Visão geral da segurança de superfície
À medida que as ameaças cibernéticas evoluem, as estratégias para as combater também têm de evoluir. O Microsoft Surface adota uma abordagem proativa e "Confiança Zero" para lidar com ameaças emergentes ao incorporar funcionalidades de segurança avançadas em todos os níveis por predefinição, desde hardware a serviços cloud, desde a concepção do produto até à desativação, garantindo que os dispositivos Surface permanecem altamente seguros, adaptáveis e resilientes ao longo de todo o ciclo de vida.
A segurança de chip para cloud é fundamental para a estratégia do Surface. Fornecemos proteções de plataforma fortes com poderosas capacidades de segurança Windows 11 ativadas por predefinição. À medida que avançamos para um futuro preparado para IA, o Surface ajuda as organizações a reforçar a sua postura de segurança em hardware, SO, dados, aplicações e identidade com base na proteção incorporada.
Cadeia de fornecimento do Surface protegida
Para ajudar a garantir que os dispositivos Surface estão "seguros por predefinição, seguros e seguros na implementação", a Microsoft aplica controlos de segurança rigorosos em todo o ciclo de vida do produto. Estes controlos abrangem componentes físicos de hardware e software. Os dispositivos Surface são submetidos a rigorosas revisões de segurança a partir da concepção, passando pela conceção, desenvolvimento, produção, entrega e manutenção. Estas revisões de segurança abrangentes suportam uma cadeia de confiança totalmente integrada ao longo do ciclo de vida do dispositivo.
A nível de fabrico, a Microsoft realiza auditorias regulares a fornecedores para evitar potenciais ameaças, como ransomware, phishing e software maligno. Além disso, os dispositivos Surface também beneficiam de programas de segurança da Associação anti-comércio aduaneiro contra o terrorismo (C-TPAT) e da Associação de Proteção de Ativos Transportados (TAPA), que protegem ainda mais o comércio global e apoiam a logística segura para o envio de dispositivos Surface em todo o mundo.
Para o software, a Microsoft desenvolveu o Ciclo de Vida de Desenvolvimento Seguro (SDL) e aplicou esta estrutura a todos os produtos para se adaptar proativamente ao panorama das ameaças em mudança e às exigências regulamentares, como a Ordem Executiva dos EUA 14028 ("Melhorar a Cibersegurança da Nação"). Além disso, a Microsoft e os respetivos fornecedores têm de assinar digitalmente componentes de software, utilizar canais e protocolos seguros para comunicação e fornecer atualizações oportunas e regulares aos dispositivos Surface para resolver eventuais problemas. Por último, o desenvolvimento ueFI do Surface é parceiro com o Project Mu open source da Microsoft para fornecer uma pilha de Interface de Firmware Extensível (UEFI) totalmente detida pela Microsoft para cada dispositivo Surface, o que reduz a dependência de fornecedores de firmware não pertencentes à Microsoft, proporcionando transparência e proteção para os níveis mais baixos e confidenciais do seu dispositivo.
Ao possuir design de hardware e desenvolvimento de firmware, a Microsoft minimiza os riscos da cadeia de fornecimento, permitindo respostas rápidas a eventuais vulnerabilidades. Com estas práticas proativas, os dispositivos Surface foram concebidos para cumprir os mais elevados padrões de segurança da cadeia de fornecimento digital e física. Esta abordagem unificada interna melhora a segurança dos dispositivos Surface antes mesmo de saírem da fábrica.
Componentes criados & da Microsoft
A Microsoft concebe e mantém dispositivos Surface para oferecer aos clientes controlo abrangente, proteção proativa e tranquilidade em qualquer ambiente de trabalho. Os dispositivos Surface estão equipados com as principais funcionalidades de segurança da Microsoft para protegê-lo contra ataques sofisticados e simplificar a gestão de dispositivos.
Segurança incorporada do Surface
Desde o momento em que prime o botão para ligar/desligar até ao momento em que encerra o dispositivo, o Surface fornece segurança incorporada de ponta ao longo de todas as fases do ciclo de vida.
Todos os dispositivos Surface com Windows 11 fora da caixa utilizam um Trusted Platform Module (TPM) 2.0 que ajuda a garantir a integridade da plataforma ao impedir a adulteração e a gestão de chaves criptográficas para várias operações seguras. O TPM suporta a Raiz de Confiança do Hardware, um módulo dedicado que ajuda a criar um limite de segurança baseado em hardware para garantir que o dispositivo arranca num estado fidedigno. Em conjunto, a função TPM e Raiz de Fidedignidade como uma âncora segura para operações de segurança e encriptação integradas, estabelecendo a base de segurança para o BitLocker, Segurança Baseada em Virtualização (VBS),Integridade da Memória/HVCI, Segurança Sign-In Avançada (ESS) para Windows Hello para Empresas e outras operações seguras.
