Windows 11 coloca segurança no topo da pirâmide

Do 7, ao 10, ao 11. Há uma semana, a Microsoft revelou o Windows 11 e partilhou agora as principais funcionalidades e atualizações UI com testers no programa Windows Insider. Apesar das mudanças de design e feel do novo Windows serem mais notórias, as atualizações de segurança, que são menos visíveis, podem ser de maior interesse para os CIO. 

"Entrámos a fundo no motor, ajustámos e afinámos coisas, tornámos as coisas rápidas e compatíveis o suficiente para estarem apenas lá. Não são as características que estão lá – são as funcionalidades que estão ligadas por defeito", reitera Dave Weston, diretor de segurança corporativa e de sistema operativo da Microsoft. A atualização vai ser lançada no fim do ano e Weston diz estar confiante de que a segurança adicional do Windows 11 vai ter uma adoção mais rápida, do que como aconteceu com o Windows 7 para 10.

Weston explica que as duas coisas mais importantes que as empresas podem fazer para melhorar a segurança é livrarem-se de passwords e mudarem-se para um quadro zero-trust. O design de segurança do Windows identifica falhas e reconhece que dispositivos fluem entre as casas e espaços de trabalho, um resultado dos novos modelos de trabalho que surgiram com a pandemia. "Assim, com o Windows 11 pode-se realmente criar uma conta Microsoft sem palavras-passe que use a cara ou biometria em vez de passwords", explica Weston.

A Microsoft tem vindo a falar em autenticação sem passwords há algum tempo e apoia o padrão FIDO2. As tecnologias do Windows incluem o Windows Hello para aceder a redes do Azure Active Directory e aplicações que apoiam o Microsoft Authenticator e chaves de segurança baseadas em FIDO2, com teclas Titan da Google. Dave Weston acredita que “à medida que mais websites na internet começam a apoiar o FIDO2 e padrões sem passwords, percebemos que estamos a caminho de um mundo onde não vamos introduzir senhas".

A big tech reforçou a segurança biométrica do Windows, colocando os dados na própria máquina, o que “significa que se malware ou um hacker entrou na sua máquina, não pode modificar os dados biométricos, o que é uma garantia de segurança muito mais forte para a biometria", explica Weston. 

Hoje em dia, o núcleo da segurança dos sistemas operativos da maior parte dos computadores está num chip, separado da CPU, o Trusted Platform Module (TPM). Mas a segurança do sistema operativo do Windows é assegurada pela conexão padronizada e automática destas funcionalidades. Quer isto dizer que, a segurança baseada em virtualização (VBS) ou baseada no hardware do TPM e BitLocker estão automaticamente ligados a todas as máquinas do Windows 11. "Esta é realmente a versão mais segura – não no sentido de novas funcionalidades – mas que os utilizadores costumavam ter de ser educados ou precisavam de fazer um esforço maior para se protegerem. Agora já lá está", assevera Weston. A evolução do hardware é também um ponto fundamental, pelo que todos os sistemas certificados do Windows 11 deverão ter um chip TPM 2.0. O TPM ou é integrado na motherboard do PC ou adicionado separadamente na CPU para proteger as chaves de encriptação, credenciais do utilizador e dados sensíveis.

O Pluton, componente do CPU idealizado e programado pela Microsoft, e fabricado pela Intel, a AMD e a Qualcomm. Embora ainda não haja computadores equipados com o Pluton, o Windows 11 já virá pronto a utilizá-lo, de forma incorporada na CPU. "Programámos o software para este chip, por isso a confiança deve estar na combinação de hardware e uma pequena quantidade de software para o fazer funcionar. O bom do Pluton é que a Microsoft escreve o código e o mantém atualizado, por isso já vem com o update do Windows e os utilizadores não têm de fazer nada", explica Weston.

Mas há um senão. Para poder utilizar os chips e atualizações da CPU de segurança do Windows 11, é necessário comprar novo hardware. "Todos os dispositivos Windows 11 vão ter uma identidade de hardware e um TPM, o que significa que a cloud identifica-o e as organizações podem determinar se o dispositivo se pode ligar à sua cloud, cumprindo garantias de segurança aceitáveis”, acrescenta Dave Weston e conclui que "além disso, temos agentes de acesso condicional integrados no sistema operativo que alavanca o hardware. O que significa que antes de um dispositivo de poder ligar a dados sensíveis – que é o que o ransomware quer encriptar – as empresas podem facilmente definir uma política de segurança com todas as proteções que necessitaria para parar o ransomware: antivírus, controlar os patches atualizados e, por isso, estamos a tornar isso mais fácil de aplicar no Windows 11”.