Criptografia Completa do Disco

Você pode selecionar uma tecnologia de criptografia: O Kaspersky Disk Encryption ou criptografia de unidade de disco da BitLocker (aqui também mencionada simplesmente como "BitLocker").

Kaspersky Disk Encryption

Após a criptografia dos discos rígidos do sistema, na próxima inicialização do sistema o usuário deve concluir a autenticação usando o Agente de autenticação antes que os discos rígidos possam ser acessados e o sistema operacional seja carregado. Isso requer inserir a senha do token ou cartão inteligente conectado ao computador ou o nome de usuário e a senha da conta do Agente de autenticação criada pelo administrador da rede local usando a tarefa de Gerenciar contas do Agente de Autenticação. Estas contas são baseadas nas contas do Microsoft Windows com a qual os usuários fazem login no sistema operacional. Você também pode usar a tecnologia de Login único (SSO), que permite efetuar login automaticamente no sistema operacional usando o nome de usuário e a senha da conta do Agente de autenticação.

A autenticação do usuário no Agente de autenticação pode ser realizada de duas formas:

Criptografia de Unidade de Disco BitLocker

O BitLocker é uma tecnologia de criptografia incorporada nos sistemas operacionais Windows. O Kaspersky Endpoint Security permite controlar e gerenciar o Bitlocker usando o Kaspersky Security Center. O BitLocker criptografa volumes lógicos. O BitLocker não pode ser usado para criptografia de unidades removíveis. Para obter detalhes sobre o BitLocker, consulte a documentação da Microsoft.

O BitLocker fornece armazenamento seguro de chaves de acesso usando um módulo de plataforma confiável. Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de plataforma confiável geralmente é instalado na placa-mãe do computador e interage com todos os outros componentes do sistema através do barramento de hardware. O uso do TPM é a maneira mais segura de armazenar chaves de acesso do BitLocker, pois o TPM fornece verificação de integridade do sistema antes da inicialização. Você ainda pode criptografar unidades em um computador sem um TPM. Nesse caso, a chave de acesso será criptografada com uma senha. O BitLocker usa os seguintes métodos de autenticação:

Após criptografar uma unidade, o BitLocker cria uma chave principal. O Kaspersky Endpoint Security envia a chave principal ao Kaspersky Security Center para que você possa restaurar o acesso ao disco, por exemplo, se um usuário esquecer a senha.

Se um usuário criptografar um disco usando o BitLocker, o Kaspersky Endpoint Security enviará informações sobre criptografia de disco ao Kaspersky Security Center. No entanto, o Kaspersky Endpoint Security não enviará a chave principal para o Kaspersky Security Center, portanto, será impossível restaurar o acesso ao disco usando o Kaspersky Security Center. Para que o BitLocker funcione corretamente com o Kaspersky Security Center, descriptografe e criptografe novamente a unidade utilizando uma política. Você pode descriptografar uma unidade localmente ou usando uma política.

Após criptografar o disco rígido do sistema, o usuário precisa passar pela autenticação do BitLocker para inicializar o sistema operacional. Após o procedimento de autenticação, o BitLocker permitirá que os usuários façam logon. O BitLocker não oferece suporte à tecnologia de login único (SSO).

Se você estiver usando políticas de grupo do Windows, desative o gerenciamento do BitLocker nas configurações de política. As configurações de política do Windows podem entrar em conflito com as configurações de política do Kaspersky Endpoint Security. Ao criptografar uma unidade, podem ocorrer erros.

Configurações do componente Kaspersky Disk Encryption

Parâmetro

Descrição

Modo de criptografia

Criptografar todos os discos rígidos. Se este item for selecionado, o aplicativo criptografará todos os discos rígidos quando a política for aplicada.

Se o computador tiver vários sistemas operacionais instalados, depois da criptografia você será capaz só de carregar o sistema operacional que manda instalar o aplicativo.

Descriptografar todos os discos rígidos. Se este item for selecionado, o aplicativo descriptografará todos os discos rígidos anteriormente criptografados quando a política for aplicada.

Manter inalterado. Se este item for selecionado, o aplicativo deixará as unidades no seu estado prévio quando a política for aplicada. Se a unidade foi criptografada, permanece criptografada. Se a unidade foi descriptografada, permanece descriptografada. Esse item está selecionado por padrão.

Durante a criptografia, criar automaticamente contas do Agente de Autenticação para usuários do Windows

Se a caixa de seleção estiver marcada, o aplicativo cria contas do Agente de Autenticação com base na lista de contas de usuários do Windows no computador. Por padrão, o Kaspersky Endpoint Security usa todas as contas locais e de domínio com as quais o usuário efetuou login no sistema operacional nos últimos 30 dias.

