Criptografia de discos rígidos

Se o Kaspersky Endpoint Security for instalado em um computador com o Microsoft Windows para Workstations, as tecnologias Criptografia de Unidade de Disco BitLocker e Kaspersky Disk Encryption estão disponíveis para criptografia. Se o Kaspersky Endpoint Security for instalado em um computador com o Microsoft Windows para servidores de arquivo, somente a tecnologia Criptografia de Unidade de Disco BitLocker fica disponível.

Essa seção contém informações sobre a criptografia de discos rígidos e instruções sobre como configurar e realizar a criptografia de discos rígidos com o Kaspersky Endpoint Security e o Plug-in do Console do Kaspersky Endpoint Security.

Sobre a criptografia de discos rígidos

Antes de iniciar a criptografia do disco rígido, o aplicativo executa várias verificações para determinar se o dispositivo pode ser criptografado, incluindo a verificação do disco rígido do sistema quanto à compatibilidade com o Agente de Autenticação e com os componentes de criptografia do BitLocker. Para verificar a compatibilidade, o computador deve ser reiniciado. Após o reinício do computador, o aplicativo executa todas as verificações necessárias automaticamente. Se a verificação de compatibilidade for bem sucedida, a criptografia de disco rígido começa depois que o sistema operacional for inicializado e o aplicativo iniciado. Se o disco rígido do sistema for considerado como incompatível com o Agente de Autenticação ou com os componentes de criptografia do BitLocker, é necessário reinicializar o computador, pressionando o botão de reinício do hardware. O Kaspersky Endpoint Security registra informações sobre a incompatibilidade. Com base nessa informação, o aplicativo não inicia a criptografia de discos rígidos ao iniciar o sistema operacional. As informações sobre este evento são registradas em relatórios do Kaspersky Security Center.

Se a configuração de hardware do computador tiver sido alterada, as informações de incompatibilidade registradas pelo aplicativo durante a verificação anterior devem ser excluídas para verificar a compatibilidade do disco rígido do sistema com o Agente de Autenticação e com os componentes de criptografia do BitLocker. Para isso, antes da criptografia do disco rígido, insira avp pbatestreset na linha de comando. Se o sistema operacional não conseguir carregar depois que o disco rígido do sistema tiver sido verificado quanto a compatibilidade com o Agente de Autenticação, você deve remover os objetos e resto de dados depois da operação de teste do Agente de Autenticação usando o Utilitário de Restauração e, em seguida, deve iniciar o Kaspersky Endpoint Security e executar o comando avp pbatestreset novamente.

Depois que a criptografia do disco rígido tiver começado, o Kaspersky Endpoint Security criptografa todos os dados gravados em discos rígidos.

Se o usuário desliga ou reinicia o computador durante uma tarefa de descriptografia de disco rígido, o Agente de Autenticação é carregado antes da próxima reinicialização do sistema operacional. O Kaspersky Endpoint Security reinicia a criptografia de discos rígidos após a autenticação com êxito no agente de autenticação e a inicialização do sistema operacional.

Se o sistema operacional alterna para o modo de hibernação durante a criptografia de disco rígido, o Agente de Autenticação é carregado quando o sistema operacional voltar do modo de hibernação. O Kaspersky Endpoint Security reinicia a criptografia de discos rígidos após a autenticação com êxito no agente de autenticação e a inicialização do sistema operacional.

Se o sistema operacional entrar no modo de suspensão durante a criptografia de discos rígidos, o Kaspersky Endpoint Security reinicia a criptografia de discos rígidos quando o sistema operacional acordar da suspensão sem carregar o Agente de Autenticação.

A autenticação do usuário no Agente de Autenticação pode ser realizada de duas formas:

• Insira o nome e a senha da conta do Agente de Autenticação criada pelo administrador de rede local usando as ferramentas do Kaspersky Security Center.
• Insira a senha de um token ou cartão inteligente conectado ao computador.

