Segurança e Microsoft Teams

Microsoft Teams, como parte dos serviços Microsoft 365 e Office 365, segue todas as práticas recomendadas e procedimentos de segurança, como segurança no nível de serviço por meio de defesa aprofundada, controles do cliente dentro do serviço, segurança e práticas recomendadas operacionais. Para obter detalhes completos, consulte a Central de Confiações da Microsoft.

Confiável por natureza

O Teams foi projetado e desenvolvido em conformidade com Microsoft Trustworthy Computing Security Development Lifecycle (SDL), descrito em Microsoft Trustworthy Computing Security Development Lifecycle. O primeiro passo para criar um sistema de comunicações unificado mais seguro é o desenvolvimento de modelos de ameaça e teste de cada recurso projetado. Vários aprimoramentos relacionados à segurança foram incorporados às práticas e processos de codificação. As ferramentas de construção em tempo detectam invasões de buffer e outras potenciais ameaças antes do código ser checado no produto final. É impossível projetar contra todas as ameaças de segurança desconhecidas. Nenhum sistema pode garantir a segurança completa. No entanto, porque o desenvolvimento do produto adotou os princípios de design seguro desde o início, o Teams incorpora tecnologias de segurança padrão da indústria como parte fundamental de sua arquitetura.

Confiável por padrão

As comunicações de rede no Teams são criptografadas por padrão. Ao exigir que todos os servidores usem certificados e usando OAUTH, Transport Layer Security (TLS) e Secure Real-Time Transport Protocol (SRTP), todos os dados do Teams dados são protegidos na rede.

Como o Teams lida com ameaças comuns de segurança

Esta seção identifica as ameaças mais comuns à segurança do serviço do Teams e aborda como a Microsoft atenua cada ameaça.

Ataque de chave comprometida

O Teams usa os recursos PKI no sistema operacional do Windows Server para proteger os dados-chave usados para criptografar as conexões TLS. As chaves usadas para criptografar mídia são trocadas através de conexões TLS.

Ataque de negação de serviço de rede

Um ataque DDOS (negação de serviço) distribuído ocorre quando o invasor impede o uso normal da rede e a função por usuários válidos. Ao usar um ataque de negação de serviço, o invasor pode:

• Enviar dados inválidos aos aplicativos e serviços que estão funcionando na rede atacada para interromper o funcionamento normal delel.
• Enviar uma grande quantidade de tráfego, sobrecarregando o sistema até que ele pare de responder ou responda devagar aos pedidos legítimos.
• Esconder a evidência dos ataques.
• Impedir os usuários de acessar os recursos de acesso a rede.

O Teams atenua esses ataques ao executar a proteção de rede DDOS do Azure e ao limitar as solicitações dos clientes a partir dos mesmos pontos de extremidade, sub-redes e entidades federadas.

Espionagem

A interceptação ocorre quando um invasor obtém acesso ao caminho de dados em uma rede e tem a capacidade de monitorar e ler o tráfego. A interceptação também é chamada de detecção ou snooping. Se o tráfego está no texto plano, o atacante pode lê-lo quando o atacante ganha acesso ao caminho. Um exemplo é um ataque realizado no controle de um router no caminho dos dados.

O Teams usa TLS mútuo (MTLS) e OAuth de Servidor para Servidor (S2S) (entre outros protocolos) para comunicações de servidor no Microsoft 365 e no Office 365 e também usa TLS de clientes para o serviço. Todo o tráfego na rede é criptografado.

Esses métodos de comunicação tornam a interceptação difícil ou impossível de alcançar dentro do período de uma única conversa. O TLS autentica todos os participantes e criptografa todo o tráfego. Embora o TLS não impeça a interceptação, o invasor não pode ler o tráfego, a menos que a criptografia seja interrompida.

