Compartilhar via

Segurança de rede

Diagrama que contém uma lista de funcionalidades de segurança.

Windows 11 eleva a fasquia da segurança de rede, oferecendo proteção abrangente para ajudar as pessoas a trabalhar com confiança em praticamente qualquer lugar. Para ajudar a reduzir a superfície de ataque de uma organização, a proteção de rede no Windows impede que as pessoas acedam a endereços IP e domínios perigosos que possam alojar esquemas de phishing, exploits e outros conteúdos maliciosos. Ao utilizar serviços baseados na reputação, a proteção de rede bloqueia o acesso a domínios e endereços IP potencialmente prejudiciais e de baixa reputação.

As novas versões do protocolo DNS e TLS reforçam as proteções ponto a ponto necessárias para aplicações, serviços Web e redes Confiança Zero. O acesso a ficheiros adiciona um cenário de rede não fidedigno com o Bloco de Mensagens do Servidor através de QUIC e novas capacidades de encriptação e assinatura. os avanços de Wi-Fi e Bluetooth também proporcionam uma maior confiança nas ligações a outros dispositivos. Além disso, as plataformas VPN e Firewall do Windows oferecem novas formas de configurar e depurar facilmente software.

Em ambientes empresariais, a proteção de rede funciona melhor com Microsoft Defender para Ponto de Extremidade, que fornece relatórios detalhados sobre eventos de proteção como parte de cenários de investigação maiores.

Saiba mais

TLS (Transport Layer Security)

Transport Layer Security (TLS) é um protocolo de segurança que encripta dados em trânsito. Ajuda a fornecer um canal de comunicação seguro entre dois pontos finais. Por predefinição, o Windows ativa as versões mais recentes do protocolo e os conjuntos de cifras fortes. Oferece um conjunto completo de extensões, como a autenticação de cliente para segurança melhorada do servidor e reinsuminação de sessão para melhorar o desempenho da aplicação. O TLS 1.3 é a versão mais recente do protocolo e está ativado por predefinição no Windows. Esta versão elimina algoritmos criptográficos obsoletos, aprimora a segurança em relação a versões mais antigas e tem como objetivo criptografar o máximo possível do handshake TLS. O handshake é mais eficaz com menos um percurso de ida e volta por ligação, em média. Suporta apenas conjuntos de cifras fortes que proporcionam um sigilo perfeito para a frente e menos riscos operacionais. A utilização do TLS 1.3 fornece mais privacidade e latências inferiores para ligações online encriptadas. Se o cliente ou a aplicação de servidor em ambos os lados da ligação não suportar o TLS 1.3, a ligação reverterá para o TLS 1.2. O Windows utiliza o Datagram Transport Layer Security (DTLS) 1.2 mais recente para comunicações UDP.

Saiba mais

Segurança do Sistema de Nomes de Domínio (DNS)

No Windows 11, o cliente DNS do Windows suporta DNS através de HTTPS e DNS através de TLS, dois protocolos DNS encriptados. Estes permitem que os administradores garantam que os respetivos dispositivos protegem as consultas de nome contra atacantes no caminho, quer sejam observadores passivos que registam o comportamento de navegação ou os atacantes ativos que tentam redirecionar os clientes para sites maliciosos. Num modelo de Confiança Zero em que não é colocada confiança num limite de rede, é necessária uma ligação segura a uma resolução de nomes fidedigna.

Windows 11 fornece controlos programáticos e de política de grupo para configurar o DNS através do comportamento HTTPS. Como resultado, os administradores de TI podem expandir a segurança existente para adotar novos modelos, como Confiança Zero. Os administradores de TI podem autorizar o DNS através do protocolo HTTPS, garantindo que os dispositivos que utilizam DNS inseguro não se ligarão aos recursos de rede. Os administradores de TI também têm a opção de não utilizar o DNS através de HTTPS ou DNS através de TLS para implementações legadas em que as aplicações edge de rede são fidedignas para inspecionar o tráfego DNS de texto simples. Por predefinição, Windows 11 irá diferir para o administrador local no qual as resoluções devem utilizar o DNS encriptado.

O suporte para encriptação DNS integra-se com configurações DNS do Windows existentes, como a Tabela de Políticas de Resolução de Nomes (NRPT), o ficheiro anfitriões do sistema e resoluções especificadas por placa de rede ou perfil de rede. A integração ajuda Windows 11 garantir que os benefícios de uma maior segurança DNS não regredam os mecanismos de controlo DNS existentes.

