Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs - Análise de Segurança

Capítulo 5: Escolhendo a solução certa

Publicado em: 4 de abril de 2007

Para escolher a combinação apropriada de tecnologias de criptografia, você deve entender os riscos para os dados que precisam de proteção. Assim, você pode atribuir um valor aos dados (certificando-se de incluir custos diretos e indiretos) e escolher uma solução que ofereça o melhor retorno de seu investimento, ao mesmo tempo em que fornece um nível adequado de proteção.

A tabela Resumo da atenuação de riscos a seguir lista riscos de dados e indica se uma tecnologia de criptografia, ou uma combinação delas, descrita neste guia, atenua cada risco. Os riscos atenuados por opções específicas estão assinalados com a letra S. Hífens - indicam riscos para os quais a opção específica proporciona pouca ou nenhuma atenuação.

Tabela 5.1. Resumo da atenuação de riscos

Resumo da atenuação de riscos
Nesta página

Usando a tabela Resumo da atenuação de riscos
Conclusão

Usando a tabela Resumo da atenuação de riscos

A tabela pode ser usada para selecionar as tecnologias e configurações apropriadas que devem ser implantadas para obter-se o nível de segurança desejado para sua organização. Como as tecnologias de criptografia também são afetadas pela diretiva e configuração do sistema operacional, a tabela e os riscos também podem ser usados para compreender o impacto de outra diretiva de segurança na solução de criptografia.

Por exemplo, uma observação decorrente da tabela é que, para praticamente todas as opções, a organização deve fazer algo para configurar a funcionalidade “retomar do modo em espera” e obter um nível de segurança razoável com qualquer uma das tecnologias da Microsoft descritas neste guia. A configuração de sistema exibida na interface do usuário como Solicitar senha quando o computador retomar a partir do modo de espera pode ser definida por meio de Diretiva de Grupo ou pela execução de scripts que ajustem as configurações do Registro.

Adicionando segurança em ambientes de nível de ameaça baixo

Algumas organizações têm requisitos de segurança relativamente modestos, mas ainda desejam a proteção adicional de saber que seus dados em PCs móveis estão criptografados. Para essas organizações, o BitLocker com TPM e PIN fornecerá segurança poderosa com um mínimo de sobrecarga operacional (além do requisito de garantir que os dados protegidos possam ser recuperados por usuários autorizados). Se sua organização não puder implantar o BitLocker, o EFS atenuará a ameaça de acesso aos dados por usuários não autorizados no Microsoft Windows® XP e no Windows Vista™. Executar EFS no Windows Vista também ajudará a atenuar o risco de vazamento de dados do arquivo de paginação do sistema. No entanto, você ainda precisará de atenuações adicionais para se proteger de outros ataques, incluindo ataques offline contra o sistema operacional e tentativas de roubo do material de chaves.

Protegendo informações de identificação pessoal

Se sua organização precisar proteger informações de identificação pessoal (PII) nos laptops dos funcionários contra ameaças externas e sua avaliação de riscos indicar que a proteção contra ataques de média dificuldade é adequada, você pode escolher implantar o BitLocker com TPM e PIN. Com essa solução, o principal risco de elementos externos que exigem atenuação adicional é quando um computador é deixado em modo de espera não protegido ou em modo de suspensão, o que pode ser atenuado pela Diretiva de Grupo ou por scripts que ajustem as configurações do Registro.

Para ambientes onde você deva proteger a PII mas não possa usar BitLocker com TPM, considere implantar o EFS com a ferramenta Microsoft Encrypting File System Assistant (Assistente do EFS). Essa opção ajuda a proteger contra vários ataques de baixa dificuldade e, para segurança adicional, você pode exigir o uso do EFS com cartões inteligentes para adicionar um fator de autenticação.

No entanto, quando você implantar o EFS com armazenamento de chaves no software, lembre-se de que a segurança dos dados protegidos por EFS dependerão da capacidade de um usuário fazer logon. Senhas de logon fracas, contas de computador compartilhadas ou outras falhas podem reduzir a segurança de sua implantação do EFS, e você deve atenuar essas falhas junto com a implantação do EFS.

Protegendo dados extremamente confidenciais

Para organizações que exigem a mais poderosa proteção de segurança contra acesso não autorizado interno e externo, uma solução que combina BitLocker e EFS oferecerá proteção contra ataques moderadamente difíceis aos mais difíceis, como analisado neste guia. Por exemplo, se sua organização tiver restrições ou requisitos específicos para tamanhos de espaço de chave, você poderá combinar o tamanho de chave ajustável do EFS com os recursos de criptografia de volume total do BitLocker para atenuar com eficácia uma grande variedade de ameaças.

Conclusão

As duas tecnologias descritas neste guia, BitLocker e EFS, são abordagens diferentes mas complementares da criptografia de dados. O EFS protege dados em arquivos e pastas para cada usuário, e o BitLocker fornece criptografia de volume total para o volume do sistema em computadores Windows Vista. O BitLocker fornece criptografia e confirmação de integridade na pré-inicialização, protege o volume do sistema contra uma grande variedade de ataques offline, mas não oferece autenticação de usuário. O EFS complementa o BitLocker ao restringir o acesso a arquivos criptografados de usuários autenticados corretamente em um computador em execução.

Este guia Análise de Segurança descreve como o BitLocker e o EFS podem ser usados para atenuar uma grande variedade de riscos de segurança. Ao avaliar cuidadosamente os riscos reais em sua organização e as atenuações descritas neste guia, você poderá escolher uma combinação de tecnologias e opções que oferece a proteção necessária para seus dados confidenciais.


Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Participe

Inscreva-se para participar do programa beta do Data Encryption Toolkit for Mobile PCs

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft