Segurança do Dispositivo na Aplicação Segurança do Windows

A integridade da memória, também conhecida como Integridade do Código Protegida pelo Hipervisor (HVCI) é uma funcionalidade de segurança do Windows que dificulta a utilização de controladores de baixo nível para sequestrar o PC por programas maliciosos.

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo (como um teclado ou uma câmara Web) falem entre si. Quando o dispositivo pretende que o Windows faça alguma coisa, utiliza o controlador para enviar esse pedido.

A integridade da memória funciona ao criar um ambiente isolado com a virtualização de hardware.

Pense nisso como um segurança dentro de uma cabine trancada. Este ambiente isolado (o stand bloqueado na nossa analogia) impede que a funcionalidade de integridade da memória seja adulterada por um atacante. Um programa que queira executar um código que possa ser perigoso tem de passar o código para a integridade da memória dentro desse stand virtual para que possa ser verificado. Quando a integridade da memória estiver confortável com o facto de o código estar seguro, devolve o código ao Windows para ser executado. Normalmente, isto acontece muito rapidamente.

Sem a integridade da memória em execução, o segurança destaca-se ao ar livre, onde é muito mais fácil para um atacante interferir ou sabotar o guarda, tornando mais fácil para código malicioso passar e causar problemas.

Pode ativar oudesativar a integridade da memória com o botão de alternar.

E se disser que tenho um controlador incompatível?

Se a integridade da memória não se ligar, poderá indicar que já tem um controlador de dispositivo incompatível instalado. Contacte o fabricante do dispositivo para ver se tem um controlador atualizado disponível. Se não tiverem um controlador compatível disponível, poderá remover o dispositivo ou a aplicação que utiliza esse controlador incompatível.

A proteção de pilha imposta por hardware é uma funcionalidade de segurança baseada em hardware que dificulta a utilização de controladores de baixo nível para sequestrar o PC por programas maliciosos.

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo (como um teclado ou uma câmara Web) falem entre si. Quando o dispositivo pretende que o Windows faça alguma coisa, utiliza o controlador para enviar esse pedido.

A proteção de pilha imposta pelo hardware funciona ao impedir ataques que modificam endereços devolvidos na memória no modo kernel para iniciar código malicioso. Esta funcionalidade de segurança requer uma CPU que contenha a capacidade de verificar os endereços devolvidos do código em execução.

Ao executar código no modo kernel, os endereços devolvidos na pilha do modo kernel podem ser danificados por programas maliciosos ou controladores para redirecionar a execução normal de código para código malicioso. Nas CPUs suportadas, a CPU mantém uma segunda cópia de endereços de retorno válidos numa pilha sombra só de leitura que os controladores não podem modificar. Se um endereço devolvido na pilha regular tiver sido modificado, a CPU pode detetar esta discrepância ao verificar a cópia do endereço devolvido na pilha sombra. Quando esta discrepância ocorre, o computador pede um erro fatal, por vezes conhecido como ecrã azul, para impedir a execução do código malicioso.

Nem todos os controladores são compatíveis com esta funcionalidade de segurança, uma vez que um pequeno número de controladores legítimos se dedicam à modificação de endereços devolvidos para fins não maliciosos. A Microsoft tem-se envolvido com vários fabricantes de controladores para garantir que os controladores mais recentes são compatíveis com a proteção de pilha imposta pelo hardware.

Pode ativar ouDesativar a proteção de pilha imposta por hardware com o botão de alternar.

Para utilizar a proteção de pilha imposta por hardware, tem de ter a integridade da memória ativada e tem de estar a executar uma CPU que suporte Intel Control-Flow Enforcement Technology ou AmD Shadow Stack.

E se indicar que tenho um controlador ou serviço incompatível?

Se a proteção de pilha imposta por hardware não for ativada, poderá indicar-lhe que já tem um controlador ou serviço de dispositivo incompatível instalado. Contacte o fabricante do dispositivo ou o fabricante da aplicação para ver se tem um controlador atualizado disponível. Se não tiverem um controlador compatível disponível, poderá remover o dispositivo ou aplicação que utiliza esse controlador incompatível.

