Microsoft aumentará drasticamente a segurança do Windows em 2025 – veja como

O colapso do CrowdStrike no verão passado causou bilhões de dólares em danos e expôs algumas falhas arquitetônicas fundamentais na plataforma Windows. Uma única atualização falha de um fornecedor foi suficiente para travar milhões de PCs e servidores em todo o mundo, e colocar essas máquinas online novamente exigiu intervenção humana direta em muitos desses endpoints, até que uma correção automatizada fosse implantada.

Veja também: “O que causou o grande colapso do CrowdStrike-Windows em 2024? A história tem a resposta.”

Em uma postagem no blog que deu início à conferência Ignite desta semana, o vice-presidente de segurança empresarial e de sistema operacional da Microsoft, David Weston, anunciou mudanças que devem diminuir drasticamente a probabilidade de outro colapso desse tipo.

Os anúncios de hoje são os primeiros resultados tangíveis de um esforço cooperativo entre a Microsoft e a comunidade de fornecedores de segurança de endpoint que, coletivamente, geram bilhões de dólares em receitas todos os anos, protegendo redes empresariais. Os desenvolvedores de produtos de segurança serão vinculados a um novo conjunto de práticas de implantação segura que exigem que eles façam testes adicionais e forneçam atualizações de produtos gradualmente; em vez de enviar atualizações para toda uma base instalada de uma só vez, espera-se que os fornecedores de segurança usem anéis de implantação e ferramentas de monitoramento para detectar uma atualização defeituosa e pausar ou reverter a implantação antes que ela possa causar grandes danos.

Um novo recurso chamado Quick Machine Recovery tornará mais fácil para os profissionais de TI reparar remotamente uma máquina que está presa em um loop de reinicialização devido a uma atualização ou driver incorreto. De acordo com a Microsoft, “Este recurso permitirá que os administradores de TI executem correções direcionadas do Windows Update em PCs, mesmo quando as máquinas não conseguem inicializar, sem a necessidade de acesso físico ao PC”. O recurso aproveita o Ambiente de Recuperação do Windows e pode ser usado para instalar correções da Microsoft ou de terceiros. Ele estará disponível para teste por meio do Programa Windows Insider no início de 2025.

Veja também: “Na cúpula de segurança da Microsoft, especialistas debateram como evitar outro colapso global de TI. Isso ajudará?”

A maior mudança de todas permitirá que os desenvolvedores criem produtos de segurança que possam operar no modo de usuário em vez de exigir o modo kernel. A empresa afirma que compartilhará uma prévia privada com seus parceiros da comunidade de endpoints de segurança em julho de 2025. Dada a natureza fundamental dessa mudança, é provável que leve meses ou anos até que os produtos de segurança que aproveitem essas mudanças estejam amplamente disponíveis.

Novas ferramentas de segurança para Windows 11

Desde o lançamento do Windows 11 em 2021, a Microsoft tem elogiado a segurança aprimorada do novo sistema operacional, grande parte dela atribuível às novas configurações padrão que habilitam recursos que eram opcionais no Windows 10.

Uma nova rodada de recursos de segurança programados para aparecer no Windows 11 no próximo ano abordará questões de segurança mais fundamentais.

Além disso: Como atualizar um PC com Windows 10 ‘incompatível’ para Windows 11: duas maneiras

O maior problema de segurança é que a grande maioria dos usuários do Windows usa uma conta com privilégios de administrador. Se eles forem induzidos a executar um código malicioso, esse malware terá os mesmos direitos administrativos, o que significa que pode instalar software adicional e geralmente causar estragos no sistema.

A correção é um recurso chamado Proteção do Administrador, que fornece ao usuário permissões padrão por padrão. Se precisarem executar uma ação que exija direitos de administrador, como instalar um aplicativo ou alterar uma configuração do sistema, eles precisarão se autenticar usando a biometria do Windows Hello ou um PIN específico do dispositivo. Essa autorização cria um token temporário válido apenas para a ação atual e é destruído assim que a tarefa é concluída. A Microsoft argumenta que esta mudança será “perturbadora para os invasores, pois eles não terão mais acesso automático e direto ao kernel ou outra segurança crítica do sistema sem autorização específica do Windows Hello”.

Além disso: Ignite 2024 apresenta novos agentes de IA e muito mais para o Microsoft 365 Copilot

A adição do Windows Hello é uma virada de jogo aqui. Ser capaz de autenticar usando biometria em vez de inserir uma senha deve reduzir drasticamente o fator incômodo.

O recurso já está em pré-visualização e deve ser lançado ao público em 2025.

Um segundo recurso, Smart App Control, foi projetado para bloquear malware, impedindo a execução de aplicativos desconhecidos em um PC com Windows 11. Aplicativos bem conhecidos serão executados sem problemas, mas aplicativos não assinados e desconhecidos serão impedidos de funcionar; o recurso também bloqueará todos os scripts da Internet, incluindo aqueles que tentam aproveitar o PowerShell como vetor para instalação de malware.

O Smart App Control estará ativado por padrão para PCs de consumo. Em ambientes corporativos, os administradores de TI precisarão habilitar as políticas do App Control for Business e selecionar um modelo de “política assinada e confiável”; eles podem então adicionar aplicativos internos usando ferramentas de gerenciamento.

Além disso: a Microsoft bloqueou a atualização do Windows 11? Esta ferramenta confiável pode (provavelmente) consertar isso

Por fim, o modo Windows Protected Print elimina a necessidade de drivers de impressão de terceiros, que se tornaram um ponto de entrada agressivo e eficaz para invasores.

A edição Enterprise recebe nova criptografia e hotpatching

Para empresas que usam a edição Windows Enterprise, os anúncios desta semana incluem vários novos recursos que devem tornar os PCs clientes mais seguros e fáceis de gerenciar.

A criptografia de dados pessoais para pastas conhecidas fornece um nível duplo de criptografia para arquivos pessoais no PC de um usuário nas chamadas pastas conhecidas – Área de Trabalho, Documentos e Imagens. O acesso a esses arquivos exigirá autenticação biométrica do usuário, impossibilitando que um administrador do dispositivo espione arquivos pessoais. O recurso usa a mesma criptografia aprimorada que protegerá os dados coletados pelo Windows Recall, e uma API de criptografia de dados pessoais permitirá que desenvolvedores terceirizados estendam a proteção aos dados de seus aplicativos.

Além disso: o novo mini PC da Microsoft foi projetado para o escritório. Aqui está o que ele pode fazer

Outro recurso disponível atualmente, Atualização de configuração, permitirá que os administradores apliquem políticas de segurança nos dispositivos quando usuários ou aplicativos fizerem alterações no registro do Windows. O recurso funciona localmente e pode redefinir a configuração de segurança sem exigir acesso a servidores de gerenciamento de dispositivos móveis.

Por fim, o Hotpatch permite que os administradores apliquem atualizações críticas de segurança sem a necessidade de reinicialização. A Microsoft afirma que o uso de hotpatching com configurações de Autopatch do Windows no Microsoft Intune pode reduzir o número de reinicializações do sistema para atualizações do Windows de uma vez por mês para apenas quatro vezes por ano. O recurso está atualmente em versão prévia e estará disponível no Windows 11 Enterprise versão 24H2.