KL 008.10 PT Student's Guide

o
rn
te
In
o
Us
Version 2.0.2
ra
pa
te
en
m
So
Kaspersky Lab
www.kaspersky.com
o
Sumrio
rn
te
Chapter 1. Viso geral e iniciando ................................................................................. 4
1.1 Noes bsicas da criptografia................................................................................................................................ 4
O que criptografia ............................................................................................................................................... 4
In
Uso da criptografia ................................................................................................................................................ 6
Tipos de criptografia .............................................................................................................................................. 8
Criptografia no Kaspersky Endpoint Security ....................................................................................................... 8
1.2 Instalando os mdulos de criptografia .................................................................................................................. 10
Componentes necessrios .................................................................................................................................... 10
o
Instalando os componentes de criptografia do KES ............................................................................................ 12
Configuraes de criptografia no Kaspersky Security Center ............................................................................. 13
Us
Chapter 2. Criptografia Total do Disco ........................................................................ 15
2.1 Princpios de operao da Criptografia Total do Disco ........................................................................................ 15
Criptografia da unidade do sistema ..................................................................................................................... 16
Criptografia de unidades no do sistema ............................................................................................................ 18
Gerenciamento centralizado da FDE .................................................................................................................. 18
a
2.2 Implementao da Criptografia Total do Disco .................................................................................................... 20

Ordem de implementao .................................................................................................................................... 20
r
Parmetros do Agente de Autenticao ............................................................................................................... 20

Configurando excluses ....................................................................................................................................... 22
pa
Ativando a Criptografia Total do Disco .............................................................................................................. 24

2.3 Gerenciando contas do Agente de Autenticao ................................................................................................... 30
2.4 Especificidades do Login nico ........................................................................................................................... 32
2.5 Recuperao .......................................................................................................................................................... 34
Recuperao de acesso ao sistema ...................................................................................................................... 34
Recuperao de dados criptografados................................................................................................................. 36
te
2.6 Monitoramento do status de criptografia .............................................................................................................. 42

2.7 Upgrade do sistema operacional ........................................................................................................................... 43
2.8 Possveis ataques contra a FDE ............................................................................................................................ 44
en
Chapter 3. Criptografia em Nvel de Arquivos ............................................................. 46

3.1 Princpios de operao da Criptografia em Nvel de Arquivos ............................................................................. 46
Viso geral da tecnologia .................................................................................................................................... 46
Acesso local aos arquivos criptografados ........................................................................................................... 48
m
3.2 Ativando a Criptografia em Nvel de Arquivos .................................................................................................... 50

Configurando as regras de criptografia .............................................................................................................. 52
Configurando regras para aplicativos ................................................................................................................. 54
So
3.3 Troca de arquivos na rede corporativa .................................................................................................................. 56

3.4 Trocando dados com usurios externos ................................................................................................................ 58
3.5 Recuperao de arquivos criptografados .............................................................................................................. 60
Chapter 4. Criptografia de Unidades Removveis ........................................................ 62

4.1 Casos de uso ......................................................................................................................................................... 62
4.2 Criptografia total da unidade ................................................................................................................................ 64
2 KASPERSKY LAB
KL 008.10: Criptografia
Kaspersky Endpoint Security e o gerenciamento
Princpios de operao ........................................................................................................................................ 64

Ativando a criptografia total de unidades removveis.......................................................................................... 66
o
Configurando regras adicionais .......................................................................................................................... 68
4.3 Criptografia em Nvel de Arquivos ....................................................................................................................... 69
rn
Princpios de operao ........................................................................................................................................ 69
Ativando a criptografia em nvel de arquivos de unidades removveis ................................................................ 70
Modo porttil ....................................................................................................................................................... 72
te
4.4 Recuperao de dados ........................................................................................................................................... 74
In
o
Us
r a
pa
te
en
m
So
So
m
en
te
pa
r a
Us
o
In
te
rn
o
3
4 KASPERSKY LAB
o
rn
Chapter 1. Viso geral e iniciando
te
1.1 Noes bsicas da criptografia
In
O que criptografia
o
Como voc deve ter aprendido nas suas lies de histria, a criptografia era usada para troca de mensagens secretas
desde o Imprio Romano. Muito tempo se passou e as ferramentas de criptografia foram aperfeioadas
Us
consideravelmente, mas seu objetivo geral continua o mesmo. A criptografia uma ferramenta que protege dados
contra o acesso no autorizado. Ela se baseia na transformao de uma mensagem ou um texto em uma sequncia de
smbolos aparentemente sem significado. Para descriptografar essa mensagem, necessrio saber o segredo que
permite converter a mensagem criptografada novamente no texto original. Ento, para garantir a confidencialidade
da mensagem, o segredo deve ser conhecido apenas pelo remetente e pelo destinatrio.
No incio da criptografia, normalmente, o prprio algoritmo de criptografia era mantido em segredo. Porm, essa
a
abordagem no muito conveniente. Se o algoritmo vir a pblico, ser necessrio substitu-lo. As ferramentas de
criptografia atuais usam algoritmos de transformao de dados conhecidos. O segredo, nesse caso, um parmetro
especial do algoritmo, uma chave. Uma chave uma sequncia binria cujo comprimento varia de dezenas a
r
milhares de bits (o comprimento da chave depende do algoritmo usado). Este esquema no qual o algoritmo de
transformao de dados conhecido e apenas a chave secreta mais flexvel. Se uma chave vazar, suficiente
pa
alterar a chave, sem alterar o algoritmo.
Ao avaliar a confiabilidade de um algoritmo de criptografia, considerado que o algoritmo amplamente conhecido

e apenas a chave secreta. Isso no significa necessariamente que as empresas realmente divulgam seus padres e
algoritmos de criptografia. Mas, mesmo que essas informaes tornem-se conhecidas, a confiabilidade da proteo
de dados no reduzida significativamente.
te
Ao falar dos algoritmos de proteo modernos, devemos observar que o desenvolvimento de um bom algoritmo de
criptografia uma tarefa difcil. O algoritmo deve atender a inmeros requisitos, que foram introduzidos
principalmente para impedir a descriptografia do texto usando anlises estatsticas. Por exemplo, qualquer algoritmo
atual deve tornar o texto criptografado estatisticamente semelhante a um conjunto aleatrio de smbolos. Deve ser
en
impossvel restaurar a mensagem original a partir desses smbolos pseudoaleatrios sem ter a chave. No contexto
da criptografia, impossvel quer dizer requer muito tempo ou muitos recursos de computao cujo custo, a
princpio, excede o custo das informaes criptografadas.
Um dos mtodos mais simples que podem ser usados para quebrar a codificao tentar todas as chaves possveis.
m
Com os algoritmos de criptografia contemporneos, uma busca exaustiva de todas as chaves possveis deve exigir de
dezenas a milhares de anos. Na verdade, essa confiabilidade impressionante (como pode parecer) no redundante,
se considerarmos o crescimento contnuo da capacidade de computao dos computadores. Por exemplo, o
algoritmo de criptografia DES56 com comprimento de chave de 56 bits, que era considerado confivel no final do
sculo , pode ser violado em questo de dias usando um computador atual.
So
Se falarmos do mesmo algoritmo, quanto mais longa for a chave, mais tempo ser necessrio para quebr-la e
descriptografar o texto. Contudo, no correto comparar algoritmos diferentes pelo comprimento de suas chaves.
Por exemplo, o algoritmo AES-128 com chaves de 128 bits mais confivel que o algoritmo 3DES (uma
modificao do DES) com chaves de 168 bits.
5
o
rn
te
In
o
Us
a r
pa
te
en
m
So
6 KASPERSKY LAB
Uso da criptografia
o
A criptografia ainda usada para possibilitar a troca segura de dados. Quase todos os usurios da Internet se
rn
deparam com o protocolo seguro HTTPS e outros usos da tecnologia SSL. Os dados so criptografados e
descriptografados quando necessrio nos computadores que estabelecem conexes seguras. Se as mensagens forem
interceptadas no canal de transferncia de dados, elas estaro criptografadas e sem sentido. As chaves usadas para a
criptografia so armazenadas localmente nos computadores e usadas de forma automtica. Muitas vezes, os usurios
te
nem sabem que os dados transferidos so criptografados.
Outra rea em que a criptografia amplamente usada a proteo de dados em repouso. Nesse caso, o usurio pode
criptografar os dados em uma mdia persistente para impedir o acesso no autorizado. A qualquer momento, o
prprio usurio pode descriptografar a mdia e ler os dados. Isso semelhante troca segura de dados, mas o usurio
In
transfere os dados para si mesmo e com uma diferena de tempo, no de espao.
H ainda uma diferena significativa entre o armazenamento e a transmisso segura de dados. Se estivermos falando
em armazenamento, a chave usada na criptografia e descriptografia no deve ser salva na mesma mdia que os dados
criptografados, pois criminosos poderiam usar essa chave para descriptografar a mdia. o usurio que deve possuir
o
a chave. Existem dois mtodos principais para solucionar esse problema:
Gerar a chave de criptografia com base na senha usada para fazer login no sistema
Us
Salvar a chave em um dispositivo que o usurio leva consigo
Quando a chave aparece no sistema, os outros processos envolvidos na descriptografia das informaes so
automatizados facilmente. Em geral, a criptografia e descriptografia de dados protegidos so executadas por um
driver especfico que fornece acesso contnuo s informaes quando o usurio fornece a chave.
r a
pa
te
en
m
So
7
o
rn
te
In
o
Us
a r
pa
te
en
m
So
8 KASPERSKY LAB
Tipos de criptografia
o
Os algoritmos de criptografia atuais compreendem duas grandes classes:
rn
Simtricos
Assimtricos
te
Os algoritmos simtricos usam a mesma chave na criptografia e na descriptografia. Essa abordagem adequada para
proteger dados em repouso. Se um algoritmo simtrico for usado para transmitir dados, os dois participantes devero
ter a mesma chave, que no deve ser transferida por canais abertos para evitar a interceptao. Ou seja, os usurios
devem se encontrar pessoalmente para trocar as chaves, o que no conveniente.
In
Os algoritmos assimtricos solucionam a questo da troca de dados porque usam chaves diferentes para a
criptografia e a descriptografia. No suficiente saber a chave com a qual os dados foram criptografados para
descriptografar a mensagem. Normalmente, a chave usada na criptografia chamada de pblica e a de
descriptografia, de privada. Se o usurio A enviar sua chave pblica ao usurio B, B pode us-la para criptografar
uma mensagem e transferi-la para A. Como somente A tem a chave privada correspondente, ningum mais poder
o
descriptografar a mensagem de B. De forma semelhante, B pode gerar outro par de chaves para que A possa enviar
mensagens com segurana.
Us
Os algoritmos assimtricos resolvem o problema da troca segura de dados, mas tm uma desvantagem importante
em relao aos algoritmos simtricos: o comprimento da chave. Por exemplo, chaves com mais de 128 bits so
consideradas seguras para o algoritmo AES simtrico, enquanto o algoritmo RSA assimtrico precisa de uma chave
de 4.000 a 10.000 bits para garantir um nvel de segurana comparvel. O grande comprimento da chave requer
mais tempo e recursos para a criptografia e descriptografia dos dados. Assim, os algoritmos assimtricos so
perceptivelmente mais lentos que os simtricos. Para eliminar essa desvantagem ao trocar dados pela rede,
normalmente so usados algoritmos assimtricos para gerar uma chave comum para o algoritmo simtrico com
a
segurana. Depois disso, os dados so transmitidos usando o algoritmo de criptografia simtrico mais rpido.
r
Criptografia no Kaspersky Endpoint Security