Conf. de criação de conta do Agente de Autenticação

Todas as contas no computador. Todas as contas no computador que estiveram ativas em algum momento.

Todas as contas de domínio no computador. Todas as contas no computador que pertencem a algum domínio e que estiveram ativas em algum momento.

Todas as contas locais no computador. Todas as contas locais no computador que estiveram ativas a qualquer momento.

Conta de serviço com uma senha única. A conta de serviço é necessária para obter acesso ao computador, por exemplo, quando o usuário esquece a senha. Também é possível usar a conta de serviço como conta reserva. É necessário inserir o nome da conta (por padrão, ServiceAccount). O Kaspersky Endpoint Security cria uma senha automaticamente. É possível encontrar a senha no console do Kaspersky Security Center.

Administrador local. O Kaspersky Endpoint Security cria uma conta de usuário do Agente de Autenticação para o administrador local do computador.

Gerente do computador. O Kaspersky Endpoint Security cria uma conta de usuário do Agente de Autenticação para a conta do gerente do computador. É possível ver qual conta tem a função de gerente de computador nas propriedades do computador no Active Directory. Por padrão, a função de gerente do computador não está definida, ou seja, não corresponde a nenhuma conta.

Conta ativa. O Kaspersky Endpoint Security cria automaticamente uma conta do Agente de Autenticação para a conta que está ativa no momento da criptografia do disco.

Criar automaticamente contas do Agente de Autenticação para todos os usuários do computador ao fazer login

Se a caixa de seleção estiver marcada, o aplicativo verificará as informações sobre as contas de usuários do Windows no computador antes de iniciar o agente de autenticação. Se o Kaspersky Endpoint Security detectar uma conta de usuário do Windows que não tenha uma conta do Agente de Autenticação, o aplicativo criará uma nova conta para acessar unidades criptografadas. A nova conta do Agente de Autenticação terá as seguintes configurações padrão: proteção por senha somente no início da sessão e mudança de senha na primeira autenticação. Portanto, não é necessário adicionar manualmente as contas do Agente de Autenticação usando a tarefa Gerenciar contas do Agente de Autenticação para computadores com unidades já criptografadas.

Salvar nome de usuário inserido no Agente de Autenticação

Se a caixa de seleção for marcada, o aplicativo salvará o nome da conta do Agente de autenticação. Não será necessário inserir o nome da conta na próxima vez que você tentar concluir a autorização no Agente de Autenticação na mesma conta.

Criptografar somente espaço usado em disco (reduz o tempo de criptografia)

Esta caixa ativa / desativa a opção que limita a área de criptografia a setores de disco rígido só ocupados. Este limite permite reduzir o tempo de criptografia.

Ativar ou desativar o recurso Criptografar somente espaço usado em disco (reduz o tempo de criptografia) após o início da criptografia não modifica essa configuração até que os discos rígidos sejam descriptografados. Você deve marcar ou desmarcar a caixa de seleção antes da criptografia inicial.

Se a caixa de seleção estiver selecionada, somente as porções da unidade de disco rígido que são ocupadas por arquivos serão criptografadas. O Kaspersky Endpoint Security criptografa automaticamente novos dados à medida que são adicionados.

Se a caixa de seleção estiver desmarcada, a unidade de disco rígido inteira será criptografada, inclusive fragmentos residuais de arquivos anteriormente excluídos e modificados.

Esta opção é recomendada para novas unidades de disco rígido cujos dados não foram modificados ou excluídos. Se você estiver aplicando a criptografia em um disco rígido que já está no uso, recomenda-se criptografar o disco rígido inteiro. Isso garante a proteção de todos os dados; até mesmo de dados excluídos que podem ser recuperados.

Esta caixa de seleção está desmarcada por padrão.

Ativar Legacy USB Support (não recomendado)

Esta caixa de seleção ativa/desativa a função Legacy USB Support. Legacy USB Support é uma função do BIOS/UEFI que permite usar dispositivos USB (como um token de segurança) durante a fase de inicialização do computador antes de iniciar o sistema operacional (modo BIOS). Legacy USB Support não afeta o suporte a dispositivos USB depois que o sistema operacional é iniciado.

Se a caixa de seleção for marcada, o suporte a dispositivos USB será ativado durante a inicialização do computador.

Quando a função Legacy USB Support está ativada, o Agente de autenticação no modo BIOS não suporta o trabalho com tokens via USB. Recomenda-se usar esta opção somente quando houver um problema de compatibilidade de hardware e somente para os computadores nos quais o problema ocorreu.

