Segurança de rede
Windows 11 eleva a fasquia da segurança de rede, oferecendo proteção abrangente para ajudar as pessoas a trabalhar com confiança em praticamente qualquer lugar. Para ajudar a reduzir a superfície de ataque de uma organização, a proteção de rede no Windows impede que as pessoas acedam a endereços IP e domínios perigosos que possam alojar esquemas de phishing, exploits e outros conteúdos maliciosos. Ao utilizar serviços baseados na reputação, a proteção de rede bloqueia o acesso a domínios e endereços IP potencialmente prejudiciais e de baixa reputação.
As novas versões do protocolo DNS e TLS reforçam as proteções ponto a ponto necessárias para aplicações, serviços Web e redes Confiança Zero. O acesso a ficheiros adiciona um cenário de rede não fidedigno com o Bloco de Mensagens do Servidor através de QUIC e novas capacidades de encriptação e assinatura. os avanços de Wi-Fi e Bluetooth também proporcionam uma maior confiança nas ligações a outros dispositivos. Além disso, as plataformas VPN e Firewall do Windows oferecem novas formas de configurar e depurar facilmente software.
Em ambientes empresariais, a proteção de rede funciona melhor com Microsoft Defender para Ponto de Extremidade, que fornece relatórios detalhados sobre eventos de proteção como parte de cenários de investigação maiores.
Saiba mais
TLS (Transport Layer Security)
Transport Layer Security (TLS) é um protocolo de segurança popular que encripta dados em trânsito para ajudar a fornecer um canal de comunicação mais seguro entre dois pontos finais. Por predefinição, o Windows permite as versões mais recentes do protocolo e conjuntos de cifras fortes e oferece um conjunto completo de extensões, como a autenticação de cliente, para melhorar a segurança do servidor ou o recomeço da sessão para melhorar o desempenho da aplicação. O TLS 1.3 é a versão mais recente do protocolo e está ativado por predefinição no Windows. Esta versão ajuda a eliminar algoritmos criptográficos obsoletos, a melhorar a segurança em versões mais antigas e a encriptar o máximo possível do handshake TLS. O handshake é mais eficaz com uma viagem de ida e volta a menos por ligação em média e suporta apenas conjuntos de cifras fortes que fornecem sigilo perfeito para a frente e menos risco operacional. A utilização do TLS 1.3 fornece mais privacidade e latências inferiores para ligações online encriptadas. Se o cliente ou a aplicação de servidor em ambos os lados da ligação não suportar o TLS 1.3, a ligação reverterá para o TLS 1.2. O Windows utiliza o Datagram Transport Layer Security (DTLS) 1.2 mais recente para comunicações UDP.
Saiba mais
Segurança do Sistema de Nomes de Domínio (DNS)
No Windows 11, o cliente DNS do Windows suporta DNS através de HTTPS e DNS através de TLS, dois protocolos DNS encriptados. Estes permitem que os administradores garantam que os respetivos dispositivos protegem as consultas de nome contra atacantes no caminho, quer sejam observadores passivos que registam o comportamento de navegação ou os atacantes ativos que tentam redirecionar os clientes para sites maliciosos. Num modelo de Confiança Zero em que não é colocada confiança num limite de rede, é necessária uma ligação segura a uma resolução de nomes fidedigna.
Windows 11 fornece controlos programáticos e de política de grupo para configurar o DNS através do comportamento HTTPS. Como resultado, os administradores de TI podem expandir a segurança existente para adotar novos modelos, como Confiança Zero. Os administradores de TI podem autorizar o DNS através do protocolo HTTPS, garantindo que os dispositivos que utilizam DNS inseguro não se ligarão aos recursos de rede. Os administradores de TI também têm a opção de não utilizar o DNS através de HTTPS ou DNS através de TLS para implementações legadas em que as aplicações edge de rede são fidedignas para inspecionar o tráfego DNS de texto simples. Por predefinição, Windows 11 irá diferir para o administrador local no qual as resoluções devem utilizar o DNS encriptado.
O suporte para encriptação DNS integra-se com configurações DNS do Windows existentes, como a Tabela de Políticas de Resolução de Nomes (NRPT), o ficheiro anfitriões do sistema e resoluções especificadas por placa de rede ou perfil de rede. A integração ajuda Windows 11 garantir que os benefícios de uma maior segurança DNS não regredam os mecanismos de controlo DNS existentes.
