Exportar (0) Imprimir
Expandir Tudo
Collapse the table of content
Expand the table of content
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs: Guia de Planejamento e Implementação

Capítulo 2: Tarefas de configuração e implantação

Publicado em: 29 de maio de 2007


Antes de começar a implantar a Criptografia de Unidade de Disco Microsoft® (BitLocker) e o componente EFS (Sistema de arquivos com criptografia), é necessário realizar algumas tarefas de configuração preliminares para preparar o ambiente. As tarefas descritas neste capítulo irão ajudá-lo a preparar seu serviço de diretório Active Directory® e sua rede e a implantar o BitLocker e o EFS em computadores clientes.

Tanto o EFS como o BitLocker se beneficiam do Active Directory, que pode ser usado para aplicar parâmetros de configuração seguros em vários computadores. As configurações disponíveis para cada tecnologia são um tanto diferentes. Contudo, como ambas as tecnologias podem ser controladas pelos GPOs (Objetos de Diretiva de Grupo) do Active Directory, você deve considerar como o design do seu Active Directory pode ser aproveitado para fornecer proteção apropriada aos computadores de acordo com seus respectivos locais, com o uso que se faz deles ou com quem os utiliza.

Este capítulo descreve as seguintes tarefas:

  • Escolher uma configuração do BitLocker para proteger dados confidenciais.

  • Usar os controles dos GPOs do Active Directory para controlar o modo como a interação entre o backup de chaves, a configuração, a criptografia de disco e o TPM (Trusted Platform Module) funciona no BitLocker.

  • Usar o Active Directory para controlar a criptografia e o gerenciamento de certificados no EFS.

  • Preparar seus computadores clientes para usar o BitLocker na configuração selecionada.

  • Ativar o BitLocker em computadores clientes

  • Configurar a ferramenta Microsoft Encrypting File System Assistant (Assistente do EFS) para ser usada como o EFS nos seus computadores de domínio conjunto.

  • Importar modelos administrativos para personalizar as ferramentas administrativas disponíveis para o EFS.

  • Configurar agentes de recuperação de dados para o EFS.

Nesta página

Tarefas de preparação da infra-estrutura
Tarefas de configuração por computador
Mais informações

Tarefas de preparação da infra-estrutura

Tanto o BitLocker quanto o EFS exigem uma certa preparação da infra-estrutura antes que seja possível implantá-los no seu ambiente. Geralmente, é necessário realizar as tarefas descritas nesta seção uma vez antes da primeira implantação sem que seja preciso repeti-las.

Preparação da infra-estrutura para o BitLocker

A preparação da infra-estrutura do BitLocker requer duas etapas:

  • Configurar as opções do BitLocker através da Diretiva de Grupo do Active Directory

  • Preparar a infra-estrutura do Active Directory para permitir o armazenamento de chaves de recuperação do BitLocker

Configurar as opções do BitLocker com a Diretiva de Grupo

O Windows Vista™ oferece várias configurações de controle do BitLocker que podem ser usadas para controlar a disponibilidade e o comportamento do BitLocker nos computadores clientes. Você controla essas configurações criando GPOs do Active Directory com o uso do conjunto de ferramentas de gerenciamento padrão do Windows Server® GPO e dos modelos administrativos do Windows Vista. (Para obter mais informações sobre essas ferramentas, consulte a ajuda online do Windows Server 2003.)

Como os GPOs podem ser aplicados a computadores isolados ou a sites, domínios e unidades organizacionais do Active Directory, você tem bastante flexibilidade na hora de decidir como configurar parâmetros do BitLocker nos computadores da sua empresa. Você pode:

  • Configurar parâmetros em computadores isolados por meio da modificação do GPO do Computador Local.

  • Agrupar computadores com funções semelhantes em uma unidade organizacional e, depois, configurar parâmetros exclusivos do BitLocker somente para a unidade organizacional em questão. Por exemplo, você pode criar uma unidade organizacional separada para todos os PCs móveis ou, talvez, somente para aqueles que pertençam a funcionários em determinadas unidades ou cargos na empresa.