pa
O esquema de criptografia implementado no Kaspersky Endpoint Security 10 contm elementos de criptografia

simtrica e assimtrica.
A criptografia assimtrica usada para estabelecer a conexo entre o Servidor de Administrao e o Agente de
Rede. Alm disso, os dados de recuperao podem ser armazenados no apenas no servidor, mas tambm nas
te
unidades criptografadas. Nesse caso, os dados so criptografados usando a chave pblica do Servidor de
Administrao, e apenas o servidor pode recuperar as informaes desse objeto criptografado.
Os dados armazenados em mdias persistentes so protegidos usando o algoritmo AES simtrico,

independentemente do tipo de mdia (fixa ou removvel).
en
m
So
9
o
rn
te
In
o
Us
a r
pa
te
en
m
So
10 KASPERSKY LAB
1.2 Instalando os mdulos de criptografia
o
rn
Componentes necessrios
te
A criptografia de dados no est includa na configurao Bsica do Kaspersky Endpoint Security. Para poder usar a
criptografia, necessria uma licena especial, que fornece acesso funcionalidade completa do produto. Alm da
licena, os seguintes componentes so necessrios para a criptografia:
In
Agente de Rede do Kaspersky Security Center
Componentes de criptografia do Kaspersky Endpoint Security
Mdulo de criptografia AES
Pode parecer estranho que o Agente de Rede esteja nessa lista, mas no possvel usar a criptografia sem o servidor
no Kaspersky Endpoint Security 10. O Servidor de Administrao do Kaspersky Security Center uma parte
o
integrante do sistema de criptografia. Ele essencial para a recuperao de dados e o acesso contnuo aos dados
criptografados na rede corporativa.
Us
Os componentes da Criptografia do Kaspersky Endpoint Security so mdulos do produto semelhantes, por
exemplo, ao Firewall ou ao Controle de Dispositivos.
Existem dois componentes de criptografia no Kaspersky Endpoint Security:
Criptografia de discos rgidos responsvel pela criptografia total de discos rgidos e mdias removveis
a
Criptografia de arquivos e pastas responsvel pela criptografia de arquivos nos discos rgidos e mdias
removveis
r
Esses tipos de criptografia podem ser usados separadamente ou simultaneamente. Eles so descritos detalhadamente
pa
nos captulos correspondentes. Os componentes de criptografia no esto includos na instalao Bsica do KES e
no so instalados nos computadores cliente, a menos que o administrador ative a instalao da criptografia antes de
implementar o produto.
O mdulo de criptografia AES um mdulo criptogrfico relativamente pequeno, que criptografa e descriptografa
dados usando o algoritmo AES. Existem duas implementaes do mdulo AES, que diferem no comprimento da
chave de criptografia. O algoritmo AES padro, com uma chave de 256 bits, implementado na verso completa do
te
mdulo; na verso lite, o comprimento de chave efetivo de 56 bits. Essas duas verses do mdulo foram
desenvolvidas por causa de questes jurdicas. O comprimento da chave a ser usada em ferramentas comerciais de
criptografia limitado por leis de vrios pases. A verso lite do mdulo foi criada para elas. O administrador
decide o tipo de mdulo AES a ser usado antes de implementar o componente de criptografia.
en
Em alguns cenrios, como o procedimento de recuperao de acesso de desafio/resposta que ser descrito
posteriormente, o mdulo AES deve ser instalado no apenas nos computadores cliente, mas tambm no
computador no qual o Console de Administrao executado.
m
So
11
o
rn
te
In
o
Us
a r
pa
te
en
m
So
12 KASPERSKY LAB
Instalando os componentes de criptografia do KES
o
A instalao do Agente de Rede no tem caractersticas especficas em relao criptografia. O nico requisito
rn
que o agente deve estar instalado e conectado ao Servidor de Administrao.
Por outro lado, a instalao dos componentes de criptografia e do mdulo AES tm algumas especificidades. H
duas situaes possveis:
te
A deciso sobre a implementao da criptografia foi tomada antes de implementar o KES
A implementao do KES foi concluda e necessrio adicionar a criptografia aos componentes atuais
Se a instalao for nova, muito simples. Primeiro, ative a instalao dos componentes de criptografia nas
In
propriedades do pacote de instalao do KES (marque a caixa de seleo Criptografia). Depois, selecione a verso
do mdulo AES (tpica ou lite) e copie o arquivo de instalao aes_encryption_module.msi para a raiz do pacote
de instalao do KES no repositrio do Servidor de Administrao. Se o aes_encryption_module.msi estiver
localizado no diretrio raiz do pacote, ele ser automaticamente instalado com o KES.
o
Se a implementao do KES j tiver sido concluda, a tarefa ser um pouco mais complexa. Os componentes de
criptografia podem ser adicionados usando a tarefa Alterar componentes do aplicativo sem reinstalar o KES.
Porm, o mdulo AES no ser instalado automaticamente, mesmo que voc o adicione ao pacote de instalao do
Us
KES. O mdulo AES dever ser instalado individualmente, por exemplo, usando a tarefa de instalao remota do
Kaspersky Security Center criada para aplicativos de terceiros. Para que essa instalao seja silenciosa e automtica,
execute-a com o parmetro da linha de comando /qn EULA=1.
A ausncia do mdulo AES impede a utilizao da criptografia, mas no altera o status do computador. Voc pode
controlar os resultados da instalao do mdulo AES nas selees de computadores. Para essa finalidade, crie uma
seleo de computadores cujo Registro de aplicativos contenha (ou no, dependendo do objetivo da seleo) o
a
programa Mdulo de Criptografia AES.

r
pa
te
en
m
So
13
o
rn
te
In
o
Us
r a
Configuraes de criptografia no Kaspersky Security

pa
Center
A instalao dos componentes de criptografia nos computadores cliente no suficiente para poder gerenciar a
criptografia via Kaspersky Security Center. Por padro, todas as configuraes de criptografia ficam ocultas no
Kaspersky Security Center. Para torn-las visveis, selecione o n Servidor de Administrao no Console de
te
Administrao e, no menu Exibir, clique em Configurar interface e marque a caixa de seleo Exibir proteo de
criptografia e dados. Depois disso, a seo Criptografia aparecer na poltica do Kaspersky Endpoint Security,
onde voc poder especificar os parmetros de criptografia dos computadores cliente.
en
m
So
14 KASPERSKY LAB
o
rn
te
In
o
Us
ra
pa
te
en
m
So
15
Chapter 2. Criptografia Total do Disco
o
rn
2.1 Princpios de operao da Criptografia Total do
te
Disco
In
A Criptografia Total do Disco (FDE) uma abordagem de proteo de dados na qual todos os dados do disco rgido,
exceto os setores de inicializao, so criptografados.
Essa abordagem permite ocultar totalmente no apenas os dados dos arquivos, mas tambm as meta informaes do
o
sistema: o tipo de sistema operacional, a estrutura de diretrios e a localizao dos arquivos.
Como mencionamos anteriormente, ao lidar com mdia persistente, a chave de criptografia/descriptografia no deve
Us
ser armazenada junto com os dados. A chave deve ser enviada externamente ou gerada com base em informaes
externas. Normalmente, a chave gerada com base na senha usada para a autorizao pr-inicializao. Essa
abordagem usada no Kaspersky Endpoint Security 10.
Uma das principais vantagens da FDE a "integrao contnua" para o usurio e os programas. Os dados so
descriptografados e criptografados quando necessrio por um driver especial que est fortemente integrado ao
sistema operacional. Os dados permanecem criptografados sempre (mesmo enquanto so processados), o que os
a
protege em caso de desligamento inesperado do sistema.

r
Outra vantagem da FDE a autonomia. A conexo com o servidor necessria somente para fins de recuperao de
dados. Ou seja, primeiro quando a FDE imposta e depois, se for necessrio recuperar a senha. No restante do
pa
tempo, o sistema completamente autnomo, o que especialmente conveniente para computadores mveis que
frequentemente so levados para fora do permetro da rede corporativa e podem ficar muito tempo sem conexo
com o Servidor de Administrao.
te
en
m
So
16 KASPERSKY LAB
o
rn
te
In
o
Us
r a
Criptografia da unidade do sistema

pa
A Criptografia Total do Disco (FDE) uma tecnologia padro que diversos fabricantes implementam de maneiras
semelhantes. At o momento, abordamos a tecnologia em geral. Agora, vamos discutir a forma como o Kaspersky
implementar essa tecnologia.
Vamos descrever o que acontece com o sistema operacional quando o administrador ativa a FDE no computador
te
cliente.
1. gerada uma chave mestra individual para cada unidade fsica. Essa chave ser usada para criptografar e
descriptografar os dados durante todo o perodo de proteo de dados (at a unidade ser descriptografada).
Ento, o identificador do disco rgido e a chave criada para ele sero transferidos para o Servidor de
en
Administrao. Sem isso, a criptografia no ser iniciada.
2. Os drivers diretamente responsveis pela criptografia e descriptografia de dados so instalados no sistema

operacional. Depois, pequenos blocos de dados abertos so gradativamente criptografados e substitudos
por sua verso criptografada. O processo pode levar vrias horas. Ele no percebido pelo usurio e
m
executado em segundo plano. Se a unidade no for um disco de inicializao, no ser feita nenhuma outra
alterao.
3. Se for um disco de inicializao, o Kaspersky Endpoint Security instalar seu carregador de inicializao, o
So
Agente de Autenticao, que ser responsvel pela autenticao do usurio a partir de ento. O endereo do
registro de inicializao adequadamente alterado no Registro Mestre de Inicializao. Todos os outros
dados, arquivos do sistema operacional e o registro de inicializao original sero criptografados
gradativamente, conforme descrito acima.
4. Quando o sistema operacional iniciado, o Agente de Autenticao solicita ao usurio seu nome de usurio
e sua senha. A senha usada para gerar uma chave intermediria, que usada para descriptografar a chave
17
mestra. A chave mestra usada para descriptografar/criptografar dados na unidade, armazenada

