TPM e UEFI: requisitos do Windows 11 podem 'arrumar a casa' para a segurança do novo sistema thumbnail
Economia

TPM e UEFI: requisitos do Windows 11 podem 'arrumar a casa' para a segurança do novo sistema

Tecnologias viabilizam inovações e deixam consumidor mais informado sobre a existência de recursos de segurança, mas terá preço de compatibilidade. VÍDEO: Windows 11 – O que há de novo no sistema da Microsoft
Mesmo ignorando as novidades do Windows 11, o anúncio da nova versão do sistema da Microsoft por si só já seria surpreendente. Afinal, a empresa tinha prometido que o Windows 10 seria “a última versão do Windows”.
Com o lançamento do Windows 11, a promessa parece ter sido descumprida, mas apenas em parte. Exceto por algumas novidades, o Windows 11 ainda é o mesmo sistema. E a atualização é gratuita, como já acontece com o Windows 10.
SAIBA MAIS: Atualização de PCs para Windows 11 vai começar em 2022
Curiosamente, a verdadeira linha divisória entre esses dois sistemas parece estar nos requisitos mínimos – especialmente os de segurança. É a primeira vez que a Microsoft pretende exigir a presença das tecnologias UEFI e TPM.
Um dos pilares do Windows ao longo dos anos tem sido a compatibilidade com equipamentos antigos, o que é certamente positivo.
O preço disso, porém, é que algumas funções do sistema operacional ficam bloqueadas para quem não dispõe do hardware necessário.
Para o consumidor, muitas vezes não há uma informação clara a respeito das capacidades do computador que ele está comprando. O Windows 11 pode ser esse indicativo.
No varejo brasileiro, por exemplo, computadores com peças de 2015 e 2021 convivem lado a lado, ambos com Windows 10 e vendidos como “novos”. Se a Microsoft não mudar de ideia, produtos com peças antigas ficarão sem o Windows 11 – ganhando a merecida “cara velha”.
Outro exemplo bem relevante nos dias de hoje é a criptografia de disco. Praticamente todos os demais dispositivos (celulares e tablets Android e iOS, e computadores da Apple) podem criptografar o armazenamento, o que protege o sistema de muitos ataques. No Windows, isso é uma incógnita.
Se você compra um computador com a versão “Home” do Windows 10, é possível que ele possa criptografar o disco usando um recurso disponível nesta versão.
Mas também existe a possibilidade de que o computador não dê suporte a esse recurso e você tenha que migrar para o Windows 10 Pro se quiser a criptografia.
Com os requisitos de segurança obrigatórios do Windows 10, é possível que a Microsoft “arrume a casa” e unifique a disponibilidade de recursos do Windows que hoje dependem de particularidades do computador.
‘Criptografia do dispositivo’ no Windows 10 Home só está disponível para alguns dispositivos. Com novos requisitos, Windows 11 tem oportunidade para garantir novos recursos para mais usuários
Reprodução
Conheça as tecnologias
UEFI: É a sigla para Interface Unificada de Firmware Extensível. Parece uma sopa de letrinhas, mas o objetivo dela está no nome: unificar o “idioma” dos componentes de computadores, tablets e outros dispositivos para que o sistema operacional possa se comunicar eles de um jeito mais inteligente.
Se todos esses componentes podem “conversar”, o passo seguinte é criar extensões – ou seja, novos recursos e tecnologias que podem ser agregadas, viabilizando a inovação.
Em termos concretos, a UEFI é implementada por um software básico geralmente armazenado na placa-mãe.
Esse é o primeiro código executado quando o computador liga e, por isso, precisa ser capaz de reconhecer comandos com o teclado e o mouse, exibir informações básicas na tela e transferir o controle do hardware ao sistema operacional.
O papel histórico da UEFI é mais simples de entender. Ele substituiu o BIOS (Sistema Básico de Entrada/Saída), que foi desenvolvido pela IBM e adotado nos chamados “clones de IBM PC”, que vieram a se tornar os “PCs” que conhecemos hoje.
Por ser mais nova, a UEFI em muitos casos era sinônima de suporte a mais cores e mouse durante a inicialização do computador.
No Windows, a UEFI é necessária para usar uma tecnologia chamada “Secure Boot” (“Inicialização Segura”), que tenta impedir adulterações no software que carrega o sistema operacional.
Em sistemas sem o Secure Boot, vírus podem adulterar essa camada de inicialização e – em um efeito dominó – comprometer todos os demais recursos de segurança.
TPM: A sigla significa “Módulo de Plataforma Confiável” – mas não se engane com a palavra “módulo”, porque ele não precisa ser um componente físico. Em sistemas mais recentes, é comum que o TPM seja uma camada de software chamada fTPM (a Intel utiliza sigla “PTT” para fins de marketing).
