Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Arranque Fidedigno (Arranque Seguro + Arranque Medido)
Windows 11 requer que todos os PCs utilizem a funcionalidade de Arranque Seguro da Interface de Firmware Extensível Unificada (UEFI). Quando um dispositivo Windows 11 é iniciado, o Arranque Seguro e o Arranque Fidedigno funcionam em conjunto para impedir o carregamento de software maligno e componentes danificados. O Arranque Seguro fornece proteção inicial e, em seguida, o Arranque Fidedigno continua o processo.
O Arranque Seguro cria um caminho seguro e fidedigno a partir da UeFI (Unified Extensible Firmware Interface) através da sequência de Arranque Fidedigno do kernel do Windows. Os handshakes de imposição de assinaturas ao longo da sequência de arranque entre os ambientes UEFI, bootloader, kernel e aplicações bloqueiam ataques de software maligno na sequência de arranque do Windows.
Para reduzir o risco de rootkits de firmware, o PC verifica a assinatura digital do firmware no início do processo de arranque. Em seguida, o Arranque Seguro verifica a assinatura digital do bootloader do SO e todo o código que é executado antes do início do sistema operativo, garantindo que a assinatura e o código são descomprometidos e fidedignos de acordo com a política de Arranque Seguro.
O Arranque Fidedigno continua o processo iniciado pelo Arranque Seguro. O bootloader do Windows verifica a assinatura digital do kernel do Windows antes de o carregar. O kernel do Windows verifica todos os outros componentes do processo de arranque do Windows, incluindo controladores de arranque, ficheiros de arranque e qualquer controlador antimalware (ELAM) de início antecipado do produto antimalware. Se algum destes ficheiros for adulterado, o bootloader deteta o problema e recusa-se a carregar o componente danificado. Muitas vezes, o Windows pode reparar automaticamente o componente danificado, restaurando a integridade do Windows e permitindo que o PC inicie normalmente.
Saiba mais
Criptografia
A criptografia utiliza código para converter dados para que apenas um destinatário específico possa lê-lo com uma chave. A criptografia impõe privacidade para impedir que qualquer pessoa, exceto o destinatário pretendido, leia dados, integridade para garantir que os dados estão livres de adulteração e autenticação que verifica a identidade para garantir que a comunicação é segura. A pilha de criptografia no Windows estende-se desde o chip até à cloud, permitindo que o Windows, as aplicações e os serviços protejam os segredos do sistema e do utilizador.
A criptografia no Windows tem certificação FIPS (Federal Information Processing Standards) 140 . A certificação FIPS 140 garante que apenas os algoritmos aprovados pelo governo dos EUA são utilizados (RSA para assinatura, ECDH com curvas NIST para o contrato-chave, AES para encriptação simétrica e SHA2 para hashing), testa a integridade do módulo para provar que não ocorreu adulteração e prova a aleatoriedade para fontes de entropia.
Os módulos criptográficos do Windows fornecem primitivos de baixo nível, tais como:
- Geradores de números aleatórios (RNG)
- Encriptação simétrica e assimétrica (suporte para AES 128/256 e RSA 512 a 16.384, em incrementos de 64 bits e ECDSA sobre curvas prime padrão NIST P-256, P-384, P-521)
- Algoritmos pós-quânticos (ML-KEM, ML-DSA)
- Hashing (suporte para SHA-256, SHA-384, SHA-512 e SHA-3*)
- Assinatura e verificação (suporte de preenchimento para OAEP, PSS, PKCS1)
- Contrato-chave e derivação chave (suporte paraECDH sobre curvas prime padrão NIST P-256, P-384, P-521 e HKDF)
O Windows expõe nativamente os módulos criptográficos através da API Criptográfica (CAPI) e da API cryptography de próxima geração (CNG), que é suportada pelo SymCrypt da biblioteca criptográfica open source da Microsoft. O SymCrypt faz parte do compromisso da Microsoft com a transparência, que inclui o Programa global de Segurança do Microsoft Government que visa fornecer as informações e recursos de segurança confidenciais de que as pessoas precisam para confiar nos produtos e serviços da Microsoft. O programa oferece acesso controlado ao código fonte, troca de informações sobre ameaças e vulnerabilidades, oportunidades para interagir com conteúdos técnicos sobre os produtos e serviços da Microsoft e acesso a cinco Centros de Transparência distribuídos globalmente. Os programadores de aplicações podem utilizar as APIs para realizar operações criptográficas de baixo nível (BCrypt), operações de armazenamento de chaves (NCrypt), proteger dados estáticos (DPAPI) e partilhar segredos de forma segura (DPAPI-NG).