Proteção Bluetooth
O número de dispositivos Bluetooth ligados a Windows 11 continua a aumentar. Os utilizadores do Windows ligam os auscultadores Bluetooth, ratos, teclados e outros acessórios e melhoram a experiência diária do PC ao desfrutarem de transmissão em fluxo, produtividade e jogos. O Windows dá suporte a todos os protocolos de emparelhamento Bluetooth padrão, incluindo conexões clássicas e LE Secure, emparelhamento simples seguro e emparelhamento herdado clássico e LE. O Windows também implementa a privacidade de LE baseada no anfitrião. As atualizações do Windows ajudam os utilizadores a manterem-se atualizados com as funcionalidades de segurança do SO e do controlador de acordo com o Grupo de Interesses Especiais (SIG) Bluetooth e Standard Relatórios de Vulnerabilidades, bem como problemas para além dos exigidos pelas normas da indústria de bluetooth. A Microsoft recomenda vivamente que o firmware e o software dos acessórios Bluetooth sejam mantidos atualizados.
Os ambientes geridos por TI têm um número de definições de política disponíveis através de fornecedores de serviços de configuração, política de grupo e PowerShell. Estas definições podem ser geridas através de soluções de gestão de dispositivos, como Microsoft Intune[4]. Pode configurar o Windows para utilizar a tecnologia Bluetooth ao mesmo tempo que suporta as necessidades de segurança da sua organização. Por exemplo, pode permitir a entrada e o áudio durante o bloqueio da transferência de ficheiros, forçar padrões de encriptação, limitar a deteção do Windows ou até mesmo desativar totalmente o Bluetooth para os ambientes mais confidenciais.
Saiba mais
Wi-Fi ligações
O Windows Wi-Fi suporta métodos de autenticação e encriptação padrão da indústria ao ligar a redes Wi-Fi. O WPA (Acesso Protegido por Wi-Fi) é um padrão de segurança definido pelo Wi-Fi Alliance (WFA) para fornecer encriptação de dados sofisticada e uma melhor autenticação de utilizador.
O padrão de segurança atual para a autenticação Wi-Fi é o WPA3, que fornece um método de ligação mais seguro e fiável em comparação com o WPA2 e os protocolos de segurança mais antigos. O Windows suporta três modos WPA3 - WPA3 Pessoal, WPA3 Enterprise e WPA3 Enterprise 192 bits Suite B.
Windows 11 inclui o WPA3 Personal com o novo protocolo H2E e o WPA3 Enterprise 192 bits Suite B. Windows 11 também suporta o WPA3 Enterprise, que inclui validação de certificados de servidor melhorado e TLS 1.3 para autenticação com autenticação EAP-TLS.
A Encriptação Sem Fios Oportunista (OWE), uma tecnologia que permite aos dispositivos sem fios estabelecer ligações encriptadas a hotspots de Wi-Fi públicos, também está incluída.
5G e eSIM
As redes 5G utilizam uma encriptação mais forte e uma melhor segmentação de rede em comparação com as gerações anteriores de protocolos via rede móvel. Ao contrário do Wi-Fi, o acesso 5G é sempre autenticado mutuamente. As credenciais de acesso são armazenadas num eSIM certificado por EAL4 que está fisicamente incorporado no dispositivo, o que torna muito mais difícil para os atacantes adulterarem. Em conjunto, o 5G e o eSIM fornecem uma base forte para a segurança.
Saiba mais
Firewall do Windows
A Firewall do Windows é uma parte importante de um modelo de segurança em camadas. Fornece filtragem de tráfego de rede bidirecional baseada no anfitrião, bloqueando o tráfego não autorizado que flui para dentro ou para fora do dispositivo local com base nos tipos de redes a que o dispositivo está ligado.
A Firewall do Windows oferece as seguintes vantagens:
- Reduz o risco de ameaças de segurança de rede: a Firewall do Windows reduz a superfície de ataque de um dispositivo com regras que restringem ou permitem o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Esta funcionalidade aumenta a capacidade de gestão e diminui a probabilidade de um ataque com êxito
- Salvaguarda dados confidenciais e propriedade intelectual: ao integrar com o IPSec (Internet Protocol Security), a Firewall do Windows fornece uma forma simples de impor comunicações de rede autenticadas ponto a ponto. Fornece acesso dimensionável e em camadas a recursos de rede fidedignos, ajudando a impor a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados
- Expande o valor dos investimentos existentes: uma vez que a Firewall do Windows é uma firewall baseada no anfitrião que está incluída no sistema operativo, não é necessário hardware ou software adicional. A Firewall do Windows também foi concebida para complementar as soluções de segurança de rede não microsoft existentes através de uma interface de programação de aplicações (API) documentada
Windows 11 torna a Firewall do Windows mais fácil de analisar e depurar. O comportamento ipSec está integrado com o Monitor de Pacotes, uma ferramenta de diagnóstico de rede entre componentes integrada para Windows. Além disso, os registos de eventos da Firewall do Windows são melhorados para garantir que uma auditoria pode identificar o filtro específico que foi responsável por qualquer evento. Isto permite a análise do comportamento da firewall e da captura de pacotes avançada sem depender de ferramentas de terceiros.
