Segurança e Microsoft Teams

Importante

O modelo de serviço do Teams está sujeito a alterações para melhorar as experiências do cliente. Por exemplo, o acesso padrão ou os tempos de expiração do token de atualização podem estar sujeitos a modificações para melhorar a resiliência de desempenho e autenticação para as pessoas que usam o Teams. Quaisquer alterações são feitas com a meta de manter o Teams seguro e confiável por padrão.

Microsoft Teams, como parte dos serviços Microsoft 365 e Office 365, segue todas as práticas recomendadas e procedimentos de segurança, como segurança no nível de serviço por meio de defesa aprofundada, controles do cliente dentro do serviço, segurança e práticas recomendadas operacionais. Para obter detalhes completos, consulte a Central de Confiações da Microsoft.

Confiável por natureza

O Teams foi projetado e desenvolvido em conformidade com Microsoft Trustworthy Computing Security Development Lifecycle (SDL), descrito em Microsoft Trustworthy Computing Security Development Lifecycle. O primeiro passo para criar um sistema de comunicações unificado mais seguro é o desenvolvimento de modelos de ameaça e teste de cada recurso projetado. Vários aprimoramentos relacionados à segurança foram incorporados às práticas e processos de codificação. As ferramentas de construção em tempo detectam invasões de buffer e outras potenciais ameaças antes do código ser checado no produto final. É impossível projetar contra todas as ameaças de segurança desconhecidas. Nenhum sistema pode garantir a segurança completa. No entanto, porque o desenvolvimento do produto adotou os princípios de design seguro desde o início, o Teams incorpora tecnologias de segurança padrão da indústria como parte fundamental de sua arquitetura.

Confiável por padrão

As comunicações de rede no Teams são criptografadas por padrão. Ao exigir que todos os servidores usem certificados e usando OAUTH, Transport Layer Security (TLS) e Secure Real-Time Transport Protocol (SRTP), todos os dados do Teams dados são protegidos na rede.

Como o Teams lida com ameaças comuns de segurança

Esta seção identifica as ameaças mais comuns à segurança do serviço do Teams e aborda como a Microsoft atenua cada ameaça.

Ataque de chave comprometida

O Teams usa os recursos PKI no sistema operacional do Windows Server para proteger os dados-chave usados para criptografar as conexões TLS. As chaves usadas para criptografar mídia são trocadas através de conexões TLS.

Ataque de negação de serviço de rede

Um ataque DDOS (negação de serviço) distribuído ocorre quando o invasor impede o uso normal da rede e a função por usuários válidos. Ao usar um ataque de negação de serviço, o invasor pode:

  • Enviar dados inválidos aos aplicativos e serviços que estão funcionando na rede atacada para interromper o funcionamento normal delel.
  • Enviar uma grande quantidade de tráfego, sobrecarregando o sistema até que ele pare de responder ou responda devagar aos pedidos legítimos.
  • Esconder a evidência dos ataques.
  • Impedir os usuários de acessar os recursos de acesso a rede.

O Teams atenua esses ataques ao executar a proteção de rede DDOS do Azure e ao limitar as solicitações dos clientes a partir dos mesmos pontos de extremidade, sub-redes e entidades federadas.

Espionagem

A interceptação ocorre quando um invasor obtém acesso ao caminho de dados em uma rede e tem a capacidade de monitorar e ler o tráfego. A interceptação também é chamada de detecção ou snooping. Se o tráfego está no texto plano, o atacante pode lê-lo quando o atacante ganha acesso ao caminho. Um exemplo é um ataque realizado no controle de um router no caminho dos dados.

O Teams usa TLS mútuo (MTLS) e OAuth de Servidor para Servidor (S2S) (entre outros protocolos) para comunicações de servidor no Microsoft 365 e no Office 365 e também usa TLS de clientes para o serviço. Todo o tráfego na rede é criptografado.

Esses métodos de comunicação tornam a interceptação difícil ou impossível de alcançar dentro do período de uma única conversa. O TLS autentica todos os participantes e criptografa todo o tráfego. Embora o TLS não impeça a interceptação, o invasor não pode ler o tráfego, a menos que a criptografia seja interrompida.

