Ir para conteúdo

Configurações AVANÇADAS de Segurança para o Windows 10


Mensagem Recomendada

  • Administrador

Esta é a AULA 09 do curso Windows 10: da Formatação à Produtividade sobre Configurações AVANÇADAS de Segurança para o Windows 10

A primeira configuração avançada de segurança é uma funcionalidade muito útil de segurança, mas que é pouco conhecida: o Bloqueio Dinâmico.

Bloqueio Dinâmico

Com o Bloqueio Dinâmico você configura o Windows 10 para utilizar o seu smartphone como sensor de presença, ou seja quando você sair de perto do seu computador ou notebook com o seu smartphone a tela do seu monitor é automaticamente bloqueada.

Bloqueio Dinâmico - Configuração AVANÇADA de Segurança no Windows 10

O único pré-requisito é que o computador ou notebook precisa ter suporte ao Bluetooth. Se o seu computador não tem Bluetooth, você pode comprar um adaptador Bluetooth pra USB que custa menos de R$ 40.

Inicialmente você deve ir em Dispositivos > Bluetooth e confirmar que ele está habilitado e que o seu smartphone também está detectado ali. Feito isso, você vai para Contas > Opções de Entrada > e clique na opção de bloquear o Windows quando o dispositivo estiver ausente. 

Depois disso, sempre que o sinal do dispositivo cair bastante, o Windows vai bloquear o computador mostrando a tela de login do usuário.

Tecnicamente falando o Windows tá configurado para bloquear o computador quando o sinal do dispositivo pareado via Bluetooth cair 10dB mas muitas vezes o usuário saiu do computador e já tá lá longe / e a tela continua desbloqueada porque o sinal continua forte mesmo nessa distância.

Como o Bloqueio Dinâmico não permite nenhuma calibragem para diminuir esses 10dB pra um valor menor fazendo com que a tela seja bloqueada mais cedo então a gente vai fazer isso via Registro.

Nesse caso você deve abrir o Editor de Registro e acessar a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NaAuth

Ali à direita você clica com o botão da direita do mouse, escolhe Novo > Valor DWORD 32-bits e coloca como nome BluetoothRssiMaxDelta com um valor entre 1 e 9 aonde 1 significa que a tela vai ser bloqueada com o usuário mais próximo do computador e 9 com o usuário mais longe, sendo que normalmente 3 ou 4 é um valor razoável.

Aliás o Bloqueio Dinâmico somente bloqueia a tela quando o dispositivo se afastar do computador mas ele não desbloqueia a tela quando o usuário voltar pro computador porque essa funcionalidade foi criada pra proteger o computador quando o usuário não estiver usando ele mas não para funcionar como uma solução pra autenticação do usuário no Windows.

Configuração AVANÇADA de Segurança para o Windows 10: Windows Defender em Sandbox

A segunda configuração avançada de segurança para o Windows 10 é configurar o Windows Defender para ser executado em um sandbox que é um ambiente seguro e isolado que não permite acesso direto ao sistema operacional em si, ou seja tudo que acontece ali não afeta em nada o Windows.

Windows Defender em Sandbox - Configuração AVANÇADA de Segurança para o Windows 10

Alguns malwares tentam se aproveitar de falhas do próprio antivírus para infectar o Windows.

Um ótimo exemplo é que em 2017 a Microsoft corrigiu uma falha no Windows Defender que permitia um arquivo malicioso infectar o sistema operacional assim que ele fosse escaneado pelo próprio Windows Defender sendo que o mesmo aconteceu com o antivírus da Avast em março de 2020.

Para minimizar problemas resultantes desse tipo de vulnerabilidade a Microsoft permite que o Windows Defender rode em sandbox, fazendo com que qualquer falha ou vulnerabilidade dele não permita que um malware infecte o Windows.

E para executar o Defender em Sandbox abra um Prompt de Comando (Admin), digite setx /M MP_FORCE_USE_SANDBOX 1 e tecle ENTER reiniciando o Windows em seguida. Se você quiser reverter isso, basta usar esse comando setx /M MP_FORCE_USE_SANDBOX 0 e depois reiniciar o Windows.

