Encriptação de dados

O Kaspersky Endpoint Security permite encriptar ficheiros e pastas armazenados em unidades locais e amovíveis ou em unidades amovíveis e unidades de disco rígido completas. A encriptação de dados minimiza o risco de fugas de informação que podem ocorrer devido à eventual perda ou roubo de um computador portátil, unidade amovível ou unidade de disco rígido, ou ao acesso não autorizado aos dados por utilizadores ou aplicações. O Kaspersky Endpoint Security utiliza o algoritmo de encriptação AES (Padrão de Encriptação Avançado).

Se a licença expirou, a aplicação não encripta novos dados, e os dados encriptados antigos permanecem encriptados e disponíveis para serem utilizados. Neste caso, a encriptação de novos dados exige que a aplicação seja ativada com uma nova licença que permita a utilização da encriptação.

Se a licença tiver expirado, o Contrato de Licença do Utilizador Final tiver sido violado, a chave de licença, o Kaspersky Endpoint Security ou os componentes de encriptação tiverem sido removidos, o estado encriptado de ficheiros encriptados anteriormente não é garantido. A razão para isso prende-se com o facto de algumas aplicações, tais como o Microsoft Office Word, criarem uma cópia temporária de ficheiros durante a edição. Quando o ficheiro original é guardado, a cópia temporária substitui o ficheiro original. Em consequência, num computador que não tenha a funcionalidade de encriptação ou que esteja inacessível, o ficheiro permanece desencriptado.

O Kaspersky Endpoint Security oferece os seguintes aspetos da proteção de dados:

• Encriptação ao nível dos ficheiros unidades locais do computador. Pode compilar listas de ficheiros por extensão ou grupos de extensões e listas de pastas armazenadas em unidades de leitura locais e criar regras para encriptar ficheiros que são criados por aplicações específicas. Após a aplicação de uma política, o Kaspersky Endpoint Security encripta e desencripta os seguintes ficheiros:
  • ficheiros adicionados individualmente a listas de encriptação e desencriptação;
  • ficheiros armazenados em pastas adicionados a listas de encriptação e desencriptação;
  • ficheiros criados por aplicações separadas.
• Encriptação de unidades amovíveis. Pode especificar uma regra de encriptação predefinida, segundo a qual a aplicação aplica a mesma ação a todas as unidades amovíveis, ou especificar regras de encriptação para unidades amovíveis individuais.

  A regra de encriptação predefinida tem uma prioridade menor relativamente às regras de encriptação criadas para unidades amovíveis individuais. As regras de encriptação criadas para unidades amovíveis do modelo de dispositivo especificado têm uma prioridade menor do que as regras de encriptação criadas para unidades amovíveis com o ID de dispositivo especificado.

  Para selecionar uma regra de encriptação para ficheiros numa unidade amovível, o Kaspersky Endpoint Security verifica se o modelo e ID do dispositivo são ou não conhecidos. A aplicação executa então uma das seguintes operações:

  • Se apenas o modelo do dispositivo for conhecido, a aplicação utiliza a regra de encriptação (caso exista) que foi criada para unidades amovíveis do modelo de dispositivo especificado.
  • Se apenas o ID do dispositivo for conhecido, a aplicação utiliza a regra de encriptação (caso exista) que foi criada para unidades amovíveis com o ID do dispositivo especificado.
  • Se o modelo e ID do dispositivo forem conhecidos, a aplicação aplica a regra de encriptação (caso exista) que foi criada para unidades amovíveis com o ID de dispositivo específico. Se essa regra não existir, mas existir uma regra de encriptação criada para unidades amovíveis com o modelo de dispositivo específico, a aplicação aplica esta regra. Se não for especificada nenhuma regra de encriptação para o ID de dispositivo específico nem para o modelo de dispositivo específico, a aplicação aplica a regra de encriptação predefinida.
  • Se nem o modelo nem o ID do dispositivo forem conhecidos, a aplicação utiliza a regra de encriptação predefinida.

  A aplicação permite preparar uma unidade amovível para utilizar dados encriptados armazenados na mesma, em modo portátil. Após a ativação do modo portátil, pode aceder aos ficheiros encriptados em unidades amovíveis ligadas a um computador sem funcionalidade de encriptação.

• Gerir regras de acesso às aplicações para ficheiros encriptados. Para qualquer aplicação, pode criar uma regra de acesso a ficheiros encriptados, que bloqueia o acesso a ficheiros encriptados ou que permite o acesso a ficheiros encriptados apenas como texto cifrado, uma sequência de caracteres obtidos quando a encriptação é aplicada.
• Criar pacotes encriptados. Pode criar arquivos encriptados e proteger o acesso a esses arquivos com uma password. Os conteúdos dos arquivos encriptados apenas podem ser acedidos com a introdução de passwords com as quais protegeu o acesso a esses arquivos. Esses arquivos podem ser transmitidos de forma segura através de redes ou em unidades amovíveis.
• Encriptação de disco completa. Pode selecionar uma tecnologia de encriptação: Encriptação de disco Kaspersky ou Encriptação de Unidade BitLocker (aqui também referida simplesmente como “BitLocker”).