O protocolo Traversal Using Relays em torno de NAT (TURN) é usado para fins de mídia em tempo real. O protocolo TURN não exige que o tráfego seja criptografado e as informações que são enviadas são protegidas pela integridade da mensagem. Embora ele esteja aberto à interceptação, as informações que ele está enviando, ou seja, endereços IP e porta, podem ser extraídas diretamente examinando os endereços de origem e de destino dos pacotes. O serviço do Teams garante que os dados são válidos verificando a Integridade da Mensagem da mensagem, usando a chave derivada de poucos itens, incluindo uma senha do TURN, que nunca é enviada em um texto não criptografado. O SRTP é usado para o tráfego de mídia e também é criptografado.

Falsificação de identidade (falsificação de endereço IP)

A Falsificação ocorre quando o atacante determina e usa um endereço IP de uma rede, computador ou componente de rede sem autorização para tal ação. Um ataque bem-sucedido permite que o invasor opere como se o invasor fosse a entidade normalmente identificada pelo endereço IP.

O TLS autentica todos os participantes e criptografa todo o tráfego. Usar o TLS impede que um invasor execute a falsificação do endereço IP em uma conexão específica (por exemplo, conexões TLS mútuas). Um invasor ainda pode falsificar o endereço do servidor DNS (Sistema de Nomes de Domínio). No entanto, como a autenticação no Teams é executada com certificados, um invasor não teria uma informação válida necessária para falsificar uma das partes na comunicação.

Ataque Man-in-the-Middle

Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários por meio do computador do invasor sem o conhecimento dos dois usuários que estão se comunicando. O invasor pode monitorar e ler o tráfego antes de enviá-lo ao destinatário pretendido. Cada usuário presente na comunicação, sem saber, envia e recebe tráfego do invasor pensando estar se comunicando apenas com o usuário pretendido. Esse cenário pode acontecer se um invasor puder modificar os Serviços de Domínio do Active Directory para adicionar o servidor dele como um servidor confiável ou modificar a configuração DNS ou usar outros meios para fazer com que os clientes se conectem através do invasor no caminho para o servidor.

Ataques man-in-the-middle no tráfego de mídia entre dois pontos de extremidade que participam do compartilhamento de áudio, vídeo e aplicativo do Teams são impedidos usando o Protocolo em Tempo Real Seguro (SRTP) para criptografar o fluxo de mídia. As chaves criptográficas são negociadas entre os dois pontos de extremidade através de um protocolo de sinalização proprietário (protocolo de Sinalização de Chamada do Teams) que utiliza o canal UDP/TCP criptografado TLS 1.2 e AES-256 (no modo GCM).

Ataque de repetição do protocolo RTP

Um ataque de reprodução ocorre quando uma transmissão de mídia válida entre duas partes é interceptada e retransmitida por motivos mal-intencionados. O Teams usa o SRTP com um protocolo de sinalização de segurança que protege as transmissões contra ataques de reprodução, habilitando o receptor a manter um índice de pacotes RTP já recebidos e a comparar cada novo pacote com aqueles já listados no índice.

SPIM

O SPIM é um serviço de mensagens instantâneas comerciais não solicitadas ou solicitações de assinatura de presença, como spam, mas na forma de mensagem instantânea. Embora não seja por si só um comprometimento da rede, é, no mínimo, irritante, pois pode reduzir a disponibilidade e a produção de recursos e levar a um comprometimento da rede. Um exemplo disso é quando os usuários fazem "spimming" uns para os outros, por meio de envios de solicitações. Os usuários podem bloquear uns aos outros para evitar o spimming, mas, com a federação, se um ator mal-intencionado estabelecer um ataque de spim coordenado, poderá ser difícil de superar, a menos que você desabilite a federação do parceiro.