Através das verificações de virtualização e integridade fornecidas por VBS e HVCI, respetivamente, o kernel do dispositivo é alojado separadamente do sistema operativo de um Kernel Seguro, o que significa que, mesmo que o sistema operativo esteja comprometido, o kernel ainda está protegido. Além disso, a Proteção DMA do Kernel ajuda a salvaguardar a memória do dispositivo contra ataques de acesso direto à memória (DMA) ao proteger o kernel contra periféricos externos que obtenham acesso não autorizado à memória.
Para suportar a integridade do arranque do dispositivo no power-on, o Arranque Seguro utiliza a Raiz de Fidedignidade do dispositivo para impedir que o firmware não autorizado seja executado no momento do arranque. Ativado pelo UEFI e pelo TPM 2.0 criados pela Microsoft, ajuda a garantir que apenas o firmware autorizado é executado antes do carregamento do SO. Este firmware tem de ter origem na Microsoft, nos respetivos Fornecedores Independentes de Hardware (IHVs) ou em repositórios open source aprovados e permanecer inalterado durante o trânsito e o aprovisionamento no dispositivo. Este processo salvaguarda a integridade do firmware em cada fase da sequência de arranque, desde premir o botão para ligar/desligar até iniciar o SO. Como parte do System Guard Iniciação Segura, os dispositivos Surface também protegem o arranque através da Medição de Raiz Dinâmica de Fidedignidade (DRTM) ou da Redução da Superfície de Ataque de Firmware (FASR),1 que estabelecem uma raiz de confiança baseada em hardware concebida para garantir a integridade do processo de arranque e defender contra ataques ao nível do firmware.
Muitas destas funcionalidades de segurança integradas formam a base do PC (SCPC) Secured-Core, que integra hardware, firmware e virtualização para proteger dispositivos de várias ameaças, incluindo software maligno, problemas de posse física (como perda ou roubo) e ataques de acesso. O SCPC ajuda a proteger os dados mesmo que um dispositivo esteja comprometido.
Desde finais de 2021, todos os dispositivos Surface com Windows 11 é um PC Secured-Core, com o nível de proteção mais elevado ativado. As seguintes funcionalidades de segurança são um subconjunto dessas funcionalidades ativadas por predefinição para todos os dispositivos SCPC Surface:
| Recurso | Descrição | Saiba mais |
|---|---|---|
| Trusted Platform Module (TPM) 2.0 | Um criptoprocessador seguro para garantir a integridade da plataforma ao fornecer mecanismos de segurança para impedir a adulteração e gerar e gerir chaves criptográficas para funções como desbloquear a unidade do sistema, encriptação de disco, medir o processo de arranque e autenticação biométrica. | Visão geral da tecnologia Trusted Platform Module |
| Raiz de Fidedignidade de Hardware | Ajuda a estabelecer um estado de arranque fidedigno ao aplicar o TPM do dispositivo e as capacidades de medição de raiz de confiança para mitigar vulnerabilidades de firmware. Cria um limite de segurança baseado em hardware, isolando a memória do sistema do SO para proteger serviços críticos e dados confidenciais contra vulnerabilidades do SO, suportando a integridade do sistema através do atestado. | Raiz de confiança do hardware |
| BitLocker | Fornece encriptação para lidar com ameaças de roubo de dados ou exposição a dados de dispositivos perdidos, roubados ou insuficientemente desativados. Quando ativado, o BitLocker ajuda a garantir que os dados permanecem inacessíveis, mesmo que o dispositivo caia em mãos não autorizadas. | Visão geral do BitLocker |
| Virtualization-Based Security (VBS) | Utiliza a virtualização de hardware para criar e isolar uma região segura de memória do sistema operativo normal. O Windows pode utilizar este "modo de segurança virtual" para alojar várias soluções de segurança, para proteger operações seguras contra potenciais vulnerabilidades ou exploits no SO. | Segurança baseada em Virtualização (VBS) |
|
Integridade da Memória Também conhecido como Integridade de Código Imposta pelo Hipervisor (HVCI) |
Ajuda a manter a integridade do código no kernel, uma área altamente privilegiada do sistema operativo. Verifica todos os controladores e binários do modo kernel antes da execução e impede que os controladores ou ficheiros de sistema não assinados sejam carregados para a memória. Ao operar num ambiente isolado, verifica a integridade do código do kernel de acordo com a política de assinatura de kernel. | Habilitar a proteção baseada em virtualização de integridade de código |