Algumas aplicações podem instalar um serviço em vez de um controlador durante a instalação da aplicação e instalar o controlador apenas quando a aplicação é iniciada. Para uma deteção mais precisa de controladores incompatíveis, os serviços que são conhecidos por estarem associados a controladores incompatíveis também são enumerados.

Também conhecida como proteção DMA de Kernel, esta funcionalidade de segurança protege o seu dispositivo contra ataques que podem ocorrer quando um dispositivo malicioso está ligado a uma porta Periférica Componente Interligação (PCI) como uma porta Thunderbolt.

Um exemplo simples de um destes ataques seria se alguém deixasse o PC para uma pausa rápida no café e, enquanto estava ausente, um atacante intervém, liga um dispositivo usb e afasta-se com dados confidenciais da máquina ou injeta software maligno que lhes permite controlar o PC remotamente. 

A proteção de acesso à memória impede estes tipos de ataques ao negar o acesso direto à memória a esses dispositivos, exceto em circunstâncias especiais, especialmente quando o PC está bloqueado ou quando o utilizador termina sessão.

Cada dispositivo tem algum software que foi escrito na memória só de leitura do dispositivo - basicamente escrito num chip no quadro do sistema - que é utilizado para as funções básicas do dispositivo, como carregar o sistema operativo que executa todas as aplicações que estamos habituados a utilizar. Uma vez que esse software é difícil (mas não impossível) modificar, referimo-nos ao mesmo como firmware.

Uma vez que o firmware é carregado primeiro e executado no sistema operativo, as ferramentas de segurança e as funcionalidades que são executadas no sistema operativo têm dificuldade em detetá-lo ou defender-se contra o mesmo. Tal como uma casa que depende de uma boa base para ser segura, um computador precisa que o firmware seja seguro para garantir que o sistema operativo, as aplicações e os dados nesse computador estão seguros.

System Guard é um conjunto de funcionalidades que ajuda a garantir que os atacantes não conseguem que o seu dispositivo comece com firmware não fidedigno ou malicioso.

Normalmente, as plataformas que oferecem proteção de firmware também protegem o Modo de Gestão do Sistema (SMM), um modo operacional altamente privilegiado, para diferentes graus. Pode esperar um dos três valores, com um número mais elevado a indicar um maior grau de proteção do SMM:

• O seu dispositivo cumpre a versão um da proteção de firmware: oferece as mitigações de segurança fundamentais para ajudar o SMM a resistir à exploração por software maligno e impede a transferência de segredos do SO (incluindo VBS)

• O dispositivo cumpre a versão dois da proteção de firmware: para além da versão um da proteção de firmware, a versão dois garante que o SMM não consegue desativar as proteções VBS (Virtualization-based Security) e kernel DMA

• O seu dispositivo cumpre a versão três da proteção de firmware: para além da versão dois da proteção de firmware, este endurece ainda mais o SMM ao impedir o acesso a determinados registos que tenham a capacidade de comprometer o SO (incluindo o VBS)

A proteção da Autoridade de Segurança Local (LSA) é uma funcionalidade de segurança do Windows para ajudar a impedir o roubo de credenciais utilizadas para iniciar sessão no Windows.   

A Autoridade de Segurança Local (LSA) é um processo crucial no Windows envolvido na autenticação do utilizador. É responsável por verificar as credenciais durante o processo de início de sessão e gerir os tokens de autenticação e os pedidos de suporte utilizados para ativar o início de sessão único para serviços. A proteção LSA ajuda a impedir que o software não fidedigno seja executado dentro da LSA ou que aceda à memória LSA.  

Como devo proceder para gerir a proteção da Autoridade de Segurança Local?

Pode ativar oudesativar a proteção LSA com o botão de alternar.

Depois de alterar a definição, tem de reiniciar para que esta entre em vigor. 

E se tiver software incompatível? 

Se a proteção LSA estiver ativada e bloquear o carregamento de software para o serviço LSA, uma notificação indica o ficheiro bloqueado. Poderá remover o software que está a carregar o ficheiro ou pode desativar avisos futuros para esse ficheiro quando este não for carregado para o LSA.  