  • Aplicar amplamente as diretivas do BitLocker a todos os computadores pertencentes a um domínio ou floresta. Esse método oferece uma implementação descomplicada da criptografia em nível empresarial em computadores baseados no Windows Vista. Os computadores que operarem em outras versões do Windows irão ignorar as configurações específicas do BitLocker.

Preparar o armazenamento de chaves no Active Directory

Para permitir o armazenamento de senhas de proprietários do TPM e dados de recuperação de volume do BitLocker no Active Directory, é necessário seguir as etapas abaixo. Estas etapas requerem que todos os controladores de domínio acessíveis aos clientes BitLocker estejam operando no Windows Server 2003 Service Pack 1 (SP1) ou posterior.

  1. Estenda o esquema do Active Directory.

  2. Configure permissões nos objetos do esquema de informações de recuperação do BitLocker e TPM.

  3. Configure um GPO para habilitar o backup de informações de chaves importantes do BitLocker no Active Directory.

  4. Configure um GPO para habilitar o backup de informações de senha do proprietário do TPM no Active Directory.

Os procedimentos detalhados destas etapas encontram-se descritos no guia sobre como configurar o Active Directory para fazer backup de informações de recuperação da Criptografia de Unidade de Disco BitLocker do Windows e do TPM (pode estar em inglês)

Após completar as etapas precedentes, você pode delegar o acesso de recuperação a outros integrantes da organização.

Para delegar acesso de recuperação

  1. Crie ou identifique um grupo de segurança do Active Directory que contenha as contas de usuário às quais você deseja delegar acesso.

  2. Adicione uma entrada para controle de acesso (ACE) à lista de controle de acesso (ACL) referente ao domínio ou unidade organizacional que contém os computadores aos quais você quer delegar acesso. A entrada para controle de acesso deve conceder permissões de "controle de acesso" e "propriedade de leitura" ao objeto de informações de recuperação do BitLocker, ao pacote de chaves e ao objeto computador.

  3. Para habilitar a recuperação de informações do TPM, você pode usar o mesmo método para conceder "controle de acesso" e "propriedade de leitura" ao objeto de informações do proprietário do TPM.

Como parte desse processo, você talvez queira considerar a hipótese de conceder acesso a informações de recuperação do TPM e BitLocker a dois grupos de usuários separados. Este método ajuda a manter a separação de tarefas para o acesso a informações de recuperação.

Preparação da infra-estrutura para o EFS

Para utilizar o EFS com eficácia, é necessário completar as seguintes tarefas de preparação da infra-estrutura:

  1. Preparar o Active Directory e criar Objetos de Diretiva de Grupo

  2. Gerenciar e configurar agentes de recuperação de dados

  3. Gerenciar e configurar agentes de recuperação de chaves

Preparar o Active Directory e criar Objetos de Diretiva de Grupo

Esta seção do guia descreve as tarefas de configuração necessárias para preparar o ambiente do Active Directory para o suporte ao EFS. Se você não realizar essas tarefas, ainda assim os computadores clientes isolados que operarem em Windows XP ou Windows Vista poderão usar o EFS, mas você não poderá administrar e controlar centralizadamente a funcionalidade do EFS.

Controle das configurações de criptografia do EFS

O Windows Vista e o Windows XP oferecem várias configurações que podem ser usadas para controlar a disponibilidade e o comportamento do EFS nos computadores clientes. Você controla essas configurações criando GPOs do Active Directory com o uso do conjunto de ferramentas de gerenciamento padrão do Windows Server. (Para obter mais informações sobre essas ferramentas, consulte a ajuda online do Windows Server 2003.)

Como os GPOs podem ser aplicados a computadores isolados ou a sites, domínios e unidades organizacionais do Active Directory, você tem bastante flexibilidade na hora de decidir como configurar parâmetros do EFS nos computadores da sua empresa. Você pode:

  • Configurar parâmetros em computadores isolados por meio da modificação do GPO do Computador Local.

  • Agrupar computadores com funções semelhantes em uma unidade organizacional e, depois, configurar parâmetros exclusivos do EFS somente para a unidade organizacional em questão. Por exemplo, você pode criar uma unidade organizacional separada para todos os PCs móveis ou, talvez, somente para aqueles que pertençam a funcionários em determinadas unidades ou cargos na empresa.

