante o dia-a-dia normal trabalhar. |
Configuração de proteção contra violação para MDE | A proteção contra adulterações é um recurso do Microsoft Defender para Ponto de Extremidade que ajuda a proteger determinadas configurações de segurança, como vírus e proteção contra ameaças, de serem desabilitadas ou alteradas. Durante alguns tipos de ataques cibernéticos, os malfeitores tentam desativar os recursos de segurança dos dispositivos. A desativação dos recursos de segurança fornece aos malfeitores um acesso mais fácil aos seus dados, a capacidade de instalar malware e a capacidade de explorar seus dados, identidade e dispositivos. A proteção contra adulterações ajuda a proteger contra esses tipos de atividades. |
Acesso controlado à pasta | Você pode proteger suas informações valiosas em pastas específicas gerenciando o acesso do aplicativo a pastas específicas. Somente aplicativos confiáveis podem acessar pastas protegidas, que são especificadas quando o acesso a pastas controladas é configurado. Pastas comumente usadas, como as usadas para documentos, imagens, downloads, normalmente são incluídas na lista de pastas controladas. O acesso controlado à pasta funciona com uma lista de aplicativos confiáveis. Os aplicativos incluídos na lista de software confiável funcionam conforme o esperado. Os aplicativos que não estão incluídos na lista confiável são impedidos de fazer alterações em arquivos dentro de pastas protegidas. O Acesso controlado a pastas ajuda a proteger dados valiosos do usuário contra aplicativos maliciosos e ameaças, como ransomware. |
Exploit protection | O Exploit Protection aplica automaticamente várias técnicas de mitigação de exploração a aplicativos e processos do sistema operacional. O Exploit Protection funciona melhor com o Microsoft Defender para Ponto de Extremidade, que fornece às organizações relatórios detalhados sobre eventos e blocos de proteção contra explorações como parte de cenários típicos de investigação de alerta. Você pode habilitar a proteção contra exploração em um dispositivo individual e, em seguida, usar o MDM ou a política de grupo para distribuir o arquivo de configuração para vários dispositivos. Quando uma atenuação é encontrada no dispositivo, uma notificação será exibida na Central de Ações. Você pode personalizar a notificação com seus detalhes da empresa e informações de contato. Você também pode habilitar as regras individualmente para personalizar quais técnicas o recurso monitora. |
Microsoft Defender SmartScreen | O Microsoft Defender SmartScreen protege contra sites e aplicativos de phishing, malware e o download de arquivos potencialmente mal-intencionados. Para proteção de phishing aprimorada, o SmartScreen também alerta as pessoas quando elas estão inserindo suas credenciais em um local potencialmente arriscado. A TI pode personalizar quais notificações aparecem por meio do MDM ou da política de grupo. A proteção é executada no modo de auditoria por padrão, dando aos administradores de TI controle total para tomar decisões sobre a criação e aplicação de políticas. |
Microsoft Defender para Ponto de Extremidade | O Microsoft Defender para Ponto de Extremidade é uma solução de detecção e resposta de ponto de extremidade empresarial que ajuda as equipes de segurança a detectar, investigar e responder a ameaças avançadas. As organizações podem usar os dados de eventos avançados e os insights de ataque que o Defender para Ponto de Extremidade fornece para investigar incidentes. O Defender para Ponto de Extremidade reúne os seguintes elementos para fornecer uma visão mais completa dos incidentes de segurança: sensores comportamentais de ponto de extremidade, análise de segurança de nuvem, inteligência contra ameaças e recursos avançados de resposta. |
Segurança de rede
Nome do recurso | Descrição |
---|---|
Segurança da Camada de Transporte (TLS) | O Protocolo TLS é um protocolo criptográfico projetado para fornecer segurança de comunicações em uma rede. O TLS 1.3 é a versão mais recente do protocolo e está habilitado por padrão no Windows 11. Esta versão elimina algoritmos criptográficos obsoletos, aprimora a segurança em relação a versões mais antigas e tem como objetivo criptografar o máximo possível do handshake TLS. O handshake tem melhor desempenho, com uma viagem de ida e volta a menos por conexão, em média, e suporta apenas cinco conjuntos de cifras fortes que fornecem sigilo de encaminhamento perfeito e menos risco operacional. |