juntamente com os dados, mas criptografada e no pode ser descriptografada sem a senha do usurio1.
o
5. Aps a autenticao bem-sucedida, o Agente de Autenticao descriptografa o registro de inicializao do
rn
sistema original usando a chave mestra e comea sua inicializao. Agora o Agente de Autenticao
concluiu sua tarefa. Quando o sistema operacional iniciado, um driver especial descriptografa os dados na
unidade. Exceto pelo fato dos dados serem acessados por meio desse driver, o sistema inicializado
normalmente.
te
6. Depois que o sistema iniciado, os dados so acessados conforme descrito no pargrafo 2.
Resumindo, a chave mestra necessria para acessar os dados armazenada em dois locais: em formato criptografado
no registro de inicializao do Agente de Autenticao e no Servidor de Administrao.
In
Como a criptografia da unidade do sistema altera o Registro Mestre de Inicializao, a criptografia de discos rgidos
no pode ser usada em computadores nos quais h vrios sistemas operacionais instalados. Caso contrrio, depois de
ativar a criptografia, apenas o sistema no qual o Kaspersky Endpoint Security est instalado poder ser usado.
o
Us
r a
pa
te
en
m
So
1
Ou seja, a descriptografia da chave mestra uma tarefa difcil em termos de criptografia.
18 KASPERSKY LAB
Criptografia de unidades no do sistema
o
O acesso a unidades que no so do sistema um pouco diferente. Uma chave mestra tambm gerada para
rn
unidades no do sistema e salva em formato criptografado. A diferena que voc no precisa dar acesso unidade
antes da inicializao do sistema operacional. Por isso, a conta do Agente de Autenticao no criada em unidades
no do sistema. A chave mestra criptografada usando a chave pblica do Servidor de Administrao salva somente
no disco rgido. Assim, possvel trabalhar com uma unidade criptografada em qualquer computador conectado ao
te
Servidor de Administrao, pois o servidor sempre pode descriptografar a chave mestra e envi-la de volta.
Para poder trabalhar com a unidade quando o Servidor de Administrao no est acessvel, outra cpia da chave
mestra salva no armazenamento do usurio local, na pasta de servio do Kaspersky Endpoint Security. Essa cpia
pode ser acessada usando a chamada chave do usurio, que gerada pela biblioteca do sistema MS DPAPI com
In
base nos dados de autenticao inseridos ao fazer login no sistema. Isso quer dizer que a chave gerada pelo MS
DPAPI atua como uma chave intermediria que d acesso chave mestra. Se a senha do usurio for alterada, a
chave do usurio tambm ser alterada e no ser possvel descriptografar a chave mestra armazenada no repositrio
local. Nesse caso, o Kaspersky Endpoint Security precisar se conectar ao Servidor de Administrao para receber a
chave mestra novamente e salv-la no repositrio do usurio.
o
Gerenciamento centralizado da FDE Us
Os parmetros de criptografia fazem parte da poltica do Kaspersky Endpoint Security, que imposta no
computador cliente por meio do Agente de Rede. O Kaspersky Endpoint Security recebe a poltica do agente e faz as
alteraes necessrias nas configuraes do Agente de Autenticao.
Por sua vez, o Kaspersky Endpoint Security envia para o servidor informaes sobre o status atual do mdulo de
a
criptografia e os dados necessrios para recuperar a senha do usurio e a chave mestra.
Observe que o Agente de Autenticao no pode se comunicar diretamente com o Servidor de Administrao e suas
r
configuraes no podem ser alteradas remotamente, a menos que o sistema seja reiniciado. Por isso, se o usurio
esquecer a senha, o administrador no poder redefini-la remotamente e ser possvel recuperar o acesso somente
pa
por meio de um procedimento especial de "desafio/resposta". Esse procedimento ser descrito detalhadamente
posteriormente.
te
en
m
So
19
o
rn
te
In
o
Us
a r
pa
te
en
m
So
20 KASPERSKY LAB
2.2 Implementao da Criptografia Total do Disco
o
rn
Ordem de implementao
te
No geral, a Criptografia Total do Disco no afeta o trabalho do usurio. Mas, devido a um novo procedimento de
login, talvez os usurios no consigam fazer login no computador sem a ajuda do administrador. Para preparar os
usurios para o novo procedimento de login e tambm poupar tempo e trabalho dos administradores, seria
recomendvel informar e treinar a equipe antes de implementar a FDE.
In
Para ativar a criptografia de forma oportuna, recomendado implementar inicialmente em um pequeno grupo de
teste. Aps a concluso bem-sucedida da implementao nesse grupo, voc poder ativar a criptografia do disco dos
outros computadores. recomendvel continuar a implementao grupo a grupo. Isso feito para reduzir o tempo
de inatividade e a carga sobre os administradores.
o
Antes de ativar a criptografia, verifique detalhadamente os parmetros do Agente de Autenticao, pois eles no
podem ser modificados remotamente antes de iniciar o sistema. As configuraes do Agente de Autenticao
incluem parmetros de senha e as contas dos usurios que tm permisso para fazer login no sistema. Alm disso,
Us
elas definem excluses para as unidades que no devem ser criptografadas.
Quando todas as preparaes forem concludas, voc poder ativar a Criptografia Total do Disco na poltica do
Kaspersky Endpoint Security. Se a FDE for usada somente em alguns computadores da rede, mova-os para um
grupo especial e crie uma poltica individual para esse grupo.
a
Parmetros do Agente de Autenticao

r
Configuraes de senha
pa
Os parmetros do Agente de Autenticao so especificados nas Configuraes de Senha da seo Configuraes

comuns de criptografia e compreendem trs reas:
Use a tecnologia de logon nico (SSO) se este parmetro estiver ativado, o usurio precisar ser
autenticado apenas uma vez, antes do sistema ser reiniciado. As credenciais da conta que o usurio envia
te
para o Agente de Autenticao sero usadas automaticamente para o login no sistema.
Parmetros de fora da senha para garantir que no seja usada uma senha simples. Por padro, a
senha deve consistir em oito ou mais smbolos e conter pelo menos uma letra maiscula, um nmero e um
en
smbolo (!, @), #, % etc.). O nmero de tentativas malsucedidas de insero da senha e a

frequncia exigida de alterao da senha tambm so especificados aqui.
Solicitar senha do usurio ativo se esta caixa de seleo estiver marcada, quando a FDE for ativada,
ser solicitado que o usurio atual do computador cliente defina a senha do Agente de Autenticao. Se no
houver um usurio ativo quando a FDE for ativada, a senha ser solicitada quando o primeiro usurio tentar
m
fazer login no sistema. As senhas dos outros usurios sero criadas automaticamente e estaro disponveis
no console do Kaspersky Security Center. Os usurios podero solicit-las ao administrador.
As opes Use a tecnologia de logon nico (SSO) e Solicitar senha do usurio ativo esto ativadas por padro.
So
Isso significa que os parmetros de fora da senha especificada sero ignorados pois, quando o modo SSO est
ativado, so usados os parmetros de fora de senha do Windows.
21
o
rn
te
In
o
Us
a r
pa
te
en
m
So
22 KASPERSKY LAB
Contas
o
As contas usadas pelo Agente de Autenticao so baseadas nas contas do Windows. Somente os nomes de usurio
rn
devem ser iguais; as senhas especificadas no Windows e no Agente de Autenticao podem ser diferentes.
Inicialmente, quando a FDE ativada, todas as contas locais e de domnio que fizeram login no sistema nos ltimos
30 dias so adicionadas ao Agente de Autenticao. O administrador pode modificar a lista de perfis adicionados
automaticamente na seo Criptografia de discos rgidos da poltica do KES. As seguintes opes esto
te
disponveis:
Todas as contas no computador

Todas as contas de domnio no computador
In
Todas as contas locais no computador
Administrador local
Gerente do computador
Conta ativa
A finalidade das opes acima clara, exceto por Gerente do computador. Gerente do computador uma conta
o
especial atribuda ao computador no Active Directory. Voc pode exibir qual conta atua como Gerente do
computador nas propriedades do computador no AD. Por padro, a funo de Gerente do computador no
definida, ou seja, no atribuda a nenhuma conta.Us
Se o domnio for implementado na rede, recomendvel ativar os parmetros Todas as contas de domnio no
computador e Conta ativa antes de implementar a FDE. Se no houver um domnio, selecione Todas as contas
locais no computador em vez de Todas as contas de domnio no computador.
As contas do Agente de Autenticao so criadas depois que a FDE ativada. Depois disso, a lista de contas pode
ser modificada usando a tarefa Gerenciamento de contas do Agente de Autenticao. Ela ser descrita
a
detalhadamente posteriormente.
r
Configurando excluses
pa
Em alguns computadores, o uso da FDE pode ser indesejado por vrios motivos. Em vez de mover esses
computadores para outro grupo, voc pode adicionar suas unidades lista de excluses da Criptografia Total do
Disco.
As excluses da FDE so configuradas quase da mesma forma que as excluses do componente Controle de
te
Dispositivos:
1. Para adicionar uma unidade lista de unidades confiveis, primeiro ela deve ser detectada pelo Kaspersky
Security Center. Para essa finalidade, a unidade deve estar conectada a um computador com o Agente de
en
Rede, o Kaspersky Endpoint Security e os componentes de criptografia do KES instalados.
2. Clique no boto Adicionar na seo Criptografia de discos rgidos para abrir a janela na qual voc pode
selecionar uma unidade detectada do KSC. Clique no boto Atualizar para exibir a lista de dispositivos. Se
houver muitos deles, voc poder localizar o registro necessrio filtrando a lista por nome (ou mscara) do
computador, nome (ou mscara) do dispositivo ou seu status (do sistema ou no do sistema, criptografado
m
ou no etc.).
3. Depois que a unidade for selecionada, clique em OK para aplicar a poltica.