Vírus e Worms

Um vírus é uma unidade de código cujo objetivo é reproduzir mais unidades de código semelhantes. Para trabalhar, um vírus precisa de um host, como um arquivo, um email ou um programa. Como um vírus, um worm é uma unidade de código que reproduz mais unidades de código semelhantes, mas que, ao contrário de um vírus, não precisa de um host. Os vírus e os worms aparecem principalmente durante transferências de arquivos entre clientes ou quando as URLs são enviadas por outros usuários. Um vírus no seu computador pode, por exemplo, usar sua identidade e enviar mensagens instantâneas em seu nome. Práticas recomendadas de segurança padrão para o cliente, como a verificação periódica de vírus, podem atenuar esse problema.

Tentativas de phishing

Os ataques de phishing no Teams são caros monetariamente e com tranquilidade. Esses ataques operam por meio de enganar os usuários para revelar informações como senhas, códigos, números de cartão de crédito e outras informações críticas, por meio de links de sites falsos e anexos que parecem inócuos, mas podem baixar software perigoso clicando. Como muitos desses ataques têm como alvo usuários, mesmo alvos de alto valor com muito acesso, eles podem ser generalizados. No entanto, há estratégias anti-phishing para administradores e usuários do Teams.

Estrutura de segurança para o Teams

O Teams endossa ideias de segurança como Confiança Zero e princípios de acesso com Privilégios mínimos. Esta seção oferece uma visão geral dos elementos fundamentais que compõem a estrutura de segurança do Microsoft Teams.

Os principais elementos são:

  • Microsoft Entra ID, que fornece um único repositório de back-end confiável para contas de usuário. As informações do perfil do usuário são armazenadas no Microsoft Entra ID por meio das ações do Microsoft Graph.
    • Pode haver vários tokens emitidos que você pode ver se rastrear seu tráfego de rede. Incluindo tokens do Skype que você pode ver em rastreamentos ao examinar o tráfego de chat e áudio.
  • O protocolo TLS criptografa o canal em movimento. A autenticação ocorre usando o MTLS (Mutual TLS), com base em certificados ou usando a autenticação serviço a serviço com base em Microsoft Entra ID.
  • Os fluxos de áudio e vídeo ponto a ponto e de compartilhamento de aplicativos são criptografados e a integridade verificada utilizando protocolo SRTP).
  • Você verá o tráfego OAuth em seu rastreamento, especialmente em torno de trocas de token e negociação de permissões ao alternar entre guias no Teams, por exemplo, para mover de Postagens para Arquivos. Para obter um exemplo do fluxo OAuth para guias, consulte este documento.
  • O Teams usa protocolos padrão do setor para autenticação de usuário, sempre que possível.

As seções a seguir abordam algumas das principais tecnologias.

Microsoft Entra ID

Microsoft Entra funções de ID como o serviço de diretório do Microsoft 365 e Office 365. Ele armazena todas as informações de diretório de usuários e aplicativos e atribuições de política.

Criptografia de tráfego no Teams

Esta tabela mostra os principais Tipos de tráfego e qual protocolo é usado para criptografia.

Tipo de tráfego Criptografado por
Servidor para Servidor TLS (com MTLS ou OAuth de Serviço a Serviço)
Cliente para servidor, por exemplo, mensagens instantâneas e presença TLS
Fluxos de mídia, por exemplo, compartilhamento de áudio e vídeo de mídia TLS
Compartilhamento de mídia de áudio e vídeo SRTP/TLS
Sinalização TLS
Criptografia avançada de cliente para cliente (por exemplo, chamadas de criptografia de ponta a ponta) SRTP/DTLS

Pontos de Distribuição da Lista de Certificados Revogados (CRL)

O tráfego do Microsoft 365 e do Office 365 ocorre por canais criptografados por TLS/HTTPS, o que significa que os certificados são usados para a criptografia de todo o tráfego. O Teams requer que todos os certificados de servidor contenham um ou mais pontos de distribuição de CRLs. Os pontos de distribuição (CDP) de CRL são locais dos quais as CRLs podem ser baixadas para verificar se o certificado não foi revogado desde sua emissão e se o certificado continua dentro do período de validade. Um ponto de distribuição de CRL pode ser encontrado nas propriedades do certificado como uma URL e é normalmente uma HTTP segura. O serviço do Teams verifica a CRL com cada autenticação de certificado.