O TPM faz parte de um conceito mais abrangente chamado Trusted Computing, ou Computação Confiável. A ideia é criar mecanismos para que os computadores possam se apoiar em pilares de segurança durante atividades importantes.
Computadores são máquinas programáveis, aptas a seguir qualquer comando. Isso nem sempre contribui com a segurança: se tudo pode ser modificado, fica mais difícil de construir uma base sólida solida para um ambiente de acesso controlado.
Ou seja, às vezes pode ser benéfico identificar uma instrução adulterada e recusá-la – mas isso é muito difícil para o computador.
O TPM atua para reduzir essas incertezas, dando aval para a integridade do software (ou seja, detectando modificações que não parecem ter sido realizadas de forma regular) e armazenando chaves secretas que ficam ilegíveis até para o sistema operacional.
Criptografia de dispositivo e biometria são mais comuns em celulares do que nos PCs, e falta de recursos universais de segurança têm dificultado a inovação
Altieres Rohr/G1
Por que o Windows precisa dessas tecnologias?
Ainda não há muitas informações concretas sobre o que a Microsoft pretende com o TPM e o UEFI, mas temos algumas pistas.
Uma delas, como já mencionado, é a necessidade de criar uma linha divisória clara para a disponibilidade de mecanismos de segurança, como a criptografia.
Nem as especificações técnicas detalhadas dos computadores no mercado mencionam com clareza a disponibilidade dos recursos.
A garantia de compatibilidade com o Windows 11 tende a ser um importante fator de marketing para fabricantes de computadores, podendo ser um marco para consolidar os avanços em segurança.
Mas a principal pista é uma publicação de David Weston, diretor de segurança corporativa e de sistema da Microsoft.
Weston lembra que a Microsoft quer acabar com as senhas usando o Windows Hello, mas a ausência de uma base confiável nos PCs dificulta a criação dessa tecnologia.
De acordo com as especificações, o Windows 11 poderá ser integrado com a autenticação em duas etapas dos celulares, facilitando mais processos de autenticação.
Em smartphones, nos quais a inovação caminhou a passos largos na última década, é praticamente universal a presença de áreas seguras onde apps podem armazenar chaves secretas ou até executar comandos livres de qualquer interferência de outros aplicativos. Nos PCs, essa ideia ainda está engatinhando.
A inicialização segura também é regra nos smartphones, enquanto fabricantes de componentes de hardware ainda disponibilizam ferramentas de manutenção incompatíveis com essa tecnologia.
Como o Windows 10 precisa dar suporte a sistemas que não têm esses recursos de segurança, os PCs ficaram para trás – mesmo com avanços no combate a vírus e outras ameaças, muitos computadores simplesmente são incompatíveis com a ideia de “confiança”.
Uma computação mais confiável tem benefícios diversos, seja para um game que precisa combater a trapaça on-line ou para os bancos que precisam garantir a autenticação de transferências.
Com esses recursos de segurança, a ideia é criar uma fundação que dê margem para mais controles de segurança, isolamento entre aplicativos e atestados de integridade.
Ferramenta da Microsoft informa se computador será compatível com Windows 11 e que atualização é gratuita
Reprodução
Só computadores novos
A documentação que está no site da Microsoft afirma que o Windows 11 não será compatível até com processadores relativamente recentes. A sétima geração dos Intel Core, lançada em 2017, não faz parte da lista, por exemplo, assim como a primeira geração dos Ryzen da AMD.
Caso a Microsoft siga à risca os requisitos publicados, muitos computadores mais ou menos recentes – especialmente no Brasil, onde as peças costumam ter uma sobrevida maior após seu prazo de obsolescência – não poderão receber o sistema.
Como a documentação ainda pode ser atualizada, não se sabe se esses processadores antigos serão adicionados, ou até se o sistema vai realmente bloquear a instalação. É possível que o Windows possa ser instalado nesses computadores, mas não possa ser vendido com eles, por exemplo.
No entanto, há uma chance de que essas restrições tenham relação com a disponibilidade de outros recursos de segurança que não fazem parte da especificação principal.
Por exemplo, os processadores 8ª geração da Intel foram os primeiros a incluir soluções em hardware para corrigir a falha de segurança “Meltdown”.
Windows 11 abala ‘comodismo’ da indústria
O UEFI foi lançado em 2005, enquanto a primeira norma do TPM foi publicada em 2009. O Windows já pode utilizar ambos, mas é a primeira vez que eles serão obrigatórios.
Mesmo sendo tecnologias maduras, a indústria muitas vezes optou pelo comodismo. O TPM, por exemplo, foi tratado como uma “tecnologia corporativa”, ofertada como um “privilégio” de máquinas para o mercado empresarial.