O agente de autenticação suporta layouts de teclado para os seguintes idiomas:

• Inglês (Reino Unido)
• Inglês (Estados Unidos)
• Árabe (Argélia, Marrocos, Tunísia; layout AZERTY)
• Espanhol (América Latina)
• Italiano
• Alemão (Alemanha e Áustria)
• Alemão (Suíça)
• Português (Brasil, layout ABNT2)
• Russo (para teclados IBM/Windows de 105 teclas com o layout QWERTY)
• Turco (layout QWERTY)
• Francês (França)
• Francês (Suíça)
• Francês (Bélgica, layout AZERTY)
• Japonês (para teclados de 106 teclas com o layout QWERTY)

Um layout de teclado fica disponível no Agente de Autenticação se esse layout tiver sido adicionado às configurações regionais e de idioma do sistema operacional e se tiver ficado disponível na tela de boas-vindas do Microsoft Windows.

Se o nome da conta do Agente de Autenticação contiver símbolos que não possam ser inseridos usando os layouts do teclado disponíveis no Agente de Autenticação, os discos rígidos criptografados poderão ser acessados apenas depois de serem restaurados usando o Utilitário de Restauração ou depois de o nome da conta e a senha do Agente de Autenticação serem restaurados.

O Kaspersky Endpoint Security suporte os seguintes tokens, leitores de cartões inteligentes e cartões inteligentes:

• SafeNet eToken PRO 64K (4.2b) (USB)
• SafeNet eToken PRO 72K Java (USB)
• SafeNet eToken PRO 72K Java (Cartão inteligente)
• SafeNet eToken 4100 72K Java (Cartão inteligente)
• SafeNet eToken 5100 (USB)
• SafeNet eToken 5105 (USB)
• SafeNet eToken 7300 (USB)
• EMC RSA SecurID 800 (USB).
• Rutoken EDS (USB)
• Rutoken EDS (Flash)
• Aladdin-RD JaCarta PKI (USB)
• Aladdin-RD JaCarta PKI (Cartão inteligente)
• Athena IDProtect Laser (USB)
• Gemalto IDBridge CT40 (Leitor)
• Gemalto IDPrime .NET 511

Criptografia de discos rígidos usando a tecnologia Kaspersky Disk Encryption

Antes de criptografar discos rígidos em um computador, recomendamos que tenha a certeza de que o computador não está infectado. Para fazer assim, inicie a tarefa de Verificação completa ou Verificação de Áreas Críticas. Criptografar o disco rígido de um computador infectado por um rootkit pode acarretar em sua não operabilidade.

Para criptografar discos rígidos que usam a tecnologia de Kaspersky Disk Encryption:

1. Abra o Console de Administração do Kaspersky Security Center.
2. Na pasta Dispositivos gerenciados na árvore de Console de Administração, abra a pasta com o nome do grupo de administração para o qual deseja configurar a criptografia de discos rígidos.
3. No espaço de trabalho, selecione a guia Políticas.
4. Selecione a política desejada.
5. Abra a janela Propriedades: <Nome de política> usando um dos seguintes métodos:
   • No menu de contexto da política, selecione Propriedades.
   • Clique no link Configurar política, localizado na parte direita da área de trabalho do Console de Administração.
6. Na seção Criptografia de dados, selecione a subseção Criptografia de discos rígidos.
7. Na lista suspensa de Tecnologia de Criptografia, selecione a opção Kaspersky Disk Encryption.

   A tecnologia de Kaspersky Disk Encryption não pode ser usada se o computador tiver discos rígidos que foram criptografados por BitLocker.

8. Na lista suspensa Modo de criptografia, selecione Criptografar todos os discos rígidos.

   Se você tiver de excluir alguns discos rígidos da criptografia, crie uma lista de tais discos rígidos.

9. Selecione um dos métodos de criptografia a seguir:
   • Se desejar aplicar a criptografia somente aos setores de disco rígido que são ocupados por arquivos, selecione a caixa de seleção Criptografar somente espaço usado em disco.