Enquanto estiver a utilizar o seu dispositivo escolar ou profissional, este irá iniciar sessão silenciosamente e obter acesso a uma variedade de itens, como ficheiros, impressoras, aplicações e outros recursos na sua organização. Tornar esse processo seguro, mas fácil para o utilizador, significa que o PC tem vários tokens de autenticação no mesmo a qualquer momento.

Se um atacante conseguir obter acesso a um ou mais desses tokens, poderá ser capaz de utilizá-los para obter acesso ao recurso organizacional (ficheiros confidenciais, etc.) para o qual se destina o token. O Credential Guard ajuda a proteger esses tokens ao colocá-los num ambiente protegido, virtualizado, onde apenas determinados serviços podem aceder aos mesmos quando necessário.

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo (como um teclado ou uma câmara Web) falem entre si. Quando o dispositivo pretende que o Windows faça alguma coisa, utiliza o controlador para enviar esse pedido. Por este motivo, os controladores têm muito acesso confidencial no seu sistema.

Windows 11 inclui uma lista de bloqueios de controladores com vulnerabilidades de segurança conhecidas, que foram assinados com certificados utilizados para assinar software maligno ou que contornam o Modelo de Segurança do Windows.

Se tiver a integridade da memória, o Controlo de Aplicações Inteligentes ou o modo S do Windows ativado, a lista de bloqueios de controladores vulneráveis também estará ativada.

Aqui, poderá encontrar informações sobre o fabricante do processador de segurança e os números de versão, bem como informações sobre o estado do processador de segurança.

Na aplicação Segurança do Windows  no seu PC, selecione Segurança  do dispositivo> Detalhes do processador de segurança ou utilize o seguinte atalho:

Detalhes do processador de segurança

Se o processador de segurança não estiver a funcionar corretamente, pode selecionar a ligação Resolução de problemas do processador de segurança para ver mensagens de erro e opções avançadas ou utilizar o seguinte atalho:

Resolução de problemas do processador de segurança

A página de resolução de problemas do processador de segurança fornece quaisquer mensagens de erro relevantes sobre o TPM. Eis uma lista das mensagens de erro e detalhes:

Mensagem	Detalhes
É necessária uma atualização de firmware para o processador de segurança (TPM).	Atualmente, a placa principal do seu dispositivo não suporta TPM, mas uma atualização de firmware poderá resolver este problema. Contacte o fabricante do dispositivo para ver se está disponível uma atualização de firmware e como instalá-la. Normalmente, as atualizações de firmware são gratuitas.
O TPM está desativado e requer atenção.	O módulo de plataforma fidedigna está provavelmente desativado no SISTEMA BIOS (Basic Input/Output System) ou UEFI (Unified Extensible Firmware Interface). Consulte a documentação de suporte do fabricante do dispositivo ou contacte o suporte técnico para obter instruções sobre como o ativar.
O armazenamento TPM não está disponível. Limpe o seu TPM.	O botão limpar TPM está nesta página. Deve certificar-se de que tem uma boa cópia de segurança dos seus dados antes de continuar.
O atestado de estado de funcionamento do dispositivo não está disponível. Limpe o seu TPM.	O botão limpar TPM está nesta página. Deve certificar-se de que tem uma boa cópia de segurança dos seus dados antes de continuar.
O atestado de estado de funcionamento do dispositivo não é suportado neste dispositivo.	Isto significa que o dispositivo não nos fornece informações suficientes para determinar por que motivo o TPM pode não estar a funcionar corretamente no seu dispositivo.
O TPM não é compatível com o seu firmware e pode não estar a funcionar corretamente.	Contacte o fabricante do dispositivo para ver se está disponível uma atualização de firmware e como obter e instalá-la. Normalmente, as atualizações de firmware são gratuitas.
O registo de arranque monitorizado do TPM está em falta. A reiniciar o dispositivo.
Existe um problema com o seu TPM. A reiniciar o dispositivo.

Se ainda encontrar problemas após endereçar uma mensagem de erro, contacte o fabricante do dispositivo para obter assistência.

Selecione Limpar TPM para repor as predefinições do seu processador de segurança.