| Segurança Sign-In Melhorada (ESS) | Utiliza o VBS e o TPM 2.0 para uma comunicação isolada e segura de biometria para autenticação para permitir Windows Hello com início de sessão sem palavra-passe biométrica. | Segurança de Entrada Aprimorada do Windows Hello |
| Windows Hello para Empresas | Permite o início de sessão sem palavra-passe através da autenticação de dois fatores com base em biometria segura (ESS) ou PIN e credenciais específicas do dispositivo associadas à sua identidade empresarial. Este método de autenticação oferece uma segurança elevada e conveniência para os utilizadores. | Como o Windows Hello para Empresas funciona |
| Kernel Protegido | Opera num ambiente virtualizado para proteger contra o SO Windows ao garantir que todas as verificações da política de integridade do código passam. Utiliza vBS e HVCI para um ambiente isolado para proteção de kernel contra potenciais vulnerabilidades do SO. | Kernel protegido |
| Proteção de DMA para Kernel | Protege contra periféricos externos contra obter acesso não autorizado à memória. Ajuda a proteger contra ataques de DMA por unidade. | Proteção de DMA para Kernel |
| UEFI criado pela Microsoft | Firmware que configura o dispositivo e arranca o SO desenvolvido em conjunto pela Microsoft e pelo Surface. Fornece serviços de runtime de firmware e, com Microsoft Intune, melhora significativamente o controlo sobre o hardware através da gestão baseada na cloud ou no local. |
UEFI do Surface: Evolução no arranque, segurança & gestão de dispositivos para criar um PC seguro líder do setor Gerenciar configurações de UEFI do Surface |
| Inicialização segura | Garante que um dispositivo arranca apenas software fidedigno ao verificar a assinatura de cada parte do software de arranque antes de passar para a fase de arranque seguinte. Este processo estabelece handoffs impostos por assinatura entre os ambientes UEFI, bootloader, kernel e aplicações para bloquear ataques de software maligno ou outras ameaças potenciais na sequência de arranque. | Inicialização segura |
| Dynamic Root of Trust Measurement (DRTM) | Arranca o dispositivo de não fidedigno para o estado fidedigno ao forçar as CPUs num caminho de código conhecido e medido para uma raiz de confiança de hardware estabelecida dinamicamente durante o runtime para suportar a integridade do sistema. | Forçar o código de firmware a ser medido e atestado pela Iniciação Segura no Windows 10 |
| Redução da Superfície de Ataque de Firmware (FASR) | Estabelece um caminho de arranque certificado que minimiza a exposição do firmware a potenciais ataques ao limitar o código executável no ambiente de firmware. | Redução da Superfície de Ataque de Firmware (FASR) |
Vantagem de segurança comercial do Surface
Gerenciamento remoto
Os administradores de TI podem gerir remotamente dispositivos Surface. Microsoft Intune centro de administração com o Intune e o Windows Autopilot permite a gestão remota completa de dispositivos Surface a partir da Cloud do Azure, fornecendo dispositivos totalmente configurados aos utilizadores após o arranque. As funcionalidades de eliminação e extinção permitem às TI reutilizar rapidamente um dispositivo para um novo utilizador remoto ou apagar um dispositivo que foi roubado. Estas capacidades permitem respostas rápidas e seguras, permitindo a remoção remota de todos os dados da empresa e a reconfiguração de um Surface como um dispositivo totalmente novo.
Como parte do Microsoft Intune, a Interface de Configuração de Firmware do Dispositivo (DFCI) permite a gestão baseada na cloud das definições de firmware, incluindo a desativação remota do hardware e o bloqueio das definições de UEFI. Como alternativa semelhante, o Surface Enterprise Management Mode (SEMM) é outra solução de gestão para proteger e gerir as definições de firmware numa organização.
Segurança reativa
Numa era digital em rápida evolução, a capacidade de reagir de forma rápida e proativa é fundamental. Microsoft Defender para Ponto de Extremidade oferece proteção em tempo real e orientada por IA contra ameaças avançadas, ajudando a proteger dados e comunicações confidenciais. As organizações beneficiam do poder do Windows Update para Empresas através de uma pilha mantida pela Microsoft de aplicações de firmware e SO. Este serviço mantém os sistemas atualizados com as proteções de segurança mais recentes e permite a gestão de TI de dispositivos já encomendados.