     Se você estiver aplicando a criptografia em uma unidade que já está em uso, recomenda-se criptografar a unidade inteira. Isto assegura que todos os dados sejam protegidos, até os dados excluídos que ainda podem conter informações recuperáveis. A função Criptografar somente espaço usado em disco é recomendada para novas unidades que não foram usadas anteriormente.

   • Se desejar aplicar a criptografia ao disco rígido inteiro, desmarque a caixa de seleção Criptografar somente espaço usado em disco.

     Esta função é aplicável somente a dispositivos não criptografados. Se um dispositivo tiver sido previamente criptografado usando a função Criptografar somente espaço usado em disco, depois de aplicar uma política no modo Criptografar todos os discos rígidos, os setores que não são ocupados por arquivos ainda não serão criptografados.

10. Clique em OK para salvar as alterações.
11. Aplique a política.

    Consulte o Manual do Administrador do Kaspersky Security Center para obter detalhes sobre a aplicação da política do Kaspersky Security Center

Criptografia de discos rígidos usando a tecnologia Criptografia de Unidade de Disco BitLocker

Antes de criptografar discos rígidos em um computador, recomendamos que tenha a certeza de que o computador não está infectado. Para fazer assim, inicie a tarefa de Verificação completa ou Verificação de Áreas Críticas. Criptografar o disco rígido de um computador infectado por um rootkit pode acarretar em sua não operabilidade.

O uso da tecnologia Criptografia de Unidade de Disco BitLocker em computadores com um sistema operacional de servidor pode necessitar da instalação do componente Criptografia de Unidade de Disco BitLocker usando o assistente Adicionar funções e componentes.

Para criptografar discos rígidos usando a tecnologia de Criptografia de Unidade de Disco BitLocker:

1. Abra o Console de Administração do Kaspersky Security Center.
2. Na pasta Dispositivos gerenciados na árvore de Console de Administração, abra a pasta com o nome do grupo de administração para o qual deseja configurar a criptografia de discos rígidos.
3. No espaço de trabalho, selecione a guia Políticas.
4. Selecione a política desejada.
5. Abra a janela Propriedades: <Nome de política> usando um dos seguintes métodos:
   • No menu de contexto da política, selecione Propriedades.
   • Clique no link Configurar política, localizado na parte direita da área de trabalho do Console de Administração.
6. Na seção Criptografia de dados, selecione a subseção Criptografia de discos rígidos.
7. Na lista suspensa Tecnologia de Criptografia, selecione a opção Criptografia de Unidade de Disco BitLocker.
8. Na lista suspensa Modo de criptografia, selecione a opção Criptografar todos os discos rígidos.
9. Se desejar usar um teclado de tela tátil para inserir informações em um ambiente de pré-inicialização, selecione a caixa de seleção Permitir uso de autenticação que requer entrada do teclado de pré-inicialização nos tablets.

   Recomenda-se usar esta definição somente para dispositivos que têm ferramentas de entrada de dados alternativas, como um teclado USB em um ambiente de pré-inicialização.

10. Selecione um dos seguintes tipos de criptografia:
    • Se desejar usar a criptografia de hardware, marque a caixa de seleção Usar criptografia de hardware.
    • Se desejar usar a criptografia de software, desmarque a caixa de seleção Usar criptografia de hardware.
11. Selecione um dos métodos de criptografia a seguir:
    • Se desejar aplicar a criptografia somente aos setores de disco rígido que são ocupados por arquivos, selecione a caixa de seleção Criptografar somente espaço usado em disco.
    • Se desejar aplicar a criptografia ao disco rígido inteiro, desmarque a caixa de seleção Criptografar somente espaço usado em disco.

      Esta função é aplicável somente a dispositivos não criptografados. Se um dispositivo tiver sido previamente criptografado usando a função Criptografar somente espaço usado em disco, depois de aplicar uma política no modo Criptografar todos os discos rígidos, os setores que não são ocupados por arquivos ainda não serão criptografados.