Configurações da senha

Configurações de força da senha da conta do Agente de autenticação. Ao usar a tecnologia de Login único, o Agente de Autenticação ignora os requisitos de segurança de senha especificados no Kaspersky Security Center. Você pode definir os requisitos de força da senha nas configurações do sistema operacional.

Usar a tecnologia de autenticação única (SSO)

A tecnologia de SSO permite usar as mesmas credenciais de conta para acessar discos rígidos criptografados e entrar no sistema operacional.

Se a caixa de seleção estiver marcada, você tem que inserir as credenciais da conta para acessar os discos rígidos criptografados e efetuar login automaticamente no sistema operacional.

Se a caixa de seleção for desmarcada, você terá de inserir separadamente as credenciais para acessar os discos rígidos criptografados e as credenciais da conta de usuário para login automático no sistema operacional.

Encapsular provedores de credenciais de terceiros

O Kaspersky Endpoint Security é compatível com o provedor de credenciais de terceiros ADSelfService Plus.

Ao trabalhar com provedores de credenciais de terceiros, o Agente de Autenticação intercepta a senha antes que o sistema operacional seja carregado. Isso significa que um usuário precisa inserir uma senha apenas uma vez ao entrar no Windows. Depois de entrar no Windows, o usuário pode utilizar os recursos de um provedor de credenciais de terceiros para autenticação em serviços corporativos, por exemplo. Os provedores de credenciais de terceiros também permitem que os usuários redefinam a própria senha de forma independente. Nesse caso, o Kaspersky Endpoint Security atualizará automaticamente a senha do Agente de Autenticação.

Caso esteja usando um provedor de credenciais de terceiros que não seja compatível com o aplicativo, será possível encontrar algumas limitações na operação da tecnologia Single Sign-On.

Ajuda

Autenticação. Texto de ajuda que aparece na janela do Agente de autenticação ao inserir as credenciais da conta.

Alterar senha. Texto de ajuda que aparece na janela do Agente de autenticação ao alterar a senha da conta do Agente de autenticação.

Recuperar senha. Texto de ajuda que aparece na janela do Agente de autenticação ao recuperar a senha da conta do Agente de autenticação.

Configurações do componente de Criptografia de unidade de disco da BitLocker

Parâmetro

Descrição

Modo de criptografia

Criptografar todos os discos rígidos. Se este item for selecionado, o aplicativo criptografará todos os discos rígidos quando a política for aplicada.

Se o computador tiver vários sistemas operacionais instalados, depois da criptografia você será capaz só de carregar o sistema operacional que manda instalar o aplicativo.

Descriptografar todos os discos rígidos. Se este item for selecionado, o aplicativo descriptografará todos os discos rígidos anteriormente criptografados quando a política for aplicada.

Manter inalterado. Se este item for selecionado, o aplicativo deixará as unidades no seu estado prévio quando a política for aplicada. Se a unidade foi criptografada, permanece criptografada. Se a unidade foi descriptografada, permanece descriptografada. Esse item está selecionado por padrão.

Permitir uso de autenticação BitLocker que requer entrada do teclado de pré-inicialização nos tablets

Esta caixa de seleção ativa/desativa o uso da autenticação que requer entrada de dados em um ambiente de pré-inicialização, mesmo se a plataforma não tiver a capacidade para a entrada de pré-inicialização (por exemplo, com teclados sensíveis ao toque em tablets).

A tela sensível ao toque de computadores tablet não está disponível no ambiente de pré-inicialização. Para concluir a autenticação do BitLocker em computadores tablet, o usuário precisa conectar um teclado USB, por exemplo.

Se a caixa de seleção for marcada, o uso da autenticação que precisa de entrada de pré-inicialização será permitido. Recomenda-se usar esta definição apenas para dispositivos que têm ferramentas de introdução de dados alternativas em um ambiente de pré-inicialização, como um teclado USB além de teclados sensíveis ao toque.

Se a caixa de seleção estiver desmarcada, a criptografia de unidade de disco da BitLocker não é possível em tablets.

Usar criptografia de hardware (Windows 8 e versões posteriores)

Se a caixa de seleção for marcada, o aplicativo aplicará a criptografia de hardware. Isso permite aumentar a velocidade da criptografia e usar menos recursos de computador.

Criptografar somente espaço usado em disco (Windows 8 e versões posteriores)

Esta caixa ativa / desativa a opção que limita a área de criptografia a setores de disco rígido só ocupados. Este limite permite reduzir o tempo de criptografia.

