Pode selecionar uma tecnologia de encriptação: Encriptação de disco Kaspersky ou Encriptação de Unidade BitLocker (aqui também referida simplesmente como “BitLocker”).
Encriptação de disco Kaspersky
Após a encriptação das unidades de disco rígido do sistema, no próximo arranque do computador, o utilizador tem de efetuar a autenticação utilizando o Agente de Autenticação antes de as unidades de disco rígido poderem ser acedidas e o sistema operativo ser carregado. Para tal é necessário introduzir a password do token ou smart card ligado ao computador ou o nome de utilizador e a password da conta do Agente de Autenticação criada pelo administrador da rede local utilizando a tarefa de gestão de conta do Agente de Autenticação. Estas contas são baseadas em contas do Microsoft Windows com as quais os utilizadores iniciam sessão no sistema operativo. Pode também utilizar a tecnologia de autenticação única (SSO) que permite iniciar sessão no sistema operativo automaticamente, utilizando o nome de utilizador e a password da conta do Agente de Autenticação.
A autenticação do utilizador no Agente de Autenticação pode ser efetuada de duas formas:
A utilização de um token ou smart-card está disponível apenas se as unidades de disco rígido do computador tiverem sido encriptadas ao utilizar o algoritmo de encriptação AES256. Se os discos rígidos do computador foram encriptados através do algoritmo de encriptação AES56, a adição do ficheiro de certificado eletrónico ao comando será negada.
Encriptação de Unidade BitLocker
BitLocker é uma tecnologia que faz parte do sistema operativo Windows. Se um computador estiver equipado com um Trusted Platform Module (TPM), o BitLocker utiliza-o para armazenar chaves de recuperação que fornecem acesso a uma unidade de disco rígido encriptada. Quando o computador inicia, o BitLocker solicita as chaves de recuperação da unidade de disco rígido do Trusted Platform Module e desbloqueia a unidade. Pode configurar a utilização de uma password e/ou código PIN para aceder às chaves de recuperação.
Definições do componente Encriptação de disco Kaspersky
Parâmetro |
Descrição |
|---|---|
Modo de encriptação |
Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Criar automaticamente contas do Agente de Autenticação para utilizadores |
Esta caixa de verificação ativa/desativa a criação automática de contas de Agente de autenticação ao aplicar uma política. O Kaspersky Endpoint Security cria uma lista de contas do Agente de Autenticação com base nas contas do Windows. Por predefinição, o Kaspersky Endpoint Security utiliza todas as contas locais e de domínio com as quais o utilizador iniciou a sessão no sistema operativo ao longo dos últimos 30 dias. |
Definições da criação conta do Agente de Autenticação |
Todas as contas no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador que já estiveram ativas. Todas as contas de domínio no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador pertencentes a um determinado domínio que já estiveram ativas. Todas as contas locais no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador local que já estiveram ativas. Administrador local. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria uma conta de administrador local. Gestor do computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria uma conta de Agente de autenticação para a conta cujas propriedades no Active Directory indicam que se trata de uma conta de gestão. Conta ativa. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria automaticamente uma conta de Agente de autenticação para a conta de computador que está ativa durante a tarefa. |
Guardar o nome de utilizador introduzir no Agente de Autenticação |
Se a caixa de verificação for selecionada, a aplicação guarda o nome da conta do Agente de Autenticação. Não será solicitada a introdução do nome da conta da próxima vez que tentar concluir a autorização no Agente de Autenticação com a mesma conta. |
Encriptar apenas espaço de disco utilizado |
Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Depois de iniciar a encriptação, ativar/desativar a função Encriptar apenas espaço de disco utilizado não alterará esta definição enquanto os discos rígidos não forem desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Utilizar Legacy USB Support |
Esta caixa de verificação ativa/desativa a função Suporte USB de Legado. O Suporte de USB legado é uma função BIOS/UEFI que permite usar dispositivos USB (como um token de segurança) durante a fase de inicialização do computador antes de iniciar o sistema operativo (modo BIOS). Legacy USB Support não afeta o suporte para dispositivos USB após iniciar o sistema operativo. Se a caixa de verificação estiver selecionada, o suporte de dispositivos USB durante o arranque inicial do computador é ativado. Quando a função Suporte de USB de Legado está ativa, o Agente de autenticação no modo BIOS não suporta trabalho com tokens via USB. Recomenda-se utilizar esta opção apenas quando existir um problema de compatibilidade de hardware e só para os computadores nos quais o problema ocorreu. |
Definições da password |
Definições de segurança da password da conta do Agente de Autenticação. Pode ativar também a utilização da tecnologia de autenticação única (SSO). A tecnologia SSO possibilita a utilização das mesmas credenciais de conta para aceder a unidades de disco rígido encriptadas e iniciar sessão no sistema operativo. Se a caixa de verificação estiver selecionada, tem de introduzir as credenciais para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. Se a caixa de verificação estiver desmarcada, tem de introduzir em separado as credenciais de acesso a unidades encriptadas e as credenciais da conta de utilizador do sistema operativo para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. |
Textos de ajuda |
Autenticação. Texto de ajuda que aparece na janela Agente de autenticação ao inserir as credenciais da conta. Alterar password. Texto de ajuda que aparece na janela Agente de autenticação ao alterar a password da conta do Agente de Autenticação. Recuperar password. Texto de ajuda que aparece na janela Agente de autenticação ao recuperar a password da conta do Agente de Autenticação. |
Definições do componente Encriptação de Unidade BitLocker
Parâmetro |
Descrição |
|---|---|
Modo de encriptação |
Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Ativar utilização de autenticação BitLocker que exija introdução por teclado de pré-arranque em tablets |
Esta caixa de verificação ativa / desativa a utilização da autenticação com entrada de dados num ambiente de pré-arranque, mesmo que a plataforma não tenha a capacidade para a entrada de pré-arranque (por exemplo, no caso dos teclados táteis no ecrã nos tablets). Se a caixa de verificação estiver selecionada, é permitida a utilização da autenticação com entrada de pré-arranque. Recomenda-se a utilização desta definição apenas para dispositivos que tenham ferramentas de entrada de dados alternativas num ambiente de pré-arranque como, por exemplo, um teclado USB adicionalmente aos teclados do ecrã tátil. |
Utilizar a encriptação de hardware |
Se a caixa de verificação estiver selecionada, a aplicação aplica a encriptação de hardware. O que lhe permite aumentar a velocidade da encriptação e utilizar menos recursos do computador. |
Encriptar apenas espaço de disco utilizado |
Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Depois de iniciar a encriptação, ativar/desativar a função Encriptar apenas espaço de disco utilizado não alterará esta definição enquanto os discos rígidos não forem desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Definições de autenticação |
Usar Módulo de plataforma confiável (TPM). Se esta opção estiver selecionada, o BitLocker utiliza um Trusted Platform Module (TPM). Um Módulo de plataforma confiável (TPM) microchip desenvolvido para fornecer funções básicas relacionadas com segurança (por exemplo, para armazenar chaves de encriptação). Um Trusted Platform Module está normalmente instalado na placa principal (motherboard) e interage com todos os outros componentes de sistema através do hardware de barramento. Um dispositivo equipado com um Trusted Platform Module pode criar chaves de encriptação que apenas podem ser desencriptadas com o dispositivo. Um Trusted Platform Module encripta as chaves de encriptação com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz está armazenada dentro do Trusted Platform Module. Isto fornece um nível adicional de proteção contra tentativas de penetração nas chaves de encriptação. Esta ação está selecionada por predefinição. Pode definir as definições para aceder à chave de encriptação:
|