Windows 10: Segurança e Proteção de Identidade para o mundo moderno
Por Jim Alkove
Há muita emoção e energia ao redor do Windows 10 Technical Preview - incluindo uma incrível dinâmica em torno do Programa Insiders do Windows , onde recentemente, atingimos 1 milhão de inscritos no total, e com mais de 200.000 feedbacks enviados pelos usuários do programa. Muito obrigado por se inscrever no programa e nos fornecer o seu feedback! Queremos que o Windows 10 seja um reflexo de tudo que você precisa para o seu negócio, e eu não poderia estar mais entusiasmado para ver isso acontecer. Em meu último blog, eu mencionei que eu sigo de perto algumas áreas-chave. Hoje, eu gostaria de me concentrar na segurança do Windows 10, que tem sido central para muitas das conversas com clientes com quem falei desde que anunciamos a disponibilidade da visualização técnica. Segurança e proteção de informações são razões principais para muitas empresas.
No mundo de hoje, o mercado de cyber-ataques em empresas são vastos e os ataques têm perfis cada vez mais elevados e com sucesso em sua execução. Estamos vendo falhas nas redes resultantes de técnicas simples, como no nome do usuário e roubo de senha. Em alguns dos casos mais recentes, os hackers se infiltraram empresas da Fortune 500 com os nomes de usuários e senhas roubadas que lhes deram acesso aos sistemas de ponto de venda e a dados do cartão de crédito. Os ataques resultaram no roubo de milhões de números de cartões de crédito que rapidamente acabaram no mercado negro. Recentemente, o New York Times anunciou que 1.2 milhões de nomes de usuários e senhas foram roubados em um único crime cibernético dentro de uma organização. Que é assustador, se considerarmos que são apenas cerca de 1.8 milhões de pessoas online no mundo inteiro.
Essa organizações criminosas e alguns estados da nação não são as únicas ameaças que você está enfrentando. Mesmo assim, os funcionários representam um risco importante que requer atenção. O relatório deste ano da firma de segurança Stroz Friedberg afirmou que 87 por cento dos gerentes sênior admitem que regularmente carregam arquivos de trabalho ou email de sua de sua conta pessoal para a nuvem, entretanto, 58 por cento dos usuários admitem terem acidentalmente enviado informações confidenciais para a pessoa errada.
Com o Windows 10, estamos ativamente monitorando as ameaças de segurança modernas e com avanços para reforçar a proteção de identidade e controle de acesso, proteção de informações, e resistência de ameaça. Com este lançamento, teremos quase tudo no lugar para tirar fora do uso o fator único de autenticação, como senhas. Estamos oferecendo uma forte prevenção contra perda de dados para a plataforma em si, e quando se trata de ameaças online, como malware, nós vamos ter uma vasta lista de opções para ajudar às empresas a se protegerem contra as causas comuns de infecção de malware nos PCs.
Proteção de Identidade e Controle de Acesso
Para começar, gostaria de falar sobre uma solução que fornece uma abordagem moderna para a identidade e as credenciais do usuário. Algo que representa a próxima geração de proteção de identidade. Eu toquei um pouco sobre o assunto no meu blog em 30 de Setembro. Com esta solução, o Windows 10 protege as credenciais do usuário quando as violações ocorrem no centro de dados. Ela protege os usuários contra roubo quando os dispositivos estão comprometidos e que torna ataques de phishing às identidades quase completamente ineficazes. É uma solução que oferece benefícios tanto para as empresas como para os consumidores, e que fornece benefícios de uma senha juntamente com a segurança de classe empresarial. Ela representa o destino em nossa jornada para eliminar o uso de fator único de opções de identidade, como as senhas. Acreditamos que esta solução trará proteção de identidade a um novo nível a que não tem segurança de vários fatores e que hoje estão limitados às soluções, tais como smartcards , que constrói o direito no sistema operacional e no dispositivo em si, eliminando a necessidade de segurança de hardware e periféricos adicionais.