O Windows inclui suporte para a família SHA-3 de funções hash e funções derivadas sha-3 (SHAKE, cSHAKE e KMAC). Estas são as mais recentes funções hash padronizadas do National Institute of Standards and Technology (NIST) e pode utilizá-las através da biblioteca de CNG do Windows:
- Funções hash SHA-3 suportadas: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 não é suportado)
- Algoritmos HMAC SHA-3 suportados: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512
- Algoritmos derivados sha-3 suportados: funções de saída expansível (XOF) (SHAKE128, SHAKE256), XOFs personalizáveis (cSHAKE128, cSHAKE256) e KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Criptografia pós-quântica
No início deste ano, partilhámos o suporte para algoritmos pós-quânticos (ML-KEM, ML-DSA) na nossa biblioteca criptográfica principal SymCrypt. Seguimos essa versão com suporte no Windows Insider através do CNG e das funções de mensagens Certificado e Criptográfico. Estamos entusiasmados por expandir este suporte para a compilação de Windows 11 mais recente.
A utilização de ML-KEM em cenários em que o encapsulamento de chaves públicas ou a troca de chaves é desejado, pode ajudar a preparar-se para a colheita agora, desencriptar ameaças posteriores .
Eis os conjuntos de parâmetros suportados:
| Algoritmo | Tamanho da chave pública | Tamanho do texto cifrado | Tamanho do segredo partilhado | Nível de segurança NIST |
|---|---|---|---|---|
| ML-KEM 512 | 800 bytes | 768 bytes | 32 bytes | Nível 1 |
| ML-KEM 768 | 1184 bytes | 1088 bytes | 32 bytes | Nível 3 |
| ML-KEM 1024 | 1.568 bytes | 1.568 bytes | 32 bytes | Nível 5 |
A adição de ML-DSA na API de Criptografia: Próxima Geração (CNG) permite que os programadores comecem a experimentar algoritmos PQC para cenários que exijam a verificação de identidade, integridade ou autenticidade através de assinaturas digitais.
Eis os conjuntos de parâmetros suportados:
| Algoritmo | Tamanho da chave pública | Tamanho da chave privada | Tamanho da assinatura | Nível de segurança NIST |
|---|---|---|---|---|
| ML-DSA-44 | 1.312 bytes | 2560 bytes | 2420 bytes | Nível 2 |
| ML-DSA-65 | 1952 bytes | 4032 bytes | 3309 bytes | Nível 3 |
| ML-DSA-87 | 2592 bytes | 4896 bytes | 4.627 bytes | Nível 5 |
Visite a página do nosso programador criptografativo para saber mais sobre como começar!
Certificados
Para ajudar a salvaguardar e autenticar informações, o Windows fornece suporte abrangente para certificados e gestão de certificados. Utilize o utilitário de linha de comandos de gestão de certificados incorporado (certmgr.exe) ou o snap-in da Consola de Gestão da Microsoft (MMC) (certmgr.msc) para ver e gerir certificados, listas de confiança de certificados (CTLs) e listas de revogação de certificados (CRLs). Sempre que utilizar um certificado no Windows, o sistema valida que o certificado de folha e todos os certificados na respetiva cadeia de fidedignidade não são revogados ou comprometidos. Os certificados intermédios e de raiz fidedigna e os certificados revogados publicamente no computador servem como referência para a confiança da Infraestrutura de Chaves Públicas (PKI) e são atualizados mensalmente pelo programa Raiz Fidedigna da Microsoft. Se um certificado ou raiz fidedigno for revogado, todos os dispositivos globais são atualizados, para que os utilizadores possam confiar que o Windows protege automaticamente contra vulnerabilidades na infraestrutura de chaves públicas. Para implementações na cloud e empresariais, o Windows também oferece aos utilizadores a capacidade de inscrever e renovar automaticamente certificados no Active Directory com a política de grupo para reduzir o risco de potenciais falhas devido à expiração ou configuração incorreta do certificado.
