Você pode selecionar uma tecnologia de criptografia: o Kaspersky Disk Encryption ou Criptografia de Unidade de Disco BitLocker (a partir daqui também mencionada como simplesmente "BitLocker").
Kaspersky Disk Encryption
Após a criptografia dos discos rígidos do sistema, na próxima inicialização do sistema o usuário deve concluir a autenticação usando o Agente de autenticação antes que os discos rígidos possam ser acessados e o sistema operacional seja carregado. Para isso, é necessário inserir a senha do token ou cartão inteligente conectado ao computador ou o nome de usuário e a senha da conta do Agente de Autenticação criados pelo administrador da rede local usando a tarefa Gerenciar contas do Agente de Autenticação. Estas contas são baseadas nas contas do Microsoft Windows com a qual os usuários fazem login no sistema operacional. Você também pode usar a tecnologia de Login único (SSO), que permite efetuar login automaticamente no sistema operacional usando o nome de usuário e a senha da conta do Agente de autenticação.
A autenticação do usuário no Agente de autenticação pode ser realizada de duas formas:
O uso de um token ou cartão inteligente estará disponível somente se os discos rígidos do computador tiverem sido criptografados usando o algoritmo de criptografia AES256. Se os discos rígidos do computador foram criptografados usando o algoritmo de criptografia AES56, a adição do arquivo de certificado eletrônico ao comando será negada.
Criptografia de Unidade de Disco BitLocker
O BitLocker é uma tecnologia de criptografia incorporada nos sistemas operacionais Windows. O Kaspersky Endpoint Security permite controlar e gerenciar o Bitlocker usando o Kaspersky Security Center. O BitLocker criptografa volumes lógicos. O BitLocker não pode ser usado para criptografia de unidades removíveis. Para obter detalhes sobre o BitLocker, consulte a documentação da Microsoft.
O BitLocker fornece armazenamento seguro de chaves de acesso usando um módulo de plataforma confiável. Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de plataforma confiável geralmente é instalado na placa-mãe do computador e interage com todos os outros componentes do sistema através do barramento de hardware. O uso do TPM é a maneira mais segura de armazenar chaves de acesso do BitLocker, pois o TPM fornece verificação de integridade do sistema antes da inicialização. Você ainda pode criptografar unidades em um computador sem um TPM. Nesse caso, a chave de acesso será criptografada com uma senha. O BitLocker usa os seguintes métodos de autenticação:
Após criptografar uma unidade, o BitLocker cria uma chave mestra. O Kaspersky Endpoint Security envia a chave mestra ao Kaspersky Security Center para que você possa restaurar o acesso ao disco, por exemplo, se um usuário esquecer a senha.
Se um usuário criptografar um disco usando o BitLocker, o Kaspersky Endpoint Security enviará informações sobre criptografia de disco ao Kaspersky Security Center. No entanto, o Kaspersky Endpoint Security não enviará a chave mestra para o Kaspersky Security Center, portanto, será impossível restaurar o acesso ao disco usando o Kaspersky Security Center. Para que o BitLocker funcione corretamente com o Kaspersky Security Center, descriptografe e criptografe novamente a unidade utilizando uma política. Você pode descriptografar uma unidade localmente ou usando uma política.
Após criptografar o disco rígido do sistema, o usuário precisa passar pela autenticação do BitLocker para inicializar o sistema operacional. Após o procedimento de autenticação, o BitLocker permitirá que os usuários façam logon. O BitLocker não oferece suporte à tecnologia de login único (SSO).
Se você estiver usando políticas de grupo do Windows, desative o gerenciamento do BitLocker nas configurações de política. As configurações de política do Windows podem entrar em conflito com as configurações de política do Kaspersky Endpoint Security. Ao criptografar uma unidade, podem ocorrer erros.
