Como iniciar sua jornada pelo Regulamento Geral sobre a Proteção de Dados (RGPD) para Windows Server

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este artigo fornece informações sobre o GDPR, incluindo o que é, e os produtos que a Microsoft fornece para ajudar você a entrar em conformidade.

Introdução

Em 25 de maio de 2018, entrará em vigor uma lei de privacidade europeia que estabelecerá um novo padrão global de direitos de privacidade, segurança e conformidade.

O Regulamento Geral sobre a Proteção de Dados, ou GDPR, é fundamentalmente sobre proteger e habilitar os direitos de privacidade dos indivíduos. O GDPR estabelece os requisitos de privacidade globais rígidos que regem como gerenciar e proteger dados pessoais enquanto respeita a escolha individual — não importa onde dados são enviados, processados ou armazenados.

A Microsoft e nossos clientes agora estão em uma viagem para alcançar as metas de privacidade do GDPR. Na Microsoft, acreditamos que a privacidade é um direito fundamental, e também acreditamos que o GDPR seja uma etapa importante para esclarecer e habilitar os direitos de privacidade individuais. Mas também reconhecemos que o GDPR irá exigir mudanças significativas das organizações em todo o mundo.

Nós destacamos nosso compromisso com o GDPR e como estamos oferecendo suporte para nossos clientes em nossa postagem no blog Conformidade do GDPR com o Microsoft Cloud, escrita por nosso Diretor de Privacidade Brendon Lynch, e a postagem no blog Ganhando sua confiança com compromissos contratuais com o Regulamento Geral sobre a Proteção de Dados", escrita por Rich Sauer - Vice-Presidente Corporativo da Microsoft e Diretor Jurídico Adjunto.

Embora sua jornada em direção à conformidade com GDPR possa parecer um desafio, estamos aqui para ajudá-lo. Para obter informações específicas sobre o GDPR, nossos compromissos e como começar sua jornada, visite a seção GDPR do Microsoft Trust Center.

GDPR e suas implicações

O GDPR é um estatuto complexo que pode exigir alterações significativas na forma como você coleta, usa e gerencia dados pessoais. A Microsoft tem um longo histórico de ajudar nossos clientes a cumprirem as normas complexas e quando se trata de se preparar para o GDPR, somos seu parceiro nesta jornada.

O GDPR impõe regras em organizações que oferecem bens e serviços para pessoas na União Europeia (UE), ou que coletam e analisem dados vinculados a residentes da UE, não importa onde essas empresas estão localizadas. Entre os principais elementos do GDPR, estão os seguintes:

  • Direitos de privacidade pessoal avançados. Proteção de dados reforçada para residentes da UE, garantindo que eles tenham o direito de acessar seus dados pessoais, para corrigir imprecisões nesses dados, para apagar dados, para contestar o processamento de seus dados pessoais e para movê-los.

  • Dedicação maior para proteger os dados pessoais. Responsabilidade reforçada de organizações que processam dados pessoais, fornecendo maior clareza sobre responsabilidade em garantir a conformidade.

  • Relatórios de violação de dados pessoais obrigatórios. As organizações que controlam os dados pessoais são necessárias para relatar violações de dados pessoais que representam um risco para os direitos e a liberdade de indivíduos para suas autoridades de supervisão sem atrasos desnecessários e, onde possível, não depois de 72 horas após ficarem cientes da violação.

Como você pode prever, o GDPR pode ter um impacto significativo em seus negócios, potencialmente exigindo que você atualize as políticas de privacidade, implemente e fortaleça controles de proteção de dados e viole procedimentos de notificação, implante políticas altamente transparentes, e invista ainda mais em IT e treinamento. Microsoft Windows 10 pode ajudá-lo efetivamente e lidar com alguns desses requisitos com eficiência.

Dados pessoais e confidenciais

Como parte de seus esforços para estar em conformidade com a GDPR, você precisará entender como a norma define dados pessoais e confidenciais e como essas definições se relacionam aos dados mantidos por sua organização. Com base nesse entendimento, você poderá descobrir onde esses dados são criados, processados, gerenciados e armazenados.

O GDPR considera dados pessoais como quaisquer informações relacionadas a uma pessoa identificável ou identificada naturalmente. Que podem incluir identificação direta (como seu nome legal) e identificação indireta (como informações específicas que tornam claro que é você as referências de dados). O GDPR também deixa claro que o conceito de dados pessoais inclui identificadores online (como, endereços IP, IDs de dispositivo móvel) e dados de localização.

O GDPR apresenta definições específicas para dados genéticos (como a sequência de gene de um indivíduo) e os dados biométricos. Dados de genética e biométricos juntamente com outras subcategorias de dados pessoais (dados pessoais, revelando origem racial ou étnica, opiniões políticas, religiosas ou filosóficas ou filiação: dados relativos a integridade; ou dados relativos a vida sexual ou orientação sexual da pessoa) são tratados como dados pessoais confidenciais sob o GDPR. Dados pessoais confidenciais recebem proteções avançadas e geralmente requerem o consentimento explícito de uma pessoa onde esses dados devem ser processados.

Exemplos de informações referentes a uma pessoa natural identificada ou identificável (dados sujeitos)

Esta lista fornece exemplos de vários tipos de informações que serão controladas por meio de GDPR. Esta não é uma lista cansativa.

  • Nome

  • Número de identificação (como SSN)

  • Dados de localização (por exemplo, endereço residencial)

  • Identificador online (como endereço de email, nomes de tela, endereço IP, IDs de dispositivo)

  • Dados pseudoanônimos (por exemplo, usando uma chave para identificar indivíduos)

  • Dados genéticos (como amostras biológicas de outra pessoa)

  • Dados biométricos (como impressões digitais, reconhecimento facial)

Guia de introdução sobre a jornada até a conformidade de GDPR

Dada a quantidade é complicado para se tornar GDPR compatível, é altamente recomendável que você não esperar para preparar até que começa de imposição. Você deve revisar sua privacidade e as práticas de gerenciamento de dados agora. Recomendamos que você comece sua jornada de conformidade GDPR, concentrando-se em quatro etapas principais:

  • Descobrir. Identifique quais dados pessoais que você tem e onde estão.

