Por que o Windows 10 é o sistema mais seguro da Microsoft

Três anos após seu lançamento, o Windows 10 está prestes a ultrapassar o Windows 7 como a versão mais popular do sistema operacional Windows. A Microsoft fortaleceu a segurança e introduziu recursos de segurança baseados em virtualização – como o Device Guard e o Credential Guard – no Windows 10 e, em outras atualizações, adicionou outras proteções baseadas em virtualização ao sistema operacional.

A companhia enfrentou os dois maiores desafios corporativos com o Windows 10: gerenciamento de senhas e proteção do sistema operacional contra invasores. Entenda o que a Microsoft fez para garantir uma plataforma segura e robusta.

O Windows Defender foi renomeado Windows Security em 2017 e, agora, inclui detecção de ameaças e antimalware, segurança de firewall e de rede, controles de aplicativos e navegadores, segurança de dispositivos e contas e integridade de dispositivos. O Windows Security compartilha informações de status entre os serviços do Microsoft 365 e opera em conjunto com o Windows Defender Advanced Threat Protection, a ferramenta de análise forense baseada em nuvem.

O Device Guard e o Credential Guard permanecem como os dois recursos de segurança do Windows 10 – eles protegem o núcleo do malware e impedem que invasores controlem remotamente a máquina. A Microsoft também agrupou outras proteções baseadas em virtualização, como o Windows Defender Application Guard sob o guarda-chuva do Windows Security. A Proteção Avançada contra Ameaças do Windows Defender complementa as análises disponíveis para os clientes do Windows 10.

“Claramente, a Microsoft pensou muito sobre o tipo de ataques que ocorrem contra clientes corporativos e está avançando a passos largos”, disse Ian Trump, um dos especialistas em segurança da LogicNow.

O Device Guard conta com a segurança baseada em virtualização do Windows 10 para permitir que apenas aplicativos confiáveis ​​sejam executados em dispositivos, enquanto o Credential Guard protege as identidades corporativas, isolando-as em um ambiente virtual baseado em hardware. A Microsoft isola os serviços críticos do Windows na máquina virtual para impedir que invasores violem o kernel e outros processos sensíveis. Com o Application Guard, o Microsoft Edge abre sites não confiáveis ​​em um container habilitado para Hyper-V isolado, mantendo o sistema operacional do host protegido de sites potencialmente mal-intencionados. Esses recursos dependem da mesma tecnologia de hipervisor já usada pelo Hyper-V.

Usar a virtualização baseada em hardware para estender listas de permissões e proteger credenciais foi um “passo brilhante” da Microsoft, disse Chester Wisniewski, estrategista sênior de segurança da Sophos Canada, uma empresa de antivírus.

Aplicativos no bloqueio

O Device Guard depende do hardware e do software para bloquear a máquina para que ela possa executar apenas aplicativos confiáveis. Os aplicativos devem ter uma assinatura criptográfica válida de fornecedores de software específicos – ou da Microsoft, se o aplicativo vier da Windows Store. O Device Guard assume que todo o software é suspeito e depende da empresa para decidir qual é confiável.

Embora tenha havido relatos de escritores de código de malware roubando certificados para assinar malware, uma grande parte do malware é um código não assinado. A dependência do Device Guard em políticas assinadas bloqueará a maioria dos ataques de malware.

Embora essa abordagem seja semelhante à que a Apple faz com sua App Store, há uma diferença: a Microsoft reconhece que as empresas precisam de uma ampla variedade de aplicativos. As empresas podem assinar seu próprio software sem precisar fazer alterações no código e, para aplicativos que conhecem e confiam (software personalizado que compraram, por exemplo), também podem assinar esses aplicativos. Dessa maneira, as organizações podem criar uma lista de aplicativos confiáveis ​​independentemente de o desenvolvedor obter uma assinatura válida da Microsoft.