  • Aplicar amplamente as diretivas do EFS a todos os computadores pertencentes a um domínio ou floresta. Este método pode ser usado em conjunto com o Assistente do EFS para oferecer uma implementação descomplicada da criptografia, em nível empresarial, tanto nos computadores baseados no Windows XP quanto Windows Vista.

Configurações do EFS comuns ao Windows Vista e Windows XP

O modelo de GPO do Active Directory permite que você controle várias configurações relativas ao EFS, que se encontram listadas e descritas na tabela a seguir. Para obter mais informações, consulte os guias de segurança do Windows XP e Windows Vista.

Tabela 2.1. Configurações do modelo do GPO do Active Directory relativas ao EFS

Nome da configuração

Disponibilidade

Padrão

Habilitar EFS

Windows XP,Windows Vista

Permitir

Criptografar documentos

Windows Vista

Desativada

Requer um cartão inteligente

Windows Vista

Desativada

Criar chave de usuário com capacidade para armazenamento em cache por meio do cartão inteligente

Windows Vista

Desativada

Habilitar criptografia de arquivo de paginação

Windows Vista

Desativada

Registro automático de certificado

Windows XP,Windows Vista

Ativada

Tamanho da chave para certificados auto-assinados

Windows Vista

2048 bits

Modelo EFS para solicitações de certificado automáticas

Windows Vista

Nenhum

Habilitando e desabilitando o EFS

Devido ao sério risco de perder chaves (e, com isso, perder o acesso a arquivos criptografados) com um EFS autônomo, algumas organizações optam por desabilitar o EFS até poderem implementar uma autoridade de certificação e um EFS baseado no domínio. Você pode habilitar ou desabilitar o uso do EFS alterando o estado da caixa de seleção Permitir criptografia de arquivos com o sistema de arquivos com criptografia (EFS), nas propriedades do objeto Sistema de arquivos com criptografia em um GPO. O objeto Sistema de arquivos com criptografia localiza-se no seguinte caminho: Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de chave pública.

Se a sua organização tiver anteriormente desabilitado o EFS através de um GPO, você precisará modificar o GPO para habilitar o EFS. Se você tiver desabilitado o EFS através de diretivas locais ou alterações no registro, será necessário remover as diretivas locais ou usar o editor do Registro para habilitar o EFS. Para habilitar o EFS por meio do Registro, procure um valor DWORD denominado EfsConfiguration no Registro na chave HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS. Para desabilitar o EFS, altere o valor para 1. Para habilitá-lo, altere o valor para 0. Observe que essa alteração aplica-se somente ao computador local e não a outros computadores no domínio.

Suporte a algoritmos de criptografia adicionais

Se, durante a fase de planejamento, você decidir que sua implantação do EFS deve estar de acordo com os padrões FIPS (Federal Information Processing Standards) 140-1, deverá habilitar o FIPS alterando a opção Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura, na Diretiva Local ou de Grupo do Active Directory. Esta opção localiza-se no seguinte caminho: Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Opções de segurança.

Se for preciso usar outro algoritmo de criptografia (por motivos além da concordância com os padrões FIPS) deve-se usar a Diretiva de Grupo para modificar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS nos computadores clientes apropriados.

Opções do EFS específicas do Windows Vista

Várias novas opções de Diretiva de Grupo foram adicionadas ao Windows Vista a fim de ajudar os administradores a definir e implementar diretivas organizacionais para o EFS. Entre essas opções (mostradas na figura a seguir), incluem-se a capacidade de exigir cartões inteligentes para o EFS, aplicar criptografia a arquivos de paginação, estipular o tamanho mínimo da chave do EFS e aplicar criptografia da pasta de documentos do usuário. Para acessar essas opções, edite o objeto Sistema de arquivos com criptografia em um GPO (este objeto localiza-se no seguinte caminho: Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de chave pública.)

