Encriptação de disco completa
Pode selecionar uma tecnologia de encriptação: Encriptação de disco Kaspersky ou Encriptação BitLocker de Unidade (aqui também referida simplesmente como “BitLocker”).
Encriptação de disco Kaspersky
Após a encriptação das unidades de disco rígido do sistema, no próximo arranque do computador, o utilizador tem de efetuar a autenticação utilizando o Agente de Autenticação antes de as unidades de disco rígido poderem ser acedidas e o sistema operativo ser carregado. Para tal, é necessário introduzir a palavra-passe do token ou smart card ligado ao computador ou o nome de utilizador e a palavra-passe da conta do Agente de Autenticação criada pelo administrador da rede local, utilizando a tarefa Gestão de contas do Agente de Autenticação. Estas contas são baseadas em contas do Microsoft Windows com as quais os utilizadores iniciam sessão no sistema operativo. Pode também utilizar a tecnologia de autenticação única (SSO) que permite iniciar sessão no sistema operativo automaticamente, utilizando o nome de utilizador e a password da conta do Agente de Autenticação.
A autenticação do utilizador no Agente de Autenticação pode ser efetuada de duas formas:
- Introduzindo o nome e a password da conta do Agente de Autenticação criada pelo administrador da rede da empresa utilizando as ferramentas do Kaspersky Security Center.
- Introduza a password de um token ou smart card ligado ao computador.
A utilização de um token ou smart-card está disponível apenas se as unidades de disco rígido do computador tiverem sido encriptadas ao utilizar o algoritmo de encriptação AES256. Se os discos rígidos do computador foram encriptados através do algoritmo de encriptação AES56, a adição do ficheiro de certificado eletrónico ao comando será negada.
Encriptação BitLocker de Unidade
BitLocker é uma tecnologia de encriptação integrada nos sistemas operativos Windows. O Kaspersky Endpoint Security permite controlar e gerir o Bitlocker utilizando o Kaspersky Security Center. O BitLocker encripta volumes lógicos. Não pode utilizar o BitLocker para encriptação de unidades removíveis. Para obter mais informações sobre o BitLocker, consulte a documentação da Microsoft.
O BitLocker fornece armazenamento seguro de chaves de acesso utilizando um módulo de plataforma fiável. Um Módulo de plataforma fiável (TPM) microchip desenvolvido para fornecer funções básicas relacionadas com segurança (por exemplo, para armazenar chaves de encriptação). Habitualmente, é instalado um Trusted Platform Module (TPM) na motherboard do computador e interage com todos os outros componentes do sistema através do barramento de hardware. Utilizar o TPM é a forma mais segura de armazenar chaves de acesso do BitLocker, uma vez que o TPM fornece verificação integrada do sistema antes do arranque. Ainda pode encriptar unidades num computador sem um TPM. Neste caso, a chave de acesso será encriptada com uma password. O BitLocker utiliza os seguintes métodos de autenticação:
- TPM.
- TPM e PIN.
- Password.
Depois de encriptar uma unidade, o BitLocker cria uma chave mestra. O Kaspersky Endpoint Security envia a chave mestra ao Kaspersky Security Center para que possa restaurar o acesso ao disco, por exemplo, se um utilizador se esqueceu da password.
Se um utilizador encriptar um disco utilizando o BitLocker, o Kaspersky Endpoint Security enviará informações sobre a encriptação do disco ao Kaspersky Security Center. No entanto, o Kaspersky Endpoint Security não enviará a chave mestra ao Kaspersky Security Center, por isso será impossível restaurar o acesso ao disco utilizando o Kaspersky Security Center. Para que o BitLocker funcione corretamente com o Kaspersky Security Center, desencripte a unidade e volte a encriptar a unidade utilizando uma política. Pode desencriptar uma unidade localmente ou utilizando uma política.
Depois de encriptar o disco rígido do sistema, o utilizador precisa passar pela autenticação do BitLocker para inicializar o sistema operativo. Depois do procedimento de autenticação, o BitLocker permitirá aos utilizadores iniciarem sessão. O BitLocker não oferece suporte à tecnologia de início de sessão único (SSO).
Se estiver a utilizar políticas de grupo do Windows, desative a gestão do BitLocker nas definições de política. As definições de política do Windows podem entrar em conflito com as definições de política do Kaspersky Endpoint Security. Ao encriptar uma unidade, podem ocorrer erros.