  • Gerenciar. Controlar o acesso e o uso dos dados pessoais.

  • Proteger. Estabelecer controles de segurança para prevenir, detectar e reagir a vulnerabilidades e violações de dados.

  • Relatar. Age em solicitações de dados, violações de dados de relatório e mantém a documentação necessária.

    Diagram about how the 4 key GDPR steps work together

Para cada uma das etapas, criamos recursos em várias soluções da Microsoft, que podem ser usados para ajudá-lo a atender os requisitos dessa etapa, recursos e ferramentas de exemplo. Embora este artigo não seja um guia de instruções abrangente, incluímos links para você saber que mais detalhes e mais informações estão disponíveis na seção GDPR do Microsoft Trust Center.

Segurança e privacidade no Windows Server

O GDPR requer que você implemente medidas de segurança técnicas e organizacional apropriadas para proteger dados pessoais e sistemas de processamento. No contexto do GDPR, seus ambientes de servidor físico e virtual estão potencialmente processando dados pessoais e confidenciais. O processamento pode significar qualquer operação ou conjunto de operações, como coleta, armazenamento e recuperação de dados.

Sua capacidade de atender a esse requisito e implementar medidas de segurança técnicas adequadas deve refletir as ameaças que você enfrenta no ambiente de TI cada vez mais hostil nos dias de hoje. O cenário de ameaças de segurança atual é de ameaças agressivas e obstinadas. Nos anos anteriores, invasores mal-intencionados se concentravam principalmente em receber o reconhecimento da comunidade por meio de seus ataques ou a emoção de colocar temporariamente um sistema offline. Desde então, a motivação dos invasores passou a ser ganhar dinheiro, o que inclui o sequestro de computadores e dados até os proprietários pagarem o resgate exigido.

Ataques modernos cada vez mais se concentram no roubo de propriedade intelectual em grande escala; na degradação do sistema visado que pode resultar em perda financeira; e agora até mesmo o cyberterrorismo que ameaça a segurança de indivíduos, empresas e interesses nacionais em todo o mundo. Esses invasores são geralmente indivíduos altamente treinados e especialistas em segurança, alguns dos quais estão a serviço de nações que possuem grandes orçamentos e recursos humanos aparentemente ilimitados. Ameaças como essas exigem uma abordagem que pode superar esse desafio.

Essas ameaças não são apenas um risco à sua capacidade de manter o controle de quaisquer dados pessoais ou confidenciais, mas também são um risco material a sua empresa em um todo. Considerar dados recentes do McKinsey, Instituto Ponemom, Verizon e Microsoft:

  • O custo médio do tipo de violação de dados ao GDPR esperam que você relate US$ 3,5 milhões.

  • 63% dessas violações envolvem senhas fracas ou roubadas que o GDPR espera que você resolva.

  • Mais de 300.000 novas amostras de malware são criadas e espalhadas todos os dias, tornando sua tarefa de resolver a proteção de dados ainda mais desafiadora.

Conforme visto com ataques Ransomware recentes, chamados uma vez de praga negra da Internet, os invasores estão atrás de alvos maiores que podem pagar mais, por conta de consequências potencialmente catastróficas. O GDPR inclui penalidades que tornam seus sistemas, incluindo desktops e laptops que contêm dados pessoais e confidenciais, alvos.

Dois princípios orientaram e continuam orientando o desenvolvimento do Windows:

  • Segurança. Os dados que nosso software e serviços armazenam em nome dos clientes devem ser protegidos contra danos e usados ou modificados apenas de maneiras apropriadas. Os modelos de segurança devem ser fáceis para os desenvolvedores entenderem e criarem em seus aplicativos.

  • Privacidade. Os usuários devem controlar como seus dados são usados. As políticas de uso de informações devem ser claras para o usuário. Os usuários devem ter o controle de quando e se recebem informações para usar seu tempo da melhor forma. Deve ser fácil para os usuários especificar o uso apropriado de suas informações, incluindo o controle de uso dos emails enviados.

A Microsoft dá suporte a esses princípios, conforme observado recentemente pelo CEO da Microsoft, Satya Nadella,

"À medida que o mundo continua mudando e os requisitos de negócios evoluem, algumas coisas são consistentes: a demanda de segurança e privacidade de um cliente."

Enquanto você trabalha para estar em conformidade com a GDPR, entender as funções dos servidores físicos e virtuais na criação, acesso, processamento, armazenamento e gerenciamento de dados que podem ser considerados como dados potencialmente sensíveis no GDPR é importante. O Windows Server fornece recursos que ajudarão a cumprir os requisitos de GDPR para implementar medidas de segurança técnicas e organizacionais apropriadas para proteger dados pessoais.

A postura de segurança do Windows Server 2016 não é um bolt-on, mas um princípio arquitetônico. E pode ser melhor compreendido em quatro entidades de segurança:

  • Proteger. Foco contínuo e inovação em medidas preventivas; bloqueio de ataques e malware conhecidos.

  • Detectar. Ferramentas de monitoramento abrangentes para ajudar a detectar anormalidades e responder a ataques mais rapidamente.

  • Responder. Tecnologias de resposta e recuperação, além de experiência profunda em consultoria.

  • Isolar. Isole componentes do sistema operacional e segredos de dados, limite privilégios de administrador e meça rigorosamente a integridade do host.

Com o Windows Server, sua capacidade de proteger, detectar e defender-se contra os tipos de ataques que podem levar a violações de dados é bastante aprimorada. Considerando requisitos rígidos que envolvem às notificações de violação dentro do GDPR, garantir que seus sistemas de desktop e laptop estão bem protegiam diminuirá os riscos decorrentes que poderiam resultar na notificação e análise de violação caras.

Na seção a seguir, você verá como o Windows Server fornece recursos que se adequam diretamente ao estágio "Proteger" do percurso de conformidade do GDPR. Esses recursos se enquadram em três cenários de proteção:

  • Proteger suas credenciais e limitar os privilégios de administrador. O Windows Server 2016 ajuda a implementar essas alterações, para ajudar a impedir que seu sistema seja usado como ponto de inicialização para invasões adicionais.

