WEBVTT 00:00.000 --> 00:01.560 Instrutor: Nesta lição, vamos 00:01.560 --> 00:02.730 explorar alguns dos recursos 00:02.730 --> 00:05.100 de segurança do BIOS e da UEFI. 00:05.100 --> 00:07.200 Além de fornecer proteções em nossa rede e em nosso 00:07.200 --> 00:09.120 ambiente de sistema operacional, também 00:09.120 --> 00:10.740 precisamos considerar a segurança 00:10.740 --> 00:13.320 de nosso ambiente de sistema pré-operacional. 00:13.320 --> 00:14.520 Essa é a área do computador 00:14.520 --> 00:16.560 que pode ser atacada durante a fase de inicialização 00:16.560 --> 00:18.720 e, portanto, as proteções do carregador de inicialização 00:18.720 --> 00:22.290 devem ser consideradas, inclusive as senhas do BIOS e da UEFI, o processo de inicialização 00:22.290 --> 00:27.030 segura e a configuração de permissões nas portas USB da placa-mãe. 00:27.030 --> 00:29.700 Lembre-se de que o BIOS e o UEFI são dois tipos diferentes de 00:29.700 --> 00:32.430 firmware usados em nossos computadores para nos auxiliar 00:32.430 --> 00:35.730 durante o carregamento e a inicialização do sistema operacional. 00:35.730 --> 00:38.610 Cada computador pode ter o BIOS ou o UEFI, 00:38.610 --> 00:39.870 mas não ambos. 00:39.870 --> 00:42.300 O BIOS é o sistema básico de entrada/saída e é uma 00:42.300 --> 00:44.880 interface de firmware que inicializa o hardware de 00:44.880 --> 00:47.790 um sistema operacional para que ele seja inicializado. 00:47.790 --> 00:49.980 Os computadores que dependem do BIOS usarão um registro 00:49.980 --> 00:53.550 mestre de inicialização, ou MBR, para manter suas informações de inicialização e identificar 00:53.550 --> 00:56.070 as partições de um determinado disco rígido que contêm o sistema 00:56.070 --> 00:58.320 operacional a ser carregado. 00:58.320 --> 01:01.980 O BIOS é o tipo de firmware mais antigo e legado. 01:01.980 --> 01:04.560 A UEFI, ou iniciativa de firmware extensível unificado, 01:04.560 --> 01:07.170 por outro lado, é um tipo mais recente de firmware. 01:07.170 --> 01:09.660 O UEFI é um tipo de firmware de sistema que oferece suporte a 01:09.660 --> 01:12.690 operações de CPU de 64 bits no momento da inicialização, uma interface gráfica 01:12.690 --> 01:15.660 de usuário completa e operações de mouse na inicialização, além de melhor 01:15.660 --> 01:17.520 segurança de inicialização. 01:17.520 --> 01:19.920 Os computadores que dependem da UEFI usarão uma tabela 01:19.920 --> 01:24.120 de partição GUID conhecida como GPT para manter suas informações de inicialização. 01:24.120 --> 01:26.160 A UEFI oferece a capacidade de acessar e inicializar 01:26.160 --> 01:28.740 a partir de discos com mais de dois terabytes de tamanho 01:28.740 --> 01:31.470 e fornece arquitetura e drivers independentes da CPU, 01:31.470 --> 01:33.960 bem como um ambiente pré-SO que pode incluir recursos 01:33.960 --> 01:36.840 de rede e acesso à navegação na Web. 01:36.840 --> 01:39.900 Em geral, a UEFI é mais nova e mais avançada do que o BIOS e oferece segurança 01:39.900 --> 01:42.150 adicional e verificações de integridade durante 01:42.150 --> 01:45.540 o processo de inicialização, incluindo a inicialização segura. 01:45.540 --> 01:48.270 Agora, o BIOS e o UEFI também podem ser protegidos 01:48.270 --> 01:50.700 com alguns tipos diferentes de senhas. 01:50.700 --> 01:52.740 Isso inclui a senha do supervisor, do administrador 01:52.740 --> 01:56.010 ou de configuração, a senha do usuário ou do sistema e a senha do armazenamento 01:56.010 --> 01:58.470 ou do disco rígido. 