| Recurso | Descrição | Saiba mais |
|---|---|---|
| Microsoft Intune | Uma solução de gestão de pontos finais com base na cloud que ajuda as organizações a gerir o acesso de utilizadores, aplicações e dispositivos, garantindo o acesso seguro aos recursos empresariais. Suporta o modelo de segurança Confiança Zero ao impor a conformidade do dispositivo, integrar com os serviços de defesa e proteger dados de identidade e aplicações. | Microsoft Intune gere identidades de forma segura, gere aplicações e gere dispositivos |
| Windows Autopilot | Permite que a configuração e pré-configuração baseadas na cloud de novos dispositivos os preparem para utilização produtiva e minimizem a pressão para os administradores de TI. Também pode ser utilizado para repor, reutilizar ou recuperar dispositivos para simplificar o ciclo de vida do dispositivo Windows. | Visão geral do Windows Autopilot |
| Interface de Configuração de Firmware do Dispositivo (DFCI) | Permite a gestão remota das definições de UEFI em dispositivos inscritos no Windows Autopilot e geridos através de Microsoft Intune. Permite o controlo remoto das definições de firmware, a desativação dos componentes de hardware e a imposição de configurações autorizadas para reforçar a segurança do dispositivo. | Gerenciar DFCI em dispositivos Surface |
| Surface Enterprise Management Mode (SEMM) | Permite a gestão empresarial centralizada das definições de firmware UEFI em ambientes no local, híbridos e na cloud. Permite que os administradores de TI preparem as definições de configuração do UEFI e as instalem em dispositivos Surface. | Introdução ao Modo de Gestão Empresarial do Surface |
| Microsoft Defender para Ponto de Extremidade | Plataforma de segurança de nível empresarial que deteta, impede e responde a ameaças sofisticadas. Fornece segurança de ponto final robusta orientada por IA para dispositivos Surface geridos. | Microsoft Defender para Ponto de Extremidade |
| Windows Update para Empresas | Permite que os administradores de TI mantenham os dispositivos cliente Windows da organização sempre atualizados com as atualizações de segurança e funcionalidades do Windows mais recentes ao ligar diretamente estes sistemas ao serviço Windows Update. | O que é o Windows Update para Empresas? |
Dimensionar a segurança
À medida que o panorama das ameaças evolui, o Surface começa a adotar mais funcionalidades de segurança em dispositivos selecionados. Estas funcionalidades ainda não foram integradas em todo o portefólio de produtos Surface, mas estão a ser dimensionadas em diferentes linhas de produtos ao longo dos próximos anos. Seguem-se algumas funcionalidades de segurança específicas do produto:
| Recurso | Descrição | Saiba mais |
|---|---|---|
| Expansão da Segurança da Memória | A linguagem de programação Rust garante determinadas garantias de segurança de memória que podem reduzir até 70% das vulnerabilidades em comparação com o código C tradicional. Os componentes visados no software e firmware do Surface estão a ser traduzidos para Rust, começando por partes das pilhas UEFI e Unidade de Microcontrolador (MCU), bem como a criação de uma arquitetura de controlador para o desenvolvimento de controladores Rust. |
Suporte rust para desenvolvimento UEFI através do Project Mu Plataforma de desenvolvimento de controladores Rust open source |
| Processador de Segurança Pluton da Microsoft | O Processador de Segurança Pluton da Microsoft é um criptoprocessador seguro incorporado na CPU para segurança no núcleo do dispositivo. | Processador de segurança do Microsoft Pluton |
| Microsoft Pluton TPM | O Microsoft Pluton suporta o TPM 2.0 para uma raiz de confiança de silício para proteger informações confidenciais e chaves de encriptação. Também suporta a ingestão de melhoramentos de segurança através do Windows Atualizações. | Módulo de Plataforma Fidedigna do Microsoft Pluton |
| Copilot+ PC | PCs com unidades de processamento neural (NPU) incorporadas que aceleram as experiências e operações de inteligência artificial (IA) no dispositivo. | Saiba mais sobre PCs Copilot+ e PCs Windows 11 a partir do Surface |
Embora estas funcionalidades de segurança sejam dimensionadas, mais dispositivos Surface os integrarão como predefinição nos respetivos produtos. Por exemplo, PCs Copilot+, novos PCs Windows com unidades de processamento neural (NPU) incorporadas que aceleram as experiências e operações de inteligência artificial (IA) no dispositivo, contêm o Processador Pluton da Microsoft ativado por predefinição, além do conjunto completo de funcionalidades de segurança do Surface descritas nesta página.
Referências
A funcionalidade FASR é exclusiva dos produtos Surface concebidos pela Intel. A FASR não se aplica a produtos Surface concebidos com processadores Qualcomm (QC) ou AMD.