Uso Avançado de Chave

Todos os componentes do serviço Teams exigem todos os certificados de servidor para dar suporte ao Uso de Chave Aprimorado (EKU) para autenticação de servidor. A configuração do campo do EKU para autenticação do servidor significa que o certificado é válido para a autenticação de servidores. Esse EKU é essencial para MTLS.

TLS para Teams

Os dados do Teams são criptografados em trânsito e em repouso no serviços da Microsoft, entre serviços e entre clientes e serviços. A Microsoft usa tecnologias padrão do setor, como TLS e SRTP, para criptografar todos os dados em trânsito. Os dados em trânsito incluem mensagens, arquivos, reuniões e outros conteúdos. Os dados corporativos também são criptografados em repouso no serviços da Microsoft para que as organizações possam descriptografar o conteúdo, se necessário, para atender às obrigações de segurança e conformidade por meio de métodos como a Descoberta Eletrônica. Para obter mais informações sobre criptografia Microsoft 365, consulte Criptografia no Microsoft 365

Os fluxos de dados TCP são criptografados usando TLS e protocolos OAuth MTLS e OAuth de Serviço a serviço fornecem comunicações autenticadas de ponto de extremidade entre serviços, sistemas e clientes. O Teams usa esses protocolos para criar uma rede de sistemas confiáveis e garantir que toda a comunicação pela rede seja criptografada.

Em uma conexão TLS, o cliente solicita um certificado válido do servidor. Para ser válido, o certificado deve ser emitido por uma Autoridade de Certificação (AC) considerada confiável pelo cliente, e o nome DNS do servidor deve corresponder ao nome DNS no certificado. Se o certificado for válido, o cliente usa a chave pública no certificado para criptografar as chaves de criptografia simétricas a serem utilizadas na comunicação, assim, apenas o proprietário original do certificado pode utilizar sua chave privada para descriptografar os conteúdos de comunicação. A conexão resultante é confiável e, a partir desse momento, não será desafiada por nenhum outro servidor ou cliente confiável.

O uso do TLS ajuda a evitar escutas e ataques de homem no meio. Em um ataque man-in-the-middle, o invasor redireciona as comunicações entre duas entidades de rede por meio do computador do invasor, sem o conhecimento dos participantes. As especificações de servidores confiáveis do TLS e do Teams reduzem o risco de um ataque man-in-the middle parcialmente na camada de aplicativos usando criptografia coordenada por meio da criptografia de Chave Pública entre os dois pontos de extremidade. O invasor teria que possuir um certificado válido e confiável com a Chave Privada correspondente e emitido para o nome do serviço ao qual o cliente está solicitando descriptografar a comunicação.

Criptografia no Teams e no Microsoft 365

Há várias camadas de criptografia em trabalho dentro Microsoft 365. A criptografia do Teams funciona com o restante da criptografia do Microsoft 365 para proteger o conteúdo da sua organização. Este artigo descreve tecnologias de criptografia específicas para o Teams. Para uma visão geral sobre criptografia Microsoft 365, consulte Criptografia no Microsoft 365.

Criptografia de mídia

Os fluxos de chamada no Teams são baseados no modelo de oferta e resposta Protocolo de Descrição de Sessão (SDP) RFC 8866 via HTTPS. Depois que o receptor aceita uma chamada, o chamador e o receptor concordam com os parâmetros da sessão.

O tráfego de mídia é criptografado e flui entre o receptor e o chamador usando RTP seguro (SRTP), um perfil do Protocolo de Transporte em Tempo Real (RTP) que fornece confidencialidade, autenticação e proteção contra ataques de repetição para o tráfego RTP. SRTP usa uma chave da sessão gerada por meio de um gerador de número aleatório seguro e trocada por meio do canal TLS de sinalização. Na maioria dos casos, o tráfego de mídia cliente para cliente é negociado por meio da sinalização de conexão de cliente para servidor e é criptografado usando SRTP ao ir diretamente de cliente para cliente.