  • Proteger o sistema operacional para executar seus aplicativos e infraestrutura. O Windows Server 2016 fornece camadas de proteção, o que ajuda a impedir que invasores externos executem software mal-intencionado ou explorem vulnerabilidades.

  • Proteger a virtualização. O Windows Server 2016 habilita a virtualização segura, usando a Máquinas Virtuais Blindada e a Malha Protegida. Isso ajuda você a criptografar e executar suas máquinas virtuais em hosts confiáveis em sua malha, protegendo-as melhor contra ataques mal-intencionados.

Esses recursos, discutidos com mais detalhes abaixo com referências aos requisitos específicos de GDPR, são criados em cima de proteção de dispositivos avançados que ajudam a manter a integridade e a segurança do sistema operacional e dos dados.

Uma chave de provisionamento dentro do GDPR é proteção de dados por design e por padrão, e o que ajuda sua capacidade de atender esta cláusula são recursos no Windows 10, como a Criptografia do Dispositivo BitLocker. O BitLocker usa a tecnologia TPM (Trusted Platform Module), que fornece funções relacionadas à segurança baseadas em hardware. Esse chip de processador de criptografia inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado.

O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. Algumas das principais vantagens do uso da tecnologia TPM são a possibilidade de:

  • Gerar, armazenar e limitar o uso de chaves de criptografia.

  • Usar a tecnologia TPM para autenticação de dispositivo de plataforma com a chave RSA de autogravação exclusiva do TPM.

  • Ajuda a garantir a integridade da plataforma, executando e armazenando medidas de segurança.

Proteção avançada de dispositivo adicional relevante para sua operação sem violações de dados incluem a inicialização confiável do Windows para ajudar a manter a integridade do sistema, garantindo que o malware não possa iniciar antes das defesas do sistema.

Windows Server: suporte ao seu percurso de conformidade com GDPR

Os principais recursos no Windows Server podem ajudá-lo a implementar com eficiência os mecanismos de segurança e privacidade que o GDPR exige para conformidade. Embora o uso desses recursos não garanta sua conformidade, eles apoiarão seus esforços para fazê-lo.

O sistema operacional do servidor fica em uma camada estratégica na infraestrutura de uma organização, oferecendo novas oportunidades para criar camadas de proteção contra ataques que podem roubar dados e interromper seus negócios. Os principais aspectos do GDPR, como Privacidade por Design, Proteção de Dados e Controle de Acesso precisam ser abordados em sua infraestrutura de TI no nível do servidor.

Trabalhando para ajudar a proteger a identidade, o sistema operacional e as camadas de virtualização, o Windows Server 2016 ajuda a bloquear os vetores de ataque comuns usados para obter acesso ilícito aos seus sistemas: credenciais roubadas, malware e uma malha de virtualização comprometida. Além de reduzir o risco de negócios, os componentes de segurança integrados ao Windows Server 2016 ajudam a atender aos requisitos de conformidade para as principais regulamentações de segurança do governo e do setor.

Essas proteções de identidade, sistema operacional e virtualização permitem proteger melhor seu datacenter executando o Windows Server como uma VM em qualquer nuvem e limitar a capacidade dos invasores de comprometer credenciais, iniciar malware e permanecer sem ser detectado em sua rede. Da mesma forma, quando implantado como um host Hyper-V, o Windows Server 2016 oferece garantia de segurança para seus ambientes de virtualização por meio de Máquinas Virtuais Blindadas e recursos de firewall distribuídos. Com o Windows Server 2016, o sistema operacional do servidor se torna um participante ativo na segurança do datacenter.

Proteger suas credenciais e limitar os privilégios de administrador

O controle sobre o acesso a dados pessoais e os sistemas que processam esses dados é uma área com o GDPR que tem requisitos específicos, incluindo o acesso dos administradores. Identidades privilegiadas são contas com privilégios elevados, como contas de usuário que são membros dos grupos Administradores de Domínio, Administradores Corporativos, Administradores locais ou até mesmo Usuários avançados. Essas identidades também podem incluir contas que receberam privilégios diretamente, como executar backups, desligar o sistema ou outros direitos listados no nó Atribuição de Direitos de Usuário no console de Política de Segurança Local.

Como um princípio geral de controle de acesso e alinhado com o RGPD, você precisa proteger essas identidades privilegiadas contra comprometimento de possíveis invasores. Primeiro, é importante entender como as identidades são comprometidas. Em seguida, você pode planejar para impedir que os invasores obtenham acesso a essas identidades privilegiadas.

Como as identidades privilegiadas são comprometidas?

Identidades privilegiadas podem ser comprometidas quando as organizações não têm diretrizes para protegê-las. Os exemplos são os seguintes:

  • Mais privilégios do que o necessário. Um dos problemas mais comuns é que os usuários têm mais privilégios do que o necessário para executar sua função de trabalho. Por exemplo, um usuário que gerencia o DNS pode ser um administrador do AD. Na maioria das vezes, isso é feito para evitar a necessidade de configurar diferentes níveis de administração. No entanto, se essa conta for comprometida, o invasor terá privilégios elevados automaticamente.

  • Conectado constantemente com privilégios elevados. Outro problema comum é que os usuários com privilégios elevados podem usá-lo por um tempo ilimitado. Isso é muito comum com profissionais de TI que se conectam em um computador desktop usando uma conta privilegiada, permanecem conectados e usam a conta com privilégios para navegar na Web e usar emails (funções típicas de trabalho de TI). A duração ilimitada de contas privilegiadas torna a conta mais suscetível a ataques e aumenta as chances da conta ser comprometida.

  • Pesquisa de engenharia social. A maioria das ameaças de credencial começa pesquisando a organização e são realizadas por meio de engenharia social. Por exemplo, um invasor pode executar um ataque de phishing por email para comprometer contas legítimas (mas não necessariamente contas elevadas) que têm acesso à rede de uma organização. Em seguida, o invasor usa essas contas válidas para executar pesquisas adicionais em sua rede e identificar contas privilegiadas que podem executar tarefas administrativas.