Definições do componente Encriptação de disco Kaspersky
Parâmetro | Descrição |
|---|---|
Modo de encriptação | Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Durante a encriptação, criar automaticamente contas do Agente de Autenticaçãonpara utilizadores do Windows | Se esta caixa de verificação estiver selecionada, a aplicação cria contas do Agente de Autenticação com base na lista de contas de utilizador do Windows no computador. Por predefinição, o Kaspersky Endpoint Security utiliza todas as contas locais e de domínio com as quais o utilizador iniciou a sessão no sistema operativo ao longo dos últimos 30 dias. |
Def. criação conta de Agente de Autenticação | Todas as contas no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador que já estiveram ativas. Todas as contas de domínio no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador pertencentes a um determinado domínio que já estiveram ativas. Todas as contas locais no computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria contas de Agente de autenticação para todas as contas de computador local que já estiveram ativas. Administrador local. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria uma conta de administrador local. Gestor do computador. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria uma conta de Agente de autenticação para a conta cujas propriedades no Active Directory indicam que se trata de uma conta de gestão. Conta ativa. Se esta caixa de verificação estiver selecionada, ao executar a tarefa de encriptação de disco completo, o Kaspersky Endpoint Security cria automaticamente uma conta de Agente de autenticação para a conta de computador que está ativa durante a tarefa. |
Criar automaticamente contas do Agente de Autenticação para todos os utilizadores deste computador ao iniciar sessão | Se esta caixa de verificação estiver selecionada, a aplicação verifica as informações sobre as contas de utilizador do Windows no computador antes de iniciar o Agente de Autenticação. Se o Kaspersky Endpoint Security detetar uma conta de utilizador do Windows sem conta do Agente de Autenticação, a aplicação criará uma nova conta para aceder às unidades encriptadas. A nova conta do Agente de Autenticação terá as seguintes definições predefinidas: início de sessão protegido apenas por palavra-passe e alteração da palavra-passe na primeira autenticação. Como tal, não é necessário adicionar manualmente contas do Agente de Autenticação através da tarefa Gestão de contas do Agente de Autenticação para computadores com unidades já encriptadas. |
Guardar o nome de utilizador introduzir no Agente de Autenticação | Se a caixa de verificação for selecionada, a aplicação guarda o nome da conta do Agente de Autenticação. Não será solicitada a introdução do nome da conta da próxima vez que tentar concluir a autorização no Agente de Autenticação com a mesma conta. |
Encriptar apenas espaço de disco utilizado | Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Ativar ou desativar a funcionalidade Encriptar apenas espaço utilizado do disco (reduz tempo de encriptação) após o início da encriptação não altera esta definição até que os discos rígidos sejam desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Utilizar Legacy USB Support | Esta caixa de verificação ativa/desativa a função Suporte USB de Legado. O Suporte de USB legado é uma função BIOS/UEFI que permite usar dispositivos USB (como um token de segurança) durante a fase de inicialização do computador antes de iniciar o sistema operativo (modo BIOS). Legacy USB Support não afeta o suporte para dispositivos USB após iniciar o sistema operativo. Se a caixa de verificação estiver selecionada, o suporte de dispositivos USB durante o arranque inicial do computador é ativado. Quando a função Suporte de USB de Legado está ativa, o Agente de autenticação no modo BIOS não suporta trabalho com tokens via USB. Recomenda-se utilizar esta opção apenas quando existir um problema de compatibilidade de hardware e só para os computadores nos quais o problema ocorreu. |
Definições de password | Definições de segurança da password da conta do Agente de Autenticação. Pode ativar também a utilização da tecnologia de autenticação única (SSO). A tecnologia SSO possibilita a utilização das mesmas credenciais de conta para aceder a unidades de disco rígido encriptadas e iniciar sessão no sistema operativo. Se a caixa de verificação estiver selecionada, tem de introduzir as credenciais para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. Se a caixa de verificação estiver desmarcada, tem de introduzir em separado as credenciais de acesso a unidades encriptadas e as credenciais da conta de utilizador do sistema operativo para aceder a unidades de disco rígido encriptadas e, em seguida, iniciar sessão automaticamente no sistema operativo. |
Help texts | Autenticação. Texto de ajuda que aparece na janela Agente de autenticação ao inserir as credenciais da conta. Alterar password. Texto de ajuda que aparece na janela Agente de autenticação ao alterar a password da conta do Agente de Autenticação. Recuperar password. Texto de ajuda que aparece na janela Agente de autenticação ao recuperar a password da conta do Agente de Autenticação. |
