Novos recursos do Windows 11 fortalecem a segurança para lidar com a evolução do cenário de ameaças cibernéticas

Antes da Microsoft Build 2024, anunciamos uma nova classe de computadores Windows, o Copilot+ PC. Juntamente com essa nova e empolgante classe de PCs, estamos introduzindo importantes recursos de segurança e atualizações que tornam o Windows 11 mais seguro para usuários e organizações, dando aos desenvolvedores ferramentas para priorizar a segurança.

O cenário de ameaças de hoje é diferente de tudo o que já vimos antes. Os ataques estão aumentando em velocidade, escala e sofisticação. Em 2015, nossos sistemas de identidade detectavam cerca de 115 ataques de senhas por segundo. Menos de uma década depois, esse número subiu 3.378%, para mais de 4.000 ataques de senha por segundo.¹ Esse cenário exige abordagens de segurança mais fortes e abrangentes do que nunca, em todos os dispositivos e tecnologias que usamos em nossas vidas, tanto em casa quanto no trabalho.

Cibersegurança na vanguarda de tudo o que fazemos

Sempre tivemos um compromisso de longa data com a segurança no Windows. Vários anos atrás, quando vimos os cibercriminosos explorando cada vez mais o hardware, introduzimos o PC Secured-core para ajudar a proteger do chip para a nuvem e essa camada crítica de computação.

À medida que vimos os ataques cibernéticos baseados em identidade aumentarem a uma taxa alarmante ao longo dos anos, expandimos nossas ofertas sem senha de forma rápida. Em setembro de 2023, anunciamos a expansão do suporte a chaves de acesso com autenticação entre dispositivos. Continuamos a aproveitar esse impulso.

No início de maio de 2024, anunciamos o suporte a chaves de acesso para contas de consumidor da Microsoft e para chaves de acesso vinculadas a dispositivos no aplicativo Microsoft Authenticator para usuários de iOS e Android, expandindo nosso apoio a essa iniciativa do setor e apoiada pela FIDO Alliance. As chaves de acesso no Windows são protegidas pela tecnologia Windows Hello que engloba o Windows Hello e o Windows Hello para Empresas. Esta etapa mais recente se baseia em quase uma década de trabalho crítico fortalecendo o Windows Hello , tudo para oferecer aos usuários opções de entrada mais fáceis e seguras e eliminar pontos de vulnerabilidade.

Também expandimos nossa Iniciativa Futuro Seguro (SFI), deixando claro que estamos priorizando a segurança acima de tudo. O SFI, um compromisso que compartilhamos pela primeira vez em novembro de 2023, prioriza projetar, construir, testar e operar nossa tecnologia de uma forma que ajude a garantir a entrega segura e confiável de produtos e serviços. Com esses compromissos em mente, não apenas criamos recursos de segurança no Windows 11, mas também dobramos os recursos de segurança que serão ativados por padrão. Nosso objetivo continua sendo simples: tornar mais fácil ficar seguro com o Windows.

Hoje estamos compartilhando interessantes atualizações que tornam o Windows mais seguro e pronto para uso, por design e por padrão.

Hardware moderno e seguro

Acreditamos que a segurança é tema fundamental. Estamos trabalhando em estreita colaboração com nossos parceiros OEM (Original Equipment Manufacturer) para complementar os recursos de segurança e fornecer dispositivos mais seguros prontos para uso. Enquanto os PCs de núcleo seguro já foram considerados dispositivos especializados para aqueles que lidam com dados confidenciais, agora os usuários do Windows podem se beneficiar de segurança aprimorada e IA em um único dispositivo.

Anunciamos que todos os PCs Copilot+ serão PCs Secured-core, trazendo assim segurança avançada para dispositivos comerciais e de consumo. Além das camadas de proteção no Windows 11, os PCs de núcleo seguro fornecem proteções avançadas de firmware e medição dinâmica de raiz de confiança, medidas importantes para ajudar a proteger do chip à nuvem.

O processador de segurança Microsoft Pluton será habilitado por padrão em todos os PCs Copilot+. O Pluton é uma tecnologia de segurança de chip para nuvem — projetada pela Microsoft e construída por parceiros— com  princípios Zero Trust no núcleo. Ele ajuda a proteger credenciais, identidades, dados pessoais e chaves de criptografia, tornando significativamente mais difícil de remover, mesmo que um invasor cibernético instale malware ou tenha posse física do PC.