So
Se uma unidade j criptografada for adicionada lista de excluses, ela ser descriptografada automaticamente.
23
o
rn
te
In
o
Us
a r
pa
te
en
m
So
24 KASPERSKY LAB
Ativando a Criptografia Total do Disco
o
Quando as preparaes forem concludas, voc poder ativar a Criptografia Total do Disco. Modifique o valor
rn
Regra padro de criptografia na seo Criptografia de discos rgidos da poltica. A Regra padro de
criptografia pode ter um destes status:
Manter inalterado o status especificado na poltica por padro. O status das unidades no alterado; ou
te
seja, as unidades criptografadas permanecero criptografadas e as descriptografadas, descriptografadas.
Criptografar todos os discos rgidos com este status selecionado, as unidades sero criptografadas nos
computadores cliente. Ao mesmo tempo, a rea de inicializao do sistema original ser substituda pelo
carregador de inicializao do Agente de Autenticao.
In
Descriptografar todos os discos rgidos este comando tem o efeito oposto. Ou seja, os discos rgidos
dos computadores nos quais a poltica foi imposta sero descriptografados e o Agente de Autenticao ser
removido das unidades do sistema. Talvez as unidades devam ser descriptografadas, se as informaes no
precisarem mais ser protegidas e tambm antes da reinstalao ou do upgrade do sistema operacional.
o
Se o parmetro Criptografar todos os discos rgidos estiver selecionado, ser exibido um aviso no console do
Kaspersky Security Center informando que se a criptografia for aplicada a um computador que executa vrios
Us
sistemas operacionais, apenas o sistema no qual o Kaspersky Endpoint Security est instalado continuar
funcionando. A Criptografia Total do Disco no deve ser aplicada a esses computadores. Configure uma excluso
para eles ou os mova para um grupo na qual a FDE no usada.
Quando o Kaspersky Security Center impe uma poltica na qual a FDE est ativada, ele avisa sobre a necessidade
de fazer backup dos dados do Servidor de Administrao. A cpia de backup do Servidor de Administrao est
descrita detalhadamente no curso KL 002.10 Kaspersky Endpoint Security 10 for Windows. Lembre-se de que, por
a
padro, as cpias de backup do servidor ficam localizadas na mesma unidade que os arquivos originais. Se a unidade
for danificada, as chaves necessrias para descriptografar os dados nos computadores cliente ser perdida com as
cpias de backup. Para evitar isso, mova o diretrio no qual esto armazenadas as cpias de backup do servidor para
r
outra unidade antes de ativar a FDE.

pa
Notificando os usurios
Se a poltica do KES estabelecer que a senha de autenticao seja solicitada ao usurio, assim que ela for imposta ou
aps a reinicializao, ser exibida no computador cliente uma notificao sobre o procedimento de criptografia.
Essa janela tambm solicitar que o usurio defina a senha do Agente de Autenticao.
te
Se a solicitao de senha no estiver ativada na poltica, o usurio no perceber que a criptografia das unidades foi
iniciada. Externamente, o sistema funcionar como de costume.
en
m
So
25
o
rn
te
In
o
Us
a r
pa
te
en
m
So
26 KASPERSKY LAB
Autenticao Pr-inicializao
o
Na primeira reinicializao aps a imposio da poltica com a FDE, o sistema de autenticao pr-inicializao
rn
(Agente de Autenticao) ser iniciado antes do sistema operacional. Para continuar a inicializao do sistema, o
usurio dever inserir o nome de usurio e a senha da conta do Agente de Autenticao.
Dever ser especificado o nome de usurio do domnio completo2 com o qual o usurio normalmente faz login no
sistema. Por exemplo, o usurio Tom do domnio ABC dever inserir o nome de usurio ABC\Tom. O nome de
te
usurio no diferencia maisculas de minsculas, semelhante s contas do Windows.
Se o usurio definir uma senha antes da reinicializao, ele poder fazer login no sistema usando essa senha. Se a
senha no foi definida (porque a solicitao de senha no estava ativada na poltica ou o computador foi reiniciado
In
sem fazer login no sistema depois da imposio da poltica), o usurio precisar solicitar uma senha temporria ao
administrador para poder continuar.
Senhas temporrias so criadas automaticamente para todas as contas do Agente de Autenticao. O administrador
pode ver a senha temporria no console do Kaspersky Security Center e inform-la ao usurio. uma senha de uso
nico, aps a autenticao, o usurio dever definir uma nova senha que ser usada no futuro.
o
Us
r a
pa
te
en
m
So
2
Em vez de digitar o nome de usurio completo, voc pode primeiro especificar o nome de domnio pressionando F10 e depois digitar o nome de usurio. Isso
funciona da mesma forma para o Agente de Autenticao.
27
o
rn
te
In
o
Us
a r
pa
te
en
m
So
28 KASPERSKY LAB
Contas do Agente de Autenticao
o
Se o usurio no conseguir fazer login porque no sabe a senha ou especificou somente o nome de usurio em vez
rn
do nome completo, ele dever entrar em contato com o administrador para obter ajuda. Sabendo o nome do
computador cliente, o administrador pode exibir suas contas do Agente de Autenticao: para isso, ele deve abrir as
propriedades do computador no Console de Administrao, selecionar a tarefa Criptografia (gerenciamento de
conta) na lista de tarefas, abrir suas propriedades e alternar para a seo Propriedades.
te
Alm dos nomes das contas, o administrador poder ver as senhas temporrias de login no sistema: ele dever clicar
duas vezes na conta para abrir suas propriedades e marcar a caixa de seleo Exibir senha original. A senha ser
exibida abaixo. O administrador poder ver apenas as senhas temporrias criadas automaticamente. Se o usurio j
tiver alterado a senha aps o primeiro login, ela no ser exibida no Console de Administrao. O tipo da senha
In
exibido direita do nome da conta. As senhas temporrias so do tipo Inicial, enquanto as permanentes so do tipo
Personalizado.
O Agente de Autenticao no permite o uso de conjuntos de caracteres de idiomas locais. So permitidos apenas
caracteres ANSI. Os nomes de usurio com caracteres locais sero substitudos automaticamente por nomes de
servio, como User_17219. Esse nome dever ser usado para fazer login no sistema por meio do Agente de
o
Autenticao.
Us
r a
pa
te
en
m
So
29
o
rn
te
In
o
Us
a r
pa
te
en
m
So
30 KASPERSKY LAB
2.3 Gerenciando contas do Agente de Autenticao
o
rn
As contas do Agente de Autenticao so criadas automaticamente somente uma vez, quando a Criptografia Total
do Disco ativada. Para adicionar, excluir ou modificar a senha de uma conta depois da ativao da FDE, usada
uma tarefa especial: Gerenciamento de contas do Agente de Autenticao.
te
Ser possvel alterar as contas do Agente de Autenticao usando essa tarefa somente se o sistema j tiver sido
iniciado no computador cliente. As contas no podem ser modificadas durante o estgio de autenticao pr-
inicializao.
In
A tarefa Gerenciamento de contas do Agente de Autenticao uma tarefa do KES que pode ser criada para um
grupo ou para computadores especficos. Uma tarefa de grupo ajuda a distribuir uma conta de backup para todos os
computadores nos quais a FDE usada. Essa conta de backup poder ser usada caso o usurio esquea a senha. Uma
tarefa para computadores especficos til quando necessrio modificar as configuraes das contas em um
determinado computador.
o
O nico parmetro especfico da tarefa Gerenciamento de contas do Agente de Autenticao a lista de
comandos para gerenciar (adicionar, editar e excluir) contas do Agente de Autenticao. Os comandos podem ser
Us
configurados no Assistente de Nova Tarefa ou nas propriedades da tarefa.
Os comandos para adicionar e editar contas permitem especificar os seguintes parmetros:
Nome de usurio do Windows

Senha
Se a senha dever ser alterada aps a primeira autenticao
a
O comando de excluso contm apenas um parmetro: o nome da conta a ser excluda.

r
pa
te
en
m
So
31
o
rn
te
In
o
Us
a r
pa
te
en
m
So
32 KASPERSKY LAB
2.4 Especificidades do Login nico
o
rn
Ns j mencionamos que o Agente de Autenticao trabalha por padro no modo de Login nico (SSO). Esse modo
conveniente porque o usurio no precisa passar pelo procedimento de autenticao duas vezes: quando o sistema
iniciado, os dados especificados para o Agente de Autenticao so usados para o login automtico no Windows.
te
Para que o login automtico tenha xito, a senha do usurio no Agente de Autenticao e no Windows dever ser a
mesma. O usurio dever especificar a senha do Windows na janela que solicita a senha quando a FDE aplicada ao
computador. Se o usurio especificar outra senha ou a senha for gerada automaticamente pelo Agente de
Autenticao, obviamente as senhas no sero iguais.
In
Se as senhas forem diferentes, o login automtico falhar e a pgina de autenticao padro do Windows ser
exibida. No entanto, quando o usurio especifica o nome de usurio e a senha do Windows, a senha do usurio do
Agente de Autenticao correspondente substituda automaticamente pela senha do Windows. Ento, as senhas
sero sincronizadas e posteriormente o usurio poder especificar a senha apenas uma vez, durante a autenticao
pr-inicializao.
o
As senhas podero ser sincronizadas somente quando o usurio fizer login no sistema ou alterar a senha usando o
Us
comando Ctrl-Alt-Del. Se a senha for alterada por meio da ferramenta de gerenciamento do computador ou pelo
Active Directory, a senha do usurio do Agente de Autenticao correspondente no mudar. Porm, na prxima
inicializao do sistema, quando o usurio fizer login usando a nova senha, a senha do Agente de Autenticao ser
atualizada automaticamente.
Tambm devemos observar que, mesmo que as senhas coincidirem e o modo SSO estiver ativado, o usurio ainda
precisar pressionar Ctrl-Alt-Del para fazer login no Windows.
r a
pa
te
en
m
So
33
o
rn
te
In
o
Us
a r
pa
te
en
m
So
34 KASPERSKY LAB
2.5 Recuperao
o
rn
Recuperao de acesso ao sistema
te
O usurio pode esquecer a senha e ter de entrar em contato com o administrador para obter ajuda. J descrevemos a
ferramenta que permite ao administrador redefinir uma senha, a tarefa Gerenciamento de contas do Agente de
Autenticao. O problema que o sistema deve estar ativo para que as novas configuraes sejam aplicadas, e o
usurio no pode fazer login. Parece ser um crculo vicioso.
In
H dois mtodos alternativos para ajudar um usurio que esqueceu sua senha:
Usar uma conta de backup

Fazer a autenticao via procedimento de desafio/resposta
o
Quanto conta de backup, possvel usar a conta do administrador local, para a qual uma senha criada
automaticamente, ou uma conta de domnio adicionada previamente. O administrador deve informar o nome de
usurio e a senha da conta de backup ao usurio. A nica desvantagem dessa abordagem que, se uma conta de
Us
backup no foi criada antecipadamente, ela no poder ser configurada quando ocorrer o problema com o login no
sistema.
Uma alternativa usar o procedimento de desafio/resposta para a autenticao. Essa opo requer tempo do
usurio e do administrador, mas no exige nenhuma preparao.
Para usar o procedimento de desafio/resposta, o usurio deve primeiro entrar em contato com o administrador (por
a
exemplo, por telefone). Depois disso, ser necessrio gerar o cdigo de desafio no Agente de Autenticao. O
cdigo consiste em 5 linhas com 15 smbolos em cada uma. O cdigo, o nome do computador e o nome de usurio
r
devero ser informados ao administrador.

