para Windows e macOS
Criptografia de unidade de disco BitLocker para Windows
O BitLocker é uma tecnologia de criptografia incorporada nos sistemas operacionais Windows. O Kaspersky Endpoint Security permite controlar e gerenciar o Bitlocker usando a infraestrutura do Kaspersky Next. O BitLocker criptografa volumes lógicos. O BitLocker não pode ser usado para criptografia de unidades removíveis. Para obter os detalhes sobre o BitLocker, consulte a documentação da Microsoft.
Ao criptografar o disco, o BitLocker coloca o carregador de inicialização e outros arquivos auxiliares na partição do sistema. Esta partição não é criptografada. O sistema operacional cria a partição do sistema automaticamente durante a instalação do Windows. Se o disco estiver totalmente particionado antes da instalação do Windows, o sistema operacional não poderá criar uma partição do sistema. Nesse caso, quando a criptografia de disco do BitLocker for iniciada, o sistema operacional solicitará ao usuário para reparticionar o disco e criar uma partição do sistema. Depois de criar uma partição do sistema, o sistema operacional inicia a criptografia do BitLocker.
O BitLocker fornece armazenamento seguro de chaves de acesso usando um módulo de plataforma confiável. Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de Plataforma Confiável normalmente é instalado na placa mãe do computador e interage com todos os outros componentes do sistema via barramento de hardware. Usar o TPM é a maneira mais segura de armazenar chaves de acesso do BitLocker, ele fornece verificação de integridade do sistema antes da inicialização. Ainda é possível criptografar unidades em um computador sem um TPM. Nesse caso, a chave de acesso será criptografada com uma senha. O BitLocker usa os seguintes métodos de autenticação:
Após criptografar o disco rígido do sistema, o usuário precisa passar pela autenticação do BitLocker para inicializar o sistema operacional. Após o procedimento de autenticação, o BitLocker permitirá que os usuários façam login. O BitLocker não é compatível com a tecnologia de login único (SSO).
Após criptografar uma unidade, o BitLocker cria uma chave principal. O Kaspersky Endpoint Security envia a chave principal para a infraestrutura do Kaspersky Next para que seja possível restaurar o acesso ao disco, por exemplo, se um usuário tiver esquecido a senha.
Se um usuário criptografar um disco usando o BitLocker, o Kaspersky Endpoint Security enviará informações sobre a criptografia de disco ao console do Kaspersky Next. No entanto, o Kaspersky Endpoint Security não enviará a chave principal para a infraestrutura do Kaspersky Next, tornando impossível restaurar o acesso ao disco. Para que o BitLocker funcione corretamente com a infraestrutura do Kaspersky Next, descriptografe e criptografe novamente a unidade utilizando uma política. Você pode descriptografar uma unidade localmente ou usando uma política.
Se você estiver usando políticas de grupo do Windows, desative o gerenciamento do BitLocker nas configurações de política. As configurações de política do Windows podem entrar em conflito com as configurações de política do Kaspersky Endpoint Security. Ao criptografar uma unidade, podem ocorrer erros.
Criptografia de disco do FileVault para macOS
O Kaspersky Endpoint Security permite que a criptografia do FileVault seja gerenciada remotamente. A criptografia impede que usuários não autorizados acessem dados confidenciais armazenados no disco de inicialização do computador do usuário.
Quando um administrador inicia a criptografia do FileVault em um computador pelo console do Kaspersky Next, o Kaspersky Endpoint Security solicita que um usuário desse computador insira suas credenciais. A criptografia do disco só é iniciada depois que o usuário fornecer suas credenciais, o computador for reiniciado e decorridos 30 minutos desde o recebimento das configurações da política no sistema. O intervalo mínimo entre solicitações de credenciais também é de 30 minutos.
Para impedir que o usuário descriptografe o disco de inicialização de um computador quando a criptografia do FileVault estiver ativada, um administrador precisa usar o JAMF para implantar um perfil MDM que proíba a descriptografia do disco. Para descriptografar o disco de inicialização de um computador com um perfil MDM que proíba a descriptografia de disco, primeiro o administrador precisa remover o perfil.