Em fluxos normais de chamada, a negociação da chave de criptografia ocorre por meio do canal de sinalização de chamada. Em uma chamada criptografada de ponta a ponta, o fluxo de sinalização é o mesmo de uma chamada Teams normal. No entanto, o Teams usa DTLS para derivar uma chave de criptografia com base em certificados por chamada gerados em ambos os pontos de extremidade do cliente. Como o DTLS deriva a chave com base nos certificados do cliente, a chave é opaca para a Microsoft. Quando ambos os clientes concordam com a chave, a mídia começa a fluir usando essa chave de criptografia negociada por DTLS por SRTP.

Para proteger contra um ataque man-in-the-middle entre o receptor e o chamador, o Teams deriva um código de segurança de 20 dígitos das impressões digitais SHA-256 dos certificados de chamada do chamador e do ponto de extremidade do chamador. O receptor e o chamador podem validar os códigos de segurança de 20 dígitos lendo-os uns para os outros para ver se eles correspondem. Se os códigos não corresponderem, a conexão entre o receptor e o chamador foi interceptada por um ataque man-in-the-middle. Se a chamada tiver sido comprometida, os usuários poderão encerrar a chamada manualmente.

O Teams usa um token baseado em credenciais para acesso seguro a retransmissores de mídia por TURN. Media Relays trocam o token por um canal protegido por TLS.

FIPS (Federal Information Processing Standard)

O Teams usa algoritmos compatíveis com FIPS para trocas de chaves de criptografia. Para obter mais informações sobre a implementação do FIPS, confira Publicação 140-2 do padrão FIPS (Federal Information Processing Standard).

Autenticação do usuário e do cliente

Um usuário confiável é aquele cujas credenciais foram autenticadas por Microsoft Entra ID no Microsoft 365 ou Office 365.

Autenticação é o provisionamento de credenciais de usuário em um servidor ou serviço confiável. O Teams usa os seguintes protocolos de autenticação, dependendo do status e da localização do usuário.

  • Autenticação moderna (MA) é a implementação Microsoft do OAUTH 2.0 para comunicação de cliente para servidor. Ela ativa recursos de segurança como a autenticação multifatorial e o Acesso Condicional. Para usar a MA, tanto o locatário online quanto os clientes precisam habilitar a MA. Os clientes do Teams em PC e dispositivos móveis, bem como no cliente Web, são compatíveis com a MA.

Nota

Se você quiser mais informações sobre Microsoft Entra métodos de autenticação e autorização, as seções Introdução e "Autenticação básicas em Microsoft Entra ID" ajudarão.

A autenticação do Teams é realizada por meio de Microsoft Entra ID e OAuth. O processo de autenticação pode ser simplificado para:

  • A próxima solicitação de emissão > de token de entrada > do usuário usa o token emitido.

As solicitações de cliente para servidor são autenticadas e autorizadas pelo Microsoft Entra ID com o uso do OAuth. Os usuários com credenciais válidas emitidas por um parceiro federado são confiáveis e passam pelo mesmo processo de usuários nativos. No entanto, outras restrições podem ser colocadas no local por administradores.

Para autenticação de mídia, os protocolos ICE e TURN também utilizam o mecanismo do desafio Digest, conforme descrito no IETF TURN RFC.

Ferramentas de gerenciamento do Teams e Windows PowerShell

No Teams, os administradores de TI podem gerenciar seus serviços por meio do Centro de administração do Microsoft 365 ou usando o Tenant Remote PowerShell (TRPS). Os administradores de locatário usam autenticação moderna para autenticar o TRPS.

Configurando o acesso Teams no limite da Internet

Para que o Teams funcione corretamente por exemplo, para que os usuários possam participar de reuniões, os clientes devem configurar o acesso à Internet de forma que o tráfego de saída UDP e TCP para os serviços na nuvem do Teams seja permitido. Para obter mais informações, consulte URLs do Office 365 e intervalos de endereços IP.