Cc162812.1a71105c-d527-4302-a6e6-db91d08078a4(pt-br,TechNet.10).gif

Figura 2.1. Opções da Janela Propriedades do Sistema de arquivos com criptografia do Windows Vista
Registro automático do certificado de controle

O Windows XP Professional e o Windows Vista permitem que os usuários sejam registrados automaticamente para certificados por tipo de usuário, quando fazem logon. O registro automático dos certificados de usuário é rápido e simples e permite aplicações de infra-estrutura de chave pública (PKI, Public Key Infrastructure), como logon de cartão inteligente, EFS, SSL, S/MIME e outros, dentro do ambiente do Active Directory. O registro automático do usuário minimiza o alto custo das implantações de PKI comuns. Para habilitar o registro automático de certificado, é necessário criar um modelo de certificado apropriado no Active Directory. Use o snap-in Console de Gerenciamento Microsoft (MMC) dos Modelos de Certificado para adicionar um modelo de certificado apropriado. Para obter mais informações, consulte o artigo sobre registro automático de certificados no Windows XP (pode estar em inglês).

Gerenciar e configurar agentes de recuperação de dados

A Microsoft recomenda que sua organização defina pelo menos um DRA (agente de recuperação de dados) para uso com o EFS. Os DRAs podem ser contas de administrador de rede comuns, mas a Microsoft recomenda que sejam utilizadas contas dedicadas de uso exclusivo para atividades de recuperação. Os requisitos de diretivas ou requisitos legais da sua organização talvez especifiquem exigências adicionais, como auditoria e separação de acesso. Para atender a esses requisitos, talvez seja necessário definir DRAs separados para diferentes grupos, organizações, cargos ou outras subdivisões que compõem a rede da sua organização.

O gerenciamento do DRA envolve as seguintes tarefas, que são descritas em detalhes nas seguintes subseções:

  • Criar as contas de usuário do DRA

  • Criar e preencher grupos de segurança para DRAs

  • Configurar a autoridade de certificação para emitir certificados DRA

  • Solicitar certificados DRA

  • Aprovar solicitações de certificado DRA para EFS

  • Definir uma diretiva de recuperação de dados (uma etapa de planejamento descrita no Capítulo 1)

  • Exportar certificado para atribuição a uma diretiva

  • Definir um agente de recuperação de dados

Criando contas de usuário do DRA

A prática recomendada para o gerenciamento de uma conta de usuário do DRA é criar contas de usuário separadas, que sejam usadas somente para recuperação de dados, pois este método ajuda a reduzir o risco de uma recuperação indevida de dados ser feita por um usuário privilegiado. As contas de usuário do DRA dedicadas começam como contas comuns, às quais você concede privilégios de recuperação.

Para criar contas de usuário do DRA:

  1. Abra Usuários e Computadores do Active Directory.

  2. Na árvore do console, clique com o botão direito do mouse na pasta na qual você deseja adicionar uma conta de usuário. (Usuários e Computadores do Active Directory/nó do domínio/pasta)

  3. Selecione Novo e clique em Usuário.

  4. Dê um nome à conta. Em vez de usar um nome de usuário individual, você deveria identificar a conta pelo cargo (por exemplo, DRA RH ou DRA Engenharia).

  5. Em Nome de logon do usuário, digite o nome de logon do usuário, clique no sufixo UPN na lista suspensa e escolha Avançar.

  6. Em Senha e Confirmar senha, digite a senha do usuário e escolha as opções de senha apropriadas.

  7. Clique em OK.

  8. Repita as etapas 3 a 7 para cada DRA adicional que quiser criar.

Criando grupos de segurança para DRAs

A Microsoft recomenda a criação de um grupo de segurança do Active Directory para cada grupo de DRAs que você quiser usar. Este método permite que você controle com eficácia quais usuários têm acesso para recuperar dados de várias partes da organização.

Para criar grupos de segurança para DRAs

  1. Abra Usuários e Computadores do Active Directory.

  2. Clique com o botão direito do mouse em Usuários, escolha Novo, Grupo, digite Agentes de recuperação de domínio (ou outro nome adequado) e clique em OK.

  3. Para adicionar usuários ao grupo em questão, clique com o botão direito do mouse em Agentes de recuperação de domínio, sob a unidade organizacional de Usuários, clique em Propriedades e escolha a guia Membros. Selecione os usuários que você deseja adicionar ao grupo e clique em OK.

