Como você configura PCs com Windows 10 para evitar problemas comuns de segurança?

Infelizmente, não existe uma fórmula mágica de software e as ferramentas são diferentes para pequenas empresas e empresas. Aqui está o que deve ser observado.

É tentador pensar que o processo de proteção de um dispositivo Windows 10 pode ser reduzido a uma simples lista de verificação. Instale algum software de segurança, ajuste algumas configurações, mantenha uma sessão de treinamento ou duas e você pode passar para o próximo item em sua lista de tarefas.

Infelizmente, o mundo real é muito mais complicado do que isso. Não há solução mágica de software e sua configuração inicial simplesmente estabelece uma linha de base de segurança. Após a conclusão da configuração inicial, a segurança exige vigilância e esforço contínuos. Grande parte do trabalho de proteção de um dispositivo Windows 10 ocorre longe do próprio dispositivo. Uma política de segurança bem planejada presta atenção ao tráfego de rede, contas de e-mail, mecanismos de autenticação, servidores de gerenciamento e outras conexões externas.

Este guia cobre um amplo espectro de casos de uso de negócios, com cada título discutindo um problema que os tomadores de decisão devem considerar ao implantar PCs com Windows 10 . Embora abranja muitas opções disponíveis, este não é um guia prático.

Em uma grande empresa, sua equipe de TI deve incluir especialistas em segurança que possam gerenciar essas etapas. Em uma pequena empresa sem equipe de TI dedicada, terceirizar essas responsabilidades para um consultor com o conhecimento necessário pode ser a melhor abordagem.

Antes de tocar em uma única configuração do Windows, no entanto, reserve um tempo para uma avaliação da ameaça. Em particular, esteja ciente de suas responsabilidades legais e regulamentares no caso de violação de dados ou outro evento relacionado à segurança. Para empresas que estão sujeitas a requisitos de conformidade, convém contratar um especialista que conheça seu setor e possa garantir que seus sistemas atendam a todos os requisitos aplicáveis.

As categorias a seguir se aplicam a empresas de todos os tamanhos.

A configuração de segurança mais importante para qualquer PC com Windows 10 é garantir que as atualizações sejam instaladas em uma programação regular e previsível. Isso é verdade para todos os dispositivos de computação modernos, é claro, mas o modelo "Windows como serviço" que a Microsoft introduziu com o Windows 10 muda a maneira como você gerencia as atualizações.

Antes de começar, porém, é importante entender os diferentes tipos de atualizações do Windows 10 e como funcionam.

• As atualizações de qualidade são entregues mensalmente por meio do Windows Update na segunda terça-feira de cada mês. Eles tratam de questões de segurança e confiabilidade e não incluem novos recursos. (Essas atualizações também incluem patches para falhas de microcódigo nos processadores Intel .) Para problemas de segurança particularmente graves, a Microsoft pode optar por lançar uma atualização fora de banda  que não esteja vinculada à programação mensal normal. 
• Todas as atualizações de qualidade são cumulativas , portanto, você não precisa mais baixar dezenas ou mesmo centenas de atualizações após realizar uma instalação limpa do Windows 10. Em vez disso, você pode instalar a atualização cumulativa mais recente e estará completamente atualizado.
• As atualizações de recursos são equivalentes ao que costumava ser chamado de upgrades de versão. Eles incluem novos recursos e exigem um download de vários gigabytes e uma configuração completa. As atualizações de recursos do Windows 10 são lançadas duas vezes por ano, normalmente em abril e outubro, e são disponibilizadas através do Windows Update. Eles não são instalados automaticamente, a menos que a versão atual do Windows 10 tenha atingido o fim do ciclo de vida de suporte.

Por padrão, os dispositivos Windows 10 baixam e instalam atualizações de qualidade assim que estiverem disponíveis nos servidores de atualização da Microsoft. Em dispositivos que executam o Windows 10 Home, não há uma maneira compatível de especificar exatamente quando essas atualizações são instaladas, embora seja possível para usuários individuais pausar todas as atualizações por até 7 dias. Em PCs que executam edições empresariais do Windows 10 (Pro, Enterprise ou Education), os usuários podem pausar todas as atualizações por até 35 dias e os administradores podem usar as configurações de Política de Grupo para adiar a instalação de atualizações de qualidade em PCs em até 30 dias após sua liberação.