12. Selecione um método para acessar discos rígidos que foram criptografados com o BitLocker.
    • Se desejar usar
      Trusted Platform Module (TPM)

      Um microchip desenvolvido para fornecer funções básicas relacionadas à segurança (por exemplo, para guardar chaves de criptografia). Um Módulo de Plataforma Confiável normalmente é instalado na placa mãe do computador e interage com todos os outros componentes do sistema via barramento de hardware.

      para guardar chaves de criptografia, selecione a opção Usar Trusted Platform Module (TPM).
    • Se não estiver usando o Trusted Platform Module (TPM) para a criptografia de discos rígidos, selecione a opção Usar senha e especifique o número mínimo de caracteres que uma senha deve conter no campo Comprimento mínimo da senha.

    A disponibilidade de um Trusted Platform Module (TPM) é obrigatória para o Windows 7 e sistemas operacionais do Windows 2008 R2, bem como para versões anteriores.

13. Se você tiver selecionado a opção Usar Trusted Platform Module (TPM) na etapa anterior:
    • Se desejar definir um código PIN que será solicitado quando o usuário tentar acessar uma chave de criptografia, marque a caixa de seleção Usar PIN e, no campo Comprimento mínimo do PIN, especifique o número mínimo de dígitos que um código PIN deve conter.
    • Se você gostaria de acessar discos rígidos criptografados sem um módulo de plataforma confiável no computador usando uma senha, marque a caixa de seleção Usar senha, se Trusted Platform Module (TPM) estiver indisponível e no campo Comprimento mínimo da senha, indique o número mínimo de caracteres que a senha deve conter.

      Neste evento, o acesso a chaves de criptografia ocorrerá usando a senha dada como se a caixa de seleção Usar senha for marcada.

      Se a caixa de seleção Usar senha, se Trusted Platform Module (TPM) estiver indisponível não estiver marcada e o Trusted Platform Module não estiver disponível, a criptografia do disco rígido não será iniciada.

14. Clique em OK para salvar as alterações.
15. Aplique a política.

    Consulte o Manual do Administrador do Kaspersky Security Center para obter detalhes sobre a aplicação da política do Kaspersky Security Center

Depois de aplicar a política do computador cliente com o Kaspersky Endpoint Security instalado, as seguintes perguntas serão feitas:

• Se a política de criptografia for aplicada a um disco rígido do sistema, a janela de código PIN aparecerá se o módulo de plataforma confiável estiver em uso ou a janela de solicitação de senha aparecerá para a autorização de pré-carregamento.
• Se o sistema operacional do computador tiver o modo Processamento de Informações Federais ativado, o sistema operacional, no Windows 8 ou mais recente, exibirá uma janela de solicitação de conexão de dispositivo USB para salvar o arquivo de chave de recuperação.

Se não houver acesso a chaves de criptografia, o usuário pode solicitar que o administrador de rede local forneça uma chave de recuperação (caso a chave de recuperação não tenha sido salva antes no dispositivo USB ou tiver sido perdida).

Criar uma lista de discos rígidos excluídos da criptografia

Você pode criar uma lista de exclusões da criptografia apenas da tecnologia do Kaspersky Disk Encryption.

Para formar uma lista de discos rígidos excluídos da criptografia:

1. Abra o Console de Administração do Kaspersky Security Center.
2. Na pasta Dispositivos gerenciados na árvore do Console de Administração, abra a pasta com o nome do grupo de administração em que deseja criar uma lista de discos rígidos a serem excluídos da criptografia.
3. No espaço de trabalho, selecione a guia Políticas.
4. Selecione a política desejada.
5. Abra a janela Propriedades: <Nome de política> usando um dos seguintes métodos:
   • No menu de contexto da política, selecione Propriedades.
   • Clique no link Configurar política, localizado na parte direita da área de trabalho do Console de Administração.
6. Na seção Criptografia de dados, selecione a subseção Criptografia de discos rígidos.
7. Na lista suspensa de Tecnologia de Criptografia, selecione a opção Kaspersky Disk Encryption.

