Pode selecionar uma tecnologia de encriptação: Encriptação de disco Kaspersky ou Encriptação de Unidade BitLocker (aqui também referida simplesmente como “BitLocker”).
Encriptação de disco Kaspersky
Após a encriptação das unidades de disco rígido do sistema, no próximo arranque do computador, o utilizador tem de efetuar a autenticação utilizando o Agente de Autenticação antes de as unidades de disco rígido poderem ser acedidas e o sistema operativo ser carregado. Para tal é necessário introduzir a password do token ou smart card ligado ao computador ou o nome de utilizador e a password da conta do Agente de Autenticação criada pelo administrador da rede local utilizando a tarefa de Gestão das contas de Agente de Autenticação. Estas contas são baseadas em contas do Microsoft Windows com as quais os utilizadores iniciam sessão no sistema operativo. Pode também utilizar a tecnologia de autenticação única (SSO) que permite iniciar sessão no sistema operativo automaticamente, utilizando o nome de utilizador e a password da conta do Agente de Autenticação.
A autenticação do utilizador no Agente de Autenticação pode ser efetuada de duas formas:
A utilização de um token ou smart-card está disponível apenas se as unidades de disco rígido do computador tiverem sido encriptadas ao utilizar o algoritmo de encriptação AES256. Se os discos rígidos do computador foram encriptados através do algoritmo de encriptação AES56, a adição do ficheiro de certificado eletrónico ao comando será negada.
Encriptação de Unidade BitLocker
BitLocker é uma tecnologia de encriptação integrada nos sistemas operativos Windows. O Kaspersky Endpoint Security permite controlar e gerir o Bitlocker utilizando o Kaspersky Security Center. O BitLocker encripta volumes lógicos. Não pode utilizar o BitLocker para encriptação de unidades removíveis. Para obter mais informações sobre o BitLocker, consulte a documentação da Microsoft.
O BitLocker fornece armazenamento seguro de chaves de acesso utilizando um módulo de plataforma fiável. Um Módulo de plataforma fiável (TPM) microchip desenvolvido para fornecer funções básicas relacionadas com segurança (por exemplo, para armazenar chaves de encriptação). Habitualmente, é instalado um Trusted Platform Module (TPM) na motherboard do computador e interage com todos os outros componentes do sistema através do barramento de hardware. Utilizar o TPM é a forma mais segura de armazenar chaves de acesso do BitLocker, uma vez que o TPM fornece verificação integrada do sistema antes do arranque. Ainda pode encriptar unidades num computador sem um TPM. Neste caso, a chave de acesso será encriptada com uma password. O BitLocker utiliza os seguintes métodos de autenticação:
Depois de encriptar uma unidade, o BitLocker cria uma chave mestra. O Kaspersky Endpoint Security envia a chave mestra ao Kaspersky Security Center para que possa restaurar o acesso ao disco, por exemplo, se um utilizador se esqueceu da password.
Se um utilizador encriptar um disco utilizando o BitLocker, o Kaspersky Endpoint Security enviará informações sobre a encriptação do disco ao Kaspersky Security Center. No entanto, o Kaspersky Endpoint Security não enviará a chave mestra ao Kaspersky Security Center, por isso será impossível restaurar o acesso ao disco utilizando o Kaspersky Security Center. Para que o BitLocker funcione corretamente com o Kaspersky Security Center, desencripte a unidade e volte a encriptar a unidade utilizando uma política. Pode desencriptar uma unidade localmente ou utilizando uma política.
Depois de encriptar o disco rígido do sistema, o utilizador precisa passar pela autenticação do BitLocker para inicializar o sistema operativo. Depois do procedimento de autenticação, o BitLocker permitirá aos utilizadores iniciarem sessão. O BitLocker não oferece suporte à tecnologia de início de sessão único (SSO).
Se estiver a utilizar políticas de grupo do Windows, desative a gestão do BitLocker nas definições de política. As definições de política do Windows podem entrar em conflito com as definições de política do Kaspersky Endpoint Security. Ao encriptar uma unidade, podem ocorrer erros.