Como acontece com todas as decisões de segurança, escolher quando instalar as atualizações envolve uma troca. Instalar atualizações imediatamente após serem lançadas oferece a melhor proteção; adiar atualizações torna possível minimizar o tempo de inatividade não programado associado a essas atualizações.

Usando os recursos do Windows Update for Business integrados às edições do Windows 10 Pro, Enterprise e Education, você pode adiar a instalação de atualizações de qualidade em até 30 dias. Você também pode atrasar as atualizações de recursos em até dois anos, dependendo da edição.

Adiar as atualizações de qualidade em 7 a 15 dias é uma forma de baixo risco de evitar a possibilidade de instalação de uma atualização falha que pode causar problemas de estabilidade ou compatibilidade. Você pode ajustar as configurações do Windows Update for Business em PCs individuais usando os controles em Configurações> Atualização e segurança> Opções avançadas.

Em organizações maiores, os administradores podem aplicar as configurações do Windows Update for Business usando a Política de Grupo ou software de gerenciamento de dispositivo móvel (MDM). Você também pode administrar atualizações centralmente usando uma ferramenta de gerenciamento como o System Center Configuration Manager ou o Windows Server Update Services.

Finalmente, sua estratégia de atualização de software não deve parar no próprio Windows. Certifique-se de que as atualizações para aplicativos do Windows, incluindo Microsoft Office e aplicativos da Adobe, sejam instaladas automaticamente.

GERENCIAMENTO DE IDENTIDADE E CONTA DE USUÁRIO

Cada PC com Windows 10 requer pelo menos uma conta de usuário, que por sua vez é protegida por uma senha e mecanismos de autenticação opcionais. O modo como você configura essa conta (e quaisquer contas secundárias) ajuda muito a garantir a segurança do dispositivo.

Os dispositivos que executam uma edição empresarial do Windows 10 podem ser associados a um domínio do Windows. Nessa configuração, os administradores de domínio têm acesso aos recursos do Active Directory e podem autorizar usuários, grupos e computadores a acessar recursos locais e de rede. Se você é um administrador de domínio, pode gerenciar PCs com Windows 10 usando o conjunto completo de ferramentas do Active Directory baseadas em servidor.

Para PCs com Windows 10 que não estão associados a um domínio, como é o caso da maioria das pequenas empresas, você pode escolher entre três tipos de conta:

• As contas locais usam credenciais que são armazenadas apenas no dispositivo.
• As contas da Microsoft são gratuitas para uso do consumidor e permitem a sincronização de dados e configurações em PCs e dispositivos; eles também suportam autenticação de dois fatores e opções de recuperação de senha.
• As contas do Azure Active Directory (Azure AD) são associadas a um domínio personalizado e podem ser gerenciadas centralmente. Os recursos básicos do Azure AD são gratuitos e estão incluídos nas assinaturas do Microsoft 365 e do Office 365 Business and Enterprise; recursos adicionais do Azure AD estão disponíveis como atualizações pagas.

A primeira conta em um PC com Windows 10 é membro do grupo Administradores e tem o direito de instalar software e modificar a configuração do sistema. As contas secundárias podem e devem ser configuradas como usuários padrão para evitar que usuários não treinados danifiquem inadvertidamente o sistema ou instalem software indesejado.

Exigir uma senha forte é uma etapa essencial, independentemente do tipo de conta. Em redes gerenciadas, os administradores podem usar a Política de Grupo ou o software MDM para impor uma política de senha da organização.

Para aumentar a segurança do processo de entrada em um dispositivo específico, você pode usar um recurso do Windows 10 chamado Windows Hello . O Windows Hello requer um processo de verificação em duas etapas para registrar o dispositivo com uma conta da Microsoft, uma conta do Active Directory, uma conta do Azure AD ou um provedor de identidade de terceiros que ofereça suporte ao FIDO versão 2.0.

Quando a inscrição for concluída, o usuário pode entrar usando um PIN ou, com hardware compatível, autenticação biométrica, como impressão digital ou reconhecimento facial. Os dados biométricos são armazenados apenas no dispositivo e evitam uma variedade de ataques comuns de roubo de senhas. Em dispositivos conectados a contas comerciais, os administradores podem usar o Windows Hello para Empresas para especificar os requisitos de complexidade do PIN.