pa
O administrador verificar se o cdigo de solicitao est correto no Console de Administrao. Para verificar se os
dados esto corretos, o mdulo de criptografia AES dever estar instalado no computador no qual o Console est
sendo executado. A soma de verificao calculada para cada linha e, em caso de erro, apenas uma parte do cdigo
precisar ser informada novamente. Se tudo estiver certo, o administrador gerar o cdigo de resposta com 7 linhas e
15 smbolos em cada uma, e o informar ao usurio.
Depois de inserir o cdigo de resposta, o usurio poder definir uma nova senha para a autenticao pr-
te
inicializao.
en
m
So
35
o
rn
te
In
o
Us
a r
pa
te
en
m
So
36 KASPERSKY LAB
Recuperao de dados criptografados
o
Se o registro de inicializao do Agente de Autenticao ou do sistema operacional for corrompido, o sistema no
rn
poder ser iniciado e os dados no podero ser recuperados da unidade. Para recuperar a parte no danificada dos
dados, conecte a unidade a outro computador com o Kaspersky Endpoint Security instalado.
Para que os dados criptografados no sejam perdidos de forma irrecupervel como resultado da dupla criptografia, a
te
criptografia do disco dever ser desativada no computador usado para a recuperao.
Depois de conectar a unidade danificada, inicie o utilitrio de restaurao usando o link correspondente na janela
Suporte da interface local do Kaspersky Endpoint Security.
In
o
Us
r a
pa
te
en
m
So
37
o
rn
te
In
o
Us
a r
pa
te
en
m
So
38 KASPERSKY LAB
Primeiro, selecione a unidade e inicie o procedimento de diagnstico correspondente. Durante o diagnstico, o

utilitrio verifica a unidade e pesquisa a conta do Agente de Autenticao. Dependendo do resultado, o utilitrio
o
permite executar as seguintes aes:
rn
Corrigir MBR (Registro Mestre de Inicializao) este boto estar disponvel quando for encontrado na
unidade um registro de inicializao parcialmente corrompido do Agente de Autenticao. Se apenas o
registro de inicializao do Agente de Autenticao estiver danificado, sua recuperao restaurar a
funcionalidade do sistema.
te
Desbloquear a unidade esta ao estar disponvel quando o utilitrio de restaurao for executado em
um computador no qual o Kaspersky Endpoint Security 10 est instalado com os componentes de
criptografia. Para executar o comando Desbloquear, o utilitrio precisa da chave mestra com a qual a
unidade foi criptografada. Quando o comando executado, a chave mestra transferida para os drivers de
In
criptografia do KES e o usurio pode ler e copiar os dados que no foram corrompidos. Os dados estaro
acessveis enquanto o utilitrio de restaurao estiver em execuo.
Descriptografar a unidade este comando ser exibido na interface do utilitrio em vez de Desbloquear
quando o utilitrio de restaurao for iniciado em um computador no qual os componentes de criptografia
do KES no esto instalados. Semelhante ao desbloqueio, a descriptografia da unidade exige a chave
o
mestra correspondente. Quando ela fornecida, o utilitrio comea a descriptografar o contedo da
unidade.
Us
Portanto, o utilitrio de restaurao precisa da chave mestra correspondente para executar qualquer ao com a
unidade. A chave mestra pode ser obtida por dois mtodos:
Se o registro de inicializao do Agente de Autenticao no foi danificado e foi localizado ao verificar a

unidade, ser suficiente especificar o nome de usurio e a senha de uma das contas do Agente de
Autenticao para obter a chave mestra diretamente da unidade.
a
Se o Agente de Autenticao estiver danificado, a chave mestra dever ser obtida do Servidor de
Administrao usando o procedimento de desafio/resposta.
r
pa
te
en
m
So
39
o
rn
te
In
o
Us
a r
pa
te
en
m
So
40 KASPERSKY LAB
Para o utilitrio de restaurao, o procedimento de desafio/resposta baseado na troca de arquivos, e no na troca

de cdigos:
o
4. Salve o arquivo de solicitao no computador no qual a recuperao ser executada e o transfira para o
rn
Servidor de Administrao. O identificador do disco rgido recuperado tambm dever ser transferido. A
janela na qual o arquivo gerado no dever ser fechada at que a resposta seja recebida do servidor (caso
contrrio, voc no poder enviar o arquivo de resposta).
5. Encontre a unidade necessria no continer Dispositivos criptografados usando seu identificador e, no
te
menu de atalho da unidade, clique em Obter chave de acesso ao dispositivo especificado criptografado.
Na janela que ser aberta, especifique o arquivo de solicitao; em seguida, salve o arquivo de resposta e o
transfira para o computador no qual a recuperao ser executada.
In
6. O arquivo de resposta contm a chave mestra. Selecione o arquivo na janela Receber chave de acesso ao
dispositivo do utilitrio de restaurao e a chave ser extrada automaticamente. O utilitrio de restaurao
verifica o identificador do dispositivo para garantir que o arquivo foi gerado para a unidade que est sendo
restaurada.
Depois que obtida a chave mestra da unidade, o administrador poder recuperar o registro de inicializao do
o
Agente de Autenticao ou Desbloquear/Descriptografar a unidade.
Us
r a
pa
te
en
m
So
41
o
rn
te
In
o
Us
a r
pa
te
en
m
So
42 KASPERSKY LAB
2.6 Monitoramento do status de criptografia
o
rn
Voc pode controlar a criptografia nos computadores cliente usando o Status de criptografia de dados. Os
parmetros de status so especificados nas propriedades do grupo Computadores gerenciados (e dos subgrupos, se
a herana de status estiver desativada).
te
O Status de criptografia de dados depende do status da tarefa de criptografia em execuo nos computadores
cliente:
Anulado pelo usurio o usurio cancelou a criptografia do disco
In
Erro erro na criptografia (por exemplo, a licena est ausente)
necessrio reiniciar o computador dever ser reiniciado para ativar os drivers de criptografia quando a
criptografia de disco ou de arquivos for ativada
Nenhum comando somente um dos dois componentes de criptografia est instalado no comando
(criptografia de arquivo ou criptografia de disco)
o
Sem suporte um status para servidores, pois a criptografia no pode ser usada neles
Aguardando os arquivos ou as unidades esto sendo criptografados ou descriptografados no computador
Us
Os status Erro e necessrio reiniciar permitem localizar os computadores nos quais a criptografia foi atribuda
mas no realmente executada.
Outro status de criptografia importante para o administrador Aguardando (por padro, ele resulta no status
Crtico do computador). Esse status indica que uma poltica de criptografia foi aplicada ao computador cliente e que
o KES est criptografando ou descriptografando os objetos especificados agora. Ele serve como indicador para o
administrador sobre a criptografia dos computadores que foi concluda e que ainda dever ser finalizada. Alm
a
disso, pode indicar quando a criptografia deve ser desativada, por exemplo, antes de reinstalar o sistema operacional.
Com esse status, possvel garantir que no haja objetos criptografados restantes em um computador cliente.
r
pa
te
en
m
So
43
2.7 Upgrade do sistema operacional
o
rn
As atualizaes de sistema operacional em toda a empresa ou em todo o escritrio so raras, mas inevitvel
execut-las periodicamente na organizao. Alm disso, em computadores individuais, talvez seja necessrio fazer
upgrade ou reinstalar o sistema operacional ocasionalmente.
te
Se voc simplesmente iniciar o instalador do sistema operacional em um computador com a FDE ativada, ele
substituir o carregador do Agente de Autenticao e o computador ficar inoperante, pois o carregador do sistema
operacional no poder ler a unidade criptografada.
In
Para evitar isso, seria necessrio descriptografar a unidade antes de reinstalar o sistema operacional e criptograf-la
novamente aps a instalao do novo sistema.
O procedimento de upgrade/reinstalao do sistema operacional o seguinte:
o
7. Crie um grupo com os computadores nos quais o sistema operacional deve ser reinstalado. Se o
planejamento incluir o upgrade do sistema operacional em todos os computadores, ignore esta etapa
8. Us
Ative o modo Descriptografar todos os discos rgidos para esse grupo
9. Aguarde todas as unidades estarem totalmente descriptografadas (consulte os status dos computadores)
10. Atualize ou reinstale o sistema operacional
11. Se necessrio, instale o Kaspersky Endpoint Security

a
12. Ative a Criptografia Total do Disco

r
pa
te
en
m
So
44 KASPERSKY LAB
2.8 Possveis ataques contra a FDE
o
rn
A tecnologia de Criptografia Total do Disco bastante til e requer um trabalho mnimo do administrador. No
entanto, todos os sistemas de segurana so potencialmente vulnerveis e no podem depender apenas das
ferramentas de programas; eles tambm devem contar com o suporte de medidas organizacionais. Do ponto de vista
te
da organizao, a FDE tem os seguintes pontos fracos:
13. Senha do usurio pode ser revelada pelo usurio ou ser fcil de adivinhar
14. Um computador ativo tem a chave mestra de criptografia na memria. Com um computador ativo e
In
equipamento especial, os criminosos podem recuperar a chave da memria e descriptografar a unidade
15. O Servidor de Administrao tambm armazena alguns dados que podem ser usados para receber a chave
mestra e descriptografar dados em computadores cliente
o
O mtodo mais provvel o ataque sobre a senha do usurio. Para evitar o vazamento de senhas, considerada uma
prtica recomendada que os usurios passem por uma sesso de treinamento que inclua a poltica de senhas e por
que as senhas so importantes. Deve haver um equilbrio entre as senhas e o nvel de fora que a poltica do Agente
Us
de Autenticao permite. Se for muito forte, os usurios podem anotar a senha ou usar uma senha simples. Se for
muito fraca, a senha se torna fcil de adivinhar ao usar um mtodo de fora bruta.
Para evitar que computadores sejam perdidos ou roubados, instrua os usurios a no abandonar seus notebooks. Se
um computador no estiver bloqueado, dados importantes podem ser lidos diretamente nele. E, mesmo que esteja
bloqueado, a chave mestra pode ser recuperada da memria e usada para descriptografar o disco rgido.
a
A proteo do servidor contra vazamento de dados normalmente no requer medidas especiais, pois o acesso fsico e
de rede a um servidor deve ser restrito de alguma forma, quer a criptografia seja ou no usada na rede. Se um
criminoso virtual conseguir acessar o Servidor, possivelmente poder copiar os dados de recuperao da chave
r
mestra e us-los para acessar as informaes criptografadas.