Definições do componente Encriptação de disco Kaspersky
Parâmetro |
Descrição |
|---|---|
Modo de encriptação |
Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Durante a encriptação, criar automaticamente contas do Agente de Autenticação para utilizadores do Windows |
Se esta caixa de verificação estiver selecionada, a aplicação cria contas do Agente de Autenticação com base na lista de contas de utilizador do Windows no computador. Por predefinição, o Kaspersky Endpoint Security utiliza todas as contas locais e de domínio com as quais o utilizador iniciou a sessão no sistema operativo ao longo dos últimos 30 dias. |
Def. criação conta de Agente de Autenticação |
Todas as contas no computador. Todas as contas no computador que estiveram ativas em algum momento. Todas as contas de domínio no computador. Todas as contas do computador que pertencem a algum domínio e que estiveram ativas em algum momento. Todas as contas locais no computador. Todas as contas locais no computador que estiveram ativas em algum momento. Conta de serviço com uma password única. A conta de serviço é necessária para obter acesso ao computador, por exemplo, quando o utilizador se esquece da password. Também pode utilizar a conta de serviço como uma conta de reserva. Tem de inserir o nome da conta (por defeito, Administrador local. O Kaspersky Endpoint Security cria uma conta de utilizador do Agente de Autenticação para o administrador local do computador. Gestor do computador. O Kaspersky Endpoint Security cria uma conta de utilizador do Agente de Autenticação para a conta do gestor do computador. Pode ver qual é a conta que tem a função de gestor do computador nas propriedades do computador no Active Directory. Por defeito, a função de gestor do computador não está definida, ou seja, não corresponde a uma conta. Conta ativa. O Kaspersky Endpoint Security cria automaticamente uma conta do Agente de Autenticação para a conta que está ativa no momento da encriptação do disco. |
Criar automaticamente contas do Agente de Autenticação para todos os utilizadores deste computador ao iniciar sessão |
Se esta caixa de verificação estiver selecionada, a aplicação verifica as informações sobre as contas de utilizador do Windows no computador antes de iniciar o Agente de Autenticação. Se o Kaspersky Endpoint Security detetar uma conta de utilizador do Windows sem conta do Agente de Autenticação, a aplicação criará uma nova conta para aceder às unidades encriptadas. A nova conta do Agente de Autenticação terá as seguintes definições predefinidas: início de sessão protegido apenas por palavra-passe e alteração da palavra-passe na primeira autenticação. Como tal, não é necessário adicionar manualmente contas do Agente de Autenticação através da tarefa Gestão das contas de Agente de Autenticação para computadores com unidades já encriptadas. |
Guardar o nome de utilizador introduzir no Agente de Autenticação |
Se a caixa de verificação for selecionada, a aplicação guarda o nome da conta do Agente de Autenticação. Não será solicitada a introdução do nome da conta da próxima vez que tentar concluir a autorização no Agente de Autenticação com a mesma conta. |
Encriptar apenas espaço utilizado do disco (reduz tempo de encriptação) |
Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Ativar ou desativar a funcionalidade Encriptar apenas espaço utilizado do disco (reduz tempo de encriptação) após o início da encriptação não altera esta definição até que os discos rígidos sejam desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Utilizar Legacy USB Support (não recomendado) |
Esta caixa de verificação ativa/desativa a função Suporte USB de Legado. O Suporte de USB legado é uma função BIOS/UEFI que permite usar dispositivos USB (como um token de segurança) durante a fase de inicialização do computador antes de iniciar o sistema operativo (modo BIOS). Legacy USB Support não afeta o suporte para dispositivos USB após iniciar o sistema operativo. Se a caixa de verificação estiver selecionada, o suporte de dispositivos USB durante o arranque inicial do computador é ativado. Quando a função Suporte de USB de Legado está ativa, o Agente de autenticação no modo BIOS não suporta trabalho com tokens via USB. Recomenda-se utilizar esta opção apenas quando existir um problema de compatibilidade de hardware e só para os computadores nos quais o problema ocorreu. |
Definições de password |
Definições de segurança da password da conta do Agente de Autenticação. Ao usar a tecnologia de autenticação única, o Agente de Autenticação ignora os requisitos de segurança da password especificados no Kaspersky Security Center. Pode definir os requisitos de segurança da password nas definições do sistema operativo. |
Utilizar a tecnologia SSO (Single Sign-On) |
A tecnologia SSO possibilita a utilização das mesmas credenciais de conta para aceder a unidades de disco rígido encriptadas e iniciar sessão no sistema operativo. Se a caixa de verificação estiver selecionada, tem de introduzir as credenciais para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. Se a caixa de verificação estiver desmarcada, tem de introduzir em separado as credenciais de acesso a unidades encriptadas e as credenciais da conta de utilizador do sistema operativo para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. |