  • Aproveitar contas com privilégios elevados. Mesmo com uma conta de usuário normal e não elevada na rede, os invasores podem obter acesso a contas com permissões elevadas. Um dos métodos mais comuns de fazer isso é usar os ataques Pass-the-Hash ou Pass-the-Token. Para obter mais informações sobre o Pass-the-Hash e outras técnicas de roubo de credenciais, confira os recursos na página Pass-the-Hash (PtH).

É claro que há outros métodos que os invasores podem usar para identificar e comprometer identidades privilegiadas (com novos métodos sendo criados todos os dias). Portanto, é importante que você estabeleça práticas para que os usuários façam logon com contas com privilégios mínimos para reduzir a capacidade dos invasores de obter acesso a identidades privilegiadas. As seções abaixo descrevem a funcionalidade com a qual o Windows Server pode atenuar esses riscos.

JIT (Administração Just-In-Time) e Administração Just Enough (JEA)

Embora a proteção contra ataques Pass-the-Hash ou Pass-the-Ticket seja importante, as credenciais de administrador ainda podem ser roubadas por outros meios, incluindo engenharia social, funcionários descontentes e força bruta. Portanto, além de isolar as credenciais o máximo possível, você também deve limitar o alcance dos privilégios no nível do administrador caso eles estejam comprometidos.

Hoje, muitas contas de administrador têm privilégios excessivos, mesmo que tenham apenas uma área de responsabilidade. Por exemplo, um administrador de DNS, que requer um conjunto muito estreito de privilégios para gerenciar servidores DNS, geralmente recebe privilégios de nível de administrador de domínio. Além disso, como essas credenciais são concedidas perpetuamente, não há limite de tempo para uso.

Cada conta com privilégios desnecessários de nível de administrador de domínio aumenta sua exposição a invasores que desejam comprometer as credenciais. Para minimizar a área de superfície para ataque, você deve fornecer apenas o conjunto específico de direitos que um administrador precisa para fazer o trabalho – e apenas para a janela de tempo necessária para concluí-lo.

Usando a Administração Just Enough e a Administração Just-In-Time, os administradores podem solicitar privilégios específicos pelo prazo necessário. Para um administrador de DNS, por exemplo, o uso do PowerShell para habilitar a Administração Just Enough permite que você crie um conjunto limitado de comandos disponíveis para gerenciamento de DNS.

Se o administrador de DNS precisar fazer uma atualização para um de seus servidores, ela solicitará acesso para gerenciar o DNS usando o Microsoft Identity Manager 2016. O fluxo de trabalho de solicitação pode incluir um processo de aprovação, como a autenticação de dois fatores, que pode ligar para o telefone celular do administrador para confirmar sua identidade antes de conceder os privilégios solicitados. Depois de concedidos, esses privilégios DNS fornecem acesso à função do PowerShell para DNS por um período de tempo específico.

Imagine esse cenário se as credenciais do administrador do DNS foram roubadas. Primeiro, como as credenciais não têm privilégios de administrador associados, o invasor não seria capaz de obter acesso ao servidor DNS – ou a qualquer outro sistema – para fazer alterações. Se o invasor tentasse solicitar privilégios para o servidor DNS, a autenticação de dois fatores solicitaria a confirmação de sua identidade. Como não é provável que o invasor tenha o telefone celular do administrador DNS, a autenticação falhará. Isso bloquearia o invasor do sistema e alertaria a organização de TI de que as credenciais poderiam ser comprometidas.

Além disso, muitas organizações usam a LAPS (Solução de Senha de Administrador Local) gratuita como um mecanismo de administração JIT simples, mas avançado, para seus sistemas de servidor e cliente. O recurso de LAPS oferece gerenciamento de senhas da conta local de computadores ingressados no domínio. As senhas são armazenadas no AD (Active Directory) e protegidas por ACL (Lista de Controle de Acesso), portanto apenas usuários qualificados podem lê-las ou solicitar a redefinição delas.

Conforme observado no Guia de Mitigação de Roubo de Credenciais do Windows,

"os criminosos ferramentas e técnicas usam para realizar o roubo de credenciais e melhorar a reutilização de ataques, invasores mal-intencionados são encontrá-lo mais fácil atingir seus objetivos. Roubo de credenciais geralmente depende práticas operacionais ou exposição de credenciais do usuário, para que mitigações eficazes exigem uma abordagem abrangente que aborda as pessoas, processos e tecnologia. Além disso, esses ataques dependem o invasor roubo de credenciais depois de comprometer um sistema para expandir ou persistir acesso, para que as organizações devem conter violações rapidamente implementando estratégias que impedir que invasores mover livremente e sem ser detectado em um rede comprometido."

Uma consideração importante do design para Windows Server foi atenuar o roubo de credenciais — em particular, as credenciais derivadas. Credential Guard significativamente oferece segurança aprimorada contra roubo de credenciais derivadas e reutilização implementando uma alteração arquitetônica significativa no Windows projetado para ajudar a eliminar a ataques de isolamento baseada em hardware em vez de simplesmente tentando se defender contra eles.

Ao usar as credenciais derivadas do Windows Defender Credential Guard, do NTLM e do Kerberos são protegidas usando a segurança baseada em virtualização, as técnicas de ataque de roubo de credenciais e as ferramentas usadas em muitos ataques direcionados são bloqueados. O malware com privilégios administrativos em execução no sistema operacional não pode extrair segredos protegidos pela segurança baseada em virtualização. Embora o Windows Defender Credential Guard seja uma mitigação eficiente, os ataques de ameaças persistentes provavelmente adotarão novas técnicas de ataque, e você também deverá incorporar o Device Guard, como descrito abaixo, em conjunto com outras estratégias e arquiteturas de segurança.

Windows Defender Credential Guard

O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar informações de credenciais, impedindo que hashes de senha ou tíquetes Kerberos sejam interceptados. Ele usa um processo de LSA (Autoridade de Segurança Local) totalmente novo, que não é acessível para o restante do sistema operacional. Todos os binários usados pela LSA isolada são assinados com certificados validados antes de iniciá-los no ambiente protegido, tornando os ataques do tipo Pass-the-Hash completamente ineficazes.