  4. Repita as etapas 2 e 3 para cada grupo de DRA adicional.

Configurando a autoridade de certificação para emitir certificados DRA

Você precisa configurar sua autoridade de certificação para emitir certificados usando um modelo que inclui os sinalizadores de utilização de chave para recuperação de EFS. As etapas a seguir descrevem como configurar os Serviços de certificados Microsoft para emitir certificados digitais DRA para EFS. Você pode usar autoridades de certificação compatíveis para emitir certificados DRA para EFS, porém este guia não engloba instruções para serviços de autoridade de certificação externos.

Para configurar Serviços de certificados para emitir certificados de recuperação de EFS

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  2. Abra o console da Autoridade de Certificação com enfoque em um servidor autorizado de Serviços de certificados. Para isso, clique em Iniciar, aponte para Todos os programas, Ferramentas administrativas e escolha Autoridade de Certificação.

  3. Expanda o objeto de servidor Autoridade de Certificação para exibir seus componentes.

  4. Clique com o botão direito do mouse no nó Modelos de Certificado e selecione Gerenciar para abrir o console de Modelos de Certificado, conforme mostra a figura a seguir.

    Cc162812.5d9e236e-785e-454c-983f-216b50dcce52(pt-br,TechNet.10).gif

    Figura 2.2. Modelos de certificado no console da Autoridade de Certificação
  5. O certificado digital usado para emitir certificados de agente de recuperação EFS não permite que o tamanho padrão de 1024 bits da chave seja alterado. Deve-se fazer uma cópia do modelo interno, e a cópia resultante do modelo de certificado do agente de recuperação EFS deve ser devidamente configurada.

    Clique com o botão direito do mouse no modelo de certificado Agente de recuperação EFS e selecione Duplicar modelo.

  6. Dê um novo nome ao novo modelo de certificado (por exemplo, Agente de recuperação EFS atualizado) para diferenciá-lo do modelo padrão.

  7. Clique na guia Tratamento de solicitação e configure a opção referente ao tamanho desejado da chave em 2048 bits ou mais.

  8. Clique na guia Segurança e verifique se as contas de usuário que você deseja atribuir aos agentes de recuperação EFS têm permissão de Leitura e Registro.

  9. Clique em OK.

  10. Abra a caixa de diálogo Propriedades do modelo de certificado original do Agente de Recuperação EFS, clique na guia Segurança e defina Negar permissão de registro para todos os usuários. Clique em OK.

  11. Alterne para o console da Autoridade de Certificação e clique com o botão direito do mouse no objeto Modelos de Certificado, selecione Novo e depois Modelo de certificado a ser emitido.

  12. Selecione o novo e mais seguro certificado do agente de recuperação EFS e clique em OK.

  13. Feche o console da Autoridade de Certificação.

  14. Oriente todos os agentes de recuperação EFS existentes a solicitar certificados digitais novos usando os modelos de certificado novos e mais seguros do agente de recuperação EFS.

  15. Aprove e emita os novos certificados do agente de recuperação EFS.

  16. Tenha a certeza de que as novas chaves particulares do agente de recuperação EFS (esses arquivos têm a extensão .PFX) estão arquivadas ou guardadas em backup em dois ou mais locais seguros separados, e então apague-as do computador local até que sejam necessárias para recuperação.

Observação   Todos os certificados DRA e KRA do EFS devem ser emitidos a partir do certificado recém-configurado; do contrário, terão o tamanho de chave originariamente definido.

Para as organizações que já tiverem implantado anteriormente o EFS e os agentes de recuperação EFS usando o modelo padrão, os arquivos já criptografados com o agente de recuperação EFS mais fraco precisarão ser criptografados novamente com o novo certificado de agente de recuperação EFS mais seguro. Esse processo irá ocorrer automaticamente, arquivo por arquivo, quando os arquivos forem individualmente modificados.

Você pode instruir o EFS a atualizar ao mesmo tempo todos os arquivos criptografados existentes em unidades locais; para isso, abra um prompt de comando, digite Cipher.exe /U e pressione ENTER.

Após todos os arquivos criptografados serem recriptografados com o novo certificado do agente de recuperação EFS e após você ter feito backup da chave original e menos segura do agente de recuperação EFS em dois ou mais locais separados, você poderá excluir a chave de recuperação original no objeto Modelos de Certificado, no console Autoridade de Certificação.