Isso coloca as organizações no controle de quais origens o Device Guard considera confiável. Ele vem com ferramentas que facilitam a assinatura de aplicativos Universal ou Win32 que podem não ter sido originalmente assinados pelo fornecedor do software. Claramente, a Microsoft está à procura de um meio-termo entre um bloqueio total e manter tudo aberto, permitindo que as organizações “também comam o bolo”, de acordo com Wisniewski.

Além disso, o Device Guard lida com listas de permissões de uma maneira que seja efetiva porque as informações são protegidas pela máquina virtual. Ou seja, um malware ou um invasor com privilégios de administrador não pode adulterar as verificações de política.

A ferramenta isola os serviços do Windows que verificam se os drivers e o código no nível do kernel são legítimos em um container virtual. Mesmo que o malware infecte a máquina, ele não poderá acessar esse container para ignorar as verificações e executar uma carga mal-intencionada. O Device Guard vai além do antigo recurso AppLocker, que pode ser acessado por invasores com privilégios administrativos. Somente uma política atualizada assinada por um assinante confiável pode alterar a política de controle de aplicativos que foi definida no dispositivo.

O Windows Defender ATP, um console baseado em nuvem para análise forense de ameaças e ataques, permite que as empresas carreguem a telemetria das estações de trabalho para o serviço na nuvem e monitorem a movimentação lateral, o ransomware e outros ataques comuns. Os administradores podem usar a API de inteligência de ameaças para combinar informações de telemetria, detecção de antivírus e eventos do Device Guard para criar alertas personalizados.

Isolando senhas

O Credential Guard pode não ser tão interessante quanto o Device Guard, mas trata de uma importante faceta da segurança corporativa: ele armazena credenciais de domínio em um container virtual, longe do kernel e do sistema operacional do modo de usuário. Dessa forma, mesmo que a máquina esteja comprometida, as credenciais não estarão disponíveis para o invasor.

Os ataques persistentes avançados dependem da capacidade de roubar credenciais de domínio e usuário para se mover pela rede e acessar outros computadores. Normalmente, quando os usuários efetuam login em um computador, suas credenciais com hash são armazenadas na memória do sistema operacional. As versões anteriores do Windows armazenavam credenciais na Autoridade de Segurança Local e o sistema operacional acessava as informações usando chamadas de procedimento remoto. Malware ou invasores à espreita na rede conseguiram roubar essas credenciais e usá-las em ataques pass-a-hash.

Ao isolar essas credenciais, o Credential Guard impede que invasores roubem o hash, restringindo sua capacidade de movimentação pela rede. A ferramenta protege os hashes de senha do NTLM, os tickets de concessão de tickets do Kerberos e as credenciais armazenadas pelos aplicativos como credenciais de domínio dos invasores.

Informações fora de risco

O Windows Defender Application Guard permite que os administradores corporativos controlem como o navegador Edge da Microsoft identifica e bloqueia sites perigosos. O Edge abre sites não confiáveis ​​em um container habilitado para Hyper-V isolado, mantendo o sistema operacional do host protegido de sites potencialmente mal-intencionados. O container isolado não possui dados do usuário, portanto, o invasor nesse ambiente virtual não pode obter as credenciais. Uma vez ativado, o Application Guard permitirá que as empresas bloqueiem sites externos, limitem a impressão, restrinjam o uso da área de transferência e isolem o navegador para usar somente os recursos da rede local.

Originalmente disponível para o Windows 10 Enterprise, o Application Guard agora também oferece suporte às versões do Internet Explorer para Windows 10 Pro, desde que os requisitos de hardware sejam atendidos.

“A implementação da Microsoft pode não ser tão fácil quanto alguns fornecedores e a Microsoft pode não ter um painel sofisticado, mas para incluir recursos de segurança como [Credential Guard, Device Guard, autenticação de dois fatores da Microsoft Hello e BitLocker] você tem um sistema operacional digno do título ‘Enterprise’ e um alvo muito difícil de hackear “, disse Trump.

