Desde a atualização de maio de 2025, muitos utilizadores repararam num novo processo chamado ZTHelper.exe a correr em segundo plano no Windows 11. Este artigo explica em detalhe o que ele faz, por que não é uma ameaça, como se relaciona com o conceito de Zero Trust DNS e quais os impactos reais em desempenho e segurança dos seus dispositivos.
O que é o ZTHelper.exe?
O ZTHelper.exe é um binário assinado pela Microsoft que acompanha o novo cliente Zero Trust DNS (ZTDNS) introduzido no Windows 11 versão 24H2. O ficheiro fica guardado em %SystemRoot%\System32\ZTDNS e surge listado no Gestor de Tarefas como ZT Helper. O serviço tem as seguintes características essenciais:
- Origem legítima – está assinado digitalmente pela Microsoft, o que garante integridade e autenticidade.
- Tipo de arranque “Manual” – por predefinição, apenas é iniciado se o administrador ativar o ZTDNS por Política de Grupo, Intune ou PowerShell.
- Função auxiliar – gere o canal TLS persistente entre o cliente DNS do Windows e os servidores ZTDNS de confiança, aplica políticas de identidade e regista telemetria mínima para depuração.
- Totalmente reversível – se não precisar desta camada adicional de segurança, basta manter o serviço em Manual ou definir “Desativado”, sem afetar o DNS clássico do sistema.
O que é o Zero Trust DNS?
| Conceito | Descrição resumida |
|---|---|
| Zero Trust | Modelo de segurança que parte do princípio de que nenhum pedido de rede é confiável até ser autenticado e autorizado por políticas explícitas. |
| Zero Trust DNS (ZTDNS) | Cliente DNS de nova geração incorporado no Windows 11 que aplica autenticação mútua, encriptação ponta‑a‑ponta (DoH/DoT) e políticas por identidade (usuário, dispositivo e contexto) antes de resolver qualquer domínio. |
| ZTHelper.exe | Serviço auxiliar que gere o handshake TLS, a distribuição de chaves e a aplicação de políticas locais definidas pelo administrador. |
Na prática, o ZTDNS complementa o DNS sobre HTTPS (DoH) e o DNS sobre TLS (DoT) já disponíveis desde o Windows 10, adicionando um controlo granular que atrela cada resolução de nome à identidade do dispositivo e do utilizador. Isso mitiga phishing de subdomínios internos, fuga de dados via DNS tunneling e ataques de DNS spoofing.
Interação com provedores externos (ex.: Cloudflare, Google, Quad9)
Se já utiliza um resolvedor público como Cloudflare (1.1.1.1), Google (8.8.8.8) ou Quad9 (9.9.9.9) em DoH/DoT, não haverá conflito. O ZTHelper.exe permanece inativo enquanto o ZTDNS não estiver habilitado. Quando opta por ativar:
- Define‑se, via Política de Grupo ou Intune, uma lista de servidores “de confiança”. Pode incluir serviços externos como 1.1.1.1 ou servidores internos da sua empresa.
- A resolução de nomes deixa de ser puramente baseada em IP público e passa a obedecer políticas de identidade: por exemplo, utilizadores de RH podem resolver
hr.corp.example, enquanto utilizadores de Finanças não. - Se o resolvedor externo suportar
DoH/DoT, o canal é levantado no porto 443 ou 853. Caso contrário, a consulta é negada e registada no event log como violação de política.
Impacto em desempenho e utilização de recursos
Para avaliar o impacto real, a Microsoft disponibilizou benchmarks internos e parceiros independentes repetiram os testes em hardware comum de 2020‑2024. Os resultados médios foram:
| Recurso | Métricas observadas | Comentário |
|---|---|---|
| Processador | < 1 % de ocupação num Intel Core i7‑1165G7 durante 10 000 consultas consecutivas. | O agente usa threading assíncrono e liga‑se apenas quando há resolução ativa. |
| Memória | ~30 MB em repouso; picos até 80 MB ao aplicar políticas complexas. | Semelhante ao mDNSResponder do macOS ou ao próprio dnscache do Windows. |
| Rede | Overhead ≈ 0,5 % face ao DoH nativo. | Conexões TLS persistentes evitam handshake repetitivo. |
Mesmo em máquinas mais antigas, como um Core i5‑8250U com 8 GB de RAM, o aumento de latência média por consulta manteve‑se abaixo dos 2 ms. Para utilizadores domésticos, esse acréscimo é virtualmente impercetível.
Boas práticas e opções de configuração
- Mantenha o serviço em Manual se não pretender usar Não é aconselhável remover o executável; basta abrir services.msc, localizar ZT Helper e garantir que o Tipo de Arranque está como “Manual” ou “Desativado”. Pode também executar:
sc config ZTHelper start= demand - Avalie requisitos empresariais Empresas que já empregam Zero Trust via Microsoft Entra ID (antigo Azure AD) ou Conditional Access colherão ganhos imediatos ao unificar políticas de rede e identidade. Para SMBs, o valor depende da criticidade dos dados.
- Implemente piloto controlado Crie um grupo de dispositivos de teste no Intune ou Active Directory e atribua a eles a política ZTDNS. Monitore aplicações internas, VPNs e equipamentos legados que inspecionam tráfego em portas 853/443.
- Monitore registos de eventos Os eventos são gravados em Applications and Services Logs → Microsoft → Windows → ZTDNS‑Client. Filtros pré‑construídos ajudam a identificar falhas de autenticação, violações de política ou problemas de conectividade TLS.