Solicitando certificados DRA para um usuário isolado

Caso vários agentes de recuperação sejam necessários para o domínio, ou caso o agente de recuperação precise ser diferente do administrador do domínio por motivos legais ou estipulados pela diretiva da empresa, você talvez precise identificar certos usuários como agentes de recuperação. Devem ser emitidos certificados de recuperação de arquivos para esses usuários.

Para emitir esses certificados, é necessário o seguinte:

  • Uma autoridade de certificação empresarial deve estar disponível.

  • A diretiva da autoridade de certificação empresarial deve permitir que o usuário/agente designado solicite e obtenha um certificado de recuperação de arquivo.

  • Cada usuário deve obrigatoriamente solicitar um certificado de recuperação de arquivo.

Este processo pode ser automatizado com a habilitação do registro automático de certificado ou pode ser realizado manualmente completando-se as etapas do seguinte procedimento:

Para criar um certificado do agente de recuperação EFS

  1. Clique em Iniciar, Executar, digite mmc e clique em OK.

  2. No menu Arquivo , selecione Adicionar/remover snap-in e clique em Adicionar.

  3. Clique duas vezes em Certificados, selecione Minha conta de usuário e clique em Concluir. Clique em Fechar e em OK.

  4. Clique no sinal de adição (+) ao lado de Certificados - usuário atual para expandir a pasta.

  5. Clique com o botão direito do mouse em Pessoal no painel direito, escolha Todas as tarefas e Solicitar novo certificado para iniciar o Assistente para solicitação de certificados.

  6. A primeira página do assistente é informativa. Clique em Avançar para continuar.

  7. É exibida uma lista de modelos de certificado. Selecione Agente de recuperação EFS e clique em Avançar.

  8. Digite um nome amigável para distinguir esse certificado dos outros e inclua uma descrição, se desejar. Clique em Avançar e depois em Concluir para solicitar o certificado.

  9. Clique em OK para confirmar o êxito da solicitação de certificado.

Para criar uma diretiva de recuperação EFS do âmbito do domínio, o certificado do agente de recuperação EFS criado anteriormente precisa ser exportado em formato .CER.

Aprovando solicitações de certificado DRA para EFS

Em geral, as solicitações de certificados DRA para EFS precisam ser manualmente aprovadas nos Serviços de certificados.

Para examinar e aprovar solicitações de DRA enviadas a um servidor de Serviços de certificados Microsoft

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para aprovar solicitações de certificado digital nos Serviços de certificados.

  2. Abra o console da Autoridade de Certificação com enfoque em um servidor autorizado de Serviços de certificados. Para isso, clique em Iniciar, aponte para Todos os programas, Ferramentas administrativas e escolha Autoridade de Certificação.

  3. Expanda o objeto de servidor Autoridade de Certificação para exibir seus componentes.

  4. Clique em Solicitações pendentes. O painel direito irá exibir uma lista de solicitações de certificado pendentes aguardando aprovação.

  5. Encontre as devidas solicitações de certificados pendentes do agente de recuperação EFS, clique nelas com o botão direito do mouse e selecione Emitir. Feche o console da Autoridade de Certificação quando terminar.

Cc162812.note(pt-br,TechNet.10).gif Observação:

Se você utiliza um modelo de certificado que requer aprovação do gerente e tiver solicitado manualmente um certificado usando o modelo em questão, a solicitação poderá ser recusada. Se isso acontecer, será necessário editar o modelo para remover o requisito de aprovação do gerente ou criar uma nova solicitação usando um outro modelo.

Exportando certificados para atribuição a uma diretiva

Após atribuir um certificado DRA a um usuário individual, você precisará exportar esse certificado para que ele possa ser anexado a um objeto de Diretiva de Grupo, para atribuição como diretiva de recuperação.

Para exportar um certificado para atribuição a um GPO

  1. No console de Certificados, expanda a pasta Pessoal.

  2. No painel direito, clique com o botão direito do mouse no certificado que você acabou de criar, escolha Todas as tarefas e depois Exportar. Clique em Avançar para começar o processo de exportação.