Uma vez registrados, os dispositivos se tornam um dos dois fatores que são necessários para a autenticação. O segundo fator será um PIN ou fator biométrico como impressões digitais. Do ponto de vista de segurança, o que significa que o invasor teria que ter um usuário no dispositivo físico - além dos meios de usar credenciais do usuário - o que iriam precisar de acesso para os usuários, seriam um PIN ou informações biométricas. Os usuários serão capazes de registrar cada um dos seus dispositivos com estas novas credenciais, ou eles podem se inscrever em um único dispositivo, como um telefone celular, que se tornará sua credencial móvel. Isso lhe permitirá o login em todos PCs, redes e serviços da web, desde que o seu telefone celular esteja nas proximidades. Neste caso, o telefone, usando Bluetooth ou Wi-Fi como comunicação, se comportará como um controle remoto do smart card e ele irá oferecer a autenticação de dois fatores para tanto login locais como acesso remoto.
Se nos aprofundarmos um pouco mais neste componente do Windows 10 vemos que as equipes de segurança vão achar que isso lhe parece bastante familiar. A credencial pode ser uma de duas coisas. Ela pode ser um par de chaves criptografadas e geradas (as chaves públicas e privadas) pelo próprio Windows ou ela pode ser um certificado fornecido ao dispositivo de infraestruturas existentes de PKI. Com essas duas opções, isso torna o Windows 10 ideal para organizações com investimentos existentes em PKI e se torna viável para o consumidor da web e cenários onde PKI não é prático. Active Directory, Azure Active Directory e Microsoft, apoiarão as novas credenciais de usuário como solução por padrão (default). Por isso que as empresas e os consumidores que utilizam o Microsoft Online Services rapidamente serão capazes de dispensar as senhas. Esta tecnologia é intencionalmente projetada de forma que possa ser amplamente adotada em outras plataformas, na web e outras infraestruturas.
Proteger a identidade do usuário é apenas uma parte da nossa abordagem de proteção. A próxima parte é para proteger o usuário e os tokens de acesso que são gerados quando os usuários já foram autenticado. Hoje, esses tokens de acesso são cada vez mais alvos de ataques usando técnicas como Pass the Hash, Pass the Ticket, etc . Uma vez que o atacante tem esses tokens podem acessar os recursos efetivamente representando a identidade do usuário sem a necessidade real de ter as credenciais do usuário. A técnica é frequentemente associada com ameaças persistentes e avançadas (APT) e, por conseguinte, é uma técnica que aguardamos e desejamos ansiosamente eliminar do invasor neste cenário. Com o Windows 10 , o objetivo é eliminar este tipo de ataque com uma solução de arquitetura que armazena tokens de acesso do usuário dentro de um secure container rodando em cima da tecnologia do Hyper-V. Esta solução evita os tokens de serem extraído dos dispositivos, mesmo nos casos em que o kernel do Windows tenha sido comprometido.
Proteção de informações
Com o Windows 10 , estamos fazendo grandes progressos sobre a Identidade e eu acho que você vai descobrir que estamos igualmente focados na proteção das informações. Em primeiro lugar, vamos analisar alguns dados que ajudam a explicar onde estamos fazendo nossos investimentos. O BitLocker se tornou uma tecnologia líder do setor que protege os dados enquanto ele reside em um dispositivo; no entanto, uma vez que ela deixa o dispositivo, não é mais protegido. Para proteger os dados, quando ela deixa o dispositivo, nós fornecemos os Serviços de Gerenciamento de Direitos do Azure e Gestão de Direitos de Informação (IRM) no Microsoft Office, que normalmente exige que o usuário faça o opt-in (escolher participar) para ativar a proteção. Isso deixa as empresas com uma falha, de tal forma que, se seus usuários não são próativos, torna-se relativamente fácil para eles acidentalmente deixarem vazar os dados corporativos. No Windows 10, vamos tratar desse problema com a solução de Prevenção contra a Perda de Dados (DLP) que separa os dados pessoais e corporativos e ajuda a proteger o uso da contenção. Estamos construindo essa capacidade para a própria plataforma e integrando-a no âmbito da atual experiência do usuário para permitir a proteção sem a interrupção freqüente. Não haverá necessidade do usuário alternar entre os modos, ou apps, a fim de proteger os dados da empresa, o que significa que os usuários podem ajudar a manter os dados seguros sem alterar os seus comportamentos. Proteção dos dados corporativos do Windows 10 permite criptografia automática de aplicativos corporativos, dados, email, conteúdo do site e outras informações confidenciais, e como ela chega no dispositivo de rede corporativa locais. E quando os usuários criam novos conteúdos originais, esta solução de protecção de dados ajuda os usuários definirem quais documentos são da empresas versus os que são pessoais. Se desejado, as empresas podem até mesmo designar todos os novos conteúdos criados no dispositivo como corporativo através da política. Políticas adicionais também podem permitir que as organizações impeçam que os dados dos documentos corporativos sejam copiados para ambientes não corporativo ou locais externos na web, como as redes sociais.