Configurações do componente Kaspersky Disk Encryption
Parâmetro |
Descrição |
---|---|
Modo de criptografia |
Criptografar todos os discos rígidos. Se este item for selecionado, o aplicativo criptografará todos os discos rígidos quando a política for aplicada. Se o computador tiver vários sistemas operacionais instalados, depois da criptografia você será capaz só de carregar o sistema operacional que manda instalar o aplicativo. Descriptografar todos os discos rígidos. Se este item for selecionado, o aplicativo descriptografará todos os discos rígidos anteriormente criptografados quando a política for aplicada. Manter inalterado. Se este item for selecionado, o aplicativo deixará as unidades no seu estado prévio quando a política for aplicada. Se a unidade foi criptografada, permanece criptografada. Se a unidade foi descriptografada, permanece descriptografada. Esse item está selecionado por padrão. |
Durante a criptografia, criar contas do Agente de Autenticação para usuários do Windows automaticamente |
Se a caixa de seleção estiver marcada, o aplicativo cria contas do Agente de Autenticação com base na lista de contas de usuários do Windows no computador. Por padrão, o Kaspersky Endpoint Security usa todas as contas locais e de domínio com as quais o usuário efetuou login no sistema operacional nos últimos 30 dias. |
Configurações de criação de contas de Agente de autenticação |
Todas as contas no computador. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará contas do Agente de autenticação para todas as contas do computador que estiveram alguma vez ativas. Todas as contas de domínio no computador. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará contas do Agente de autenticação para todas as contas do computador pertencentes a um determinado domínio que estiveram alguma vez ativas. Todas as contas locais no computador. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará contas do Agente de autenticação para todas as contas do computador local que estiveram alguma vez ativas. Administrador local. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará uma conta de administrador local. Gerente do computador. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará uma conta do Agente de autenticação para a conta cujas propriedades no Diretório Ativo mostram que é uma conta de gerenciamento. Conta ativa. Se esta caixa de seleção for marcada, durante a tarefa de Criptografia completa do disco, o Kaspersky Endpoint Security criará automaticamente uma conta do Agente de autenticação para a conta do computador que está ativa durante a tarefa. |
Criar contas de Agente de Autenticação automaticamente para todos os usuários deste computador ao efetuar o login |
Se a caixa de seleção estiver marcada, o aplicativo verificará as informações sobre as contas de usuários do Windows no computador antes de iniciar o agente de autenticação. Se o Kaspersky Endpoint Security detectar uma conta de usuário do Windows que não tenha uma conta do Agente de Autenticação, o aplicativo criará uma nova conta para acessar unidades criptografadas. A nova conta do Agente de Autenticação terá as seguintes configurações padrão: proteção por senha somente no início da sessão e mudança de senha na primeira autenticação. Portanto, não é necessário adicionar manualmente as contas do Agente de Autenticação usando a tarefa Gerenciar contas do Agente de Autenticação para computadores com unidades já criptografadas. |
Salvar nome de usuário inserido no Agente de Autenticação |
Se a caixa de seleção for marcada, o aplicativo salvará o nome da conta do Agente de autenticação. Não será necessário inserir o nome da conta na próxima vez que você tentar concluir a autorização no Agente de Autenticação na mesma conta. |
Criptografar somente espaço usado em disco |
Esta caixa ativa / desativa a opção que limita a área de criptografia a setores de disco rígido só ocupados. Este limite permite reduzir o tempo de criptografia. Ativar ou desativar o recurso criptografar somente espaço usado em disco (reduz o tempo de criptografia) após o início da criptografia não modifica essa configuração até que os discos rígidos sejam descriptografados. Você deve marcar ou desmarcar a caixa de seleção antes da criptografia inicial. Se a caixa de seleção estiver selecionada, somente as porções da unidade que são ocupadas por arquivos serão criptografadas. O Kaspersky Endpoint Security criptografa automaticamente novos dados à medida que são adicionados. Se a caixa de seleção estiver desmarcada, a unidade inteira será criptografada, inclusive fragmentos residuais de arquivos anteriormente excluídos e modificados. Este modo é recomendado para novas unidades cujos dados não foram modificados ou excluídos. Se você estiver aplicando a criptografia em um disco rígido que já está no uso, recomenda-se criptografar o disco rígido inteiro. Isso garante a proteção de todos os dados; até mesmo de dados excluídos que podem ser recuperados. Esta caixa de seleção está desmarcada por padrão. |
Usar Legacy USB Support |
Esta caixa de seleção ativa/desativa a função Legacy USB Support. Legacy USB Support é uma função do BIOS/UEFI que permite usar dispositivos USB (como um token de segurança) durante a fase de inicialização do computador antes de iniciar o sistema operacional (modo BIOS). Legacy USB Support não afeta o suporte a dispositivos USB depois que o sistema operacional é iniciado. Se a caixa de seleção for marcada, o suporte a dispositivos USB será ativado durante a inicialização do computador. Quando a função Legacy USB Support está ativada, o Agente de autenticação no modo BIOS não suporta o trabalho com tokens via USB. Recomenda-se usar esta opção somente quando houver um problema de compatibilidade de hardware e somente para os computadores nos quais o problema ocorreu. |
Configurações de senha |