Todos os PCs Copilot+ também serão fornecidos com o Windows Hello Enhanced Sign-in Security (ESS). Isso fornece logins biométricos mais seguros e elimina a necessidade de uma senha. O ESS fornece um nível adicional de segurança aos dados biométricos, aproveitando componentes especializados de hardware e software, como a segurança baseada em virtualização (VBS) e o Trusted Platform Module 2.0 para ajudar a isolar e proteger os dados de autenticação e proteger o canal no qual eles são comunicados. O ESS também está disponível em outros dispositivos Windows 11 compatíveis.

Mantenha-se à frente das ameaças em evolução com o Windows

Para melhorar a segurança do usuário desde o início, estamos atualizando continuamente as medidas de segurança e habilitando novos padrões no Windows.

O Windows 11 foi projetado com camadas de segurança habilitadas por padrão, para que você possa se concentrar no seu trabalho, não nas configurações de segurança. Recursos prontos para uso, como proteções de credenciais, escudos contra malware e proteção de aplicativos, levaram a uma queda comprovada de 58% nos incidentes de segurança, incluindo uma redução de 3,1X nos ataques de firmware. No Windows 11, hardware e software trabalham juntos para ajudar a reduzir a superfície de ataque, proteger a integridade do sistema e proteger dados valiosos. ²

O roubo de credenciais e identidade é um dos principais focos dos cibercriminosos. Habilitar a autenticação multifator com o Windows Hello, o Windows Hello for Business e as chaves de acesso, são soluções eficazes para a segurança de dispositivos.

Mas, à medida que mais pessoas habilitam a autenticação multifator, os cibercriminosos estão trocando ataques simples, baseados em senhas, e concentrando energia em outros tipos de roubo de credenciais. Temos trabalhado para tornar isso mais difícil com nossas últimas atualizações:

• Proteção da Autoridade de Segurança Local: o Windows tem vários processos críticos para verificar a identidade de um usuário, incluindo a Autoridade de Segurança Local (LSA). O LSA verifica e autentica as entradas do Windows, manipulando tokens e credenciais como senhas, que são usados para login único em contas da Microsoft e serviços do Microsoft Azure. A proteção LSA, anteriormente ativada por padrão para todos os novos dispositivos comerciais, agora também está habilitada por padrão para novos dispositivos de consumidor final. A proteção LSA impede que o LSA carregue código não confiável e impede que processos não confiáveis acessem a memória LSA, oferecendo proteção significativa contra roubo de credenciais.³
• Substituição do NT LAN Manager (NTLM): Substituir o NTLM tem sido uma grande demanda de nossa comunidade de segurança, pois fortalecerá a autenticação do usuário, e a substituição está planejada para o segundo semestre de 2024.
• Proteção avançada de chaves no Windows usando VBS: agora disponível em visualização pública para Windows Insiders, esse recurso ajuda a oferecer uma barra de segurança maior do que o isolamento de software, com desempenho mais forte em comparação com soluções baseadas em hardware, já que é alimentado pela CPU do dispositivo. Embora as chaves com suporte de hardware ofereçam fortes níveis de proteção, o VBS é útil para serviços com altos requisitos de segurança, confiabilidade e desempenho.
• Proteção do Windows Hello: com a tecnologia do Windows Hello sendo estendida para proteger chaves de acesso, se você estiver usando um dispositivo sem biometria interna, o Windows Hello ficou ainda mais fortalecido por padrão para usar o VBS para isolar credenciais, protegendo assim contra os ataques de nível administrativo.

Também priorizamos ajudar os usuários a saber quais aplicativos e drivers podem ser confiáveis. Estamos sempre trabalhando para proteger melhor as pessoas contra os ataques de phishing e malware. O Windows está criando recursos de caixa de entrada e fornecendo mais recursos para a comunidade de desenvolvedores de aplicativos do Windows para ajudar a fortalecer a segurança do aplicativo.