Zero Trust DNS (ZTDNS)

Zero Trust DNS (ZTDNS) é uma funcionalidade de segurança Windows 11 que impõe controlos de acesso de rede baseados em domínio no ponto final. Aplica-se Confiança Zero princípios à resolução de DNS, garantindo que os dispositivos apenas se ligam a destinos verificados através de servidores DNS fidedignos. Isto reduz os riscos, como o sequestro de DNS, ataques de software maligno e exfiltração de dados.

Principais Capacidades

  • Imposição de DNS Encriptada: suporta DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) para proteger as consultas DNS contra intercepção e adulteração.
  • Controle de Acesso Baseado em Políticas: bloqueia o tráfego IP de saída, a menos que o destino seja resolvido por um servidor DNS aprovado pelo administrador ou explicitamente permitido pela política.
  • alinhamento do Confiança Zero: implementa "nunca confiar, verificar sempre" na camada DNS, complementando estratégias de rede mais amplas Confiança Zero.

Benefícios

  • Melhora a proteção contra ataques baseados em DNS sem interromper o tráfego DNS encriptado.
  • Ajuda as organizações a cumprir os mandatos de conformidade, como a Ordem Executiva 14028 e o OMB M-22-09, para Aplicação de DNS encriptada e proteção de DNS.
  • Fornece controlo centralizado e auditoria da resolução de DNS para ambientes empresariais.

Saiba mais

Proteção Bluetooth

O número de dispositivos Bluetooth ligados a Windows 11 continua a aumentar. Os utilizadores do Windows ligam os auscultadores Bluetooth, ratos, teclados e outros acessórios e melhoram a experiência diária do PC ao desfrutarem de transmissão em fluxo, produtividade e jogos. O Windows dá suporte a todos os protocolos de emparelhamento Bluetooth padrão, incluindo conexões clássicas e LE Secure, emparelhamento simples seguro e emparelhamento herdado clássico e LE. O Windows também implementa a privacidade de LE baseada no anfitrião. As atualizações do Windows ajudam os utilizadores a manterem-se atualizados com as funcionalidades de segurança do SO e do controlador de acordo com o Grupo de Interesses Especiais (SIG) Bluetooth e Standard Relatórios de Vulnerabilidades, bem como problemas para além dos exigidos pelas normas da indústria de bluetooth. A Microsoft recomenda vivamente manter o firmware e o software dos acessórios Bluetooth atualizados.

Os ambientes geridos por TI têm várias definições de política disponíveis através de fornecedores de serviços de configuração, política de grupo e PowerShell. Pode gerir estas definições através de soluções de gestão de dispositivos, como Microsoft Intune[3]. Pode configurar o Windows para utilizar a tecnologia Bluetooth ao mesmo tempo que suporta as necessidades de segurança da sua organização. Por exemplo, pode permitir a entrada e o áudio durante o bloqueio da transferência de ficheiros, forçar padrões de encriptação, limitar a deteção do Windows ou até mesmo desativar totalmente o Bluetooth para os ambientes mais confidenciais.

Saiba mais

Wi-Fi ligações

O Windows Wi-Fi suporta métodos de autenticação e encriptação padrão da indústria ao ligar a redes Wi-Fi. O WPA (Acesso Protegido por Wi-Fi) é um padrão de segurança definido pelo Wi-Fi Alliance (WFA) para fornecer encriptação de dados sofisticada e uma melhor autenticação de utilizador.

O padrão de segurança atual para a autenticação Wi-Fi é o WPA3, que fornece um método de ligação mais seguro e fiável em comparação com o WPA2 e os protocolos de segurança mais antigos. O Windows suporta três modos WPA3 - WPA3 Pessoal, WPA3 Enterprise e WPA3 Enterprise 192 bits Suite B.

Windows 11 inclui o WPA3 Personal com o novo protocolo H2E e o WPA3 Enterprise 192-bit Suite B. Windows 11 também suporta o WPA3 Enterprise, que inclui a validação de certificados de servidor melhorado e o TLS 1.3 para autenticação através da autenticação EAP-TLS.

A Encriptação Sem Fios Oportunista (OWE), uma tecnologia que permite aos dispositivos sem fios estabelecer ligações encriptadas a hotspots de Wi-Fi públicos, também está incluída.

Wi-Fi 7: um Game-Changer para Empresas

A partir de setembro de 2025, o Windows 11 (versão 24H2 e posterior) introduz um grande avanço na rede sem fios com suporte para Wi-Fi 7. As organizações podem agora tirar partido de velocidades mais rápidas, débito mais elevado, fiabilidade melhorada e segurança melhorada – ideais para ambientes empresariais modernos equipados com Wi-Fi 7 pontos de acesso.