Por fim, ao usar contas Microsoft ou Azure AD em PCs comerciais, você deve configurar a autenticação multifator (MFA) para proteger a conta de ataques externos. Em contas da Microsoft, a configuração da verificação em duas etapas está disponível em undefined . Para contas do Office 365 Business e Enterprise, um administrador deve primeiro habilitar o recurso do portal do Office, após o qual os usuários podem gerenciar as configurações de MFA entrando em undefined .

PROTEÇÃO DE DADOS

A segurança física é tão importante quanto as questões relacionadas a software ou redes. Um laptop roubado ou deixado para trás em um táxi ou restaurante pode levar a um risco significativo de perda de dados. Para uma empresa ou agência governamental, o impacto pode ser desastroso e as consequências são ainda piores em setores regulamentados ou onde as leis de violação de dados exigem divulgação pública.

Em um dispositivo Windows 10, a única alteração de configuração mais importante que você pode fazer é habilitar a criptografia do dispositivo BitLocker . (BitLocker é o nome da marca que a Microsoft usa para as ferramentas de criptografia disponíveis nas edições empresariais do Windows.)

Com o BitLocker habilitado, cada bit de dados no dispositivo é criptografado usando o padrão XTS-AES. Usando configurações de Política de Grupo ou ferramentas de gerenciamento de dispositivo, você pode aumentar a força da criptografia de sua configuração padrão de 128 bits para 256 bits.

A habilitação do BitLocker requer um dispositivo que inclua um chip Trusted Platform Module (TPM); todos os PCs comerciais fabricados nos últimos seis anos devem se qualificar a esse respeito. Além disso, o BitLocker requer uma edição empresarial do Windows 10 (Pro, Enterprise ou Education); a edição Home oferece suporte à criptografia de dispositivo forte, mas apenas com uma conta da Microsoft, e não permite o gerenciamento de um dispositivo BitLocker.

Para obter recursos completos de gerenciamento, você também precisará configurar o BitLocker usando uma conta do Active Directory em um domínio do Windows ou uma conta do Azure Active Directory. Em qualquer configuração, a chave de recuperação é salva em um local disponível para o domínio ou administrador de AAD.

Em um dispositivo não gerenciado executando uma edição empresarial do Windows 10, você pode usar uma conta local, mas precisará usar as ferramentas de gerenciamento do BitLocker para habilitar a criptografia nas unidades disponíveis.

E não se esqueça de criptografar dispositivos de armazenamento portáteis. Unidades flash USB. Os cartões MicroSD usados ​​como armazenamento de expansão e discos rígidos portáteis são facilmente perdidos, mas os dados podem ser protegidos de olhos curiosos com o uso do BitLocker To Go, que usa uma senha para descriptografar o conteúdo da unidade.

Em grandes organizações que usam o Azure Active Directory, também é possível proteger o conteúdo dos arquivos armazenados e mensagens de email usando a Proteção de Informações do Azure e o serviço Azure Rights Management . Essa combinação permite que os administradores classifiquem e restrinjam o acesso a documentos criados no Office e outros aplicativos, independentemente de seu status de criptografia local.

BLOQUEIO DE CÓDIGO MALICIOSO

À medida que o mundo se tornou mais conectado e os invasores online se tornaram mais sofisticados, a função do software antivírus tradicional mudou. Em vez de ser a principal ferramenta para bloquear a instalação de código malicioso, o software de segurança agora é apenas mais uma camada em uma estratégia defensiva.

Cada instalação do Windows 10 inclui antivírus integrado, software antimalware chamado Microsoft Defender Antivirus (anteriormente Windows Defender), que se atualiza usando o mesmo mecanismo do Windows Update. O Microsoft Defender Antivirus foi projetado para ser um recurso do tipo "configure e esqueça" e não requer nenhuma configuração manual. Se você instalar um pacote de segurança de terceiros, o Windows desativa a proteção embutida e permite que o software detecte e remova ameaças potenciais.

Grandes organizações que usam a edição Windows Enterprise podem implantar o Microsoft Defender Advanced Threat Protection , uma plataforma de segurança que monitora terminais, como PCs com Windows 10, usando sensores comportamentais. Usando análises baseadas em nuvem, o Microsoft Defender ATP pode identificar comportamentos suspeitos e alertar os administradores sobre ameaças em potencial.