O protocolo Traversal Using Relays around NAT (TURN) é utilizado para fins de multimédia em tempo real. O protocolo TURN não exige que o tráfego seja criptografado e as informações que são enviadas são protegidas pela integridade da mensagem. Embora ele esteja aberto à interceptação, as informações que ele está enviando, ou seja, endereços IP e porta, podem ser extraídas diretamente examinando os endereços de origem e de destino dos pacotes. O serviço do Teams garante que os dados são válidos verificando a Integridade da Mensagem da mensagem, usando a chave derivada de poucos itens, incluindo uma senha do TURN, que nunca é enviada em um texto não criptografado. O SRTP é usado para o tráfego de mídia e também é criptografado.

Falsificação de identidade (falsificação de endereço IP)

A Falsificação ocorre quando o atacante determina e usa um endereço IP de uma rede, computador ou componente de rede sem autorização para tal ação. Um ataque bem-sucedido permite que o invasor opere como se o invasor fosse a entidade normalmente identificada pelo endereço IP.

O TLS autentica todos os participantes e criptografa todo o tráfego. Usar o TLS impede que um invasor execute a falsificação do endereço IP em uma conexão específica (por exemplo, conexões TLS mútuas). Um invasor ainda pode falsificar o endereço do servidor DNS (Sistema de Nomes de Domínio). No entanto, uma vez que a autenticação no Teams é efetuada com certificados, um atacante não teria uma informação válida necessária para falsificar uma das partes na comunicação.

Ataque adversário no meio

Um ataque adversário no meio ocorre quando um atacante reveja a comunicação entre dois utilizadores através do dispositivo do atacante sem o conhecimento dos dois utilizadores que comunicam. O invasor pode monitorar e ler o tráfego antes de enviá-lo ao destinatário pretendido. Cada usuário presente na comunicação, sem saber, envia e recebe tráfego do invasor pensando estar se comunicando apenas com o usuário pretendido. Este cenário pode ocorrer se um atacante conseguir modificar Microsoft Entra ID Domain Services para adicionar o servidor como um servidor fidedigno ou modificar a configuração de DNS ou utilizar outros meios para fazer com que os clientes se liguem através do atacante a caminho do servidor.

Os ataques adversários no meio ao tráfego de multimédia entre dois pontos finais que participam na partilha de áudio, vídeo e aplicações do Teams são impedidos através da utilização do Protocolo SRTP ( Secure Real-Time Transport Protocol ) para encriptar o fluxo de multimédia. As chaves criptográficas são negociadas entre os dois pontos de extremidade através de um protocolo de sinalização proprietário (protocolo de Sinalização de Chamada do Teams) que utiliza o canal UDP/TCP criptografado TLS 1.2 e AES-256 (no modo GCM).

Ataque de repetição do protocolo RTP

Um ataque de reprodução ocorre quando uma transmissão de mídia válida entre duas partes é interceptada e retransmitida por motivos mal-intencionados. O Teams usa o SRTP com um protocolo de sinalização de segurança que protege as transmissões contra ataques de reprodução, habilitando o receptor a manter um índice de pacotes RTP já recebidos e a comparar cada novo pacote com aqueles já listados no índice.

SPIM

O SPIM é um serviço de mensagens instantâneas comerciais não solicitadas ou solicitações de assinatura de presença, como spam, mas na forma de mensagem instantânea. Embora não seja por si só um comprometimento da rede, é, no mínimo, irritante, pois pode reduzir a disponibilidade e a produção de recursos e levar a um comprometimento da rede. Um exemplo disso é quando os usuários fazem "spimming" uns para os outros, por meio de envios de solicitações. Os usuários podem bloquear uns aos outros para evitar o spimming, mas, com a federação, se um ator mal-intencionado estabelecer um ataque de spim coordenado, poderá ser difícil de superar, a menos que você desabilite a federação do parceiro.