01:58.470 --> 02:00.930 A senha de supervisor, administrador ou configuração 02:00.930 --> 02:03.180 é o primeiro tipo de senha que você encontrará 02:03.180 --> 02:05.400 ao usar o BIOS ou a UEFI. 02:05.400 --> 02:07.470 Essa senha é usada para proteger o acesso ao 02:07.470 --> 02:10.050 BIOS ou ao programa de configuração UEFI e impede que 02:10.050 --> 02:12.090 usuários não autorizados acessem essa ferramenta 02:12.090 --> 02:14.220 de configuração sensível. 02:14.220 --> 02:17.190 Se você configurar essa senha, sempre que alguém tentar 02:17.190 --> 02:19.890 entrar no BIOS ou na UEFI, será necessário digitar 02:19.890 --> 02:22.170 a senha antes de conceder o acesso, mas isso 02:22.170 --> 02:25.410 não impedirá que alguém ligue o computador e inicialize 02:25.410 --> 02:28.710 no ambiente normal do sistema operacional. 02:28.710 --> 02:31.590 Essa senha quase sempre será configurada em computadores 02:31.590 --> 02:33.570 de uma rede corporativa ou empresarial, 02:33.570 --> 02:36.870 de modo que os usuários finais não possam acessar o BIOS ou a UEFI, 02:36.870 --> 02:39.360 mas os administradores e técnicos do sistema possam, 02:39.360 --> 02:41.550 se tiverem a senha correta. 02:41.550 --> 02:43.830 A senha do usuário ou do sistema é o segundo 02:43.830 --> 02:47.430 tipo de senha que pode ser configurada no BIOS ou na UEFI. 02:47.430 --> 02:51.270 Essa senha é usada para bloquear o acesso a todo o computador. 02:51.270 --> 02:53.100 Sempre que o computador for ligado, 02:53.100 --> 02:55.530 ele será interrompido e solicitará uma senha. 02:55.530 --> 02:58.380 Se o usuário final digitar a senha correta, o computador continuará 02:58.380 --> 03:01.320 a carregar o sistema operacional e a inicializar. 03:01.320 --> 03:04.170 Embora esse seja um método muito seguro de proteger um computador, 03:04.170 --> 03:07.380 ele quase nunca é usado em redes corporativas ou empresariais, porque 03:07.380 --> 03:09.300 essa senha teria que ser compartilhada com 03:09.300 --> 03:12.120 todos os usuários que acessam esse computador, e essa senha 03:12.120 --> 03:14.700 compartilhada anula parte da segurança que estamos tentando 03:14.700 --> 03:16.170 obter. 03:16.170 --> 03:19.290 Em vez disso, você normalmente verá uma senha de usuário ou de sistema usada 03:19.290 --> 03:21.090 apenas no computador de alguém, quando essa 03:21.090 --> 03:23.160 pessoa é o único usuário no computador. 03:23.160 --> 03:25.200 Essa é uma senha separada e diferente 03:25.200 --> 03:27.000 da senha do usuário que será usada 03:27.000 --> 03:30.570 para acessar o sistema Windows, Linux ou MacOS e, em vez disso, 03:30.570 --> 03:33.000 concede ao usuário acesso ao sistema nesse 03:33.000 --> 03:35.820 ambiente de sistema pré-operacional. 03:35.820 --> 03:38.130 O terceiro tipo de senha é conhecido como senha 03:38.130 --> 03:40.050 de armazenamento ou de disco rígido. 03:40.050 --> 03:42.240 Esse tipo de senha costumava ser muito popular 03:42.240 --> 03:45.000 antes da inclusão do módulo de plataforma confiável ou do 03:45.000 --> 03:48.180 módulo de segurança de hardware nos computadores modernos. 03:48.180 --> 03:50.550 Essa senha bloquearia o acesso a um disco rígido 03:50.550 --> 03:53.280 conectado a um sistema e exigiria que o usuário final 03:53.280 --> 03:55.680 digitasse a senha para que o disco rígido fosse 03:55.680 --> 03:58.530 lido e o sistema operacional carregado. 03:58.530 --> 04:01.290 Diferentemente da senha do usuário ou do sistema, que bloqueia 04:01.290 --> 04:03.420 o usuário de todo o sistema até que a senha correta 04:03.420 --> 04:05.820 seja inserida, a senha do armazenamento ou do disco rígido 04:05.820 --> 04:07.710 bloqueia apenas o disco rígido e a capacidade 04:07.710 --> 04:10.769 de inicializar o sistema operacional a partir dele. 04:10.769 --> 04:12.840 O próximo recurso de segurança que precisamos abordar 04:12.840 --> 04:14.550 é conhecido como inicialização segura. 