pa
te
en
m
So
45
o
rn
te
In
o
Us
a r
pa
te
en
m
So
46 KASPERSKY LAB
o
Chapter 3. Criptografia em Nvel de Arquivos
rn
3.1 Princpios de operao da Criptografia em Nvel
te
de Arquivos
In
Viso geral da tecnologia
o
A Criptografia em Nvel de Arquivos (FLE) outra abordagem de proteo de dados contra o acesso no autorizado
que usa ferramentas de criptografia.
Us
Diferentemente da FDE, a Criptografia em Nvel de Arquivos criptografa apenas os arquivos que correspondem a
condies especiais (por exemplo, arquivos em determinados formatos). O contedo original do arquivo
substitudo pelo contedo criptografado e, quando o arquivo acessado, um driver especial o descriptografa
conforme necessrio. Normalmente, a criptografia aplicada a documentos, arquivos grficos e outros arquivos
no executveis; portanto, dificilmente a FLE afeta o sistema operacional e os programas executados.
Para poder acessar o contedo original dos arquivos, o usurio deve ser autenticado no sistema. Com base nos dados
a
de autenticao, o sistema operacional gera a chave privada do usurio que usada para a descriptografia dos
arquivos. Em geral, a FLE tambm pode ser baseada em outros mtodos de autenticao. No entanto, para fins desta
implementao do Kaspersky Endpoint Security 10, usado o mtodo descrito. Antes de o usurio fazer login no
r
sistema, somente as verses criptografadas dos arquivos podem ser acessadas e seu contedo no pode ser lido3.
pa
Em contraste com a FDE, os arquivos criptografados usando a FLE permanecem criptografados quando copiados
fora do sistema. Isso mantm o nvel de proteo, mas restringe a capacidade de troca de arquivos.
Para ajudar a atenuar essa desvantagem, o Kaspersky Endpoint Security 10 usa o Kaspersky Security Center para
trocar chaves de criptografia entre os usurios com segurana e fornece acesso contnuo aos arquivos criptografados
na rede corporativa.
te
en
m
So
3
Isso significa que ser possvel ler o contedo somente aps um ataque de fora bruta bem-sucedido.
47
o
rn
te
In
o
Us
ra
pa
te
en
m
So
48 KASPERSKY LAB
Acesso local aos arquivos criptografados
o
O Kaspersky Endpoint Security criptografa os arquivos usando vrios tipos de chaves:
rn
Chave pblica do Servidor de Administrao armazenada na distribuio do Agente de Rede e
chega ao computador cliente na implementao da proteo
te
Chave privada do usurio gerada pelo sistema operacional4 com base no nome de usurio e na senha.
As chaves privadas no so salvas no disco rgido; sempre so geradas chaves novas. A mesma chave
usada at o nome de usurio e/ou a senha serem modificados
Chave mestra criada no computador cliente quando a Criptografia em Nvel de Arquivos imposta e
In
faz parte da criptografia de todos os arquivos. Uma cpia da chave mestra salva no armazenamento de
chaves do computador que, por sua vez, criptografado usando a chave pblica do Security Center, e
tambm nos armazenamentos de todos os usurios ativos, que so criptografados usando suas chaves
privadas. Aps o procedimento de autenticao, o armazenamento do usurio descriptografado e a chave
mestra fica disponvel
o
Chaves para criptografar arquivos gerada uma chave individual para criptografar cada arquivo
Us
Quando um arquivo criptografado, seu nome e outros atributos externos no so alterados. O contedo do arquivo
substitudo por um cabealho de servio e uma verso criptografada dos dados originais. Para criptografar os
dados originais, o Kaspersky Endpoint Security cria uma chave individual para cada arquivo. Uma cpia dessa
chave, que criptografada usando a chave mestra do computador, adicionada ao cabealho do arquivo. Assim,
sabendo a chave mestra, voc sempre poder obter a chave usada na criptografia dos arquivos e recuperar seu
contedo original.
a
Alm disso, adicionado ao cabealho um identificador exclusivo da chave mestra. Dessa forma, ser possvel
selecionar a chave mestra correta caso seja necessrio abrir o arquivo em outro computador.
r
J mencionamos que todos os usurios do sistema podem acessar a chave mestra do computador e, portanto, podem
facilmente acessar o contedo dos arquivos criptografados. O procedimento de criptografia completo o seguinte:
pa
16. Durante a autenticao, gerada uma chave privada com base no nome de usurio e na senha
17. Usando a chave privada, o armazenamento do usurio descriptografado e a chave mestra extrada
18. verificada a correspondncia entre a chave mestra e o identificador especificado no cabealho do

te
arquivo. Se estiver tudo certo, a chave com a qual o arquivo foi criptografado ser extrada do cabealho
19. O contedo do arquivo descriptografado usando a chave recebida na etapa anterior

en
m
So
4
As chaves privadas so geradas pela biblioteca MS DPAPI (API de Proteo de Dados).
49
o
rn
te
In
o
Us
ra
pa
te
en
m
So
50 KASPERSKY LAB
3.2 Ativando a Criptografia em Nvel de Arquivos
o
rn
Como a Criptografia em Nvel de Arquivos tem pouco impacto (se tiver) sobre o sistema operacional, no so
necessrias preparaes especiais antes de ativ-la.
te
A Criptografia em Nvel de Arquivos ativada na seo Criptografia de arquivos e pastas da poltica do
Kaspersky Endpoint Security. A criptografia depende do parmetro Regra padro de criptografia, que pode ter os
seguintes valores:
Manter inalterado mantm o estado atual dos arquivos que no esto criptografados, nem
In
descriptografados
De acordo com as regras executa a criptografia dos arquivos de acordo com as regras especificadas. As
regras de criptografia so descritas detalhadamente na prxima seo
o
Descriptografar todos descriptografa todos os arquivos criptografados, sem excees
Us
r a
pa
te
en
m
So
51
o
rn
te
In
o
Us
ra
pa
te
en
m
So
52 KASPERSKY LAB
Configurando as regras de criptografia
o
As regras de criptografia definem quais arquivos devem ser criptografados de acordo com seu formato e sua
rn
localizao na unidade. Na guia Criptografia, voc pode especificar o formato e o local dos arquivos que devem ser
criptografados e, na guia Descriptografia, os arquivos que devem ser excludos da criptografia. As regras
especificadas na guia Descriptografia tm mais prioridade que as regras de Criptografia.
te
Ao configurar uma regra baseada no local do arquivo, voc pode especificar o caminho explicitamente ou usar as
variveis do sistema e os seguintes modelos padro:
Meus documentos
Favoritos
In
rea de trabalho
Arquivos temporrios
Arquivos do Outlook
Por padro, os arquivos so criptografados somente na pasta Meus documentos.
o
Em relao s regras especificadas para formatos de arquivo, o formato definido de acordo com a extenso. Voc
tambm pode usar os seguintes modelos padro, alm de mscaras especificadas manualmente:
Us
Documentos do Microsoft Office
Documentos de texto
Arquivos de udio
Vdeo e multimdia
Imagens e elementos grficos
Arquivos comprimidos
a
Por padro, apenas os documentos do Microsoft Office so criptografados.

r
As regras baseadas nos locais e formatos dos arquivos so independentes. Se um arquivo corresponder a pelo menos
pa
uma das condies especificadas, ele ser criptografado.

te
en
m
So
53
o
rn
te
In
o
Us
ra
pa
te
en
m
So
54 KASPERSKY LAB
Configurando regras para aplicativos
o
Alm das regras baseadas nos locais e formatos dos arquivos, voc pode configurar a criptografia de arquivos
rn
criados por alguns programas. Para essa finalidade, ser necessrio especificar o aplicativo desejado na guia Regras
para aplicativos e selecionar a opo Criptografar todos os arquivos criados correspondente. Isso garante que os
programas que processam informaes importantes (como programas de contabilidade) no salvem dados em
formato no protegido.
te
possvel especificar os programas usando dois mtodos:
Selecionar o nome do arquivo executvel
In
Selecionar o arquivo executvel no continer Arquivos Executveis do Servidor de Administrao
(semelhante configurao do Firewall ou do Controle de Privilgios de Aplicativo)
Para alguns programas, possvel limitar o acesso a arquivos criptografados:
o
Bloquear acesso aos arquivos criptografados
Permitir acesso apenas a texto cifrado (ou seja, o acesso ao arquivo ser permitido, mas seu contedo estar
Us
criptografado)
r a
pa
te
en
m
So
55
o
rn
te
In
o
Us
ra
pa
te
en
m
So
56 KASPERSKY LAB
3.3 Troca de arquivos na rede corporativa
o
rn
Cada computador usa uma chave mestra individual para a Criptografia em Nvel de Arquivos. Se voc apenas
transferir um arquivo criptografado de um computador para outro, o arquivo continuar criptografado e no poder
ser lido. Isso ocorre porque esses computadores usam chaves mestras diferentes. O Servidor de Administrao o
te
elo de conexo que faz a troca de chaves mestras entre os computadores da rede.
Os arquivos criptografados so trocados na rede da seguinte maneira:
20. Quando a FLE implementada e a chave mestra criada no computador, uma cpia da chave e seu
In
identificador so enviados para o Servidor de Administrao pelo Agente de Rede. Assim, o servidor
recebe todas as chaves mestras usadas na rede
21. Quando um arquivo criptografado transferido para um computador, seu cabealho contm o identificador
(ID) da chave mestra com a qual o arquivo foi criptografado. Se essa chave mestra no se encontrar no
o
armazenamento do usurio, o ID da chave ser enviado para o Servidor de Administrao e o servidor
enviar a chave mestra necessria de volta
Us
22. Quando o arquivo descriptografado usando a chave mestra recebida do servidor, essa chave salva no
armazenamento de chaves local disponvel para todos os usurios ativos do computador. Posteriormente,
qualquer outro arquivo criptografado usando essa chave mestra ser descriptografado usando sua cpia
local
Observe que a chave mestra ser sempre solicitada ao Servidor de Administrao, se a chave mestra necessria para
descriptografar o arquivo no estiver no armazenamento do usurio.
a
No importa por que a chave mestra est ausente e como ela chegou ao computador. Por exemplo, a chave mestra
pode ser necessria para a troca de arquivos, como descrito acima. Outro bom exemplo no caso de alterao da
r
senha do usurio. A chave privada do usurio baseada na senha e, se a senha for alterada, o usurio no poder
descriptografar o armazenamento de chaves. Nesse caso, criado um novo armazenamento de chaves para o usurio
pa
e as chaves mestras sero solicitadas do Servidor de Administrao quando for necessrio.

te
en
m
So
57
o
rn
te
In
o
Us
ra
pa
te
en
m
So
58 KASPERSKY LAB
3.4 Trocando dados com usurios externos
o
rn
Naturalmente, os usurios dos computadores aos quais a poltica de FLE foi aplicada podem precisar trocar arquivos
com usurios externos, alm dos usurios internos. As seguintes ferramentas servem para essa finalidade:
te
Email
Pacotes criptografados
Inicialmente, qualquer programa que l um arquivo tem acesso a seu contedo original. Ento, quando um arquivo
anexado a uma mensagem de email, uma verso descriptografada do arquivo adicionada mensagem. O mesmo
In
ocorre quando um arquivo enviado por sistemas de mensagens instantneas (ICQ, Skype): os arquivos so
enviados descriptografados. Mas se voc copiar um arquivo criptografado em uma unidade removvel, ele
permanecer criptografado.
Para que o cliente de email ou qualquer outro programa envie arquivos em formato criptografado, crie na poltica
o
uma regra Conceder acesso apenas a arquivos criptografados cifrados para o arquivo executvel do programa.
O email um mtodo de transferncia de arquivos muito conveniente, mas s vezes no pode ser usado; por
Us
exemplo, um arquivo grande com vrias dezenas de megabytes no pode ser enviado por servidores de email. Ento,
o usurio poder compactar o documento desejado em um pacote criptografado com extrao automtica e transferi-
lo de outra forma.
Para criar um pacote criptografado, selecione o comando Adicionar ao pacote criptografado no menu de atalho do
arquivo ou da pasta e digite uma senha. A senha dever atender aos critrios especificados na poltica do KES. A
senha ser necessria para abrir o pacote. Um pacote criptografado um arquivo executvel que, quando executado,
a
solicita a senha de descriptografia. Se a senha for especificada corretamente, o contedo do pacote ser
descompactado na pasta selecionada pelo usurio.
r
pa
te
en
m
So
59
o
rn
te
In
o
Us
ra
pa
te
en
m
So
60 KASPERSKY LAB
3.5 Recuperao de arquivos criptografados
o
rn
A recuperao dos arquivos criptografados usando a tecnologia FLE tem uma aplicao restrita. O que ocorre que,
se apenas uma parte do corpo do arquivo estiver corrompida, o KES poder descriptografar o restante sem
procedimentos adicionais. Mas, se o cabealho estiver corrompido, especialmente a parte que contm a chave do
te
arquivo criptografada pela chave mestra, ser impossvel descriptografar o arquivo, pois a chave individual usada
para criptografar o arquivo no estar armazenada em nenhum lugar.
Portanto, a recuperao faz sentido somente quando a integridade do arquivo criptografado mantida, mas o usurio
no pode descriptograf-lo porque o armazenamento de chaves foi danificado ou porque a chave mestra necessria
In
no se encontra nele. Nesse caso, estamos falando em recuperar o acesso ao arquivo criptografado e no o prprio
arquivo.
J descrevemos a situao na qual o usurio no tem a chave mestra necessria para descriptografar um arquivo.
Normalmente, o KES tentar se conectar ao Servidor de Administrao para baixar a chave mestra necessria dele.
Mas pode acontecer do servidor no estar disponvel no momento, por exemplo, porque o computador mvel est
o
fora da rede corporativa. Nesse caso, o acesso ao arquivo pode ser obtido novamente usando um procedimento
especial de desafio/resposta:
Us
23. Quando feita uma tentativa de abrir um arquivo cuja chave mestra est ausente, o KES mostra
automaticamente uma mensagem informativa para o usurio, explicando que ele deve enviar por email ao
administrador (ou salvar e transferir usando algum outro mtodo) um arquivo especial criado para
recuperar o acesso
24. O usurio envia o arquivo e o nome do computador no qual o arquivo est localizado para o administrador
a
25. O administrador localiza o computador entre os computadores gerenciados no Servidor de Administrao,