Definições do componente Encriptação BitLocker de Unidade
Parâmetro | Descrição |
|---|---|
Modo de encriptação | Encriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação encripta todas as unidades de disco rígido quando a política é aplicada. Se o computador tiver vários sistemas operativos instalados, após a encriptação apenas poderá carregar o sistema operativo com a aplicação instalada. Desencriptar todas as unidades de discos rígido. Se este item estiver selecionado, a aplicação desencripta todas as unidades de disco rígido previamente encriptadas quando a política é aplicada. Manter inalterado. Se este item estiver selecionado, a aplicação deixa as unidades no estado anterior quando a política é aplicada. Se a unidade foi encriptada, esta permanece encriptada. Se a unidade foi desencriptada, esta permanece desencriptada. Por predefinição, este item está selecionado. |
Ativar utilização de autenticação BitLocker que exija introdução por teclado de pré-arranque em tablets | Esta caixa de verificação ativa / desativa a utilização da autenticação com entrada de dados num ambiente de pré-arranque, mesmo que a plataforma não tenha a capacidade para a entrada de pré-arranque (por exemplo, no caso dos teclados táteis no ecrã nos tablets). O ecrã tátil dos tablets não está disponível no meio de pré-arranque. Para concluir a autenticação com BitLocker em tablets, o utilizador deve ligar, por exemplo, um teclado USB. Se a caixa de verificação estiver selecionada, é permitida a utilização da autenticação com entrada de pré-arranque. Recomenda-se a utilização desta definição apenas para dispositivos que tenham ferramentas de entrada de dados alternativas num ambiente de pré-arranque como, por exemplo, um teclado USB adicionalmente aos teclados do ecrã tátil. Se a caixa de verificação estiver desmarcada, não é possível executar a Encriptação BitLocker de Unidade em tablets. |
Utilizar a encriptação de hardware | Se a caixa de verificação estiver selecionada, a aplicação aplica a encriptação de hardware. O que lhe permite aumentar a velocidade da encriptação e utilizar menos recursos do computador. |
Encriptar apenas espaço de disco utilizado (Windows 8 e versões mais recentes) | Esta caixa ativa/desativa a opção que limita a área de encriptação a setores ocupados do disco rígido. Este limite permite reduzir o tempo de encriptação. Ativar ou desativar a funcionalidade Encriptar apenas espaço utilizado do disco (reduz tempo de encriptação) após o início da encriptação não altera esta definição até que os discos rígidos sejam desencriptados. Tem de selecionar ou desmarcar a caixa de verificação antes de iniciar a encriptação. Se a caixa de verificação estiver selecionada, são encriptadas apenas as partes do disco rígido que estiverem ocupadas por ficheiros. O Kaspersky Endpoint Security encripta automaticamente dados novos quando são adicionados. Se a caixa de verificação estiver selecionada, é encriptado o disco rígido completo, incluindo os fragmentos residuais de ficheiros anteriormente eliminados e modificados. Recomenda-se esta opção para discos rígidos novos cujos dados não tenham sido modificados ou eliminados. Se estiver a aplicar encriptação num disco rígido que já esteja em utilização, recomenda-se encriptar o disco rígido completo. Dessa forma, assegura a proteção de todos os dados, mesmo os dados eliminados que sejam potencialmente recuperáveis. Esta caixa de verificação está desmarcada por predefinição. |
Definições de autenticação | Utilizar password (Windows 8 e versões mais recentes) Se esta opção estiver selecionada, o Kaspersky Endpoint Security pede uma password ao utilizador quando este tenta aceder a unidade encriptada. Esta opção pode ser selecionada quando um Trusted Platform Module (TPM) não está a ser utilizado. Utilizar Trusted Platform Module (TPM) Se esta opção estiver selecionada, o BitLocker utiliza um Trusted Platform Module (TPM). Um Módulo de plataforma fiável (TPM) microchip desenvolvido para fornecer funções básicas relacionadas com segurança (por exemplo, para armazenar chaves de encriptação). Um Trusted Platform Module está normalmente instalado na placa principal (motherboard) e interage com todos os outros componentes de sistema através do hardware de barramento. No caso de computadores a executar o Windows 7 ou Windows Server 2008 R2, só está disponível encriptação utilizando um módulo TPM. Se um módulo TPM não estiver instalado, a encriptação do BitLocker não será possível. O uso de uma password nestes computadores não é suportado. Um dispositivo equipado com um Trusted Platform Module pode criar chaves de encriptação que apenas podem ser desencriptadas com o dispositivo. Um Trusted Platform Module encripta as chaves de encriptação com a sua própria chave de armazenamento de raiz. A chave de armazenamento de raiz está armazenada dentro do Trusted Platform Module. Isto fornece um nível adicional de proteção contra tentativas de penetração nas chaves de encriptação. Esta ação está selecionada por predefinição. Pode definir uma camada adicional de proteção para o acesso à chave de encriptação, e encriptar a chave com uma password ou um PIN:
|