Para saber se o Windows Defender está funcionando em uma sandbox basta confirmar que o processo MsMpEngCP.exe está sendo executado em conjunto com o MsMpEng.exe.

Windows Defender Exploit Guard

A terceira funcionalidade de configuração avançada de segurança para o Windows 10 é o Windows Defender Exploit Guard, que inclui várias proteções contra exploits, ou seja essas proteções impedem a execução de tarefas maliciosas realizadas por malwares (inclusive malwares desconhecidos) evitando inclusive que eles aproveitem de alguma falha desconhecida do Windows que é a conhecida vulnerabilidade 0-day.

Windows Defender Exploit Guard - Configurações AVANÇADAS de Segurança no Windows 10

No Windows 7 e 8 a Microsoft disponibilizava um programa externo para isso, que era o EMET (Enhanced Mitigation Experience Toolkit ou Kit de Ferramentas Avançado de Experiência de Redução) e felizmente ela decidiu embutir o EMET no Windows 10.

Um dos módulos mais importantes do Exploit Protection é o ASLR, que significa Address Space Layout Randomization ou Randomização do Layout do Espaço de Endereço e ela fica em Controle de aplicativos e do navegador > Exploit Protection.

Muitos arquivos e processos do Windows são carregados na memória RAM em endereços específicos - e como os malwares sabem exatamente aonde eles estão isso facilita quando eles querem acessar esses arquivos e processos pra infectar eles, MAS quando o ASLR está habilitado, eles são carregados em endereços de memória aleatórios, impedindo que os malwares descubram aonde eles estão.

O ASLR não é novidade no Windows, porque ele existe desde o Windows Vista em 2006 e o Windows não obriga o seu uso por todos os programas porque programas criados antes de 2013 podem apresentar problemas de compatibilidade.

Vale a pena você habilitar o ASLR e testar se tudo funciona normalmente dessa maneira sendo que você precisa reiniciar o computador depois de habilitar essa opção.

Se algum programa, jogo ou driver tiver alguma incompatibilidade com o ASLR ele vai deixar de funcionar ou informar que não pode ser carregado e daí você tem duas opções para resolver isso. A primeira opção é desabilitar o ASLR para esse programa clicando na opção Configurações de Programa > Adicionar programa e adicionar ali o caminho do arquivo.

Quando a janela abrir, você desce até a opção Forçar aletoriamente imagens (ASLR obrigatório) clica na opção Substituir configurações do sistema daí você ativa ela, e depois clicar em Aplicar. Daí você reinicia o computador. Se mesmo assim não funcionar, daí você simplesmente volta o ASLR para a opção Usar padrão (Desativado) e reinicia o Windows, voltando à configuração original

Isolamento de Núcleo

A quarta funcionalidade de configuração avançada de segurança para o Windows 10 é o Isolamento de núcleo que protege os arquivos do sistema operacional contra modificações não-autorizadas.

Essa opção estava disponível somente para as versões Enterprise do Windows 10 mas em abril de 2018 a Microsoft também disponibilizou pras edições Home e Pro.

Isolamento de Núcleo

O Isolamento de núcleo protege o sistema operacional contra ataques mais sofisticados - incluindo quando malwares utilizam certificados digitais gerados ilegalmente para acessar o kernel do Windows pra infectar o sistema operacional e por isso a Microsoft atualiza constantemente a lista de certificados digitais através do Windows Update.

O Isolamento de núcleo cria uma área isolada e segura na memória RAM aonde o Windows executa ali processos relacionados à segurança do sistema operacional. Se um malware infectar o computador do usuário e tentar acessar esses arquivos, ele simplesmente não conseguirá fazer isso.

O isolamento de núcleo também tem a opção de Integridade da memória, pois o Windows exige que todos os drivers de kernel sejam assinados digitalmente - e ao ativar essa opção de Integridade da memória, o serviço responsável por essa análise é executado em ambiente seguro e protegido para evitar que uma falha em um driver possa ser aproveitada por hackers.