Vírus e Worms

Um vírus é uma unidade de código cujo objetivo é reproduzir mais unidades de código semelhantes. Para trabalhar, um vírus precisa de um host, como um arquivo, um email ou um programa. Como um vírus, um worm é uma unidade de código que reproduz mais unidades de código semelhantes, mas que, ao contrário de um vírus, não precisa de um host. Os vírus e os worms aparecem principalmente durante transferências de arquivos entre clientes ou quando as URLs são enviadas por outros usuários. Um vírus no seu computador pode, por exemplo, usar sua identidade e enviar mensagens instantâneas em seu nome. Práticas recomendadas de segurança padrão para o cliente, como a verificação periódica de vírus, podem atenuar esse problema.

Tentativas de phishing

Os ataques de phishing no Teams são dispendiosos em termos monetários e para a tranquilidade. Estes ataques funcionam com o intuito de enganar os utilizadores para revelarem informações como palavras-passe, códigos, números de card de crédito e outras informações críticas, através de ligações de sites falsas e anexos que parecem inócuos, mas que podem transferir software perigoso ao clicar. Uma vez que muitos destes ataques visam os utilizadores, mesmo os alvos de alto valor com muito acesso, podem ser abrangentes. No entanto, existem estratégias anti-phishing para administradores e utilizadores do Teams.

• Existem Melhores Práticas de segurança para o Teams que todos devem conhecer e utilizar

  • Os utilizadores podem aprender a detetar e proteger-se contra phishing

• Se um utilizador na sua organização receber uma mensagem de phishing de um remetente externo, os administradores de inquilinos podem remover esta mensagem da vista do utilizador através da graph API "RemoveAllAccessForUser".

• Microsoft Defender para Office 365 também protege o Teams

  • A Simulação de Ataques ajuda os administradores a formar utilizadores do Teams e a proteger os vulneráveis
  • E existem relatórios de mensagens suspeitas disponíveis para utilizadores do Teams

Estrutura de segurança para o Teams

O Teams endossa ideias de segurança como Confiança Zero e princípios de acesso com Privilégios mínimos. Esta seção oferece uma visão geral dos elementos fundamentais que compõem a estrutura de segurança do Microsoft Teams.

Os principais elementos são:

• Microsoft Entra ID, que fornece um único repositório de back-end fidedigno para contas de utilizador. As informações do perfil de utilizador são armazenadas no Microsoft Entra ID através das ações do Microsoft Graph.
  • Pode haver vários tokens emitidos que você pode ver se rastrear seu tráfego de rede. Incluindo tokens do Skype que você pode ver em rastreamentos ao examinar o tráfego de chat e áudio.
• O protocolo TLS criptografa o canal em movimento. A autenticação ocorre com o TLS mútuo (MTLS), com base em certificados ou com a autenticação Serviço a Serviço com base no ID de Microsoft Entra.
• Os fluxos de áudio e vídeo ponto a ponto e de compartilhamento de aplicativos são criptografados e a integridade verificada utilizando protocolo SRTP).
• Verá o tráfego OAuth no seu rastreio, especialmente em torno de trocas de tokens e permissões de negociação enquanto alterna entre separadores no Teams, por exemplo, para passar de Publicações para Ficheiros. Para obter um exemplo do fluxo OAuth para guias, consulte este documento.
• O Teams usa protocolos padrão do setor para autenticação de usuário, sempre que possível.

As seções a seguir abordam algumas das principais tecnologias.

ID do Microsoft Entra

Microsoft Entra ID funciona como o serviço de diretório do Microsoft 365 e Office 365. Ele armazena todas as informações de diretório de usuários e aplicativos e atribuições de política.

Criptografia de tráfego no Teams

Esta tabela mostra os principais Tipos de tráfego e qual protocolo é usado para criptografia.