04:14.550 --> 04:17.130 A inicialização segura pode ser ativada na interface 04:17.130 --> 04:20.370 e nas configurações UEFI e não é suportada pelo BIOS. 04:20.370 --> 04:23.310 Se ativado, ele executará três verificações diferentes durante 04:23.310 --> 04:25.620 o processo de inicialização do Windows ou de outros 04:25.620 --> 04:28.680 sistemas operacionais compatíveis com esse recurso para garantir 04:28.680 --> 04:31.350 que o computador não tenha sido sequestrado por algum tipo 04:31.350 --> 04:34.590 de código malicioso injetado no sistema operacional. 04:34.590 --> 04:36.630 Vamos dar uma olhada no processo completo de inicialização 04:36.630 --> 04:38.550 em um sistema Windows normal. 04:38.550 --> 04:41.100 A primeira etapa do processo ocorre quando um computador com Windows está 04:41.100 --> 04:43.950 sendo inicializado, os componentes de inicialização do firmware são carregados 04:43.950 --> 04:45.870 e o gerenciador de inicialização é iniciado. 04:45.870 --> 04:48.120 Em seguida, o carregador do Windows será iniciado, 04:48.120 --> 04:49.830 o kernel do Windows será iniciado e as 04:49.830 --> 04:51.720 instalações dos drivers críticos de inicialização 04:51.720 --> 04:53.130 ocorrerão. 04:53.130 --> 04:55.710 Agora, todas as inicializações adicionais do sistema 04:55.710 --> 04:58.320 operacional ocorrerão e, finalmente, o usuário será 04:58.320 --> 05:00.420 apresentado à tela de login do Windows. 05:00.420 --> 05:02.610 Agora, quando os componentes de inicialização do firmware 05:02.610 --> 05:05.430 são carregados durante uma inicialização segura, o firmware primeiro 05:05.430 --> 05:09.030 verifica se todos os arquivos executáveis UV e o próprio carregador do sistema operacional 05:09.030 --> 05:11.130 têm sua integridade intacta e não foram comprometidos 05:11.130 --> 05:13.320 por nenhum tipo de malware. 05:13.320 --> 05:15.810 Isso significa que eles serão seguros para carregar. 05:15.810 --> 05:18.300 Em seguida, os componentes de inicialização do Windows 05:18.300 --> 05:20.370 verificarão a assinatura digital de cada componente 05:20.370 --> 05:21.750 antes de carregá-los. 05:21.750 --> 05:23.910 Se algum componente não passar nessa verificação 05:23.910 --> 05:26.100 de assinatura, ele não será carregado e acionará um 05:26.100 --> 05:27.450 alerta para o usuário final. 05:27.450 --> 05:30.060 Por fim, os drivers críticos de inicialização serão verificados 05:30.060 --> 05:32.490 em relação aos seus hashes conhecidos e, se passarem nessa 05:32.490 --> 05:35.160 verificação, serão carregados como parte final do processo 05:35.160 --> 05:37.110 de inicialização segura. 05:37.110 --> 05:39.780 Agora, quando se trata de inicialização segura, quero que 05:39.780 --> 05:42.210 você se lembre de que esse é um procedimento que será 05:42.210 --> 05:45.060 usado para garantir que o nosso sistema operacional seja confiável 05:45.060 --> 05:47.820 e que não tenha sido vítima de um tipo especial de malware conhecido 05:47.820 --> 05:49.410 como kit raiz. 05:49.410 --> 05:51.690 Para que a inicialização segura funcione, ela 05:51.690 --> 05:54.750 deve ser ativada dentro do sistema UEFI e o sistema operacional 05:54.750 --> 05:56.670 também deve ser compatível com ela. 05:56.670 --> 05:59.070 O último recurso de segurança que precisamos abordar 05:59.070 --> 06:01.950 no BIOS ou UEFI é a configuração de permissões para as portas 06:01.950 --> 06:03.300 USB na placa-mãe. 06:03.300 --> 06:06.090 Agora, a maioria dos sistemas modernos pode ser configurada 06:06.090 --> 06:08.700 para habilitar ou desabilitar as portas USB na placa-mãe, 06:08.700 --> 06:11.700 e alguns permitem até mesmo restringir as portas USB para que não 06:11.700 --> 06:13.380 sejam compatíveis com determinados 06:13.380 --> 06:16.590 tipos de dispositivos USB e ainda permitam o uso de outros. 