- Integre com SIEM /SOAR Empresas que usam Sentinel, Splunk ou ArcSight podem configurar forwarding dos eventos do canal ZTDNS, enriquecendo deteções de exfiltração DNS ou domínios de command & control.
Perguntas frequentes (FAQ)
Posso simplesmente apagar o ficheiro ZTHelper.exe?
Não é recomendável. O ficheiro faz parte do sistema operativo e a remoção pode quebrar futuras atualizações cumulativas. Mantenha‑o em Manual ou Desativado.
O ZTDNS substitui o DNS sobre HTTPS nativo?
Não. O DoH/DoT continua lá. O ZTDNS constrói‑se sobre eles, adicionando identidade e política. Se o ZTDNS estiver inativo, o comportamento volta ao DoH tradicional.
É necessário hardware TPM 2.0?
Recomenda‑se TPM 2.0 para armazenar chaves de sessão com maior segurança, mas o serviço também funciona em máquinas sem TPM, armazenando segredos em memória protegida.
Quais portas devo abrir no firewall?
Externamente, 53/UDP (convencional), 853/TCP (DoT) e 443/TCP (DoH). Internamente, garanta que o serviço ZTHelper consegue contactar os servidores definidos via TLS.
Como ativar o ZTDNS passo a passo
- Abra o Editor de Política de Grupo (
gpedit.msc) e navegue até Computer Configuration → Administrative Templates → Network → ZTDNS Client. - Habilite “Turn on Zero Trust DNS Client”.
- Introduza a lista de servidores autorizados no formato
hostname:porta. Ex.:ztdns.corp.exemplo:853oucloudflare-doh.com:443. - Force a atualização com
gpupdate /forceou aguarde o ciclo normal de 90 min. - Verifique o estado do serviço no PowerShell:
Get-Service ZTHelper– deverá aparecer como Running.
Integração com Intune para ambientes híbridos
As organizações que fazem gestão moderna através de Microsoft Intune podem implementar o ZTDNS sem depender de GPOs. Basta:
- Criar uma Device Configuration Profile do tipo Settings Catalog.
- Pesquisar “ZTDNS” e habilitar Enable ZTDNS Client.
- Adicionar a lista de servidores e políticas de identidade desejadas.
- Designar um grupo de dispositivos piloto.
- Acompanhar relatórios de conformidade em Endpoint Security → Reports → DNS Client.
Diferente da abordagem GPO, o Intune permite condicionar a ativação do ZTDNS ao estado de conformidade (por exemplo, exigir disco encriptado e ausência de jailbreak em dispositivos móveis que fazem Tunnel All Traffic).
Boletim de desempenho: testes detalhados
Nos laboratórios da comunidade TechNet Portugal, foram feitos três cenários de 24 horas cada, com 50 000 resoluções de nomes geradas por scripts PowerShell. Segue um resumo de métricas que interessam à saúde dos PCs:
- Latência média com ZTDNS ativo: 42 ms
- Latência média sem ZTDNS (DoH nativo): 41 ms
- Aumento percentual: 2,4 % – abaixo do limiar de perceção humana em navegação web normal.
- CPU média: 0,9 % (picos a 3 % quando se revalida política de identidade a cada 30 min).
- Memória privada máxima: 78 MB.
- Páginas de faults por segundo: 5 – dentro da variação normal do processo
svchost.exe.
Conclusão: em cenários de escritório ou uso doméstico, o impacto é virtualmente negligenciável.
Caso de uso real: pequena empresa de contabilidade
A Contas Lusas, com 35 empregados, utiliza um servidor NAS interno exposto via VPN e resolveu habilitar o ZTDNS para impedir que portáteis empresariais resolvam domínios fora da lista branca enquanto estão na rede corporativa. Após um piloto de duas semanas:
- Reduziu‑se em 67 % o volume de alarmes de phishing reportados por email, pois domínios maliciosos foram bloqueados à saída.
- Não houve regressões em aplicações legadas (.NET 3.5 e SQL Server 2012).
- A administração de TI observou apenas 0,4 % de aumento na utilização média de CPU dos portáteis.
O resultado mostra que mesmo organizações sem grande orçamento em cibersegurança podem beneficiar do Zero Trust DNS sem penalizações de desempenho.
Bola de cristal: o futuro do DNS no Windows
Especialistas já discutem a possibilidade de o modo clássico de resolução DNS deixar de ser o predefinido no Windows 12. O ZTDNS seria então a opção padrão, alinhando‑se à tendência da indústria de encriptar todo o tráfego e de aplicar políticas baseadas em identidade e contexto. Se isso se confirmar, quem começar a familiarizar‑se agora com o ZTHelper.exe estará um passo à frente na curva de adoção.
Resumo executivo
- ZTHelper.exe não é malware; é o agente que possibilita o novo Zero Trust DNS do Windows 11.
- Seguro manter em Manual até existir uma política definida, sem impacto mensurável em PCs domésticos ou empresariais que não o ativem.
- Ativação traz benefícios imediatos de visibilidade, encriptação ponta‑a‑ponta e controlo granular de resolução, com impacto ínfimo em CPU, memória e latência.
- Próximos passos: avaliar requisitos de segurança internos, testar em piloto, monitorar registos e integrar com o seu SIEM para máxima eficácia.