Assinatura e integridade do código
Para garantir que os ficheiros do Windows são fidedignos e não foram adulterados, o processo de integridade do código do Windows verifica a assinatura de cada ficheiro que é executado no kernel do Windows. Nos sistemas que impõem o Controlo de Aplicações Inteligentes ou uma política de Controlo de Aplicações para Empresas, o Windows expande a verificação da integridade do código a todos os binários do modo de utilizador que também são executados. A assinatura de código é fundamental para estabelecer a integridade do firmware, controladores e software em toda a plataforma do Windows. A assinatura de código cria uma assinatura digital ao encriptar o hash do ficheiro com a chave privada a partir de um certificado de assinatura de código e ao incorporar essa assinatura no ficheiro ou num catálogo de assinaturas. O processo de integridade do código do Windows verifica a integridade do ficheiro assinado ao comparar o hash com o hash assinado e confirma que o signatário é um fabricante de renome.
O ambiente do Windows avalia a assinatura digital no código de arranque do Windows, no código kernel do Windows e nas aplicações de modo de utilizador do Windows. Antes da execução da integridade do código, o Arranque Seguro verifica a assinatura em bootloaders, ROMs de Opção e outros componentes de arranque para garantir que os ficheiros não são modificados e provêm de um fabricante fidedigno e respeitável. Para controladores que a Microsoft não publica, a integridade do código do modo Kernel verifica a assinatura nos controladores de kernel e requer que os controladores sejam assinados pelo Windows ou certificados pelo Programa de Compatibilidade de Hardware (WHCP) do Windows. Este programa garante que os controladores de terceiros são compatíveis com vários hardwares e Windows e que os controladores são de programadores de controladores verificados.
Atestado de integridade do dispositivo
O processo do Atestado de Estado de Funcionamento do Dispositivo Windows suporta um paradigma de Confiança Zero que muda o foco de perímetros estáticos baseados na rede para utilizadores, recursos e recursos. O processo de atestado confirma que o dispositivo, o firmware e o processo de arranque estão num bom estado e não são adulterados antes de poderem aceder aos recursos empresariais. O processo determina estas determinações com os dados armazenados no TPM, o que fornece uma raiz segura de confiança. As informações são enviadas para um serviço de atestado, como Atestado do Azure para verificar se o dispositivo está num estado fidedigno. Em seguida, uma solução de gestão de dispositivos nativa da cloud, como Microsoft Intune[3] analisa o estado de funcionamento do dispositivo e liga estas informações com Microsoft Entra ID[3] para acesso condicional.
O Windows inclui muitas funcionalidades de segurança para ajudar a proteger os utilizadores contra software maligno e ataques. No entanto, os componentes de segurança só são fidedignos se a plataforma arrancar conforme esperado e não for adulterada. Conforme indicado anteriormente, o Windows baseia-se no Arranque Seguro da Interface de Firmware Extensível Unificada (UEFI), ELAM, DRTM, Arranque Fidedigno e outras funcionalidades de segurança de hardware e firmware de baixo nível para proteger o PC contra ataques. A partir do momento em que ligar o PC até ao início do antimalware, o Windows é suportado com as configurações de hardware adequadas que o ajudam a manter-se seguro. O Arranque Medido, implementado por bootloaders e BIOS, verifica e regista criptograficamente cada passo do arranque de forma em cadeia. Estes eventos estão vinculados ao TPM, que funciona como uma raiz de hardware de confiança. O atestado remoto é o mecanismo através do qual um serviço lê e verifica estes eventos para fornecer um relatório verificável, imparcial e resiliente a adulteração. O atestado remoto é o auditor fidedigno do arranque do seu sistema, permitindo que as partes dependentes vinculem a confiança ao dispositivo e à respetiva segurança.
Um resumo dos passos envolvidos no atestado e Confiança Zero num dispositivo Windows são os seguintes:
- Durante cada passo do processo de arranque , como uma carga de ficheiros, a atualização de variáveis especiais e muito mais, as informações, como hashes de ficheiros e assinaturas, são medidas no Registo de Configuração da Plataforma TPM (PCRs). Uma especificação do Grupo de Computação Fidedigno vincula as medidas e dita quais os eventos que podem ser registados e o formato de cada evento. Os dados fornecem informações importantes sobre a segurança do dispositivo a partir do momento em que são ativados.