O Windows Defender Credential Guard usa:

  • Segurança com base em virtualização (obrigatório). Também é necessário:

    • CPU de 64 bits

    • Extensões de virtualização de CPU e tabelas de página estendida

    • Hipervisor do Windows

  • Inicialização segura (obrigatório)

  • TPM 2.0 distinto ou de firmware (preferencial - fornece a associação ao hardware)

Você pode usar o Windows Defender Credential Guard para ajudar a proteger identidades privilegiadas protegendo as credenciais e derivados de credenciais no Windows Server 2016. Para obter mais informações sobre os requisitos do Windows Defender Credential Guard, consulte Proteger as credenciais de domínio derivadas com o Windows Defender Credential Guard.

Windows Defender Remote Credential Guard

O Windows Defender Remote Credential Guard no Windows Server 2016 e na Atualização de Aniversário do Windows 10 também ajuda a proteger credenciais para usuários com conexões de área de trabalho remota. Anteriormente, qualquer pessoa que usasse os Serviços de Área de Trabalho Remota teria que fazer logon em seu computador local e, em seguida, seria necessário fazer logon novamente ao executar uma conexão remota com seu computador de destino. Esse segundo logon passaria as credenciais para o computador de destino, expondo-as a ataques Pass-the-Hash ou Pass-the-Ticket.

Com o Windows Defender Remote Credential Guard, o Windows Server 2016 implementa o logon único para sessões da Área de Trabalho Remota, eliminando o requisito de inserir novamente seu nome de usuário e senha. Em vez disso, ele aproveita as credenciais que você já usou para fazer logon no computador local. Para usar o Windows Defender Remote Credential Guard, o cliente e o servidor da Área de Trabalho Remota devem atender aos seguintes requisitos:

  • Deve ser ingressado em um domínio do Active Directory e estar no mesmo domínio ou em um domínio com uma relação de confiança.

  • Deve usar a autenticação Kerberos.

  • Deve estar executando pelo menos o Windows 10 versão 1607 ou o Windows Server 2016.

  • O aplicativo do Windows clássico da Área de Trabalho Remota é necessário. O aplicativo de Plataforma Universal do Windows da Área de Trabalho Remota não dá suporte ao Windows Defender Remote Credential Guard.

Você pode habilitar o Windows Defender Remote Credential Guard usando uma configuração de registro no servidor de Área de Trabalho Remota e Política de Grupo ou um parâmetro de Conexão de Área de Trabalho Remota no cliente da Área de Trabalho Remota. Para obter mais informações sobre a habilitação do Windows Defender Remote Credential Guard, confira Proteger credenciais da Área de Trabalho Remota com o Windows Defender Remote Credential Guard. Assim como ocorre no Windows Defender Credential Guard, você pode usar o Windows Defender Remote Credential Guard para ajudar a proteger identidades privilegiadas no Windows Server 2016.

Proteger o sistema operacional para executar seus aplicativos e infraestrutura

A prevenção de ameaças cibernéticas também requer localizar e bloquear malwares e ataques que buscam obter controle subvertendo as práticas operacionais padrão de sua infraestrutura. Se os invasores puderem fazer com que um sistema operacional ou aplicativo seja executado de maneira não predeterminada e inviável, eles provavelmente usarão esse sistema para executar ações mal-intencionadas. O Windows Server 2016 fornece camadas de proteção, o que impede que invasores externos executem software mal-intencionado ou explorem vulnerabilidades. O sistema operacional assume uma função ativa na proteção da infraestrutura e dos aplicativos alertando os administradores sobre a atividade que indica que um sistema foi violado.

Windows Defender Device Guard

O Windows Server 2016 inclui Windows Defender Device Guard para garantir que somente software confiável possa ser executado no servidor. Usando a segurança baseada em virtualização, ele pode limitar quais binários podem ser executados no sistema com base na política da organização. Se algo diferente dos binários especificados tentar executar, o Windows Server 2016 o bloqueia e registra a tentativa com falha para que os administradores possam ver que houve uma possível violação. A notificação de violação é uma parte fundamental dos requisitos de conformidade com o GDPR.

O Windows Defender Device Guard também é integrado ao PowerShell para que você possa autorizar quais scripts podem ser executados em seu sistema. Em versões anteriores do Windows Server, os administradores podiam ignorar a imposição de integridade do código excluindo a política do arquivo de código. Com o Windows Server 2016, você pode configurar uma política assinada por sua organização para que apenas uma pessoa com acesso ao certificado que assinou a política possa alterar a política.

Proteção de Fluxo de Controle

O Windows Server 2016 também inclui proteção incorporada contra algumas classes de ataque de corrupção de memória. A aplicação de patch em seus servidores é importante, mas há sempre uma chance do malware ser desenvolvido para uma vulnerabilidade que ainda não foi identificada. Alguns dos métodos mais comuns para explorar essas vulnerabilidades são o fornecimento de dados incomuns ou extremos para um programa em execução. Por exemplo, um invasor pode explorar uma vulnerabilidade de estouro de buffer fornecendo mais entrada para um programa do que o esperado e invadir a área reservada pelo programa para ter uma resposta. Isso pode corromper a memória adjacente que pode conter um ponteiro de função.

Quando o programa chama essa função, ela pode ir para um local não intencional especificado pelo invasor. Esses ataques também são conhecidos como ataques JOP (programação orientada a salto). A Proteção de Fluxo de Controle impede ataques JOP fazendo restrições rígidas sobre qual código do aplicativo pode ser executado – especialmente instruções de chamada indiretas. Ela adiciona verificações de segurança leves para identificar o conjunto de funções no aplicativo que são destinos válidos para chamadas indiretas. Quando um aplicativo é executado, ela verifica se esses destinos de chamada indireta são válidos.

Se a verificação da Proteção de Fluxo de Controle falhar em runtime, o Windows Server 2016 encerrará imediatamente o programa, interrompendo qualquer exploração que tente chamar indiretamente um endereço inválido. A Proteção de Fluxo de Controle fornece uma camada adicional importante de proteção para o Device Guard. Se um aplicativo incluído na lista de permitidos tiver sido comprometido, ele poderá ser executado desmarcado pelo Device Guard, pois a triagem do Device Guard verá que o aplicativo foi assinado e é considerado confiável.