UDP 3478-3481 e TCP 443

As portas UDP 3478-3481 e TCP 443 são usadas pelos clientes para solicitar o serviço de áudio visuais. Um cliente usa essas duas portas para atribuir as portas UDP e TCP, respectivamente, para permitir esses fluxos de mídia. Os fluxos de mídia nessas portas estão protegidos por uma chave trocada por um canal de sinalização protegido por TLS.

Proteções de federação para Teams

A Federação fornece à sua organização a capacidade de se comunicar com outras organizações para compartilhar mensagens instantâneas e presença. No Teams, a federação está ativada por padrão. No entanto, os administradores de locatários têm a capacidade de controlar a federação por meio do Centro de administração do Microsoft 365.

Enfrentando ameaças em reuniões do Teams

Os usuários da empresa podem criar e ingressar em reuniões em tempo real e convidar usuários externos que não têm uma ID Microsoft Entra, Microsoft 365 ou Office 365 conta, para participar dessas reuniões.

Permitir que usuários externos participem de reuniões do Teams pode ser útil, mas também traz alguns riscos à segurança. Para resolver esses riscos, o Teams usa essas proteções:

Antes da reunião:

  1. Decida quais tipos de participantes externos poderão participar de suas reuniões:

    • O acesso anônimo permite a junção de reunião de (1) usuários não autenticados que não estão conectados ao Team (normalmente ingressando por meio do link de reunião no navegador) e (2) usuários autenticados de locatários externos que não têm acesso externo estabelecido com o organizador e sua organização.

    • Por meio do acesso externo , você pode decidir quais usuários e organizações externas autenticados poderão ingressar em suas reuniões com mais privilégios. Esses usuários são considerados pertencentes a organizações confiáveis.

    • O acesso ao convidado permite que você crie contas de convidado para pessoas fora de sua organização terem acesso a equipes, documentos em canais, recursos, chats e aplicativos, mantendo o controle sobre seus dados corporativos.

Nota

Usuários e organizações que não têm acesso externo com sua organização serão considerados anônimos. Caso você tenha bloqueado a junção anônima, eles não poderão participar de suas reuniões.

O acesso externo precisa ser habilitado bidirecionalmente, ambas as organizações precisam permitir acesso externo mútuo.

Nota

Para obter mais informações sobre acesso externo e convidado no Teams, confira este artigo. Ele aborda quais recursos os usuários convidados ou externos podem esperar ver e usar quando fazem logon no Teams.

  1. Decida quem pode participar da reunião diretamente e quem precisará aguardar no Lobby para ser admitido pelo Organizador, co-organizador ou usuários autenticados com a função de reunião do Apresentador:

  2. Decida se usuários anônimos e chamadores discados podem iniciar uma reunião antes que os usuários da sua organização, usuários da organização confiável e usuários com acesso convidado ingressem na chamada.

Nota

As reuniões de agendamento são restritas a usuários autenticados de sua organização ou usuários com acesso de convidado à sua organização.

Durante a reunião:

  1. Atribua funções de reunião de participantes específicas para determinar privilégios de controle de reunião. Os participantes da reunião se enquadram em grupos, cada um com seus próprios privilégios e restrições, descritos aqui.

Nota

Se você estiver gravando reuniões e deseja ver uma matriz de permissões ao acessar o conteúdo, consulte esse artigo e a sua matriz.

Modifique enquanto a reunião estiver em execução:

  • Você pode modificar as opções de reunião enquanto uma reunião está em andamento. A alteração, quando for salva, será perceptível na reunião em execução em segundos. Ele também afeta quaisquer ocorrências futuras da reunião. Para obter detalhes sobre como atribuir essas funções, leia este artigo.

Nota

As alterações nas configurações de administrador do Teams podem levar até 24 horas.

As 12 principais tarefas para as equipes de segurança dar suporte ao trabalho em casa

Central de Confiabilidade da Microsoft

Otimize a conectividade do Microsoft 365 ou do Office 365 dos usuários remotos usando o túnel dividido da VPN