|

System Guard Secure Launch (Proteção de Firmware) no Windows

PorAntónio César de Andrade

A segurança de sistemas operacionais e dispositivos modernos exige medidas robustas para proteção de firmware, hardware e software. Visando oferecer uma solução completa, a Microsoft, em parceria com fabricantes de equipamentos originais (OEM), criou os PCs com núcleo seguro, ou Secured-core PCs.

Estes dispositivos foram desenvolvidos para aumentar a segurança de dados, identidades e dispositivos, integrando diretamente o hardware, firmware e software. Neste post, vamos mostrar como habilitar o System Guard Secure Launch para proteger o firmware e garantir uma inicialização segura dos dispositivos.

O que é o System Guard Secure Launch?

O que é o System Guard Secure Launch
O *System Guard Secure Launch* protege o firmware do dispositivo, garantindo inicialização segura contra ameaças e malware.

O System Guard Secure Launch faz parte do conjunto de funcionalidades de segurança da Microsoft para proteger o firmware contra ameaças, tais como ataques de malware que possam comprometer a integridade do sistema. Através de uma inicialização protegida, o sistema se certifica de que ele começa em um estado confiável, impedindo que malwares persistentes ou vulnerabilidades de firmware causem danos. A proteção de firmware é fundamental para garantir que o sistema não seja manipulado antes mesmo do carregamento do sistema operacional.

Os PCs com núcleo seguro possuem mecanismos avançados para mitigar ameaças físicas e virtuais, validando a integridade do sistema com a root of trust, uma cadeia de confiança baseada no hardware. Isso significa que somente executáveis e processos assinados e autorizados têm permissão para serem executados durante o processo de inicialização.

Como habilitar a Proteção de Firmware

Existem duas maneiras principais de habilitar a proteção de firmware no Windows:

  1. Habilitar a Proteção de Firmware a partir do aplicativo de Segurança do Windows.
  2. Habilitar a Proteção de Firmware por meio do Editor de Registro do Windows.

Vamos detalhar cada método a seguir para que você possa escolher a opção mais adequada às suas necessidades.

Método 1: habilite a proteção de firmware a partir do aplicativo de segurança do Windows

Este método é o mais direto e acessível para usuários que têm permissão de administrador no sistema e que não desejam modificar o Registro do Windows.

Passo a passo para habilitar a proteção de firmware pelo aplicativo de segurança do Windows

  1. Abrir o Aplicativo de Segurança do Windows: No menu Iniciar, procure por “Segurança do Windows” e abra o aplicativo.
  2. Ir para a Seção de Segurança do Dispositivo: No menu à esquerda da tela principal do aplicativo, selecione “Segurança do dispositivo”.
  3. Acessar Detalhes da Isolação Central: Na seção de Isolamento central, clique no link “Detalhes do isolamento central”. Essa ação o levará a uma nova tela onde é possível ajustar as configurações de proteção de firmware.
  4. Ativar a Proteção de Firmware: Na tela de Isolamento central, procure a opção de proteção de firmware e habilite-a alterando o toggle para a posição “Ativado”.
  5. Confirmação com Controle de Conta de Usuário (UAC): Caso seja exibida uma solicitação do Controle de Conta de Usuário (UAC), clique em “Sim” para autorizar a alteração. Em alguns casos, será necessário inserir as credenciais de administrador.
  6. Reiniciar o Computador: Após habilitar a proteção de firmware, reinicie o computador para que as configurações entrem em vigor.

Após a reinicialização, a proteção de firmware estará ativa e seu dispositivo passará a utilizar a inicialização protegida. Caso a opção de proteção de firmware apareça desativada ou cinza, isso pode significar que o controle está restrito e precisa ser autorizado pelo administrador de TI do sistema. Nesse caso, entre em contato com o administrador para solicitar acesso.

Método 2: habilite a proteção de firmware a partir do editor de registro do Windows

Esse método é indicado para usuários com experiência em edição de registro, uma vez que modificar o registro do Windows requer cautela. Antes de realizar qualquer alteração, é altamente recomendável fazer um backup do registro para evitar perda de dados em caso de erros.

Passo a passo para habilitar a proteção de firmware pelo editor de registro

  1. Fazer Backup do Registro: Abra o Editor de Registro pressionando as teclas Win + R, digitando “regedit” e pressionando Enter. Em seguida, clique em “Arquivo” no canto superior esquerdo, selecione “Exportar”, escolha um local seguro e salve o arquivo de backup.
  2. Criar um Arquivo de Configuração: Abra o aplicativo Bloco de Notas e cole o seguinte código para habilitar o System Guard Secure Launch:plaintextCopiar códigoWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard] "Enabled"=dword:00000001
  3. Salvar o Arquivo com Extensão .reg: No Bloco de Notas, clique em “Arquivo” > “Salvar como”. Escolha um nome, como “Ativar_Proteção_Firmware.reg”, e defina o tipo de arquivo como “Todos os arquivos”. Insira a extensão “.reg” ao final do nome e salve.
  4. Executar o Arquivo .reg: Para aplicar a configuração, clique com o botão direito no arquivo .reg recém-criado e selecione “Abrir”. Confirme a execução do script. Esta ação adicionará a configuração de ativação diretamente ao Registro do Windows.
  5. Criar um Arquivo para Desativar a Proteção (Opcional): Caso queira a opção de desativar a proteção futuramente, crie um segundo arquivo .reg com o seguinte código:plaintextCopiar códigoWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard] "Enabled"=dword:00000000
  6. Reiniciar o Computador: Assim como no primeiro método, a proteção de firmware só entrará em vigor após uma reinicialização do sistema.