clica nele com o boto direito do mouse e seleciona o comando Acesso a dispositivos e dados em modo
r
autnomo no menu de atalho. Na janela que aberta, o administrador seleciona o arquivo de solicitao
enviado pelo usurio e salva o arquivo de resposta
pa
26. O arquivo de resposta contm a chave mestra criptografada de que o usurio precisa. O administrador pode
envi-lo para o usurio por email ou transferi-lo usando qualquer outro mtodo disponvel
27. O usurio clica duas vezes no arquivo de resposta para extrair a chave mestra e salv-la no armazenamento
do usurio. Depois disso, ser retomado o acesso ao arquivo criptografado. O arquivo de resposta pode ser
te
ativado somente no computador para o qual ele foi gerado
O procedimento de recuperao descrito poder ser usado no apenas quando o armazenamento de chaves estiver
corrompido. Ele tambm til quando um computador est fora da rede corporativa e o usurio recebe um novo
documento para o qual no h uma chave mestra no armazenamento local.
en
m
So
61
o
rn
te
In
o
Us
ra
pa
te
en
m
So
62 KASPERSKY LAB
o
Chapter 4. Criptografia de Unidades Removveis
rn
te
4.1 Casos de uso
In
Dois tipos de criptografia so implementados no Kaspersky Endpoint Security para unidades removveis:
Criptografia total da unidade correspondente Criptografia Total do Disco para unidades removveis.
A unidade completamente criptografada, inclusive o sistema de arquivos
o
Criptografia de arquivos na unidade removvel correspondente Criptografia em Nvel de Arquivos
para unidades removveis. O contedo dos arquivos criptografado, mas o sistema de arquivos da unidade
Us
no alterado
A criptografia de unidades removveis pode ser usada como soluo independente de proteo de dados, caso a
unidade seja perdida ou roubada. Alm disso, a criptografia de unidades removveis pode complementar as
tecnologias de Criptografia Total do Disco e Criptografia em Nvel de Arquivos. Tecnicamente, a FDE, a FLE e os
dois modos de criptografia de unidades removveis so totalmente compatveis e podem ser usados em quase
qualquer combinao.
a
Para que os usurios possam acessar os arquivos criptografados nas unidades removveis fora da rede corporativa,
implementado um Modo porttil especial. Portanto, a criptografia de arquivos mais til como complemento FDE
r
e FLE. Contudo, se for importante ocultar no apenas o contedo, mas tambm a estrutura dos arquivos nas
pa
unidades removveis, prefervel usar a criptografia total da unidade.

te
en
m
So
63
o
rn
te
In
o
Us
r a
pa
te
en
m
So
64 KASPERSKY LAB
4.2 Criptografia total da unidade
o
rn
Princpios de operao
te
A criptografia total da unidade diferente da tecnologia FDE descrita anteriormente. O contedo original da
unidade totalmente substitudo por um arquivo criptografado com um cabealho especial, em vez de ser
criptografado setor por setor. Esse arquivo atua como um armazenamento criptografado de arquivos. Do ponto de
vista do usurio, a unidade funciona normalmente.
In
Os dados gravados e lidos de uma unidade removvel so criptografados e descriptografados quando necessrio
usando um driver especial. Por design, o tamanho do arquivo de dados igual ao volume total da unidade (menos o
tamanho do cabealho). Isso quer dizer que, se a criptografia total for aplicada a uma unidade quase vazia, nem os
nomes dos arquivos, nem o volume real dos dados podero ser exibidos, a menos que a unidade seja
descriptografada.
o
Para cada unidade criptografada, criada uma chave mestra, que ser usada para criptografar os dados. Trs cpias
da chave mestra so armazenadas: Us
No armazenamento do Servidor de Administrao
No armazenamento local no computador do usurio; essa chave mestra criptografada usando a chave
privada do usurio5
No cabealho do arquivo de dados na unidade removvel; essa chave mestra criptografada usando a chave
pblica do Servidor de Administrao
a
Quando uma unidade criptografada conectada a um computador, a chave mestra para a descriptografia dos dados
extrada de um dos armazenamentos acima, de acordo com o seguinte algoritmo:
r
28. A chave mestra da unidade criptografada usando a chave privada do usurio atual procurada no
pa
armazenamento local. Se encontrada, ela ser usada para o processamento da unidade
29. Se a chave no estiver no armazenamento local, o Agente de Rede enviar uma cpia da chave mestra
criptografada usando a chave pblica do Security Center para o servidor, para ser usada na descriptografia.
Em resposta, o Servidor de Administrao enviar a chave usada para criptografar a unidade removvel,
que ser salva no armazenamento local do computador. Posteriormente, quando essa unidade for conectada,
ser usada a cpia local da chave mestra criptografada usando a chave privada do usurio
te
Em qualquer dos casos, a chave mestra extrada automaticamente. O acesso unidade criptografada
absolutamente contnuo, tanto para o usurio quanto para os programas. Observe que, se o Security Center no
estiver acessvel, a unidade poder ser descriptografada apenas nos computadores aos quais ela j foi conectada.
en
Se um computador (por exemplo, um computador convidado em uma rede corporativa) no puder se conectar ao
Servidor de Administrao, o usurio no poder trabalhar com uma unidade removvel criptografada. No
possvel contornar essa restrio. Portanto, uma unidade criptografada no pode ser usada para trocar dados com
usurios externos.
m
So
5
As chaves privadas do usurio foram descritas no captulo anterior.
65
o
rn
te
In
o
Us
r a
pa
te
en
m
So
66 KASPERSKY LAB
Ativando a criptografia total de unidades removveis
o
A criptografia de unidades removveis ativada na poltica do Kaspersky Endpoint Security, na seo Criptografia
rn
de unidades removveis. Para ativar a Criptografia Total do Disco, selecione a opo Criptografar Toda a
Unidade na lista suspensa Regra padro.
O modo Criptografar Toda a Unidade tem apenas um parmetro adicional: Permitir criptografia de unidades
te
removveis no modo offline. Ele especifica se necessrio salvar os dados de recuperao da chave mestra no
Servidor de Administrao antes do incio da criptografia de uma unidade removvel. Por padro, exigido que os
dados de recuperao sejam salvos e, se o servidor no puder ser conectado, a criptografia no ser executada.
Se a caixa de seleo Permitir criptografia de unidades removveis no modo offline estiver marcada, a
In
criptografia ser iniciada, independentemente da disponibilidade do servidor. Os dados de recuperao sero
transferidos para o servidor durante a prxima sincronizao bem-sucedida. H um pequeno risco de que o
computador no qual uma unidade foi criptografada seja danificado antes que os dados de recuperao sejam
transferidos para o servidor; se o cabealho do arquivo de dados for corrompido na unidade removvel, ser
impossvel descriptografar os dados na unidade removvel.
o
Depois que uma poltica que define a criptografia total da unidade imposta, ao conectar uma unidade removvel ao
computador cliente, perguntado ao usurio se o dispositivo deve ser criptografado. Isso necessrio para que o
Us
usurio possa recusar a criptografia de dispositivos adicionais conectados ao computador.
Se o usurio optar por no criptografar o dispositivo, ele estar acessvel no modo somente leitura. Isso evita que
dados importantes sejam salvos em uma unidade no protegida. Se a opo Criptografar estiver selecionada, o
Kaspersky Endpoint Security gerar uma chave mestra para o dispositivo e iniciar a criptografia. A janela que
exibe o andamento da criptografia ser aberta automaticamente. Se a unidade for desconectada do computador antes
da concluso da criptografia, ela ser retomada quando a unidade removvel for reconectada ao computador.
a
Quando a criptografia de uma unidade removvel for concluda, os usurios podero us-la somente dentro da
empresa. Fora da rede corporativa, o contedo da unidade no poder ser lido.
r
pa
te
en
m
So
67
o
rn
te
In
o
Us
r a
pa
te
en
m
So
68 KASPERSKY LAB
Configurando regras adicionais
o
A Criptografia de unidades removveis permite especificar regras adicionais para a criptografia de unidades
rn
removveis. As regras consistem em dois parmetros:
Tipo do dispositivo selecionado da mesma forma que em regras de excluso do componente Controle
de Dispositivos. Os dispositivos podem ser adicionados a partir do registro do Servidor de Administrao e
te
tambm da lista de regras de excluso do Controle de Dispositivos
Modo de criptografia esto disponveis as mesmas variaes que nas configuraes da Regra padro,
incluindo Manter inalterado
In
As regras adicionais tm mais prioridade que a Regra padro e, portanto, permitem especificar mtodos
alternativos de criptografia para alguns tipos de dispositivos. Por exemplo, a criptografia de arquivos pode ser usada
no lugar da criptografia total nas unidades removveis de equipes visitantes.
o
Us
r a
pa
te
en
m
So
69
4.3 Criptografia em Nvel de Arquivos
o
rn
Princpios de operao
te
A criptografia em nvel de arquivos de unidades removveis implementada de forma semelhante tecnologia FLE
descrita anteriormente. A nica diferena que a chave mestra do dispositivo usada para criptografar a chave no
cabealho do arquivo, e no a chave mestra do computador cliente.
In
A chave mestra da unidade removvel gerada antes do incio da criptografia de seus arquivos. De forma
semelhante criptografia total, uma cpia da chave mestra salva no armazenamento local da unidade removvel,
no armazenamento do usurio ativo e tambm no Servidor de Administrao. Cada arquivo salvo no dispositivo
criptografado usando uma chave individual, que salva no cabealho do arquivo criptografado usando a chave
mestra da unidade.
o
Quando o usurio trabalha com arquivos na unidade removvel, os dados so criptografados quando necessrio
por um driver especial. Se a chave mestra do arquivo no estiver no armazenamento do usurio, o KES a solicitar
ao Servidor de Administrao. Se o servidor no estiver acessvel, o KES poder obter a chave usando o
Us
procedimento de desafio/resposta (semelhante ao da FLE). A chave mestra recebida do servidor salva
automaticamente no armazenamento do usurio.
Os arquivos criptografados na estrutura da Criptografia em Nvel de Arquivos que so salvos em uma unidade
removvel no so criptografados novamente. Ento, uma unidade removvel pode conter arquivos criptografados
com chaves mestras diferentes.
r a
pa
te
en
m
So
70 KASPERSKY LAB
Ativando a criptografia em nvel de arquivos de unidades
o
removveis
rn
A criptografia de arquivos em unidades removveis configurada na mesma seo que a poltica da Criptografia
Total do Disco. Para ativar a criptografia de arquivos, selecione um dos seguintes valores para o parmetro Regra
Padro:
te
Criptografar todos os arquivos neste modo, todos os arquivos sero criptografados na unidade, sem
exceo
Criptografar somente novos arquivos neste modo, somente os arquivos novos ou alterados sero
In
criptografados na unidade. Ento, o usurio poder armazenar seus documentos particulares na unidade e
eles no sero criptografados quando a unidade for conectada a um computador corporativo
Existem dois parmetros adicionais que podem ser usados nos dois modos. Permitir criptografia de unidades
removveis no modo offline foi descrito acima e tem a mesma finalidade aqui que na Criptografia Total do Disco.
o
O outro parmetro, Modo porttil, permite trabalhar com arquivos criptografados em computadores nos quais o
KES 10 no est instalado. A prxima seo refere-se a esse modo.
Us
Depois que a criptografia de arquivos de unidades removveis estiver ativada, cada vez que uma unidade for
conectada ao computador, ser perguntado ao usurio se ela deve ser criptografada ou no. Se a criptografia for
negada, os arquivos da unidade estaro acessveis no modo somente leitura. Se for usado o modo Criptografar
todos os arquivos e o usurio aceitar a criptografia da unidade, todos os arquivos no criptografados sero
criptografados na unidade. O usurio ser notificado sobre a concluso da criptografia por meio de uma mensagem.
Alm disso, a unidade removvel funcionar como de costume.
r a
pa
te
en
m
So
71
o
rn
te
In
o
Us
r a
pa
te
en
m
So
72 KASPERSKY LAB
Modo porttil
o
Uma das principais vantagens da criptografia de arquivos de unidades removveis o Modo porttil, que permite
rn
trabalhar com arquivos criptografados em computadores nos quais os componentes de criptografia do KES no esto
instalados. No Modo porttil, os arquivos criptografados podem ser acessados usando uma senha.
Se o Modo porttil estiver ativado na poltica, quando uma unidade removvel for conectada ao computador, a
te
solicitao de criptografia ser seguida de uma solicitao de senha. O usurio poder inserir qualquer senha (desde
que seu nvel de dificuldade corresponda aos requisitos especificados na poltica).
Um mdulo para a descriptografia e criptografia de arquivos e a chave mestra do dispositivo criptografado usando a
senha especificada so copiados para a unidade removvel para a qual o Modo porttil est ativado. Alm disso,
In
todos os arquivos na unidade removvel que so criptografados pelo componente Criptografia em Nvel de Arquivos
so recriptografados usando a chave mestra da unidade para garantir que esses arquivos estejam acessveis no
Modo porttil.
Para poder trabalhar com arquivos criptografados em computadores no corporativos, necessrio executar o
o
Gerenciador de Arquivo porttil, o mdulo responsvel pela descriptografia dos arquivos. Esse arquivo chama-se
pmv.exe e se encontra na unidade removvel. Se a execuo automtica for permitida no computador, pmv.exe ser
iniciado automaticamente. Primeiro, o Gerenciador de Arquivo porttil solicita ao usurio a senha para
Us
descriptografar a chave mestra. Se for inserida a senha correta, a interface para trabalhar com arquivos
criptografados ser aberta.
A interface do Gerenciador de Arquivo porttil permite descriptografar e criptografar arquivos na unidade