Pontos de Distribuição da Lista de Certificados Revogados (CRL)

O tráfego do Microsoft 365 e do Office 365 ocorre por canais criptografados por TLS/HTTPS, o que significa que os certificados são usados para a criptografia de todo o tráfego. O Teams requer que todos os certificados de servidor contenham um ou mais pontos de distribuição de CRLs. Os pontos de distribuição (CDP) de CRL são locais dos quais as CRLs podem ser baixadas para verificar se o certificado não foi revogado desde sua emissão e se o certificado continua dentro do período de validade. Um ponto de distribuição de CRL pode ser encontrado nas propriedades do certificado como uma URL e é normalmente uma HTTP segura. O serviço do Teams verifica a CRL com cada autenticação de certificado.

Uso Avançado de Chave

Todos os componentes do serviço Teams exigem todos os certificados de servidor para dar suporte ao Uso de Chave Aprimorado (EKU) para autenticação de servidor. A configuração do campo do EKU para autenticação do servidor significa que o certificado é válido para a autenticação de servidores. Esse EKU é essencial para MTLS.

TLS para Teams

Os dados do Teams são criptografados em trânsito e em repouso no serviços da Microsoft, entre serviços e entre clientes e serviços. A Microsoft usa tecnologias padrão do setor, como TLS e SRTP, para criptografar todos os dados em trânsito. Os dados em trânsito incluem mensagens, arquivos, reuniões e outros conteúdos. Os dados corporativos também são criptografados em repouso no serviços da Microsoft para que as organizações possam descriptografar o conteúdo, se necessário, para atender às obrigações de segurança e conformidade por meio de métodos como a Descoberta Eletrônica. Para obter mais informações sobre criptografia Microsoft 365, consulte Criptografia no Microsoft 365

Os fluxos de dados TCP são criptografados usando TLS e protocolos OAuth MTLS e OAuth de Serviço a serviço fornecem comunicações autenticadas de ponto de extremidade entre serviços, sistemas e clientes. O Teams usa esses protocolos para criar uma rede de sistemas confiáveis e garantir que toda a comunicação pela rede seja criptografada.

Em uma conexão TLS, o cliente solicita um certificado válido do servidor. Para ser válido, o certificado deve ser emitido por uma Autoridade de Certificação (AC) considerada confiável pelo cliente, e o nome DNS do servidor deve corresponder ao nome DNS no certificado. Se o certificado for válido, o cliente usa a chave pública no certificado para criptografar as chaves de criptografia simétricas a serem utilizadas na comunicação, assim, apenas o proprietário original do certificado pode utilizar sua chave privada para descriptografar os conteúdos de comunicação. A ligação resultante é fidedigna e, a partir desse ponto, não é desafiada por outros servidores ou clientes fidedignos.

A utilização do TLS ajuda a evitar ataques de escuta e de man-in-the-middle. Em um ataque man-in-the-middle, o invasor redireciona as comunicações entre duas entidades de rede por meio do computador do invasor, sem o conhecimento dos participantes. As especificações de servidores confiáveis do TLS e do Teams reduzem o risco de um ataque man-in-the middle parcialmente na camada de aplicativos usando criptografia coordenada por meio da criptografia de Chave Pública entre os dois pontos de extremidade. O invasor teria que possuir um certificado válido e confiável com a Chave Privada correspondente e emitido para o nome do serviço ao qual o cliente está solicitando descriptografar a comunicação.

Criptografia no Teams e no Microsoft 365

Há várias camadas de criptografia em trabalho dentro Microsoft 365. A criptografia do Teams funciona com o restante da criptografia do Microsoft 365 para proteger o conteúdo da sua organização. Este artigo descreve tecnologias de criptografia específicas para o Teams. Para uma visão geral sobre criptografia Microsoft 365, consulte Criptografia no Microsoft 365.

Criptografia de mídia

Os fluxos de chamada no Teams são baseados no modelo de oferta e resposta Protocolo de Descrição de Sessão (SDP) RFC 8866 via HTTPS. Depois que o receptor aceita uma chamada, o chamador e o receptor concordam com os parâmetros da sessão.