Mas como a Proteção de Fluxo de Controle pode identificar se o aplicativo está em execução em uma ordem não predeterminada e inviável, o ataque falharia, impedindo a execução do aplicativo comprometido. Juntas, essas proteções dificultam a injeção de malware pelo invasor no software em execução no Windows Server 2016.

Os desenvolvedores que criam aplicativos em que os dados pessoais serão tratados são incentivados a habilitar CFG (Proteção de Fluxo de Controle) em seus aplicativos. Esse recurso está disponível no Microsoft Visual Studio 2015 e é executado em versões com reconhecimento de CFG do Windows — as versões x86 e x64 para Desktop e Server de Windows 10 e Windows 8.1 Update (KB3000850). Você não precisa habilitar o CFG para cada parte do código, pois uma combinação de código habilitado e não habilitado para CFG será executada corretamente. Mas não habilitar CFG para todo o código pode abrir lacunas na proteção. Além disso, o código habilitado para CFG funciona bem em versões sem reconhecimento de CFG do Windows e, portanto, é totalmente compatível com elas.

Windows Defender Antivírus

O Windows Server 2016 inclui os principais recursos de detecção ativos do setor do Windows Defender para bloquear malware conhecido. O Windows Defender Antivírus (AV) funciona em conjunto com Windows Defender Device Guard e a Proteção de Fluxo de Controle para impedir que códigos mal-intencionados de qualquer tipo sejam instalados em seus servidores. Ele é ativado por padrão – o administrador não precisa agir para que ele comece a funcionar. O Windows Defender AV também é otimizado para oferecer suporte a várias funções de servidor no Windows Server 2016. No passado, os invasores usavam shells como o PowerShell para iniciar código binário mal-intencionado. No Windows Server 2016, o PowerShell agora está integrado ao Windows Defender AV para verificar se há malware antes de iniciar o código.

O Windows Defender AV é uma solução antimalware interna que oferece gerenciamento de segurança e antimalware para computadores desktop, computadores portáteis e servidores. O Windows Defender AV foi aprimorado de forma significativa desde que ele foi introduzido no Windows 8. Windows Defender Antivírus no Windows Server usa uma abordagem diversificada para melhorar o antimalware:

  • Proteção entregue na nuvem ajuda a detectar e bloquear novo malware em segundos, mesmo que o malware não tenha sido visto antes.

  • O Contexto local avançado aprimora a forma como o malware é identificado. O Windows Server informa ao Windows Defender AV não apenas sobre conteúdo como arquivos e processos, mas também de onde o conteúdo provém, onde ele foi armazenado, e muito mais.

  • Os Sensores globais extensivos ajudam a manter o Windows Defender AV atualizado e informado até mesmo do malware mais recente. Isso é feito de duas maneiras: coletando os dados de contexto local avançado de pontos de extremidade e analisando centralmente esses dados.

  • Verificação contra adulterações ajuda a proteger o Windows Defender AV em si contra ataques de malware. Por exemplo, o Windows Defender AV usa os processos protegidos, o que impede que processos não confiáveis tentem violar componentes do Windows Defender AV, suas chaves do registro e assim por diante.

  • Recursos de nível empresarial oferecem aos profissionais de TI as ferramentas e opções de configuração necessárias para tornar o Windows Defender AV uma solução antimalware de classe empresarial.

Auditoria de segurança aprimorada

O Windows Server 2016 alerta ativamente os administradores sobre possíveis tentativas de violação com auditoria de segurança aprimorada que fornece informações mais detalhadas, que podem ser usadas para detecção de ataques e análise forense mais rápidas. Ele registra eventos da Proteção de Fluxo de Controle, do Windows Defender Device Guard e outros recursos de segurança em um único local, tornando mais fácil para os administradores determinar quais sistemas podem estar em risco.

As novas categorias de evento incluem:

  • Auditar a Associação de Grupo. Permite auditar as informações de associação de grupo no token de logon de um usuário. Os eventos são gerados quando associações de grupo são enumeradas ou consultadas no computador em que a sessão de logon foi criada.

  • Auditar as atividades PnP. Permite auditar quando o plug-and-play detecta um dispositivo externo que pode conter malware. Eventos PnP podem ser usados para rastrear alterações no hardware do sistema. Uma lista de IDs de fornecedores de hardware é incluída no evento.

O Windows Server 2016 integra-se facilmente com sistemas SIEM (gerenciamento de eventos de incidentes de segurança), como o OMS (Microsoft Operations Management Suite), que pode incorporar as informações em relatórios de inteligência sobre possíveis violações. A profundidade das informações fornecidas pela auditoria aprimorada permite que as equipes de segurança identifiquem e respondam a possíveis violações de forma mais rápida e eficaz.

Proteger a virtualização

As empresas hoje virtualizam tudo o que podem, incluindo SQL Server, SharePoint e Controladores de Domínio do Active Directory. As VMs (máquinas virtuais) facilitam a implantação, o gerenciamento, o serviço e a automatização da infraestrutura. Mas quando se trata de segurança, as malhas de virtualização comprometidas tornaram-se um novo vetor de ataque que é difícil de defender – até agora. Do ponto de vista do GDPR, você deve pensar em proteger as VMs, pois protegeria os servidores físicos, incluindo o uso da tecnologia TPM da VM.

O Windows Server 2016 altera fundamentalmente como as empresas podem proteger a virtualização, incluindo várias tecnologias que permitem a criação de máquinas virtuais que serão executadas somente em sua própria malha, ajudando a proteger contra o armazenamento, a rede e os dispositivos host em que são executados.

Máquinas virtuais blindadas

As mesmas coisas que facilitam a migração, o backup e a replicação de máquinas virtuais, também facilitam a modificação e a cópia. Uma máquina virtual é apenas um arquivo, portanto, não é protegida na rede, no armazenamento, em backups ou em outro lugar. Outro problema é que os administradores de malha – sejam eles um administrador de armazenamento ou um administrador de rede – têm acesso a todas as máquinas virtuais.