Windows 10 ainda não convence

Recursos emocionantes não são suficientes para estimular a adoção. Muitas empresas ainda não atualizaram para o Windows 10. A relutância se origina do investimento substancial exigido antecipadamente, de um hardware melhor e de novas configurações de Diretiva de Grupo.

No entanto, a última mudança para o Windows 10 reflete a realidade de que o Windows 7 entrará no fim de sua vida útil em janeiro de 2020 e, mesmo com as janelas de suporte estendidas, as organizações precisam planejar sua atualização de hardware para suportar o Windows 10.

A combinação do Device Guard e do Credential Guard pode ajudar muito a bloquear um ambiente e interromper ataques APT, mas os requisitos de hardware são pesados. Para habilitar o Device Guard e o Credential Guard, as máquinas precisam de inicialização segura, suporte para virtualização de 64 bits, firmware UEFI (Unified Extensible Firmware Interface) e TPM 2.0 (Trusted Platform Module). O bloqueio UEFI, que impede que invasores desabilitem UEFI modificando o registro, também é recomendado.

A habilitação do Credential Guard em máquinas virtuais possui requisitos adicionais, incluindo CPU de 64 bits, extensões de virtualização de CPU, além de Extended Page Tables e Windows Hypervisor. O Application Guard requer estar em uma máquina de 64 bits, com Extended Page Tables (também chamado Second Level Address Translation, SLAT), bem como extensões Intel VT-x ou AMD-V.

Outros recursos de segurança do Windows 10 possuem requisitos de hardware diferentes. O Windows Hello, que suporta reconhecimento de face e impressão digital, normalmente precisaria de hardware adicional. A ferramenta, agora, oferece suporte à autenticação FIDO 2.0 para dispositivos Windows 10 gerenciados pelo Azure Active Directory, e há a opção de usar as opções do Windows Hello Face, Impressão digital ou PIN na tela de login principal.

Os funcionários que trabalham regularmente no campo ou que viajam bastante durante o ano têm maior probabilidade de optar por um laptop mais leve – e a maioria dos Ultrabooks não tem TPM no interior. “Esses executivos são os quais me preocupo”, disse Wisniewski, pois são os que mais correm risco de ataque e têm maior probabilidade de usar modelos de consumo.

O hardware não é a única barreira para começar; a maioria das organizações também precisará fazer alterações na infraestrutura e nos processos. Muitas equipes de TI não usam atualmente o UEFI ou o Secure Boot porque afetam os fluxos de trabalho existentes e há algumas plataformas de logon único que não funcionam bem com o UEFI. A TI pode estar preocupada em ficar bloqueada de computadores com o Secure Boot – é mais fácil limpar uma máquina e carregar uma imagem corporativa de estoque ao configurá-la. Da mesma forma, algumas máquinas podem executar aplicativos críticos com requisitos específicos que não podem ser atualizados.

Felizmente, o Device Guard e o Credential Guard não exigem uma decisão de tudo ou nada. A TI pode criar um novo domínio com as proteções do Device Guard e do Credential Guard ativadas e mover os usuários que atendem aos requisitos de hardware. As máquinas que não podem ser atualizadas podem ser deixadas no domínio existente. Isso permite que a TI mantenha uma rede “limpa” com políticas assinadas e credenciais protegidas e concentre sua atenção nos domínios mais antigos e “sujos”.

A Microsoft também reconhece que muitas organizações têm um ambiente híbrido com diferentes versões do Windows. Muito poucos podem alegar ter transferido toda a sua infraestrutura para o Windows 10. O Windows Defender ATP estava originalmente disponível apenas com uma assinatura do Windows E5 ou do Microsoft Office 365 E5, mas agora há suporte de baixo nível para o Windows 7 SP1 e Windows 8.1. Organizações heterogêneas podem obter acesso à perícia forense avançada.