Se o gerenciamento de criptografia do FileVault não estiver ativado no console do Kaspersky Next, os usuários com direitos de administrador poderão criptografar e descriptografar os discos de inicialização do computador nas Configurações do sistema. Para obter mais informações sobre o FileVault, consulte a documentação da Apple.
Caso o computador tenha várias contas de computador, a criptografia do FileVault tornará o disco inacessível para todos os usuários, com exceção do usuário que inseriu as credenciais.
Configurações de criptografia de dados para o Pro View
Parâmetro |
SO |
Descrição |
|---|---|---|
Ação sobre os dispositivos |
|
Criptografar todos os discos rígidos. Se este item for selecionado, o aplicativo criptografará todos os discos rígidos quando a política for aplicada. Descriptografar todos os discos rígidos. Se este item for selecionado, o aplicativo descriptografará todos os discos rígidos anteriormente criptografados quando a política for aplicada. |
Usar criptografia de hardware |
|
Se a caixa de seleção for marcada, o aplicativo aplicará a criptografia de hardware. Isso permite aumentar a velocidade de criptografia e usar menos recursos computacionais. |
Uso da autenticação do BitLocker em tablets Windows |
|
Utilizar uma autenticação que requer a entrada de dados em um ambiente de pré-inicialização, mesmo se a plataforma não oferecer suporte para a entrada de pré-inicialização (por exemplo, com teclados sensíveis ao toque em tablets). A tela sensível ao toque de computadores tablet não está disponível no ambiente de pré-inicialização. Para concluir a autenticação do BitLocker em computadores tablet, o usuário precisa conectar um teclado USB, por exemplo. Se a caixa de seleção for marcada, o uso da autenticação que precisa de entrada de pré-inicialização será permitido. Recomenda-se usar esta definição apenas para dispositivos que têm ferramentas de introdução de dados alternativas em um ambiente de pré-inicialização, como um teclado USB além de teclados sensíveis ao toque. Se a caixa de seleção estiver desmarcada, a criptografia de unidade de disco da BitLocker não é possível em tablets. |
Método de autenticação |
|
Módulo de plataforma confiável (TPM). Se esta opção for selecionada, o BitLocker usará um Trusted Platform Module (TPM). Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de Plataforma Confiável normalmente é instalado na placa mãe do computador e interage com todos os outros componentes do sistema via barramento de hardware. Para computadores que executam o Windows 7 ou Windows Server 2008 R2, somente a criptografia usando um módulo TPM está disponível. Se um módulo TPM não estiver instalado, a criptografia do BitLocker não será possível. O uso de senha nesses computadores não é suportado. Um dispositivo equipado com um Módulo de plataforma confiável pode criar chaves de criptografia que podem ser descriptografados apenas com o dispositivo. Um Trusted Platform Module criptografa chaves de criptografia com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz é armazenada dentro do Trusted Platform Module. Isso fornece um nível adicional da proteção contra tentativas de cortar chaves de criptografia. Esta ação é selecionada por padrão. Senha. Se esta opção for selecionada, o Kaspersky Endpoint Security solicita ao usuário uma senha quando o usuário tenta acessar uma unidade criptografada. Esta opção pode ser selecionada quando o Trusted Platform Module (TPM) não está sendo usado. Módulo de plataforma confiável (TPM), ou senha, caso o TPM não esteja disponível. Se essa opção for selecionada, o usuário poderá utilizar uma senha para obter acesso a chaves de criptografia quando um Módulo de plataforma confiável (TPM) não estiver disponível. Se a caixa de seleção estiver desmarcada e o TPM não estiver disponível, a criptografia completa do disco não será iniciada. Usar o PIN para TPM. Se esta caixa de seleção estiver selecionada, um usuário poderá usar um código PIN para obter acesso a uma chave de criptografia que é armazenada em um Módulo de plataforma confiável (TPM). Se esta caixa de seleção estiver desmarcada, os usuários estão proibidos de usar códigos PIN. Para acessar a chave de criptografia, o usuário deve digitar a senha. |