Envolver fornecedores de credenciais de terceiros |
O Kaspersky Endpoint Security suporta o fornecedor de credenciais de terceiros ADSelfService Plus. Ao trabalhar com fornecedores de credenciais de terceiros, o Agente de Autenticação interceta a password antes de o sistema operativo ser carregado. Isto significa que um utilizador apenas precisa de introduzir uma password uma única vez ao iniciar sessão no Windows. Depois de iniciar sessão no Windows, o utilizador pode utilizar as capacidades de um fornecedor de credenciais de terceiros para realizar a autenticação em serviços empresariais, por exemplo. Os fornecedores de credenciais de terceiros também permitem aos utilizadores repor a sua própria password de forma independente. Neste caso, o Kaspersky Endpoint Security irá atualizar automaticamente a password do Agente de Autenticação. Se estiver a utilizar um fornecedor de credenciais de terceiros que não seja suportado pela aplicação, poderá encontrar algumas limitações no funcionamento da tecnologia de Início de Sessão Único. |
Ajuda |
Autenticação. Texto de ajuda que aparece na janela Agente de autenticação ao inserir as credenciais da conta. Alterar password. Texto de ajuda que aparece na janela Agente de autenticação ao alterar a password da conta do Agente de Autenticação. Recuperar password. Texto de ajuda que aparece na janela Agente de autenticação ao recuperar a password da conta do Agente de Autenticação. |
Definições do componente Encriptação de Unidade BitLocker
Parâmetro |
Descrição |
|---|---|
Modo de encriptação |
Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Ativar utilização de autenticação BitLocker que exija introdução por teclado de pré-arranque em tablets |
Esta caixa de verificação ativa / desativa a utilização da autenticação com entrada de dados num ambiente de pré-arranque, mesmo que a plataforma não tenha a capacidade para a entrada de pré-arranque (por exemplo, no caso dos teclados táteis no ecrã nos tablets). O ecrã tátil dos tablets não está disponível no meio de pré-arranque. Para concluir a autenticação com BitLocker em tablets, o utilizador deve ligar, por exemplo, um teclado USB. Se a caixa de verificação estiver selecionada, é permitida a utilização da autenticação com entrada de pré-arranque. Recomenda-se a utilização desta definição apenas para dispositivos que tenham ferramentas de entrada de dados alternativas num ambiente de pré-arranque como, por exemplo, um teclado USB adicionalmente aos teclados do ecrã tátil. Se a caixa de verificação estiver desmarcada, não é possível executar a Encriptação de Unidade BitLocker em tablets. |
Utilize a encriptação de hardware (Windows 8 e versões mais recentes) |
Se a caixa de verificação estiver selecionada, a aplicação aplica a encriptação de hardware. O que lhe permite aumentar a velocidade da encriptação e utilizar menos recursos do computador. |
Encriptar apenas espaço utilizado do disco (Windows 8 e versões mais recentes) |
Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Ativar ou desativar a funcionalidade Encriptar apenas espaço utilizado do disco (reduz tempo de encriptação) após o início da encriptação não altera esta definição até que os discos rígidos sejam desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Método de autenticação |
Apenas password (Windows 8 e versões mais recentes) Se esta opção estiver selecionada, o Kaspersky Endpoint Security pede uma password ao utilizador quando este tenta aceder a unidade encriptada. Esta opção pode ser selecionada quando um Trusted Platform Module (TPM) não está a ser utilizado. Trusted platform module (TPM) Se esta opção estiver selecionada, o BitLocker utiliza um Trusted Platform Module (TPM). Um Módulo de plataforma fiável (TPM) microchip desenvolvido para fornecer funções básicas relacionadas com segurança (por exemplo, para armazenar chaves de encriptação). Um Trusted Platform Module está normalmente instalado na placa principal (motherboard) e interage com todos os outros componentes de sistema através do hardware de barramento. No caso de computadores a executar o Windows 7 ou Windows Server 2008 R2, só está disponível encriptação utilizando um módulo TPM. Se um módulo TPM não estiver instalado, a encriptação do BitLocker não será possível. O uso de uma password nestes computadores não é suportado. Um dispositivo equipado com um Trusted Platform Module pode criar chaves de encriptação que apenas podem ser desencriptadas com o dispositivo. Um Trusted Platform Module encripta as chaves de encriptação com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz está armazenada dentro do Trusted Platform Module. Isto fornece um nível adicional de proteção contra tentativas de penetração nas chaves de encriptação. Esta ação está selecionada por predefinição. Pode definir uma camada adicional de proteção para o acesso à chave de encriptação, e encriptar a chave com uma password ou um PIN:
|