Configurações de força da senha da conta do Agente de autenticação. Você também pode ativar o uso da tecnologia de login único (SSO). A tecnologia de SSO permite usar as mesmas credenciais de conta para acessar discos rígidos criptografados e entrar no sistema operacional. Se a caixa de seleção estiver marcada, você tem que inserir as credenciais da conta para acessar os discos rígidos criptografados e efetuar login automaticamente no sistema operacional. Se a caixa de seleção for desmarcada, você terá de inserir separadamente as credenciais para acessar os discos rígidos criptografados e as credenciais da conta de usuário para login automático no sistema operacional. |
Textos de ajuda |
Autenticação. Texto de ajuda que aparece na janela do Agente de autenticação ao inserir as credenciais da conta. Alterar senha. Texto de ajuda que aparece na janela do Agente de autenticação ao alterar a senha da conta do Agente de autenticação. Recuperar senha. Texto de ajuda que aparece na janela do Agente de autenticação ao recuperar a senha da conta do Agente de autenticação. |
Configurações do componente de Criptografia de unidade de disco da BitLocker
Parâmetro |
Descrição |
---|---|
Modo de criptografia |
Criptografar todos os discos rígidos. Se este item for selecionado, o aplicativo criptografará todos os discos rígidos quando a política for aplicada. Se o computador tiver vários sistemas operacionais instalados, depois da criptografia você será capaz só de carregar o sistema operacional que manda instalar o aplicativo. Descriptografar todos os discos rígidos. Se este item for selecionado, o aplicativo descriptografará todos os discos rígidos anteriormente criptografados quando a política for aplicada. Manter inalterado. Se este item for selecionado, o aplicativo deixará as unidades no seu estado prévio quando a política for aplicada. Se a unidade foi criptografada, permanece criptografada. Se a unidade foi descriptografada, permanece descriptografada. Esse item está selecionado por padrão. |
Permitir uso de autenticação BitLocker que requer entrada do teclado de pré-inicialização nos tablets |
Esta caixa de seleção ativa/desativa o uso da autenticação que requer entrada de dados em um ambiente de pré-inicialização, mesmo se a plataforma não tiver a capacidade para a entrada de pré-inicialização (por exemplo, com teclados sensíveis ao toque em tablets). A tela sensível ao toque de computadores tablet não está disponível no ambiente de pré-inicialização. Para concluir a autenticação do BitLocker em computadores tablet, o usuário precisa conectar um teclado USB, por exemplo. Se a caixa de seleção for marcada, o uso da autenticação que precisa de entrada de pré-inicialização será permitido. Recomenda-se usar esta definição apenas para dispositivos que têm ferramentas de introdução de dados alternativas em um ambiente de pré-inicialização, como um teclado USB além de teclados sensíveis ao toque. Se a caixa de seleção estiver desmarcada, a criptografia de unidade de disco da BitLocker não é possível em tablets. |
Usar criptografia de hardware |
Se a caixa de seleção for marcada, o aplicativo aplicará a criptografia de hardware. Isso permite aumentar a velocidade da criptografia e usar menos recursos de computador. |
Criptografar somente espaço usado em disco (Windows 8 e versões posteriores) |
Esta caixa ativa / desativa a opção que limita a área de criptografia a setores de disco rígido só ocupados. Este limite permite reduzir o tempo de criptografia. Ativar ou desativar o recurso criptografar somente espaço usado em disco (reduz o tempo de criptografia) após o início da criptografia não modifica essa configuração até que os discos rígidos sejam descriptografados. Você deve marcar ou desmarcar a caixa de seleção antes da criptografia inicial. Se a caixa de seleção estiver selecionada, somente as porções da unidade que são ocupadas por arquivos serão criptografadas. O Kaspersky Endpoint Security criptografa automaticamente novos dados à medida que são adicionados. Se a caixa de seleção estiver desmarcada, a unidade inteira será criptografada, inclusive fragmentos residuais de arquivos anteriormente excluídos e modificados. Este modo é recomendado para novas unidades cujos dados não foram modificados ou excluídos. Se você estiver aplicando a criptografia em um disco rígido que já está no uso, recomenda-se criptografar o disco rígido inteiro. Isso garante a proteção de todos os dados; até mesmo de dados excluídos que podem ser recuperados. Esta caixa de seleção está desmarcada por padrão. |
Configurações de autenticação |
Usar senha (Windows 8 e versões posteriores) Se esta opção for selecionada, o Kaspersky Endpoint Security solicita ao usuário uma senha quando o usuário tenta acessar uma unidade criptografada. Esta opção pode ser selecionada quando Módulo de plataforma confiável (TPM) não está sendo usado. Usar Módulo de plataforma confiável (TPM) Se esta opção for selecionada, o BitLocker usará um Módulo de plataforma confiável (TPM). Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de Plataforma Confiável normalmente é instalado na placa mãe do computador e interage com todos os outros componentes do sistema via barramento de hardware. Para computadores que executam o Windows 7 ou Windows Server 2008 R2, somente a criptografia usando um módulo TPM está disponível. Se um módulo TPM não estiver instalado, a criptografia do BitLocker não será possível. O uso de senha nesses computadores não é suportado. Um dispositivo equipado com um Módulo de plataforma confiável pode criar chaves de criptografia que podem ser descriptografados apenas com o dispositivo. Um Módulo de plataforma confiável criptografa chaves de criptografia com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz é armazenada dentro do Módulo de plataforma confiável. Isso fornece um nível adicional da proteção contra tentativas de cortar chaves de criptografia. Esta ação é selecionada por padrão. É possível definir uma camada adicional de proteção para o acesso à chave de criptografia e criptografar a chave com uma senha ou um PIN:
|