Segurança do DNS (Sistema de Nomes de Domínio) | A partir de Windows 11, o cliente DNS do Windows dá suporte a DNS por HTTPS (DoH), um protocolo DNS criptografado. Isso permite que os administradores garantam que seus dispositivos protejam consultas DNS contra invasores no caminho, sejam observadores passivos registrando comportamento de navegação ou invasores ativos tentando redirecionar clientes para sites mal-intencionados. Em um modelo de confiança zero em que não há nenhuma confiança colocada em um limite de rede, é necessária uma conexão segura com um resolvedor de nome confiável. |
Emparelhamento Bluetooth e proteção de conexão | O número de dispositivos Bluetooth conectados ao Windows continua aumentando. O Windows dá suporte a todos os protocolos de emparelhamento Bluetooth padrão, incluindo conexões clássicas e LE Secure, emparelhamento simples seguro e emparelhamento herdado clássico e LE. O Windows também implementa a privacidade LE baseada em host. As atualizações do Windows ajudam os usuários a se manterem atualizados com os recursos de segurança do sistema operacional e do driver de acordo com o Grupo de Interesse Especial bluetooth (SIG), Relatórios de Vulnerabilidade Padrão e problemas além daqueles exigidos pelos padrões principais do setor Bluetooth. A Microsoft recomenda que os usuários garantam que o firmware e/ou o software de seus acessórios Bluetooth sejam mantidos atualizados. |
Segurança Wi-Fi | Wi-Fi O WPA (Acesso Protegido) é um programa de certificação de segurança projetado para proteger redes sem fio. O WPA3 é a versão mais recente da certificação e fornece um método de conexão mais seguro e confiável em comparação com protocolos de segurança WPA2 e mais antigos. O Windows dá suporte a três modos WPA3: WPA3 pessoal com o protocolo H2E (Hash-to-Element), WPA3 Enterprise e WPA3 Enterprise de 192 bits Suite B. O Windows 11 também dá suporte ao WPA3 Enterprise definido pela WFA que inclui validação de Certificado de Servidor aprimorada e TLS 1.3 para autenticação usando a Autenticação EAP-TLS. |
Criptografia sem fio oportunista (OWE) | A Criptografia Sem Fio Oportunista (OWE) é uma tecnologia que permite que dispositivos sem fio estabeleçam conexões criptografadas com hotspots Wi-Fi públicos. |
Firewall do Windows | O Firewall do Windows fornece filtragem de tráfego de rede bidirecional baseada em host, bloqueando o tráfego não autorizado que flui para dentro ou para fora do dispositivo local com base nos tipos de redes às quais o dispositivo está conectado. O Firewall do Windows reduz a superfície de ataque de um dispositivo com regras para restringir ou permitir o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Reduzir a superfície de ataque de um dispositivo aumenta a capacidade de gerenciamento e diminui a probabilidade de um ataque bem-sucedido. Com sua integração com o IPSec (Segurança do Protocolo Internet), o Firewall do Windows fornece uma maneira simples de impor comunicações de rede autenticadas de ponta a ponta. Ele fornece acesso escalonável e em camadas a recursos de rede confiáveis, ajudando a reforçar a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados. O Firewall do Windows é um firewall baseado em host que está incluído no sistema operacional, não há hardware ou software adicional necessário. O Firewall do Windows também foi projetado para complementar soluções de segurança de rede existentes que não são da Microsoft por meio de uma API (interface de programação de aplicativo) documentada. |
VPN (rede virtual privada) | A plataforma do cliente VPN do Windows inclui protocolos VPN internos, suporte à configuração, uma interface de usuário VPN comum e suporte de programação para protocolos VPN personalizados. Os aplicativos VPN estão disponíveis no Microsoft Store para VPNs corporativas e de consumidor, incluindo aplicativos para os gateways de VPN corporativos mais populares. No Windows 11, os controles de VPN mais usados estão integrados diretamente ao painel Ações Rápidas. No painel Ações Rápidas, os usuários podem ver o status de sua VPN, iniciar e parar os túneis de VPN e acessar o aplicativo Configurações para obter mais controles. |
VPN Sempre Ativa (túnel do dispositivo) | Com Always On VPN, você pode criar um perfil VPN dedicado para o dispositivo. Ao contrário do Túnel do Usuário, que só se conecta depois que um usuário faz logon no dispositivo, o Túnel do Dispositivo permite que a VPN estabeleça conectividade antes de uma entrada do usuário. O Túnel do Dispositivo e o Túnel do Usuário operam independentemente com seus perfis VPN, podem ser conectados ao mesmo tempo e podem usar métodos de autenticação diferentes e outras configurações de VPN conforme apropriado. |
Acesso Direto | O DirectAccess permite a conectividade de usuários remotos com os recursos de rede da organização sem a necessidade de conexões de VPN (Rede Virtual Privada) tradicionais. Com conexões DirectAccess, os dispositivos remotos estão sempre conectados à organização e não há necessidade de usuários remotos iniciarem e interromperem as conexões. |