• Smart App Control: Disponível agora e ativado por padrão em novos sistemas selecionados, nos quais pode fornecer uma experiência ideal,  o Smart App Control foi aprimorado com o aprendizado de IA. Usando um modelo de IA baseado nos 78 trilhões de sinais de segurança que a Microsoft coleta todos os dias, esse recurso pode prever se um aplicativo é seguro. A política de uso mantém aplicativos comuns e conhecidos como seguros em execução, enquanto aplicativos desconhecidos conectados a malware são bloqueados. Esta é uma proteção incrivelmente eficaz contra malware.
• Assinatura confiável: aplicativos não assinados representam riscos significativos. Na verdade, a pesquisa da Microsoft revelou que muitos malwares vêm na forma de aplicativos não assinados. A melhor maneira de garantir a compatibilidade perfeita com o Smart App Control é com a assinatura do seu aplicativo. A assinatura contribui para sua confiabilidade e ajuda a garantir que uma “boa reputação” existente seja herdada por futuras atualizações de aplicativos, tornando-a menos provável de ser bloqueada inadvertidamente por sistemas de detecção de ameaças. Recentemente movida para visualização pública, a assinatura confiável simplifica esse processo, gerenciando todos os aspectos do ciclo de vida do certificado. E ele se integra a ferramentas de desenvolvimento populares como o Azure DevOps e o GitHub.
• Isolamento de aplicativo Win32: um novo recurso de segurança, atualmente em visualização, o isolamento de aplicativo Win32 torna mais fácil para os desenvolvedores de aplicativos do Windows conter danos e proteger as opções de privacidade do usuário em caso de comprometimento de um aplicativo. O isolamento de aplicativos Win32 é criado com base em AppContainers, que oferecem um limite de segurança, e componentes que virtualizam recursos e fornecem acesso agenciado a outros recursos como impressora, registro e acesso a arquivos. O isolamento do aplicativo Win32 está próximo da disponibilidade geral graças aos comentários de nossa comunidade de desenvolvedores. Os desenvolvedores de aplicativos agora podem usar o isolamento de aplicativo Win32 com integração perfeita do Visual Studio.
• Tornando os usuários administradores mais seguros: a maioria das pessoas faz login como administrador completo em seus dispositivos, o que significa que os aplicativos e serviços têm o mesmo acesso ao kernel e a outros serviços críticos que os usuários. E o problema é que esses aplicativos e serviços podem acessar recursos críticos sem que o usuário saiba. É por isso que o Windows está sendo atualizado para exigir acesso administrativo “just in time” ao kernel e outros serviços críticos, conforme necessário, não mais o tempo todo, e certamente não por padrão. Isso torna mais difícil para um aplicativo usar inesperadamente dos privilégios de administrador e colocar secretamente malware ou código mal-intencionado no Windows. Quando esse recurso estiver habilitado, como quando um aplicativo precisar de permissões especiais de direitos de administrador, será solicitada a aprovação. Quando uma aprovação é necessária, o Windows Hello fornece uma maneira segura e fácil de aprovar ou negar essas solicitações, dando a você, e somente a você, controle total sobre seu dispositivo. Atualmente em pré-visualização privada, isso estará disponível em visualização pública em breve.
• Enclaves VBS: Anteriormente disponíveis apenas para recursos de segurança do Windows, os enclaves VBS agora estão disponíveis para desenvolvedores de aplicativos de terceiros. Esse ambiente executivo confiável baseado em software dentro do espaço de endereço de um aplicativo host oferece proteção profunda do sistema operacional de cargas de trabalho confidenciais, como descriptografia de dados. Utilize as APIs do enclave VBS para experimentar como o enclave é protegido de outros processos do sistema e do próprio aplicativo host. Isso resulta em mais segurança para suas cargas de trabalho confidenciais.

À medida que vemos os cibercriminosos criarem estratégias e alvos, continuamos a fortalecer o código do Windows para abordar onde os agentes mal-intencionados estão gastando seu tempo e energia.

• Impressão protegida do Windows: no final de 2023, lançamos o Modo de Impressão Protegido do Windows para criar um sistema mais moderno e seguro que maximiza a compatibilidade e coloca os usuários em primeiro lugar. Este será o modo de impressão padrão no futuro.
• Dicas de ferramentas: No passado, as dicas de ferramentas foram exploradas, levando ao acesso não autorizado à memória. Em versões mais antigas do Windows, as dicas de ferramentas eram gerenciadas como uma única janela para cada área de trabalho, estabelecidas pelo kernel e recicladas para exibir qualquer dica de ferramenta. Estamos reformulando como as dicas de ferramentas funcionam para serem mais seguras para os usuários. Com a abordagem atualizada, a responsabilidade pelo gerenciamento do ciclo de vida das dicas de ferramentas foi transferida para o respectivo aplicativo que está sendo usado. Agora, o kernel monitora a atividade do cursor e inicia a contagem regressiva para a exibição e ocultação de janelas de dicas de ferramentas. Quando essas contagens regressivas são concluídas, o kernel notifica o ambiente em nível de usuário para gerar ou eliminar uma janela de dica de ferramenta.
• Autenticação do servidor TLS: os certificados de autenticação do servidor TLS (transport layer security) verificam a identidade do servidor para um cliente e garantem conexões seguras. Embora as chaves de criptografia RSA de 1024 bits fossem suportadas anteriormente, os avanços no poder de computação e na criptoanálise exigem que o Windows não confie mais nesses comprimentos de chave fracos por padrão. Como resultado, os certificados TLS com chaves RSA com menos de 2048 bits encadeados a raízes no Programa Raiz Confiável da Microsoft não serão confiáveis.