Esse processo por meio do Editor de Registro pode ser particularmente útil em ambientes empresariais onde o administrador de TI precisa implementar configurações específicas de segurança em múltiplos dispositivos.

Recomendações de segurança para o registro

É fundamental destacar que qualquer alteração no Registro do Windows pode afetar seriamente o sistema, especialmente em áreas críticas como a segurança do dispositivo. Sempre realize um backup antes de qualquer modificação e siga as instruções com atenção. Se você não se sentir seguro em relação às alterações, consulte um profissional de TI ou peça ajuda ao suporte técnico.

Por que habilitar a proteção de firmware?

Os dispositivos com núcleo seguro foram projetados para oferecer níveis de proteção mais altos, especialmente para dados sensíveis. A habilitação do System Guard Secure Launch é uma etapa crítica para fortalecer a defesa contra ataques avançados, como:

  • Malware Persistente: Softwares maliciosos que podem se manter ativos mesmo após reinicializações e reinstalações do sistema operacional.
  • Ataques à BIOS e UEFI: Esses ataques visam diretamente a BIOS ou o firmware UEFI para manipular o sistema em um nível baixo e contornar medidas de segurança do sistema operacional.
  • Acesso Não Autorizado: A proteção de firmware impede que agentes não autorizados alterem o código essencial do sistema.

Ao ativar a inicialização protegida, você garante que o dispositivo sempre inicie em um estado seguro e limpo, validando a integridade de cada etapa do processo de inicialização.

Cuidados e considerações

A segurança de dispositivos não depende apenas do software e do sistema operacional; também envolve o firmware e o hardware. Com o System Guard Secure Launch, a Microsoft e seus parceiros OEM oferecem uma proteção completa que é ativada desde os primeiros instantes do processo de inicialização. Habilitar a proteção de firmware é uma ação recomendada para todos os usuários que buscam reforçar a segurança dos seus dispositivos contra ameaças cada vez mais sofisticadas.

Quer você esteja utilizando um dispositivo para uso pessoal ou empresarial, a segurança do firmware é uma camada essencial para proteger suas informações e garantir que o sistema funcione sem riscos de compromissos externos. Use um dos métodos apresentados neste artigo para ativar a proteção de firmware e desfrutar de um sistema mais seguro e confiável.

Com essa ativação, seu dispositivo estará mais preparado para lidar com ameaças modernas, utilizando o melhor da tecnologia de segurança da Microsoft e dos PCs com núcleo seguro.

Perguntas frequentes sobre o System Guard Secure Launch

System Guard Secure Launch (Proteção de Firmware) no Windows
O System Guard Secure Launch protege o firmware no Windows, garantindo inicialização segura e defesa contra ameaças.

Para entender melhor a importância e o funcionamento do System Guard Secure Launch, reunimos as perguntas mais frequentes sobre essa tecnologia de segurança essencial no Windows.

O System Guard Secure Launch, também conhecido como proteção de firmware, ajuda a garantir que o sistema inicialize em um estado seguro, prevenindo ataques no nível do firmware e melhorando a proteção de dados e da integridade do dispositivo. Abaixo, respondemos às perguntas frequentes para que você aproveite ao máximo essa funcionalidade e mantenha seu sistema mais protegido.

1. O que é o System Guard Secure Launch?
O System Guard Secure Launch é uma funcionalidade de segurança da Microsoft que protege o firmware do dispositivo, garantindo uma inicialização segura e confiável e impedindo ataques de malware e manipulação no sistema.

2. Por que devo habilitar o System Guard Secure Launch no meu PC?
Habilitar essa função aumenta a segurança do dispositivo ao impedir que softwares maliciosos modifiquem o sistema no nível do firmware, protegendo seus dados e garantindo a integridade do sistema.

3. Como posso habilitar o System Guard Secure Launch?
Existem duas formas principais de habilitar: através do aplicativo Segurança do Windows, acessando a seção de segurança do dispositivo, ou por meio do Editor de Registro, com um ajuste direto no registro do sistema.

4. Quais dispositivos são compatíveis com o System Guard Secure Launch?
Os PCs com núcleo seguro (Secured-core PCs) são compatíveis com essa função. São dispositivos que integram segurança avançada de hardware, firmware e software para maior proteção.

5. Preciso ser administrador para ativar o System Guard Secure Launch?
Sim, a ativação dessa função requer permissões de administrador, especialmente se for feita pelo Editor de Registro. Em ambientes empresariais, pode ser necessário solicitar acesso ao administrador de TI.

6. Como saber se o System Guard Secure Launch está habilitado?
Você pode verificar isso no aplicativo Segurança do Windows, na seção de Segurança do dispositivo. Lá, você verá o status da proteção de firmware, indicando se está ativada ou desativada.

7. O System Guard Secure Launch afeta o desempenho do meu PC?
Essa função foi projetada para operar de forma eficiente em PCs com núcleo seguro, portanto, o impacto no desempenho é mínimo, priorizando a segurança sem comprometer a usabilidade.

8. Posso desativar o System Guard Secure Launch?
Sim, você pode desativá-lo. No entanto, desativar essa função reduz o nível de segurança do dispositivo. Certifique-se de que é realmente necessário antes de fazer isso.

9. Preciso reiniciar o computador após habilitar o System Guard Secure Launch?
Sim, após ativar a proteção de firmware, é necessário reiniciar o dispositivo para que as mudanças sejam aplicadas.

10. O System Guard Secure Launch protege contra todos os tipos de malware?
Ele protege especialmente contra ataques no nível do firmware e ameaças que afetam o sistema antes do carregamento do sistema operacional. Embora aumente a segurança geral, é importante manter outras medidas de proteção, como antivírus.

Veja outras soluções de problemas do Windows e outros sistemas:

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.