Serviço de arquivo de SMB (Bloco de Mensagens do Servidor) | A Criptografia SMB fornece criptografia de ponta a ponta de dados SMB e protege os dados contra ocorrências de espionagem em redes internas. No Windows 11, o protocolo SMB tem atualizações de segurança significativas, incluindo criptografia AES-256 bits, assinatura SMB acelerada, criptografia de rede RDMA (Acesso remoto à memória de diretório) e SMB sobre QUIC para redes não confiáveis. O Windows 11 apresenta conjuntos criptográficos AES-256-GCM e AES-256-CCM para criptografia SMB 3.1.1. Os administradores do Windows podem exigir o uso de segurança mais avançada ou continuar a usar a criptografia AES-128 mais compatível e ainda segura. |
Bloco de Mensagens do Servidor Direto (SMB direto) | O SMB Direct (SMB sobre acesso remoto direto à memória) é um protocolo de armazenamento que permite transferências diretas de dados de memória para memória entre o dispositivo e o armazenamento, com o mínimo de uso da CPU, enquanto usa adaptadores de rede compatíveis com RDMA padrão. O SMB Direct dá suporte à criptografia e agora você pode operar com a mesma segurança que o TCP tradicional e o desempenho do RDMA. Anteriormente, a habilitação da criptografia SMB desabilitou o posicionamento direto de dados, tornando o RDMA tão lento quanto o TCP. Agora os dados são criptografados antes do posicionamento, levando à degradação relativamente pequena do desempenho ao adicionar a privacidade de pacotes protegidos AES-128 e AES-256. |
Criptografia e proteção de dados
Nome do recurso | Descrição |
---|---|
Gerenciamento do BitLocker | O CSP do BitLocker permite que uma solução de MDM, como Microsoft Intune, gerencie os recursos de criptografia do BitLocker em dispositivos Windows. Isso inclui volumes de sistema operacional, unidades fixas e armazenamento removível e gerenciamento de chave de recuperação em Microsoft Entra ID. |
Habilitação do BitLocker | A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra ao sistema operacional e enfrenta as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou incorretamente descomissionados. O BitLocker usa o algoritmo AES no modo de operação XTS ou CBC com comprimento de chave de 128 bits ou 256 bits para criptografar dados no volume. O armazenamento em nuvem no Microsoft OneDrive ou no Azure pode ser usado para salvar o conteúdo da chave de recuperação. O BitLocker pode ser gerenciado por qualquer solução de MDM, como Microsoft Intune, usando um provedor de serviços de configuração (CSP). O BitLocker fornece criptografia para o sistema operacional, dados fixos e unidades de dados removíveis que aproveitam tecnologias como HSTI (interface de teste de segurança de hardware),Modo de Espera Moderno, Inicialização Segura UEFI e TPM. |
Disco Rígido Criptografado | Discos rígidos criptografados são uma classe de discos rígidos que são autocriptografados no nível do hardware e permitem a criptografia completa do hardware do disco enquanto são transparentes para o usuário do dispositivo. Essas unidades combinam os benefícios de segurança e gerenciamento fornecidos pelo Criptografia de Unidade de Disco BitLocker com o poder das unidades de autocriptografia. Ao transferir as operações criptográficas para o hardware, os discos rígidos criptografados aumentam o desempenho do BitLocker e reduzem o uso da CPU e o consumo de energia. Como os discos rígidos criptografados criptografam dados rapidamente, a implantação do BitLocker pode ser expandida entre dispositivos corporativos com pouco ou nenhum impacto na produtividade. |
Criptografia de Dados Pessoais (PDE) | A PDE (criptografia de dados pessoais) funciona com o BitLocker e o Windows Hello para Empresas para proteger ainda mais os documentos do usuário e outros arquivos, incluindo quando o dispositivo está ligado e bloqueado. Os arquivos são criptografados de forma automática e direta para dar aos usuários mais segurança sem interromper o fluxo de trabalho. Windows Hello para Empresas é usado para proteger o contêiner, que abriga as chaves de criptografia usadas pelo PDE. Quando o usuário entra, o contêiner é autenticado para liberar as chaves no contêiner a fim de descriptografar o conteúdo do usuário. |
Criptografia de Email (S/MIME) | A criptografia de email permite que os usuários criptografem mensagens de email de saída e anexos, portanto, somente os destinatários pretendidos com uma ID digital (certificado) podem lê-los. Os usuários podem assinar digitalmente uma mensagem, que verifica a identidade do remetente e confirma que a mensagem não foi adulterada. As mensagens criptografadas podem ser enviadas por um usuário para outros usuários em sua organização ou contatos externos se tiverem certificados de criptografia adequados. |