Essa opção está desabilitada por default porque ela pode causar problemas com alguns drivers embora se você habilitar a Integridade da memória e depois instalar um driver de vídeo que seja incompatível com ela na próxima reinicialização do Windows o sistema operacional vai automaticamente desabilitar ela para evitar problemas.

Além disso, é recomendável você desabilitar a Integridade da Memória antes de instalar uma nova versão do Windows 10 que são aquelas disponibilizadas duas vezes por ano, pra que a atualização funcione corretamente.

Windows Defender Credential Guard

A quinta funcionalidade de configuração avançada de segurança para o Windows 10 é o Windows Defender Credential Guard que protege as credenciais (que são os logins e senha) também em uma área isolada da memória RAM impedindo seu acesso por programas não-autorizados.

Embora o Windows sempre criptografa o login e senha dos usuários isso não impede que hackers tenham acesso a essas informações quando eles invadem um computador ou servidor pois essas informações ficam em um processo na memória RAM que se chama LSA (Local Security Authority), que inclusive é o conhecido processo lsass.exe que eu detalho na aula 20.

Windows Defender Credential Guard - Configurações AVANÇADAS de Segurança no Windows 10

Ao acessar o LSA, eles utilizam várias técnicas para determinar as credenciais, incluindo fazer um dump nesse arquivo que é criar um arquivo no disco rígido com o mesmo conteúdo que esse arquivo tem na memória RAM pra depois fazer um ataque de força bruta nesse arquivo utilizando o poder de processamento da placa de vídeo obtendo as senhas em pouco tempo.

Atualmente uma senha de 8 caracteres, por mais complexa que seja, pode ser quebrada em menos de duas horas sem muita dificuldade.

Só para vc ter uma ideia, em 2012 os criadores da ferramenta de recuperação de senha de código aberto HashCat mostraram uma configuração com 5 servidores que tinham no total 25 placas de vídeo da AMD / que podia analisar nada menos que 348 bilhões de senhas por segundo.

E como hoje em dia qualquer um pode alugar servidores GPU na nuvem para fazer o que quiser ali isso se tornou um pesadelo para os administradores de TI.

Com o Credential Guard isso tudo não é mais possível porque ele cria um novo processo que roda em um ambiente isolado e virtualizado chamado lsaiso.exe (LSA Isolado) mantendo as credenciais ali em segurança.

A única desvantagem do Credential Guard é que ele funciona somente no Windows 10 Enterprise além de exigir o Boot Seguro, um processador 64-bits e a virtualização habilitada.

Para habilitar o Credential Guard, você deve abrir o Editor de Política de Grupo, ir em Configuração do Computador > Modelos Administrativos > Sistema > Device Guard e dar um duplo-clique em Ativar Segurança Baseada em Virtualização. Ali você deve clicar em Habilitado escolher as opções Inicialização Segura Habilitada com bloqueio UEFI nas duas opções abaixo e Habilitado na última.

Depois você clica em Aplicar e OK e reinicia o Windows.

Uma dica MUITO IMPORTANTE é que o ideal é você testar isso tudo em um ambiente de teste sendo que você pode usar a versão de Avaliação de 90 dias do Windows 10 Enterprise disponibilizado pela própria Microsoft antes de aplicar no seu próprio computador.

Configuração AVANÇADA de segurança para o Windows 10: Microsoft Defender Application Guard

A sexta e última funcionalidade de configuração avançada de segurança para o Windows 10 é o Microsoft Defender Application Guard que permite que o navegador Edge seja executado em um ambiente virtualizado e protegido baseado no Hyper-V sendo ideal para quem quer navegar com mais segurança.

Microsoft Defender Application Guard

Como o Application Guard depende do Hyper-V ele exige um computador com no mínimo 8 GB RAM e 4 cores do processador, além de suporte à virtualização.

Para instalá-lo você abre o Painel de Controle > Programas e Recursos > Ativar ou desativar recursos do Windows e clica em Microsoft Defender Application Guard e em OK, e a instalação dele é iniciada. No final você clica no botão Reiniciar agora.

Para ativá-lo, você deve abrir o Editor de Política de Grupo acessar Modelos Administrativos > Componentes do Windows / Microsoft Defender Application Guard e habilitar as políticas dele de acordo com a sua necessidade.