  BitLocker é uma tecnologia que faz parte do sistema operativo Windows. Se um computador estiver equipado com um Trusted Platform Module (TPM), o BitLocker utiliza-o para armazenar chaves de recuperação que fornecem acesso a uma unidade de disco rígido encriptada. Quando o computador inicia, o BitLocker solicita as chaves de recuperação da unidade de disco rígido do Trusted Platform Module e desbloqueia a unidade. Pode configurar a utilização de uma password e/ou código PIN para aceder às chaves de recuperação.

  Pode especificar a regra predefinida de encriptação de disco completa e criar uma lista de unidades de disco rígido a excluir da encriptação. O Kaspersky Endpoint Security realiza a encriptação de disco completa por setor, depois de a política do Kaspersky Security Center ser aplicada. A aplicação encripta todas as partições lógicas das unidades de disco rígido em simultâneo.

  Após a encriptação das unidades de disco rígido do sistema, no próximo arranque do computador, o utilizador tem de efetuar a autenticação utilizando o Agente de Autenticação antes de as unidades de disco rígido poderem ser acedidas e o sistema operativo ser carregado. Para tal é necessário introduzir a password do token ou smart card ligado ao computador ou o nome de utilizador e a password da conta do Agente de Autenticação criada pelo administrador da rede local utilizando a tarefa de Gestão das contas de Agente de Autenticação. Estas contas são baseadas em contas do Microsoft Windows com as quais os utilizadores iniciam sessão no sistema operativo. Pode também utilizar a tecnologia de autenticação única (SSO) que permite iniciar sessão no sistema operativo automaticamente, utilizando o nome de utilizador e a password da conta do Agente de Autenticação.

  Interface que lhe permite realizar o processo de autenticação de modo a aceder a unidades de disco rígido encriptadas e carregar o sistema operativo após a encriptação da unidade de disco rígido de arranque.

  Se criar uma cópia de segurança de um computador, encriptar os dados do computador e, em seguida, restaurar a cópia de segurança do computador e encriptar os dados do computador novamente, o Kaspersky Endpoint Security cria duplicados das contas do Agente de Autenticação. Para remover as contas duplicadas, tem de utilizar o utilitário klmover com a chave dupfix. O utilitário klmover está incluído na compilação do Kaspersky Security Center. Pode ler mais sobre o seu funcionamento na Ajuda do Kaspersky Security Center.

  O acesso a unidades de disco rígido encriptadas é possível apenas a partir de computadores nos quais o Kaspersky Endpoint Security com a funcionalidade de encriptação de disco completa esteja instalado. Esta precaução minimiza o risco de perda de dados de uma unidade de disco rígido encriptada quando ocorre uma tentativa de acesso exterior à rede local da empresa.

Para encriptar unidades de disco rígido e unidades amovíveis, pode utilizar a função Encriptar apenas espaço de disco utilizado. Recomenda-se que utilize esta função apenas para novos dispositivos que não tenham sido utilizados anteriormente. Se estiver a aplicar encriptação num dispositivo que já esteja em utilização, recomenda-se que encripte o dispositivo inteiro. Esta ação assegura que todos os dados estão protegidos – até mesmo dados apagados que ainda possam conter informação recuperável.

Antes do início da encriptação, o Kaspersky Endpoint Security obtém o mapa dos setores do sistema de ficheiros. A primeira fase da encriptação inclui setores que estão ocupados por ficheiros no momento em que a encriptação é iniciada. A segunda fase da encriptação inclui setores que foram escritos depois de a encriptação começar. Após a conclusão da encriptação, todos os setores que contêm dados estão encriptados.

Após a conclusão da encriptação e quando um utilizador elimina um ficheiro, os setores onde estava armazenado o ficheiro apagado ficam disponíveis para armazenar informações novas no nível de sistema de ficheiros, mas permanecem encriptados. Assim, à medida que os ficheiros são escritos num novo dispositivo e o dispositivo é encriptado regularmente com a função Encriptar apenas espaço de disco utilizado ativada, passado algum tempo todos os setores serão encriptados.

Os dados necessários para desencriptar os ficheiros são fornecidos pelo Servidor de Administração do Kaspersky Security Center que controlava o computador na altura da encriptação. Se o computador com os objetos encriptados for gerido por um Servidor de Administração diferente, pode obter acesso aos dados encriptados de um dos seguintes modos:

• Servidores de Administração na mesma hierarquia:
  • Não é necessário efetuar ações adicionais. O utilizador mantém o acesso aos objetos encriptados. As chaves de encriptação são distribuídas a todos os Servidores de administração.
• Servidores de administração separados:
  • Solicitar o acesso aos objetos encriptados ao administrador da rede local.
  • Restaure os dados nos dispositivos encriptados utilizando a Ferramenta de Restauro.
  • Restaure a configuração do Servidor de administração do Kaspersky Security Center que controlava o computador no momento da encriptação a partir de uma cópia de segurança e utilize esta configuração no Servidor de administração que controla agora o computador com os objetos encriptados.

Se não houver acesso aos dados encriptados, cumpra as instruções especiais para trabalhar com dados encriptados (Restaurar acesso a ficheiros encriptados, Trabalhar com dispositivos encriptados quando não há acesso a eles).

Nesta secção Limitações da funcionalidade de encriptação Alterar o comprimento da chave de encriptação (AES56 / AES256) Encriptação de disco Kaspersky Gestão de BitLocker Encriptação ao nível dos ficheiros em unidades locais do computador Encriptação de unidades amovíveis Ver detalhes da encriptação de dados Trabalhar com dispositivos encriptados quando não existe acesso aos mesmos

Topo da página