Um administrador comprometido na malha pode facilmente resultar em dados comprometidos entre máquinas virtuais. Tudo o que o invasor deve fazer é usar as credenciais comprometidas para copiar os arquivos de VM que quiser em uma unidade USB e sair da organização, onde esses arquivos de VM podem ser acessados de qualquer outro sistema. Se qualquer uma dessas VMs roubadas fosse um controlador de domínio do Active Directory, por exemplo, o invasor poderia facilmente exibir o conteúdo e usar técnicas de força bruta disponíveis para adivinhar as senhas no banco de dados do Active Directory, obtendo acesso a todo o resto em sua infraestrutura.

O Windows Server 2016 apresenta as VMs blindadas (Máquinas Virtuais Blindadas) para ajudar na proteção contra cenários como o descrito. As VMs blindadas incluem um dispositivo TPM virtual, que permite que as organizações apliquem a Criptografia BitLocker às máquinas virtuais e garantam que elas sejam executadas somente em hosts confiáveis para ajudar a proteger contra administradores de armazenamento, rede e host comprometidos. As VMs blindadas são criadas usando VMs de Geração 2, que dão suporte ao firmware UEFI (Unified Extensible Firmware Interface) e têm TPM virtual.

Serviço Guardião de Host

Juntamente com as VMs blindadas, o Serviço Guardião de Host é um componente essencial para criar uma malha de virtualização segura. Seu trabalho é atestar a integridade de um host Hyper-V antes de permitir que uma VM blindada seja inicializada ou migrada para esse host. Ele contém as chaves das VMs blindadas e não as liberará até que a integridade da segurança seja garantida. Há duas maneiras de exigir que os hosts Hyper-V atestem o Serviço Guardião do Host.

O primeiro e mais seguro é o atestado confiável de hardware. Essa solução exige que suas VMs Blindadas estejam em execução em hosts com chips TPM 2.0 e UEFI 2.3.1. Esse hardware é necessário para fornecer as informações de integridade de kernel de sistema operacional e inicialização medidas exigidas pelo Serviço Guardião do Host para garantir que o host Hyper-V não tenha sido adulterado.

As organizações de TI pode usar o atestado de administrador confiável, o que pode ser desejável se o hardware TPM 2.0 não estiver em uso em sua organização. Esse modelo de atestado é facilmente implementado porque os hosts são colocados em um grupo de segurança e o Serviço Guardião de Host está configurado para permitir que VMs blindadas sejam executadas em hosts que são membros do grupo de segurança. Com esse método, não há nenhuma medida complexa para garantir que o computador host não tenha sido adulterado. No entanto, você elimina a possibilidade de VMs não criptografadas saírem pela porta em unidades USB ou da VM ser executada em um host não autorizado. Isso ocorre porque os arquivos de VM não serão executados em um computador diferente daqueles do grupo designado. Se você ainda não tiver um hardware TPM 2.0, poderá começar com um atestado de administrador confiável e alternar para o atestado de hardware confiável quando o hardware for atualizado.

Trusted Platform Module de Máquina Virtual

O Windows Server 2016 dá suporte ao TPM para máquinas virtuais, o que permite dar suporte a tecnologias de segurança avançadas, como a Criptografia de Unidade BitLocker® em máquinas virtuais. Você pode habilitar o suporte ao TPM em qualquer máquina virtual Hyper-V de Geração 2 usando o Gerenciador do Hyper-V ou o cmdlet Enable-VMTPM Windows PowerShell.

Você pode proteger o vTPM (TPM virtual) usando as chaves de criptografia locais armazenadas no host ou armazenadas no Serviço Guardião do Host. Portanto, embora o Serviço Guardião de Host exija mais infraestrutura, ele também fornece mais proteção.

Firewall de rede distribuída usando rede definida pelo software

Uma maneira de melhorar a proteção em ambientes virtualizados é segmentar a rede de uma maneira que permita que as VMs conversem apenas com os sistemas específicos necessários para funcionar. Por exemplo, se o aplicativo não precisar se conectar à Internet, você poderá particioná-lo, eliminando esses sistemas como destinos de invasores externos. O SDN (rede definida pelo software) no Windows Server 2016 inclui um firewall de rede distribuído que permite criar dinamicamente as políticas de segurança que podem proteger seus aplicativos contra ataques de dentro ou fora de uma rede. Esse firewall de rede distribuído adiciona camadas à sua segurança, permitindo que você isole seus aplicativos na rede. As políticas podem ser aplicadas em qualquer lugar em sua infraestrutura de rede virtual, isolando o tráfego de VM para VM, o tráfego de VM para host ou o tráfego da VM para a Internet, quando necessário, seja para sistemas individuais que podem ter sido comprometidos ou programaticamente em várias sub-redes. Os recursos de rede definidos pelo software do Windows Server 2016 também permitem rotear ou espelhar o tráfego de entrada para dispositivos virtuais que não são da Microsoft. Por exemplo, você pode enviar todo o tráfego de email por meio de uma solução de virtualização Barracuda para proteção adicional de filtragem de spam. Isso permite que você coloque camadas adicionais de segurança no local ou na nuvem.

Outras considerações sobre GDPR para servidores

O GDPR inclui requisitos explícitos para notificação de violações onde uma violação de dados pessoas significa "uma violação de segurança levando a destruição acidental ou fora da lei, perda, alteração, liberação não autorizada de, ou acesso a, dados pessoais transmitidos, armazenados ou processados de alguma outra forma". Obviamente, não é possível tentar atender aos requisitos rigorosos de notificação do GDPR em até 72 horas se não for possível detectar a violação primeiro.

Conforme observado no white paper da Central de Segurança do Windows, Pós-violação: lidando com ameaças avançadas

Diferente da pré-violação, a pós-violação pressupões que uma violação já ocorreu – agindo como uma gravação de versão de pré-lançamento e Crime Scene Investigator (CSI). A pós-violação fornece às equipes de segurança as informações e o conjunto de ferramentas necessário para identificar, investigar responder a ataques que, de outra forma, permanecerão não detectadas e abaixo do radar.

Nesta seção, veremos como o Windows Server pode ajudá-lo a cumprir suas obrigações de notificação de violação de GDPR. Isso começa com a compreensão dos dados de ameaças subjacentes disponíveis para a Microsoft que são coletados e analisados em seu benefício e como, por meio da ATP (Proteção Avançada contra Ameaças) do Windows Defender, esses dados podem ser críticos para você.