removvel. Os arquivos criptografados so marcados com o cone de Aviso . Embora o Gerenciador de
Arquivo porttil permita descriptografar arquivos na unidade removvel, essa funcionalidade no deve ser usada.
Os arquivos em mdias removveis devem permanecer criptografados sempre, pelo mesmo motivo pelo qual foram
a
criptografados. Para descriptografar um arquivo, ative o modo Descriptografar arquivos ao copiar no

Gerenciador de Arquivo porttil e copie o arquivo necessrio para o disco rgido. A cpia deve ser executada na
interface do Gerenciador de Arquivo porttil. Os arquivos copiados para a unidade removvel pela interface do
r
Gerenciador de Arquivo porttil so criptografados automaticamente.

pa
te
en
m
So
73
o
rn
te
In
o
Us
r a
pa
te
en
m
So
74 KASPERSKY LAB
4.4 Recuperao de dados
o
rn
Ao trabalhar com unidades removveis, pode haver problemas ao acessar arquivos criptografados. Os mesmos
mecanismos que foram implementados com as tecnologias FDE e FLE podem ser usados para resolv-los. Veja aqui
uma lista de possveis problemas, em ordem de complexidade de recuperao do acesso:
te
Ausncia da chave mestra para descriptografar um arquivo ou a unidade nesse caso,
independentemente de ser usada a criptografia total ou de arquivos, a chave mestra necessria ser
solicitada ao Servidor de Administrao
In
Ausncia da chave mestra e da conexo com o servidor nesse caso, independentemente de ser usada a
criptografia total ou de arquivos, a chave mestra poder ser obtida por meio do procedimento de
desafio/resposta, semelhante ao usado com a tecnologia de Criptografia em Nvel de Arquivos
Cabealho de um arquivo ou um arquivo de dados corrompido se a criptografia de arquivos for
o
usada, o arquivo com o cabealho corrompido no ser recuperado, pois a chave com a qual os dados foram
criptografados est danificada. Se a unidade removvel inteira estiver criptografada, poderemos tentar
recuperar pelo menos parte dos dados criptografados. A descriptografia executada pelo mesmo utilitrio
Us
de restaurao que a tecnologia Criptografia Total do Disco
r a
pa
te
en
m
So
75
o
rn
te
In
o
Us
r a
pa
te
en
m
So
76 KASPERSKY LAB
o
rn
te
In
o
Us
ra
pa
te
en
m
So
2.0.2

KL 008.10 PT Student's Guide

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KL 008.10 PT Student's Guide

Загружено:

Авторское право:

Доступные форматы

o

2.2 Implementao da Criptografia Total do Disco .................................................................................................... 20

Parmetros do Agente de Autenticao ............................................................................................................... 20

Ativando a Criptografia Total do Disco .............................................................................................................. 24

2.6 Monitoramento do status de criptografia .............................................................................................................. 42

Chapter 3. Criptografia em Nvel de Arquivos ............................................................. 46

3.2 Ativando a Criptografia em Nvel de Arquivos .................................................................................................... 50

3.3 Troca de arquivos na rede corporativa .................................................................................................................. 56

Chapter 4. Criptografia de Unidades Removveis ........................................................ 62

Princpios de operao ........................................................................................................................................ 64

alterar a chave, sem alterar o algoritmo.

Ao avaliar a confiabilidade de um algoritmo de criptografia, considerado que o algoritmo amplamente conhecido

Criptografia no Kaspersky Endpoint Security

O esquema de criptografia implementado no Kaspersky Endpoint Security 10 contm elementos de criptografia

Os dados armazenados em mdias persistentes so protegidos usando o algoritmo AES simtrico,

1.2 Instalando os mdulos de criptografia

Existem dois componentes de criptografia no Kaspersky Endpoint Security:

Instalando os componentes de criptografia do KES

programa Mdulo de Criptografia AES.

Configuraes de criptografia no Kaspersky Security

protege em caso de desligamento inesperado do sistema.

Criptografia da unidade do sistema

Administrao. Sem isso, a criptografia no ser iniciada.

2. Os drivers diretamente responsveis pela criptografia e descriptografia de dados so instalados no sistema

mestra. A chave mestra usada para descriptografar/criptografar dados na unidade, armazenada

Criptografia de unidades no do sistema

criptografia e os dados necessrios para recuperar a senha do usurio e a chave mestra.

2.2 Implementao da Criptografia Total do Disco

Parmetros do Agente de Autenticao

Os parmetros do Agente de Autenticao so especificados nas Configuraes de Senha da seo Configuraes

para o Agente de Autenticao sero usadas automaticamente para o login no sistema.

smbolo (!, @), #, % etc.). O nmero de tentativas malsucedidas de insero da senha e a

Todas as contas no computador

Rede, o Kaspersky Endpoint Security e os componentes de criptografia do KES instalados.

3. Depois que a unidade for selecionada, clique em OK para aplicar a poltica.

Ativando a Criptografia Total do Disco

outra unidade antes de ativar a FDE.

Contas do Agente de Autenticao

2.3 Gerenciando contas do Agente de Autenticao

Os comandos para adicionar e editar contas permitem especificar os seguintes parmetros:

Nome de usurio do Windows

O comando de excluso contm apenas um parmetro: o nome da conta a ser excluda.

2.4 Especificidades do Login nico

Usar uma conta de backup

devero ser informados ao administrador.

Recuperao de dados criptografados

Primeiro, selecione a unidade e inicie o procedimento de diagnstico correspondente. Durante o diagnstico, o

Se o registro de inicializao do Agente de Autenticao no foi danificado e foi localizado ao verificar a

Para o utilitrio de restaurao, o procedimento de desafio/resposta baseado na troca de arquivos, e no na troca

5. Encontre a unidade necessria no continer Dispositivos criptografados usando seu identificador e, no

2.6 Monitoramento do status de criptografia

Anulado pelo usurio o usurio cancelou a criptografia do disco

2.7 Upgrade do sistema operacional

O procedimento de upgrade/reinstalao do sistema operacional o seguinte:

10. Atualize ou reinstale o sistema operacional

11. Se necessrio, instale o Kaspersky Endpoint Security

12. Ative a Criptografia Total do Disco

2.8 Possveis ataques contra a FDE

mestra e us-los para acessar as informaes criptografadas.

Acesso local aos arquivos criptografados

18. verificada a correspondncia entre a chave mestra e o identificador especificado no cabealho do

19. O contedo do arquivo descriptografado usando a chave recebida na etapa anterior

3.2 Ativando a Criptografia em Nvel de Arquivos