- Assim que o Windows arrancar, o attestor (ou verificador) pede ao TPM para obter as medidas armazenadas nos respetivos PCRs juntamente com o registo de Arranque Medido. Em conjunto, estas medidas formam a prova de atestado que é enviada para o serviço de Atestado do Azure.
- O Azure Certificate Service verifica o TPM com as chaves ou o material criptográfico disponível no chipset.
- O Serviço Atestado do Azure recebe as informações acima para verificar se o dispositivo está num estado fidedigno.
Saiba mais
Definições e auditoria da política de segurança do Windows
As definições de política de segurança desempenham um papel crucial na sua estratégia de segurança global. O Windows oferece um conjunto abrangente de políticas de definição de segurança que os administradores de TI podem utilizar para ajudar a proteger dispositivos Windows e outros recursos na sua organização. Pode configurar as definições de política de segurança num ou mais dispositivos para controlar:
- Autenticação de utilizador numa rede ou dispositivo
- Recursos aos quais os utilizadores podem aceder
- Se pretende registar as ações de um utilizador ou grupo no registo de eventos
- Associação a um grupo
A auditoria de segurança é uma das ferramentas mais poderosas que pode utilizar para manter a integridade da sua rede e recursos. A auditoria pode ajudar a identificar ataques, vulnerabilidades de rede e ameaças contra destinos de valor elevado. Pode especificar categorias de eventos relacionados com segurança para criar uma política de auditoria adaptada às necessidades da sua organização ao utilizar fornecedores de serviços de configuração (CSP) ou políticas de grupo.
Todas as categorias de auditoria são desativadas quando instala o Windows pela primeira vez. Antes de os ativar, siga estes passos para criar uma política de auditoria de segurança eficaz:
- Identifique os seus recursos e atividades mais críticos.
- Identifique as definições de auditoria de que precisa para controlá-las.
- Avalie as vantagens e os potenciais custos associados a cada recurso ou definição.
- Teste estas definições para validar as suas escolhas.
- Desenvolva planos para implementar e gerir a sua política de auditoria.
Saiba mais
Impressão protegida do Windows
A impressão protegida pelo Windows fornece um sistema de impressão moderno e seguro que maximiza a compatibilidade e coloca os utilizadores em primeiro lugar. Simplifica a experiência de impressão ao permitir que os dispositivos imprimam exclusivamente com a pilha de impressão moderna do Windows.
As vantagens da impressão protegida pelo Windows incluem:
- Maior segurança do PC
- Experiência de impressão simplificada e consistente, independentemente da arquitetura do PC
- Remove a necessidade de gerir controladores de impressão
A impressão protegida pelo Windows funciona apenas com impressoras certificadas para Mopria. Muitas impressoras existentes já são compatíveis.
Saiba mais
Rust para Windows
Rust é uma linguagem de programação moderna conhecida pelo seu foco na segurança, desempenho e simultaneidade. Impede erros de programação comuns, como desreferência de ponteiro nulo e capacidade excedida da memória intermédia, o que pode levar a vulnerabilidades e falhas de segurança. A Rust obtém esta proteção através do seu sistema de propriedade exclusivo, que garante a segurança da memória sem precisar de um recoletor de lixo. Estamos a expandir a integração do Rust no kernel do Windows para melhorar a segurança e fiabilidade da base de código do Windows. Este movimento estratégico sublinha o nosso compromisso de adotar tecnologias modernas para melhorar a qualidade e segurança do Windows.
Saiba mais
Funcionalidade do Sysmon
A funcionalidade do Sysmon estará disponível em breve para o Windows. A funcionalidade Sysmon no Windows fornece sinais de deteção de ameaças fáceis de ativar, avançados e personalizáveis, valorizados por equipas de segurança empresariais, fornecedores de segurança de terceiros e outros parceiros. A próxima versão da funcionalidade do Sysmon no Windows ajuda a simplificar as operações, a reduzir os encargos de implementação e a aumentar significativamente a visibilidade dos registos do Windows. Com esta funcionalidade, as equipas de segurança podem identificar ameaças de forma mais rápida e eficiente.
Saiba mais