06:16.590 --> 06:18.660 Agora, a grande preocupação aqui normalmente 06:18.660 --> 06:20.940 é com malware e perda de dados. 06:20.940 --> 06:24.120 Em termos de malware, as portas USB podem ser uma excelente via de 06:24.120 --> 06:25.560 ataque para alguém que esteja 06:25.560 --> 06:27.270 tentando invadir o seu sistema. 06:27.270 --> 06:29.700 Por exemplo, se eu carregar um pen drive USB com algum 06:29.700 --> 06:32.370 malware, posso deixá-lo em um estacionamento fora de 06:32.370 --> 06:34.950 um prédio de escritórios e, se alguém estiver curioso, 06:34.950 --> 06:37.050 pegá-lo e conectá-lo à sua máquina, isso poderá 06:37.050 --> 06:39.900 instalar malware em seus sistemas. 06:39.900 --> 06:42.810 Portanto, queremos evitar isso desativando a capacidade 06:42.810 --> 06:46.320 do USB de ler e gravar em dispositivos de armazenamento em massa. 06:46.320 --> 06:49.110 É possível fazer isso bloqueando totalmente o USB, mas, 06:49.110 --> 06:51.630 nesse caso, não seria possível usar itens como fones 06:51.630 --> 06:55.050 de ouvido e webcams, mouses e teclados, entre outros. 06:55.050 --> 06:58.020 Portanto, em vez disso, talvez queiramos apenas restringir a capacidade 06:58.020 --> 07:01.020 de usá-los como dispositivos de armazenamento em massa, e isso impediria 07:01.020 --> 07:03.630 que qualquer coisa, como pen drives USB, pen drives ou discos 07:03.630 --> 07:06.870 rígidos externos, fosse conectada ao sistema. 07:06.870 --> 07:08.250 Isso pode nos ajudar a evitar a introdução 07:08.250 --> 07:10.110 de malware em nosso sistema. 07:10.110 --> 07:13.020 Mas, além disso, ele também pode nos ajudar a evitar que 07:13.020 --> 07:14.880 os dados saiam do nosso sistema. 07:14.880 --> 07:17.280 Por exemplo, digamos que você trabalhe para uma organização 07:17.280 --> 07:19.110 ultrassecreta do governo. 07:19.110 --> 07:20.760 Você não gostaria que alguém pudesse 07:20.760 --> 07:23.700 entrar com um pequeno pen drive USB, conectá-lo ao computador, 07:23.700 --> 07:25.560 baixar todas as suas informações e sair 07:25.560 --> 07:27.540 pela porta da frente com ele. 07:27.540 --> 07:30.960 Portanto, para evitar isso, você pode configurar a UEFI para bloquear 07:30.960 --> 07:34.560 essas portas USB ou impedir que sejam usadas para dispositivos de armazenamento 07:34.560 --> 07:37.830 em massa e, novamente, bloquear a capacidade de usar pen drives 07:37.830 --> 07:40.650 e discos rígidos externos, o que fará com que as pessoas 07:40.650 --> 07:42.540 não possam sair pela porta da frente com 07:42.540 --> 07:45.120 suas informações críticas. 07:45.120 --> 07:48.180 Portanto, lembre-se de que, quando se trata de segurança, há três 07:48.180 --> 07:51.270 coisas principais que o BIOS ou a UEFI podem lhe oferecer. 07:51.270 --> 07:54.060 A primeira é a capacidade de definir senhas para controlar 07:54.060 --> 07:56.910 diferentes acessos a diferentes partes do sistema. 07:56.910 --> 07:59.280 A segunda é a capacidade de ativar a inicialização segura 07:59.280 --> 08:01.770 para garantir que o sistema operacional não tenha sido comprometido 08:01.770 --> 08:03.180 antes de ser carregado. 08:03.180 --> 08:07.050 E a terceira é a capacidade de restringir ou desativar portas USB em sua 08:07.050 --> 08:08.850 placa-mãe para evitar que malware 08:08.850 --> 08:10.380 seja introduzido no sistema 08:10.380 --> 08:13.083 ou que dados sejam exfiltrados do sistema.