Os administradores podem configurar mais definições através dos modelos de política Firewall e Regra de Firewall no nó Segurança do Ponto Final no Microsoft Intune[4], utilizando o suporte da plataforma do fornecedor de serviços de configuração de Firewall (CSP) e aplicando estas definições aos pontos finais do Windows.
Novidades no Windows 11, versão 24H2
O Fornecedor de Serviços de Configuração de Firewall (CSP) no Windows impõe agora uma abordagem tudo ou nada à aplicação de regras de firewall em cada bloco atómico. Anteriormente, se o CSP encontrasse um problema com qualquer regra num bloco, não só deixaria de processar essa regra, como também deixaria de processar regras subsequentes, deixando potencialmente uma lacuna de segurança com blocos de regras parcialmente implementados. Agora, se nenhuma regra no bloco não puder ser aplicada com êxito, o CSP deixa de processar regras subsequentes e reverte todas as regras desse bloco atómico, eliminando a ambiguidade dos blocos de regras parcialmente implementados.
Saiba mais
Redes privadas virtuais (VPN)
Há muito que as organizações dependem do Windows para fornecer soluções de rede privada virtual (VPN) fiáveis, seguras e geríveis. A plataforma de cliente VPN do Windows inclui protocolos VPN incorporados, suporte de configuração, uma interface de utilizador VPN comum e suporte de programação para protocolos VPN personalizados. Os aplicativos VPN estão disponíveis no Microsoft Store para VPNs corporativas e de consumidor, incluindo aplicativos para os gateways de VPN corporativos mais populares.
No Windows 11, integrámos os controlos VPN mais utilizados diretamente no painel Ações Rápidas Windows 11. No painel Ações Rápidas, os utilizadores podem verificar a status da VPN, iniciar e parar a ligação e abrir facilmente as Definições para obter mais controlos.
A plataforma VPN do Windows liga-se ao Microsoft Entra ID[4] e ao Acesso Condicional para o início de sessão único, incluindo a autenticação multifator (MFA) através de Microsoft Entra ID. A plataforma VPN também suporta a autenticação clássica associada a um domínio. É suportado por Microsoft Intune[4] e outras soluções de gestão de dispositivos. O perfil VPN flexível suporta protocolos incorporados e protocolos personalizados. Pode configurar vários métodos de autenticação e pode ser iniciado automaticamente conforme necessário ou iniciado manualmente pelo utilizador final. Também suporta VPN de túnel dividido e VPN exclusiva com exceções para sites externos fidedignos.
Com Plataforma Universal do Windows (UWP) aplicações VPN, os utilizadores finais nunca ficam presos numa versão antiga do cliente VPN. As aplicações VPN da loja serão atualizadas automaticamente conforme necessário. Naturalmente, as atualizações estão no controlo dos administradores de TI.
A plataforma VPN do Windows é otimizada e endurecida para fornecedores de VPN baseados na cloud, como a VPN do Azure. Funcionalidades como Microsoft Entra ID autenticação, integração da interface de utilizador do Windows, seletores de tráfego IKE de canalização e suporte de servidor estão incorporadas na plataforma VPN do Windows. A integração na plataforma VPN do Windows conduz a uma experiência de administração de TI mais simples. A autenticação do utilizador é mais consistente e os utilizadores podem localizar e controlar facilmente a VPN.
Saiba mais
Serviços de ficheiros de Bloqueio de Mensagens do Servidor
O Server Message Block (SMB) e os serviços de ficheiros são as cargas de trabalho mais comuns do Windows no ecossistema do setor comercial e público. Os utilizadores e as aplicações dependem do SMB para aceder aos ficheiros que executam organizações de todos os tamanhos.
Windows 11 introduziu atualizações de segurança significativas para fazer face às ameaças atuais, incluindo a encriptação SMB AES-256, a assinatura SMB acelerada, a encriptação de rede rdma (Remote Directory Access) e a encriptação de rede SMB através de QUIC para redes não fidedignas.
Novidades no Windows 11, versão 24H2
As novas opções de segurança incluem a assinatura SMB obrigatória por predefinição, o bloqueio NTLM, a limitação da taxa de autenticação e várias outras melhorias.
Saiba mais