A Microsoft quer ajudar em ambientes corporativos a identificar máquinas com certificados Safe Boot expirados desde 2011. Já existe alguma ajuda para redes, e agora o Microsoft Defender também deve ajudar a detectar dispositivos afetados e atualizá-los.
Leia mais depois do anúncio
A Microsoft anunciou agora uma nova funcionalidade para o Microsoft Defender no centro de mensagens do Windows Release Health Notes. É um painel no qual os gerentes de TI da rede podem ver o status de segurança dos dispositivos gerenciados. Agora as equipes de TI podem ver a distribuição de certificados de inicialização segura a partir de 2023 em toda a frota de dispositivos, explicou a empresa. As entradas de blog da comunidade de tecnologia fornecem mais detalhes.
Efeitos de um certificado de inicialização segura expirado
A Microsoft explica que o Secure Boot garante a integridade do processo de inicialização do dispositivo, iniciando apenas software confiável. Se o dispositivo não aceitar o novo certificado, não se beneficiará das novas medidas de segurança de inicialização inicial. O dispositivo continuará a inicializar, mas não poderá forçar medidas de proteção mais recentes na fase inicial de inicialização do sistema. Com o tempo, isso enfraquece a raiz da confiança do dispositivo e o expõe a uma nova classe de ataques que são aplicados antes do sistema operacional e dos controles de segurança completos serem carregados.
Em particular, componentes de inicialização maliciosos ou manipulados não poderão mais ser bloqueados se não estiverem assinados com um certificado confiável. Os dispositivos podem não conseguir usar novas políticas de inicialização segura projetadas para proteger contra ameaças de inicialização recém-descobertas. Além disso, os invasores podem usar técnicas de persistência no momento da inicialização antes que os controles de segurança tradicionais sejam aplicados.
Para evitar isso, os gestores de TI devem ter uma visão geral de quais dispositivos concluíram a atualização com sucesso e quais dispositivos ainda precisam de atenção nesse sentido. É por isso que os desenvolvedores integraram novas recomendações ao painel do Microsoft Defender. Ele divide os dispositivos em três classes: “Dispositivos disponíveis” ainda confiam no antigo certificado de inicialização segura, sem confiar no certificado mais recente. “Dispositivos compatíveis” têm um novo certificado 2023 e um gerenciador de inicialização assinado. “Nenhum dispositivo”, por outro lado, tem o Secure Boot desabilitado ou não oferece suporte.
A partir desta visualização de recomendações, os administradores podem analisar os dispositivos que viram e descobrir quais sistemas ainda precisam de atenção. Os filtros podem ser aplicados por plataforma do sistema operacional e contexto do dispositivo para melhor priorização. Os dados do dispositivo também podem ser exportados para serem compartilhados com equipes de infraestrutura e plataforma. Obviamente, o processo de distribuição segura do certificado de inicialização pode ser monitorado com isso. A Microsoft não disse nada sobre se isso envolve custos adicionais.
Leia mais depois do anúncio
A Microsoft agora cobre diferentes dimensões de rede. Em computadores individuais, o aplicativo de segurança do Windows ajuda a ver o status do certificado de inicialização segura em uma máquina específica. No entanto, os gestores de TI devem agir por conta própria, especialmente em servidores Windows, onde a Microsoft não distribui novos certificados com atualizações automáticas do Windows. A Microsoft chamou a atenção para o fato de o certificado ter expirado desde junho de 2025. O administrador deve agora concluir a preparação e começar a distribuir o novo certificado de inicialização segura.
(dmk)