Por fim, a cada versão do Windows, adicionamos mais ferramentas para os clientes comerciais bloquearem o Windows em seu ambiente.

• Atualização de configuração: a atualização de configuração permite que os administradores definam uma agenda para que os dispositivos reapliquem configurações de política sem precisar fazer check-in no Microsoft Intune ou em outros fornecedores de gerenciamento de dispositivos móveis, ajudando a garantir que as configurações permaneçam conforme definidas pelo administrador de TI. Ele pode ser configurado para ser atualizado a cada 90 minutos por padrão ou com a mesma frequência a cada 30 minutos. Há também uma opção para pausar o Config Refresh por um período configurável, útil para solução de problemas ou manutenção, após o qual ele será retomado automaticamente ou pode ser reativado manualmente por um administrador.
• Firewall: O CSP (Provedor de Serviços de Configuração de Firewall) no Windows agora impõe a Anteriormente, se o CSP encontrasse um problema com a aplicação de qualquer regra de um bloco, o CSP não apenas interromperia essa regra, mas também deixaria de processar regras subsequentes, deixando uma lacuna de segurança potencial com blocos de regras parcialmente implantados. Agora, se qualquer regra no bloco não puder ser aplicada com sucesso ao dispositivo, o CSP interromperá o processamento da regra subsequente e todas as regras desse mesmo bloco atômico serão revertidas, eliminando a ambiguidade dos blocos de regras parcialmente implantados.
• Criptografia de Dados Pessoais (PDE): O PDE aumenta a segurança criptografando dados e descriptografando-os somente quando o usuário desbloqueia seu PC usando o Windows Hello for Business. O PDE permite dois níveis de proteção de dados. Nível 1, onde os dados permanecem criptografados até que o PC seja desbloqueado pela primeira vez; ou Nível 2, onde os arquivos são criptografados sempre que o PC é bloqueado. O PDE complementa a proteção de nível de volume do BitLocker e fornece criptografia de camada dupla para dados pessoais ou de aplicativo quando emparelhado com o BitLocker. O PDE está em pré-visualização agora e os desenvolvedores podem aproveitar a API PDE para proteger o conteúdo de seus aplicativos, permitindo que os administradores de TI gerenciem a proteção usando sua solução de gerenciamento de dispositivos móveis.
• DNS Zero Trust: Agora na visualização privada, esse recurso restringirá nativamente os dispositivos Windows para se conectarem apenas a destinos de rede aprovados por nome de domínio. O tráfego IPv4 e IPv6 de saída é bloqueado e não chegará ao destino pretendido, a menos que um servidor DNS confiável e protegido o resolva ou um administrador de TI configure uma exceção. Planeje agora para evitar problemas de bloqueio configurando aplicativos e serviços para usar o resolvedor DNS do sistema.

Explore os novos recursos de segurança do Windows 11

Nós realmente acreditamos que a segurança é um trabalho coletivo. Ao fazer parcerias com OEMs, desenvolvedores de aplicativos e outros no ecossistema, além de ajudar as pessoas a se protegerem melhor, estamos entregando um Windows mais seguro por design e seguro por padrão. O Livro de Segurança do Windows está disponível para ajudá-lo a saber mais sobre o que torna mais fácil para os usuários permanecerem seguros com o Windows.

Saiba mais sobre o Windows 11.

Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Marque o blog de segurança para acompanhar nossa cobertura especializada em assuntos de segurança. Além disso, siga-nos no LinkedIn (Microsoft Security) e X (@MSFTSecurity) para as últimas notícias e atualizações sobre segurança cibernética.

________________________________________________________________________________________________

¹Orientação de Senha da Microsoft, Equipe de Proteção de Identidade da Microsoft. 2016.

^{2Relatório de pesquisa do Windows 11,} Techaisle. Fevereiro de 2022.

^{3Os usuários podem gerenciar seu estado de proteção LSA no Aplicativo de Segurança do Windows em Segurança do Dispositivo -> Isolamento Principal -> Autoridade de Segurança Local.}