Ativar ou desativar o recurso Criptografar somente espaço usado em disco (reduz o tempo de criptografia) após o início da criptografia não modifica essa configuração até que os discos rígidos sejam descriptografados. Você deve marcar ou desmarcar a caixa de seleção antes da criptografia inicial.

Se a caixa de seleção estiver selecionada, somente as porções da unidade de disco rígido que são ocupadas por arquivos serão criptografadas. O Kaspersky Endpoint Security criptografa automaticamente novos dados à medida que são adicionados.

Se a caixa de seleção estiver desmarcada, a unidade de disco rígido inteira será criptografada, inclusive fragmentos residuais de arquivos anteriormente excluídos e modificados.

Esta opção é recomendada para novas unidades de disco rígido cujos dados não foram modificados ou excluídos. Se você estiver aplicando a criptografia em um disco rígido que já está no uso, recomenda-se criptografar o disco rígido inteiro. Isso garante a proteção de todos os dados; até mesmo de dados excluídos que podem ser recuperados.

Esta caixa de seleção está desmarcada por padrão.

Método de autenticação

Somente senha (Windows 8 e versões posteriores)

Se esta opção for selecionada, o Kaspersky Endpoint Security solicita ao usuário uma senha quando o usuário tenta acessar uma unidade criptografada.

Esta opção pode ser selecionada quando o Trusted Platform Module (TPM) não está sendo usado.

Módulo de plataforma confiável (TPM)

Se esta opção for selecionada, o BitLocker usará um Trusted Platform Module (TPM).

Um Módulo de plataforma confiável (TPM) é um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, guardar chaves de criptografia). Um Módulo de Plataforma Confiável normalmente é instalado na placa mãe do computador e interage com todos os outros componentes do sistema via barramento de hardware.

Para computadores que executam o Windows 7 ou Windows Server 2008 R2, somente a criptografia usando um módulo TPM está disponível. Se um módulo TPM não estiver instalado, a criptografia do BitLocker não será possível. O uso de senha nesses computadores não é suportado.

Um dispositivo equipado com um Módulo de plataforma confiável pode criar chaves de criptografia que podem ser descriptografados apenas com o dispositivo. Um Trusted Platform Module criptografa chaves de criptografia com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz é armazenada dentro do Trusted Platform Module. Isso fornece um nível adicional da proteção contra tentativas de cortar chaves de criptografia.

Esta ação é selecionada por padrão.

É possível definir uma camada adicional de proteção para o acesso à chave de criptografia e criptografar a chave com uma senha ou um PIN:

  • Usar o PIN para TPM. Se esta caixa de seleção estiver selecionada, um usuário pode usar um código PIN para obter acesso a uma chave de criptografia que é armazenada em Módulo de plataforma confiável (TPM).

    Se esta caixa de seleção estiver desmarcada, os usuários estão proibidos de usar códigos PIN. Para acessar a chave de criptografia, o usuário deve digitar a senha.

  • Módulo de plataforma confiável (TPM), ou senha, caso o TPM não esteja disponível. Se a caixa de seleção for marcada, o usuário poderá usar uma senha para obter o acesso a chaves de criptografia quando Módulo de plataforma confiável (TPM) não está disponível.

    Se a caixa de seleção estiver desmarcada e o TPM não estiver disponível, a criptografia completa do disco não será iniciada.

    O método de autenticação selecionado deve ser configurado especificando os requisitos de senha ou PIN:

  • Comprimento mínimo do PIN (caracteres).
  • Comprimento mínimo da senha (caracteres).
  • Limitar período de validade da senha / PIN para TPM (dias).
  • Usar o PIN aprimorado (letras e números). O PIN Aprimorado permite o uso de outros caracteres além dos caracteres numéricos: letras latinas maiúsculas e minúsculas, caracteres especiais e espaços.

Recriar automaticamente a chave de recuperação (dias)

Atualizar automaticamente a senha para restaurar o acesso a uma unidade protegida pelo BitLocker. Caso a caixa de seleção esteja marcada, especifique o período de validade da senha da chave de recuperação. Isso ajuda a evitar o reuso da senha da chave de recuperação.

Consulte também: Como gerenciar o aplicativo por meio do Console de Administração do Kaspersky Security Center

Iniciar o Kaspersky Disk Encryption

Iniciar Criptografia de Unidade de Disco BitLocker

Criar uma lista de discos rígidos excluídos da criptografia

Descriptografia de disco rígido

Atualização do sistema operacional

Eliminar erros de atualização da funcionalidade de criptografia

Início da página