Confiança Zero e integridade do dispositivo Windows
As organizações precisam de um modelo de segurança que se adapte mais efetivamente à complexidade do ambiente de trabalho moderno. Os administradores de TI precisam adotar o local de trabalho híbrido, ao mesmo tempo em que protegem pessoas, dispositivos, aplicativos e dados onde quer que estejam localizados. Implementar um modelo de Confiança Zero para segurança ajuda a resolver os ambientes complexos de hoje.
Os princípios Confiança Zero são:
- Verifique explicitamente. Autenticar e autorizar sempre com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, localização, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e monitorar anomalias
- Use acesso com privilégios mínimos. Limitar o acesso do usuário com acesso just-in-time e just-enough, políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e manter a produtividade
- Suponha violação. Impedir que os invasores obtenham acesso para minimizar possíveis danos a dados e sistemas. Proteger funções privilegiadas, verificar criptografia de ponta a ponta, usar análise para obter visibilidade e impulsionar a detecção de ameaças para melhorar as defesas
O conceito Confiança Zero de verificar se aplica explicitamente aos riscos introduzidos por dispositivos e usuários. O Windows permite o atestado de integridade do dispositivo e os recursos de acesso condicional , que são usados para conceder acesso a recursos corporativos.
O acesso condicional avalia sinais de identidade para confirmar que os usuários são quem dizem ser antes de terem acesso aos recursos corporativos.
Windows 11 dá suporte ao atestado de integridade do dispositivo, ajudando a confirmar que os dispositivos estão em um bom estado e não foram adulterados. Essa funcionalidade ajuda os usuários a acessar recursos corporativos, sejam eles no escritório, em casa ou quando estiverem viajando.
O atestado ajuda a verificar a identidade e o status de componentes essenciais e que o dispositivo, o firmware e o processo de inicialização não foram alterados. As informações sobre o firmware, o processo de inicialização e o software são usadas para validar o estado de segurança do dispositivo. Essas informações são armazenadas criptograficamente no TPM (módulo de plataforma confiável) do co-processador de segurança. Depois que o dispositivo for atestado, ele poderá ter acesso aos recursos.
Atestado de integridade do dispositivo no Windows
Muitos riscos de segurança podem surgir durante o processo de inicialização, pois esse processo pode ser o componente mais privilegiado de todo o sistema. O processo de verificação usa o atestado remoto como o canal seguro para determinar e apresentar a integridade do dispositivo. O atestado remoto determina:
- Se o dispositivo puder ser confiável
- Se o sistema operacional for inicializado corretamente
- Se o sistema operacional tiver o conjunto certo de recursos de segurança habilitados
Essas determinações são feitas com a ajuda de uma raiz segura de confiança usando o TPM (Trusted Platform Module). Os dispositivos podem atestar que o TPM está habilitado e que o dispositivo não foi adulterado.
O Windows inclui muitos recursos de segurança para ajudar a proteger os usuários contra malwares e ataques. No entanto, confiar nos componentes de segurança do Windows só poderá ser alcançado se a plataforma inicializar conforme o esperado e não for adulterada. O Windows conta com a Inicialização Segura uefi (Interface extensível extensível unificada), elam (antimalware de início antecipado), DRTM (Raiz Dinâmica de Confiança para Medição), Inicialização Confiável e outros recursos de segurança de hardware e firmware de baixo nível. Quando você liga seu computador até que seu anti-malware seja iniciado, o Windows é apoiado com a configuração de hardware apropriada para ajudar a mantê-lo seguro. Inicialização medida e confiável, implementada por bootloaders e BIOS, verifica e registra criptograficamente cada etapa da inicialização de maneira encadeada. Esses eventos estão associados a um TPM (coprocessador de segurança) que atua como a Raiz da Confiança. Atestado remoto é o mecanismo pelo qual esses eventos são lidos e verificados por um serviço para fornecer um relatório verificável, imparcial e resiliente de adulteração. O atestado remoto é o auditor confiável da inicialização do sistema, permitindo que entidades específicas confiem no dispositivo.
Um resumo das etapas envolvidas no atestado e Confiança Zero no lado do dispositivo são os seguintes:
Durante cada etapa do processo de inicialização, como uma carga de arquivo, atualização de variáveis especiais e muito mais, informações como hashes de arquivo e assinatura são medidas nos PCRs TPM. As medidas estão associadas a uma TCG ( especificação do Grupo de Computação Confiável ) que determina quais eventos podem ser registrados e o formato de cada evento
Depois que o Windows é inicializado, o attestor/verificador solicita o TPM para buscar as medidas armazenadas em seu PCR (Registro de Configuração de Plataforma) ao lado de um log TCG. As medidas em ambos os componentes formam juntos a evidência de atestado que é enviada para o serviço de atestado
O TPM é verificado usando as chaves/material criptográfico disponíveis no chipset com um Serviço de Certificado do Azure
Essas informações são então enviadas para o serviço de atestado na nuvem para verificar se o dispositivo está seguro. O Microsoft Endpoint Manger integra-se à Microsoft Atestado do Azure examinar a integridade do dispositivo de forma abrangente e conectar essas informações com Microsoft Entra Acesso Condicional. Essa integração é fundamental para soluções Confiança Zero que ajudam a associar a confiança a um dispositivo não confiável
O serviço de atestado faz as seguintes tarefas:
- Verifique a integridade da evidência. Essa verificação é feita validando os PCRs que correspondem aos valores recomputados reproduzindo o log TCG
- Verifique se o TPM tem uma chave de identidade de atestado válida emitida pelo TPM autenticado
- Verifique se os recursos de segurança estão nos estados esperados
O serviço de atestado retorna um relatório de atestado que contém informações sobre os recursos de segurança com base na política configurada no serviço de atestado
Em seguida, o dispositivo envia o relatório para a nuvem Microsoft Intune para avaliar a confiabilidade da plataforma de acordo com as regras de conformidade do dispositivo configuradas pelo administrador
O acesso condicional, juntamente com o estado de conformidade do dispositivo, decide permitir ou negar o acesso
Outros recursos
Saiba mais sobre as soluções do Microsoft Confiança Zero no Centro de Diretrizes do Confiança Zero.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de