As principais políticas são:

- Ativar o Microsoft Defender Application Guard no Modo Gerenciado aonde você escolhe 1 se você quiser usá-lo somente com o Edge, e 2 ou 3 se quiser que ele também seja executado em outros ambientes do Windows.

- Permitir a persistência de dados que faz com que os arquivos baixados, cookies e outros arquivos continuem existindo ali quando o Application Guard for utilizado nas próximas vezes algo que eu sugiro Não Habilitar

- Usar a aceleração de hardware, que permite uso da GPU pra tarefas gráficas, como assistir vídeos, por exemplo fazendo com que o Edge fique mais rápido MAS diminuindo um pouco a segurança, porque a memória da placa de vídeo usada no Application Guard vai ser compartilhada com o host através do driver de vídeo. Eu usualmente deixo isso habilitado por praticidade

- Definir a área de Transferência que se for habilitada ela permite o copiar/colar entre o host e o Application Guard, algo que eu deixo habilitado.

- E permitir ou não a cópia de arquivos do Application Guard e o host sendo ideal manter essa opção como está, proibindo isso por questão de segurança. Depois disso, reinicie o Windows novamente, e o Application Guard está pronto pra ser usado. Ao abrir o Edge Chromium, ele abre uma janela normal, mas ele tem uma opção de abrir uma nova janela do Application Guard.

Ao clicar ali, aparece uma janela informando que o Edge tá sendo aberto no Application Guard sendo que a primeira vez que você fizer isso essa tarefa pode demorar alguns minutos enquanto o ambiente virtual é criado - e nesse período existe um grande consumo de CPU e memória RAM.

E quando a janela do Edge via Application Guard finalmente é aberta, ela mostra o ícone dele informando que você tá navegando de maneira mais segura, além do ícone dele ter um mini-ícone do Defender sendo que o navegador funciona normalmente como o Edge comum.

Se você abrir o Gerenciador de Tarefas, você vê que existe um processo bastante pesado chamado Vmmem, que é justamente o Hyper-V que está sendo executado juntamente com o Cliente RDP do Application Guard. 

image.pngO que está acontecendo nesse momento  é que esse Edge que parece estar rodando aqui na verdade está rodando dentro de uma máquina virtual Hyper-V mas ele é mostrado aqui pra você através do cliente RDP (que é Área Remota) do Application Guard.

Tecnicamente falando, é como se esse Edge estivesse rodando em outro computador, mas usando parte da CPU, memória RAM e disco desse computador pra funcionar -  e como a CPU, a memória RAM e o DISCO dele são separados e não trocam informações com a CPU, memória RAM e DISCO desse computador a gente diz que ele está em um ambiente isolado e seguro, porque o que acontecer naquele ambiente não vai afetar esse ambiente.

E ao fechar ele, o consumo de CPU diminui bastante porque o Hyper-V não é mais necessário - e ao abri-lo novamente, ele abre muito mais rápido do que antes e o consumo de CPU e RAM também aumentam.

Em 2019 a Microsoft disponibilizou a extensão do Application Guard para o Chrome e Firefox. Essa extensão monitora os sites que o usuário está acessando e quando ele acessar um site considerado malicioso ou perigoso a extensão automaticamente abre o Edge com Application Guard e carrega esse site.

Na próxima aula eu vou abordar a fundo o BitLocker.

Gostou dessa aula? Então compre o curso Windows 10: da Formatação à Produtividade que tem 21 aulas totalizando quase 5h de conteúdo exclusivo!

[]s
 
Aurélio “Baboo”
assinatura-baboo-forum-2022.png

Link para o comentário
Compartilhar em outros sites

  • Administrador

Por ser uma aula do meu curso pago, somente alunos deste curso podem postar dúvidas sobre os temas abordados na área correspondente deste curso :) 

[]s
 
Aurélio “Baboo”
assinatura-baboo-forum-2022.png

Link para o comentário
Compartilhar em outros sites

  • Baboo travou este tópico
Visitante
Este tópico está impedido de receber novos posts
×
×
  • Criar Novo...