Isso nem sempre ocorreu por questões de custo. O TPM não é um chip muito complexo e, para computadores que têm o TPM em software, o custo já está embutido. Deveria ser inaceitável que ele viesse desativado, mas isso também acontece.
Um jornalista do site “Tom’s Hardware” passou por essa situação. Ele foi pego de surpresa quando a ferramenta de compatibilidade da Microsoft alertou que o sistema não poderia instalar o Windows 11. Quando o TPM foi ativado, o problema foi resolvido.
Não é difícil imaginar que alguns consumidores acabem comprando módulos avulsos de TPM sem saber que o computador já possui um TPM de software que pode ser ativado de graça.
No caso da UEFI, muitas placas-mãe vendidas no varejo para computadores personalizados vinham pré-configuradas com uma tecnologia chamada CSM, que efetivamente deixa o computador em modo de compatibilidade com BIOS.
Caso esta configuração não seja modificada antes da instalação do Windows, o sistema estará em modo BIOS e desligará funções importantes, como a Inicialização Segura.
Pela primeira vez, um hardware vendido nessa configuração será incapaz de instalar o Windows. Ou seja, o Windows 11 transmite uma “mensagem” de que isso não é aceitável e que a configuração do hardware deve ser segura logo que sai da caixa.
Assim, funções que vinham desativadas sem motivo aparentemente finalmente terão que ser ligadas na fábrica.
Como saber se o seu computador está em UEFI
Mesmo computadores que têm suporte à UEFI muitas vezes são configurados em modo CSM (BIOS). Você pode seguir estes passos para saber em que formato sua instalação do Windows está:
Aperte a tecla Windows para abrir o menu iniciar ou clique no ícone do Windows em sua tela para abrir o menu
Digite msinfo32 e aperte Enter (ou clique no ícone “Informações de sistema”)
No lado esquerdo, clique em “Recursos do sistema”
No lado direito, confira o “Modo da BIOS”. Se estiver “UEFI”, seu Windows foi instalado em formato UEFI.
Aplicativo do Windows informa se o sistema foi instalado em Modo UEFI
Reprodução
Se o seu sistema não estiver em modo UEFI, o correto a se fazer é reinstalar o Windows após reconfigurar o sistema em modo UEFI. Isso exige o desligamento da função de CSM e o preparo de um pen drive de instalação formatado em modo “GPT”.
Se o seu computador não está modo UEFI e o CSM for desligado, o computador não poderá mais ser iniciado. O blog não recomenda realizar nenhuma dessas mudanças sem o auxílio técnico adequado.
Como saber se o seu computador tem um TPM ativo
Verificar a presença do TPM também é simples dentro do próprio Windows. Siga esses passos:
Aperte a tecla Windows em seu teclado, o que vai abrir o menu iniciar
Digite tpm.msc e aperte Enter; você também pode digitar “Processador de segurança” para localizar a nova interface
Na tela, você verá se o TPM está funcionando e a versão instalada.
No momento, há informações conflitantes sobre a versão exigida. A Microsoft afirma que é necessário utilizar a versão 2.0, mas alguns publicações estão adiantando a informação de que o Windows 11 será compatível com o TPM 1.2.
Se não houver um TPM presente, procure se informar a respeito da existência do TPM de software (AMD fTPM e Intel PTT) em seu computador. Sistemas de 2018 e mais recentes normalmente têm o recurso.
Tela do Windows informa versão do TPM. No caso da imagem, a versão é a 2.0, que é a recomendada pelo Windows 11
Reprodução
Como acessar as configurações da UEFI
Se o seu computador já está em modo UEFI e não há TPM ativo, você pode acessar as configurações da UEFI para procurar pela opção de ativar o fTPM ou Intel PTT.
Essa opção pode estar disponível em notebooks e sistemas empresariais, além de máquinas personalizadas com componentes de 2016 e mais novos. É improvável que ela exista em computadores montados em 2015 ou mais antigos.
Em alguns casos, pode ser possível adquirir um pequeno cartão de expansão que é ligado à placa-mãe para adicionar o TPM. Atualmente, este não é um componente muito comum no varejo brasileiro.
A configuração da UEFI permite modificar ajustes que podem deixar o computador inutilizável. Caso não saiba como proceder após entrar na UEFI, desligue seu computador segurando o botão de energia e procure auxílio técnico.
Para acessar a UEFI em seu computador, segure “Shift” e clique em “Reiniciar”. Nesta tela, escolha ‘Solução de problemas’
Reprodução
Na tela seguinte, selecione ‘Opções avançadas’
Reprodução
or fim, clique em ‘Configurações de Firmware UEFI’. Após entrar na configuração da UEFI, você pode desligar o computador a qualquer momento
Reprodução
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Como proteger seu WhatsApp de golpes
Golpes no Whatsapp: saiba como se proteger
No YouTube, G1 explica o que é NFT:

Tópicos