O tráfego de mídia é criptografado e flui entre o receptor e o chamador usando RTP seguro (SRTP), um perfil do Protocolo de Transporte em Tempo Real (RTP) que fornece confidencialidade, autenticação e proteção contra ataques de repetição para o tráfego RTP. SRTP usa uma chave da sessão gerada por meio de um gerador de número aleatório seguro e trocada por meio do canal TLS de sinalização. Na maioria dos casos, o tráfego de mídia cliente para cliente é negociado por meio da sinalização de conexão de cliente para servidor e é criptografado usando SRTP ao ir diretamente de cliente para cliente.

Em fluxos normais de chamada, a negociação da chave de criptografia ocorre por meio do canal de sinalização de chamada. Em uma chamada criptografada de ponta a ponta, o fluxo de sinalização é o mesmo de uma chamada Teams normal. No entanto, o Teams usa DTLS para derivar uma chave de criptografia com base em certificados por chamada gerados em ambos os pontos de extremidade do cliente. Como o DTLS deriva a chave com base nos certificados do cliente, a chave é opaca para a Microsoft. Quando ambos os clientes concordam com a chave, a mídia começa a fluir usando essa chave de criptografia negociada por DTLS por SRTP.

Para proteger contra um ataque man-in-the-middle entre o receptor e o chamador, o Teams deriva um código de segurança de 20 dígitos das impressões digitais SHA-256 dos certificados de chamada do chamador e do ponto de extremidade do chamador. O receptor e o chamador podem validar os códigos de segurança de 20 dígitos lendo-os uns para os outros para ver se eles correspondem. Se os códigos não corresponderem, a conexão entre o receptor e o chamador foi interceptada por um ataque man-in-the-middle. Se a chamada tiver sido comprometida, os usuários poderão encerrar a chamada manualmente.

O Teams usa um token baseado em credenciais para acesso seguro a retransmissores de mídia por TURN. Media Relays trocam o token por um canal protegido por TLS.

FIPS (Federal Information Processing Standard)

O Teams usa algoritmos compatíveis com FIPS para trocas de chaves de criptografia. Para obter mais informações sobre a implementação do FIPS, confira Publicação 140-2 do padrão FIPS (Federal Information Processing Standard).

Autenticação do usuário e do cliente

Um utilizador fidedigno é aquele cujas credenciais foram autenticadas por Microsoft Entra ID no Microsoft 365 ou Office 365.

Autenticação é o provisionamento de credenciais de usuário em um servidor ou serviço confiável. O Teams usa os seguintes protocolos de autenticação, dependendo do status e da localização do usuário.

• Autenticação moderna (MA) é a implementação Microsoft do OAUTH 2.0 para comunicação de cliente para servidor. Ela ativa recursos de segurança como a autenticação multifatorial e o Acesso Condicional. Para usar a MA, tanto o locatário online quanto os clientes precisam habilitar a MA. Os clientes do Teams em PC e dispositivos móveis, bem como no cliente Web, são compatíveis com a MA.

A autenticação do Teams é efetuada através de Microsoft Entra ID e OAuth. O processo de autenticação pode ser simplificado para:

• Emissão > de tokens de início > de sessão do utilizador no próximo pedido, utilize o token emitido.

Os pedidos do cliente para o servidor são autenticados e autorizados por Microsoft Entra ID com a utilização de OAuth. Os usuários com credenciais válidas emitidas por um parceiro federado são confiáveis e passam pelo mesmo processo de usuários nativos. No entanto, outras restrições podem ser colocadas no local por administradores.

Para autenticação de mídia, os protocolos ICE e TURN também utilizam o mecanismo do desafio Digest, conforme descrito no IETF TURN RFC.

Ferramentas de gerenciamento do Teams e Windows PowerShell

No Teams, os administradores de TI podem gerenciar seus serviços por meio do Centro de administração do Microsoft 365 ou usando o Tenant Remote PowerShell (TRPS). Os administradores de locatário usam autenticação moderna para autenticar o TRPS.