Dados de diagnóstico de segurança inteligente

Por quase duas décadas, a Microsoft tem transformado ameaças em inteligência útil que podem ajudar a fortalecer sua plataforma e proteger os clientes. Hoje em dia, com as imensas vantagens da computação fornecidas pela nuvem, estamos encontrando novas maneiras de usar nossas ferramentas ricas de análise direcionadas para atacar de forma inteligente as violações e proteger nossos clientes.

Aplicando uma combinação de processos automatizados e manuais, aprendizado de máquina e especialistas humanos, nós podemos criar um gráfico de segurança inteligente que aprende consigo mesmo e evolui em tempo real, reduzindo o nosso tempo coletivo para detectar e responder a incidentes novamente em nossos produtos.

Microsoft Intelligence Security Graph

O escopo de inteligência de ameaça da Microsoft abrange, literalmente, bilhões de pontos de dados: 35 bilhões de mensagens mensalmente, digitalizando 1 bilhão de clientes em toda empresa e segmentos de consumidor acessando mais de 200 serviços em nuvem e 14 bilhões de autenticações realizadas diariamente. Todos esses dados são agrupados em seu nome pela Microsoft para criar o gráfico de segurança inteligente que pode ajudar a proteger sua casa de forma dinâmica para você permanecer seguro, produtivo e atender aos requisitos da GDPR.

Detectar ataques e investigação forense

Até mesmo as melhores defesas de ponto de extremidade podem ser violadas eventualmente, conforme cyberattacks se tornam mais sofisticados e direcionados. Duas funcionalidades podem ser usadas para ajudar na detecção de possíveis violações: a ATP (Proteção Avançada contra Ameaças) do Windows Defender e a ATA (Análise Avançada de Ameaças) da Microsoft.

Proteção Avançada contra Ameaças do Windows Defender (ATP) ajuda a detectar, investigar e responder a ataques avançados e violações de dados em suas redes. Os tipos de violação de dados que o GDPR espera que você proteja por meio de medidas técnicas de segurança para garantir a confidencialidade, a integridade e a disponibilidade contínuas de dados pessoais e sistemas de processamento.

Entre os principais benefícios de ATP do Windows Defender, estão os seguintes:

  • Detectar o indetectável. Sensores integrados profundamente no sistema operacional kernel, os especialistas de segurança do Windows e óticas únicas de mais de 1 bilhão de máquinas e sinais em todos os serviços Microsoft.

  • Integrado, não acrescentado. Sem agente com alto desempenho e impacto mínimo, baseado em nuvem; gerenciamento fácil com nenhuma implantação.

  • Painel único de vidro para segurança do Windows. Explore 6 meses de eventos avançados e de linha do tempo de máquina, unificando eventos de segurança do Windows Defender ATP, Windows Defender Antivírus e Windows Defender Device Guard.

  • Potência do gráfico da Microsoft. Aproveita o gráfico de segurança de inteligência do Microsoft para integrar detecção e exploração com assinatura do Office 365 ATP, acompanhar novamente e responder a ataques.

Leia mais em O que há de novo na prévia da atualização dos criadores do Windows Defender ATP.

O ATA é um produto local que ajuda a detectar o comprometimento de identidade em uma organização. O ATA pode capturar e analisar o tráfego de rede para autenticação, autorização e protocolos de coleta de informações (como Kerberos, DNS, RPC, NTLM e outros protocolos). O ATA usa esses dados para criar um perfil comportamental sobre usuários e outras entidades em uma rede para que ele possa detectar anomalias e padrões de ataque conhecidos. A tabela a seguir lista os tipos de ataque detectados pelo ATA.

Tipo de ataque Descrição
Ataques mal-intencionados Esses ataques são detectados procurando ataques de uma lista conhecida de tipos de ataque, incluindo:
  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC Forjado (MS14-068)
  • Golden Ticket
  • Replicações mal-intencionadas
  • Reconhecimento
  • Força bruta
  • Execução remota
Para obter uma lista completa de ataques mal-intencionados que podem ser detectados e sua descrição, consulte Quais atividades suspeitas o ATA pode detectar?.
Comportamento anômalo Esses ataques são detectados usando a análise comportamental e usam o aprendizado de máquina para identificar atividades questionáveis, incluindo:
  • Logons anormais
  • Ameaças desconhecidas
  • Compartilhamento de senha
  • Movimento lateral
Problemas e riscos de segurança Esses ataques são detectados examinando a configuração atual do sistema e da rede, incluindo:
  • Confiança quebrada
  • Protocolos fracos
  • Vulnerabilidades de protocolo conhecidas

Você pode usar o ATA para ajudar a detectar invasores que tentam comprometer identidades privilegiadas. Para obter mais informações sobre como implantar o ATA, confira os tópicos Planejar, Projetar e Implantar na documentação de Análise Avançada de Ameaças.

Isenção de responsabilidade

Este artigo é um comentário em GDPR, como Microsoft interpreta, a partir da data de publicação. Nós gastamos muito tempo com GDPR e deseja que fizemos pense sobre sua intenção e o significado. Mas a aplicação de GDPR é altamente específica de fato, e nem todos os aspectos e interpretações de GDPR são bem liquidadas.

Como resultado, este artigo é fornecido apenas para fins informativos e não ser considerado como advogado ou para determinar como GDPR podem se aplicar a você e sua organização. Encorajamos você a trabalhar com um profissional legalmente qualificados para discutir GDPR, como ele se aplica especificamente para sua organização e como melhor garantir a conformidade.

A MICROSOFT NÃO OFERECE NENHUMA GARANTIA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTE ARTIGO. Este artigo é fornecido "na condição em que se encontra". Informações e exibições expressas neste artigo, incluindo URL e outras referências de site da Internet, podem ser alteradas sem aviso prévio.

Este artigo não fornece direitos legais e nenhuma propriedade intelectual sobre qualquer produto da Microsoft. Você pode copiar e usar este artigo apenas para fins de referência interna.

Publicado em setembro de 2017
Versão 1.0
© 2017 Microsoft. Todos os direitos reservados.