O Wi-Fi 7 para grandes empresas foi concebido para responder às necessidades de segurança em evolução, ao mesmo tempo que ajuda a suportar uma conectividade fiável em cenários de alto débito e de alta densidade.

Por que Wi-Fi 7 Matters for Enterprises

  • Autenticação de WPA3-Enterprise necessária
  • Melhorias totalmente integradas de roaming e específicas da empresa
  • Benefícios de desempenho

A segurança é uma responsabilidade partilhada. Através da colaboração entre ecossistemas de hardware e software, podemos criar sistemas mais resilientes seguros por predefinição, do Windows para a cloud, permitindo a confiança em todas as camadas da experiência digital.

O Wi-Fi 7 para grandes empresas ajuda a garantir que todos os dispositivos que se ligam às suas redes empresariais beneficiam de protocolos de encriptação mais fortes, resistência a ataques de força bruta e proteção melhorada para dados confidenciais em trânsito. Ao impor o WPA3-Enterprise, o Wi-Fi 7 ajuda a eliminar vulnerabilidades legadas e define uma nova linha de base para uma conectividade segura e de elevado desempenho em ambientes empresariais modernos. Saiba como Importar definições de Wi-Fi para dispositivos Windows no Microsoft Intune.

Desbloquear vantagens do Wi-Fi 7 para a sua organização

Wi-Fi 7 para conectividade empresarial no Windows é o resultado de uma colaboração profunda em todo o ecossistema. Wi-Fi fornecedores de silicone e Wi-Fi fabricantes de pontos de acesso empresariais em conjunto ajudam a garantir que o Wi-Fi 7 está pronto para implementações empresariais reais.

Pré-requisitos para ativar o Wi-Fi 7:

  • Versão do Windows compatível com Wi-Fi 7: Os dispositivos têm de estar no Windows 11, versão 24H2, atualizado com a atualização de pré-visualização não relacionada com segurança de setembro de 2025 ou posterior.
  • Portáteis Empresariais Windows compatíveis com Wi-Fi 7: Os dispositivos têm de estar equipados com Wi-Fi chipsets compatíveis com 7.
  • Suporte para controladores certificados do Windows Wi-Fi 7: Atualize os controladores de Wi-Fi empresariais e valide-os para Wi-Fi funcionalidade empresarial 7 no Windows. Wi-Fi 7 controladores estão disponíveis através do fabricante do equipamento original (OEM) do dispositivo ou do fornecedor independente de hardware (IHV). Para datas de lançamento específicas, contacte diretamente o fabricante do chip OEM/Wi-Fi.
  • Pontos de acesso Wi-Fi 7 Enterprise: Implemente Wi-Fi 7 pontos de acesso de nível empresarial na sua organização. Com estes componentes implementados, está pronto para ativar a conectividade sem fios de próxima geração nos seus ambientes empresariais. Por isso, comece a fornecer melhor desempenho, segurança e conectividade para utilizadores e cargas de trabalho atualmente.

Saiba mais

5G e eSIM

As redes 5G utilizam uma encriptação mais forte e uma melhor segmentação de rede em comparação com as gerações anteriores de protocolos via rede móvel. Ao contrário do Wi-Fi, o acesso 5G utiliza sempre a autenticação mútua. O dispositivo incorpora fisicamente um eSIM certificado pelo EAL4 que armazena credenciais de acesso, o que torna muito mais difícil para os atacantes adulterarem. Em conjunto, o 5G e o eSIM fornecem uma base forte para a segurança.

Saiba mais

Firewall do Windows

A Firewall do Windows é uma parte importante de um modelo de segurança em camadas. Fornece filtragem de tráfego de rede bidirecional baseada no anfitrião, bloqueando o tráfego não autorizado que flui para dentro ou para fora do dispositivo local com base nos tipos de redes a que o dispositivo se liga.

A Firewall do Windows oferece as seguintes vantagens:

  • Reduz o risco de ameaças de segurança de rede: a Firewall do Windows reduz a superfície de ataque de um dispositivo com regras que restringem ou permitem o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Esta funcionalidade aumenta a capacidade de gestão e diminui a probabilidade de um ataque bem-sucedido.
  • Salvaguarda dados confidenciais e propriedade intelectual: ao integrar com o IPSec (Internet Protocol Security), a Firewall do Windows fornece uma forma simples de impor comunicações de rede autenticadas ponto a ponto. Ele fornece acesso escalonável e em camadas a recursos de rede confiáveis, ajudando a reforçar a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados.
  • Expande o valor dos investimentos existentes: uma vez que a Firewall do Windows é uma firewall baseada no anfitrião incluída no sistema operativo, não precisa de hardware ou software adicional. O Firewall do Windows também foi projetado para complementar soluções de segurança de rede existentes que não são da Microsoft por meio de uma API (interface de programação de aplicativo) documentada.