O Windows 10 oferece uma solução de proteção de dados avançados para o desktop, mas o que sobra para a parte móvel? Esta solução irá fornecer a mesma experiência ao Windows Phone como podemos ver na área de trabalho do Windows e nós vamos oferecer interoperabilidade. Documentos protegidos podem ser acessados através de várias plataformas. Por fim, com a proteção de dados no Windows 10 as organizações podem definir quais aplicativos terão acesso a dados corporativos através de políticas. Nós levamos esse recurso um pouco mais longe e aumentamos estas políticas para atender requisitos de VPN que muitos de vocês compartilharam conosco.
Assim como você, quando estou na estrada ou trabalhando de casa, preciso me conectar a dados críticos e apps a fim de permanecer produtivo. Ao apoiar os usuários remotos, os profissionais de TI buscam formas de limitar os riscos associados com a conectividade VPN, particularmente com dispositivos BYOD. O Windows 10 lhe dá um leque de opções de controle, VPN de conectividade constante, especificando que aplicativos podem ter acesso via VPN. Listas de App-permitir e o app-negar vão permitir que os profissionais de TI definirem quais apps estão autorizados a acessar a VPN e pode ser gerenciado por soluções MDM tanto para aplicativos desktop e apps universais. Para os administradores que requerem mais controle granular, podem restringir ainda mais o acesso por portas específicas ou endereços IP. Estas melhorias permitem que profissionais de TI corporativos para equilibrar a necessidade de acesso, com a necessidade de segurança e controle.
Ameaça Resistência
O Windows 10 também fornece às organizações a capacidade de bloquear dispositivos, permitindo resistência à ameaça adicional e malware. Porque o malware é muitas vezes inadvertidamente instalado em dispositivos por usuários, o Windows 10 leva em conta esta ameaça, permitindo que apenas aplicativos confiáveis, o que significa que os apps são assinados pela Microsoft através do serviço de assinatura, e podem ser executado em dispositivos especialmente configurados. O acesso ao serviço de assinatura será controlado através de um processo semelhante ao controle que fazemos na publicação de acesso ISV ao Windows Store e os próprios dispositivos serão bloqueado (lockdown) pelo OEM. O processo de lockdown que OEMs vão utilizar é semelhante ao que fazemos com o Windows Phone. As organizações terão a flexibilidade para escolher quais aplicativos são dignos de confiança - só os apps que são assinados por si próprios, especialmente assinado apps de ISVs, aplicativos da Windows Store, ou todas as opções acima. Ao contrário do Windows Phone esses aplicativos também podem incluir desktop apps (Win32) - o que significa que qualquer coisa que possa ser executado no Windows desktop também pode funcionar com esses dispositivos. Em última análise, este recurso de bloqueio no Windows 10 oferece às empresas uma ferramenta eficaz na luta contra as ameaças modernas e, com ele, vem a flexibilidade para fazer o trabalho na maioria dos ambientes.
Portanto, eu estou muito animado para falar mais sobre segurança. E estou ansioso para postar mais sobre os diferentes recursos e aprimoramentos de segurança à medida que sejam ativados no produto. Continuar a aperfeiçoar, de forma que estamos trabalhando para fazer com que o Windows 10 seja excelente para os negócios. E, entretanto, se você ainda não tiver feito isso, confira o Windows 10 Technical Preview nos deixe saber o que você pensa.