Para empresas menores, o desafio mais importante é evitar que códigos maliciosos cheguem ao PC. A tecnologia SmartScreen da Microsoft é outro recurso integrado que verifica os downloads e bloqueia a execução daqueles que são conhecidos como maliciosos. A tecnologia SmartScreen também bloqueia programas não reconhecidos, mas permite que o usuário substitua essas configurações, se necessário.

É importante notar que o SmartScreen no Windows 10 funciona independentemente da tecnologia baseada em navegador, como o serviço Safe Browsing do Google e o serviço SmartScreen Filter no Microsoft Edge.

Em PCs não gerenciados, o SmartScreen é outro recurso que não requer configuração manual. Você pode ajustar sua configuração usando as configurações de App & Browser Control no aplicativo Windows Security no Windows 10.

Outro vetor crucial para gerenciar códigos potencialmente maliciosos é o e-mail, em que anexos de arquivos aparentemente inócuos e links para sites maliciosos podem resultar em infecção. Embora o software cliente de e-mail possa oferecer alguma proteção a esse respeito, bloquear essas ameaças no nível do servidor é a maneira mais eficaz de prevenir ataques a PCs.

Uma abordagem eficaz para evitar que os usuários executem programas indesejados (incluindo código malicioso) é configurar um PC com Windows 10 para executar qualquer aplicativo, exceto aqueles especificamente autorizados. Para ajustar essas configurações em um único PC, vá para Configurações> Aplicativos> Aplicativos e recursos; sob o título Instalando aplicativos, escolha Permitir aplicativos apenas da loja. Esta configuração permite que aplicativos instalados anteriormente sejam executados, mas impede a instalação de qualquer programa baixado de fora da Microsoft Store.

Os administradores podem definir essa configuração em uma rede usando a Política de Grupo: Configuração do Computador> Modelos Administrativos> Componentes do Windows> Windows Defender SmartScreen> Explorer> Configurar Controle de Instalação do Aplicativo.

A abordagem mais extrema para bloquear um PC com Windows 10 é usar o recurso Acesso atribuído para configurar o dispositivo de forma que ele possa executar apenas um único aplicativo. Se você escolher o Microsoft Edge como o aplicativo, poderá configurar o dispositivo para ser executado no modo de tela inteira bloqueado em um único site ou como um navegador público com um conjunto limitado de recursos.

Para configurar esse recurso, vá para Configurações> Família e outros usuários e clique em Acesso atribuído. (Em um PC conectado a uma conta comercial, esta opção está em Configurações> Outros usuários.)

NETWORKING

Cada versão do Windows nos últimos 15 anos incluiu um firewall de inspeção com monitoração de estado. No Windows 10, esse firewall é habilitado por padrão e não precisa de nenhum ajuste para ser eficaz. Assim como seus predecessores, o firewall do Windows 10 oferece suporte a três configurações de rede diferentes: Domínio, Privado e Público. Os aplicativos que precisam de acesso a recursos de rede geralmente podem se configurar como parte da configuração inicial.

Para ajustar as configurações básicas do firewall do Windows , use a guia Firewall e Proteção de Rede no aplicativo Segurança do Windows. Para obter um conjunto de ferramentas de configuração muito mais abrangente e exclusivo para especialistas, clique em Configurações avançadas para abrir o console legado do Firewall do Windows Defender com Segurança Avançada. Em redes gerenciadas, essas configurações podem ser controladas por meio de uma combinação de Política de Grupo e configurações do lado do servidor.

Do ponto de vista da segurança, as maiores ameaças baseadas em rede para um PC com Windows 10 surgem ao se conectar a redes sem fio. As grandes organizações podem melhorar significativamente a segurança das conexões sem fio adicionando suporte para o padrão 802.1x , que usa controles de acesso em vez de senhas compartilhadas como nas redes sem fio WPA2. O Windows 10 solicitará um nome de usuário e senha ao tentar se conectar a esse tipo de rede e rejeitará conexões não autorizadas.

Em redes baseadas em domínio do Windows, você pode usar o recurso nativo DirectAccess para permitir acesso remoto seguro.

Quando você precisar se conectar usando uma rede sem fio não confiável, a melhor alternativa é configurar uma rede virtual privada (VPN). O Windows 10 oferece suporte aos pacotes VPN mais populares usados ​​em redes corporativas; para configurar este tipo de conexão, vá para Configurações> Rede e Internet> VPN. Pequenas empresas e indivíduos podem escolher entre uma variedade de serviços VPN de terceiros compatíveis com o Windows.

Fonte: ZDNet