Windows 11 torna a Firewall do Windows mais fácil de analisar e depurar. O comportamento ipSec está integrado com o Monitor de Pacotes, uma ferramenta de diagnóstico de rede entre componentes integrada para Windows. Além disso, os registos de eventos da Firewall do Windows são melhorados para garantir que uma auditoria pode identificar o filtro específico que foi responsável por qualquer evento. Esta funcionalidade permite a análise do comportamento da firewall e da captura de pacotes avançada sem depender de ferramentas de terceiros.

Os administradores podem configurar mais definições através dos modelos de política Firewall e Regra de Firewall no nó Segurança do Ponto Final no Microsoft Intune[3], utilizando o suporte da plataforma do fornecedor de serviços de configuração de Firewall (CSP) e aplicando estas definições aos pontos finais do Windows.

O Fornecedor de Serviços de Configuração de Firewall (CSP) no Windows impõe uma abordagem tudo ou nada à aplicação de regras de firewall em cada bloco atómico. Anteriormente, se o CSP encontrou um problema com qualquer regra num bloco, deixou de processar essa regra e deixou de processar as regras subsequentes, deixando potencialmente uma lacuna de segurança com blocos de regras parcialmente implementados. Agora, se nenhuma regra no bloco puder ser aplicada com êxito, o CSP deixa de processar regras subsequentes e reverte todas as regras desse bloco atómico, eliminando a ambiguidade dos blocos de regras parcialmente implementados.

Saiba mais

Redes privadas virtuais (VPN)

As organizações dependem do Windows para fornecer soluções de rede privada virtual (VPN) fiáveis, seguras e geríveis. A plataforma de cliente VPN do Windows inclui protocolos VPN incorporados, suporte de configuração, uma interface de utilizador VPN comum e suporte de programação para protocolos VPN personalizados. Pode encontrar aplicações VPN na Microsoft Store para VPNs empresariais e de consumidor, incluindo aplicações para os gateways de VPN empresariais mais populares.

No Windows 11, integrámos os controlos VPN mais utilizados diretamente no painel Ações Rápidas Windows 11. No painel Ações Rápidas, os utilizadores podem verificar a status da VPN, iniciar e parar a ligação e abrir facilmente as Definições para obter mais controlos.

A plataforma VPN do Windows liga-se ao Microsoft Entra ID[3] e ao Acesso Condicional para o início de sessão único, incluindo a autenticação multifator (MFA) através de Microsoft Entra ID. A plataforma VPN também suporta a autenticação clássica associada a um domínio. Microsoft Intune\3] e outras soluções de gestão de dispositivos suportam-no. O perfil VPN flexível suporta protocolos incorporados e protocolos personalizados. Pode configurar vários métodos de autenticação e pode ser iniciado automaticamente conforme necessário ou iniciado manualmente pelo utilizador final. Também suporta VPN de túnel dividido e VPN exclusiva com exceções para sites externos fidedignos.

Com Plataforma Universal do Windows (UWP) aplicações VPN, os utilizadores finais nunca ficam presos numa versão antiga do cliente VPN. A loja atualiza automaticamente as aplicações VPN conforme necessário. Naturalmente, os administradores de TI controlam as atualizações.

A plataforma VPN do Windows está otimizada e endurecida para fornecedores de VPN baseados na cloud, como Azure VPN. Funcionalidades como Microsoft Entra ID autenticação, integração da interface de utilizador do Windows, seletores de tráfego IKE de canalização e suporte de servidor estão incorporadas na plataforma VPN do Windows. A integração na plataforma VPN do Windows conduz a uma experiência de administração de TI mais simples. A autenticação do utilizador é mais consistente e os utilizadores podem localizar e controlar facilmente a VPN.

Saiba mais

Serviços de ficheiros de Bloqueio de Mensagens do Servidor

O Server Message Block (SMB) e os serviços de ficheiros são as cargas de trabalho mais comuns do Windows no ecossistema do setor comercial e público. Os utilizadores e as aplicações dependem do SMB para aceder aos ficheiros que executam organizações de todos os tamanhos.

Windows 11 introduz atualizações de segurança significativas para responder às ameaças atuais, incluindo encriptação SMB AES-256, assinatura SMB acelerada, encriptação de rede rdma (Remote Directory Access) e SMB através de QUIC para redes não fidedignas.

As opções de segurança recentes incluem a assinatura SMB obrigatória por predefinição, o bloqueio NTLM, a limitação da taxa de autenticação e várias outras melhorias.

Saiba mais

  • Last updated on