   Entradas correspondentes a discos rígidos excluídos da criptografia aparecem na tabela Não criptografar os seguintes discos rígidos. Esta tabela está vazia caso você não tenha formado anteriormente uma lista de discos rígidos a serem excluídos da criptografia.

8. Para adicionar discos rígidos à lista de discos rígidos excluídos da criptografia:
   1. Clique no botão Adicionar.

      A janela Adicionar dispositivos da lista do Kaspersky Security Center é exibida.

   2. Na janela Adicionar dispositivos da lista do Kaspersky Security Center, especifique os valores dos seguintes parâmetros: Nome, Computador, Tipo de disco e Kaspersky Disk Encryption.
   3. Clique no botão Atualizar.
   4. Na coluna Nome, marque as caixas de seleção nas linhas da tabela que correspondem aos discos rígidos que você deseja adicionar à lista de discos rígidos excluídos da criptografia.
   5. Clique em OK.

   Os discos rígidos selecionados aparecem na tabela Não criptografar os seguintes discos rígidos.

9. Se desejar remover discos rígidos da tabela de exclusões, selecione uma ou várias linhas na tabela Não criptografar os seguintes discos rígidos e clique no botão Excluir.

   Para selecionar diversas linhas na tabela, selecione-as pressionando a tecla CTRL.

10. Clique em OK para salvar as alterações.

Descriptografia de disco rígido

Você pode descriptografar discos rígidos mesmo se não houver uma licença ativa que permita a criptografia de dados.

Para descriptografar discos rígidos:

1. Abra o Console de Administração do Kaspersky Security Center.
2. Na pasta Dispositivos gerenciados da árvore de Console de Administração, abra a pasta com o nome do grupo de administração para o qual deseja configurar a descriptografia de discos rígidos.
3. No espaço de trabalho, selecione a guia Políticas.
4. Selecione a política desejada.
5. Abra a janela Propriedades: <Nome de política> usando um dos seguintes métodos:
   • No menu de contexto da política, selecione Propriedades.
   • Clique no link Configurar política, localizado na parte direita da área de trabalho do Console de Administração.
6. Na seção Criptografia de dados, selecione a subseção Criptografia de discos rígidos.
7. Na lista suspensa Tecnologia de criptografia, selecione a tecnologia com a qual os discos rígidos foram criptografados.
8. Execute uma das seguintes ações:
   • Na lista suspensa Modo de criptografia, selecione a opção Descriptografar todos os discos rígidos para descriptografar todos os discos rígidos criptografados.
   • Adicione os discos rígidos criptografados que você deseja descriptografar para a tabela Não criptografar os seguintes discos rígidos.

     Esta opção está disponível apenas para a tecnologia do Kaspersky Disk Encryption.

9. Clique em OK para salvar as alterações.
10. Aplique a política.

    Consulte o Manual do Administrador do Kaspersky Security Center para obter detalhes sobre a aplicação da política do Kaspersky Security Center

Se o usuário encerrar ou reiniciar o computador durante a descriptografia de discos rígidos que foram criptografados usando a tecnologia do Kaspersky Disk Encryption, o Agente de Autenticação é carregado antes da próxima reinicialização do sistema operacional. O Kaspersky Endpoint Security continua a descriptografia de disco rígido depois da autenticação com êxito no agente de autenticação e da inicialização do sistema operacional.

Se o sistema operacional alternar para o modo de hibernação durante a criptografia de discos rígidos que foram criptografados com a tecnologia do Kaspersky Disk Encryption, o Agente de Autenticação é carregado quando o sistema operacional voltar do modo de hibernação. O Kaspersky Endpoint Security continua a descriptografia de disco rígido depois da autenticação com êxito no agente de autenticação e da inicialização do sistema operacional. Após a descriptografia do disco rígido, o modo de hibernação fica indisponível até que o sistema operacional seja reiniciado da próxima vez.

Se o sistema operacional entrar no modo de suspensão durante a descriptografia do disco rígido, o Kaspersky Endpoint Security reinicia a descriptografia quando o sistema operacional sair do modo de suspensão sem carregar o Agente de Autenticação.