Configurando o acesso Teams no limite da Internet

Para que o Teams funcione corretamente por exemplo, para que os usuários possam participar de reuniões, os clientes devem configurar o acesso à Internet de forma que o tráfego de saída UDP e TCP para os serviços na nuvem do Teams seja permitido. Para obter mais informações, consulte URLs do Office 365 e intervalos de endereços IP.

UDP 3478-3481 e TCP 443

As portas UDP 3478-3481 e TCP 443 são usadas pelos clientes para solicitar o serviço de áudio visuais. Um cliente utiliza estas portas para alocar portas UDP e TCP, respetivamente, para ativar estes fluxos de multimédia. Os fluxos de mídia nessas portas estão protegidos por uma chave trocada por um canal de sinalização protegido por TLS.

Proteções de federação para Teams

A Federação fornece à sua organização a capacidade de se comunicar com outras organizações para compartilhar mensagens instantâneas e presença. No Teams, a federação está ativada por padrão. No entanto, os administradores de locatários têm a capacidade de controlar a federação por meio do Centro de administração do Microsoft 365.

Enfrentando ameaças em reuniões do Teams

Os utilizadores empresariais podem criar e participar em reuniões em tempo real e convidar utilizadores externos que não tenham um ID de Microsoft Entra, o Microsoft 365 ou Office 365 conta, para participarem nestas reuniões.

Permitir que utilizadores externos participem em reuniões do Teams pode ser útil, mas também traz alguns riscos de segurança. Para resolver estes riscos, o Teams utiliza estas salvaguardas:

Antes da reunião:

1. Decida que tipos de participantes externos poderão participar nas suas reuniões:

   • O acesso anónimo permite a participação em reuniões de (1) utilizadores não autenticados que não tenham sessão iniciada na Equipa (normalmente, participar através da ligação de reunião no browser) e (2) utilizadores autenticados de inquilinos externos que não tenham estabelecido acesso externo com o organizador e a sua organização.

   • Através do Acesso externo , pode decidir que utilizadores e organizações externos autenticados poderão participar nas suas reuniões com mais privilégios. Estes utilizadores são considerados como pertencentes a organizações fidedignas.

   • O acesso de convidado permite-lhe criar contas de convidado para pessoas fora da sua organização terem acesso a equipas, documentos em canais, recursos, chats e aplicações, mantendo o controlo sobre os seus dados empresariais.

2. Decida quem pode participar diretamente na reunião e quem terá de esperar na Sala de Espera para ser admitido pelo Organizador, co-organizador ou utilizadores autenticados com a função de reunião do Apresentador:

   • Controlos do Administração de TI
   • Controlos do organizador

3. Decida se os utilizadores anónimos e os autores de chamadas por acesso telefónico podem iniciar uma reunião antes de os utilizadores da sua organização, utilizadores de organizações fidedignas e utilizadores com acesso de convidado participarem na chamada.

Durante a reunião:

1. Atribua funções de reunião de participantes específicas para determinar os privilégios de controlo da reunião. Os participantes da reunião enquadram-se em grupos, cada um com os seus próprios privilégios e restrições, descritos aqui.

Modifique enquanto a reunião está em execução:

• Pode modificar as opções de reunião enquanto uma reunião estiver em curso. A alteração, quando for guardada, será percetível na reunião em execução dentro de segundos. Ele também afeta quaisquer ocorrências futuras da reunião. Para obter detalhes sobre como atribuir estas funções, leia este artigo.

Tópicos relacionados

As 12 principais tarefas para as equipes de segurança dar suporte ao trabalho em casa

Central de Confiabilidade da Microsoft

Otimize a conectividade do Microsoft 365 ou do Office 365 dos usuários remotos usando o túnel dividido da VPN

• Implementando o túnel dividido de VPN