  3. Marque a caixa de seleção Não, não exportar a chave particular e clique em Avançar.

  4. Deixe o formato padrão de arquivo .cer e clique em Avançar.

  5. Informe o caminho e o nome do arquivo e clique em Avançar.

  6. Para realizar a exportação, clique em Concluir e depois em OK.

  7. Feche o console de Certificados.

Definindo um agente de recuperação de dados

Para definir DRAs, você deve modificar o objeto de Diretivas de Chave Pública dentro de um objeto de Diretiva de Grupo, adicionar um DRA e vincular o certificado do DRA ao DRA. Para isso, você precisa do certificado do DRA no formato .CER.

Para definir um DRA

  1. Clique em Iniciar, Executar, digite mmc e clique em OK.

  2. No menu Arquivo, clique em Adicionar/remover snap-in.

  3. Clique em Adicionar, role a lista para baixo e clique duas vezes em Diretiva de Grupo.

  4. Selecione o objeto de Diretiva de Grupo que você está usando para aplicar a diretiva DRA aos computadores afetados e clique em OK.

  5. Clique no sinal de adição (+) ao lado do GPO alvo para expandir a árvore. Expanda Configuração do computador, Configurações do Windows, Configurações de segurança e Diretivas de chave pública. Clique em Sistema de arquivos com criptografia.

  6. clique com o botão direito do mouse em Sistema de arquivos com criptografia e depois em Adicionar agente de recuperação de dados.

  7. Na tela do assistente para adicionar agente de recuperação, clique em Avançar, Procurar nas pastas e navegue até a pasta Documentos e configurações do Administrador. Clique duas vezes na guia DRA.CER, escolha Avançar e clique em Concluir.

Gerenciar e configurar agentes de recuperação de chaves

A próxima tarefa de implementação necessária para a implantação do EFS é configurar suas contas e infra-estrutura de KRA (agente de recuperação de chave).

Configurando Serviços de certificados para arquivamento de chaves

Se você usa a solução Serviços de certificados do Windows Server 2003, pode configurar sua autoridade de certificação para fazer o arquivamento automático de chaves. Somente o Windows Server 2003 e edições posteriores do servidor permitem o arquivamento automático de chaves. Para configurar o arquivamento automático de chaves, é preciso realizar as seguintes tarefas, descritas em detalhes nas próximas subseções:

  • Habilitar certificados de agente de recuperação de chaves

  • Solicitar e emitir certificados de agente de recuperação de chaves

  • Aprovar solicitações de certificados

  • Configurar agentes de recuperação de chaves em Serviços de certificados

  • Configurar o modelo de certificado digital para incluir um sinalizador de capacidade de arquivamento, de modo que os certificados recém-emitidos possam ser arquivados

Habilitando certificados de agente de recuperação de chaves

Para tornar possíveis as solicitações de certificado de agente de recuperação de chaves, é necessário primeiro habilitá-las nos Serviços de certificados.

Para tornar possíveis as solicitações de certificado KRA

  1. Escolha uma ou mais contas de usuário para tornarem-se agentes de recuperação de chaves.

  2. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  3. Abra o console da Autoridade de Certificação (Iniciar, Todos os programas, Ferramentas administrativas, Autoridade de Certificação) e conecte-se a um servidor autorizado de Serviços de certificados.

  4. Expanda o nó Autoridade de Certificação, clique com o botão direito do mouse no objeto Modelos de Certificado e selecione Gerenciar para abrir o console de Modelos de Certificado.

  5. Clique com o botão direito do mouse no modelo de certificado Agente de recuperação de chave e selecione Propriedades.

  6. Clique na guia Segurança e verifique se as contas de usuário que você deseja designar como KRAs (escolhidas na etapa 1) têm permissão de Leitura e Registro.

  7. Na guia Tratamento de solicitação, certifique-se de que a opção Tamanho mínimo da chave está definida em 2048 bits ou mais.

    Cc162812.note(pt-br,TechNet.10).gif Observação:

    A Microsoft agora recomenda que todas as chaves de recuperação DRA e KRA tenham 2048 bits ou mais.

  8. Clique em OK .

  9. Se chaves de 1024 bits ou menos já tiverem sido geradas e já estiverem em uso, deverão ser geradas novas chaves maiores para substituir as chaves menos seguras. Clique com o botão direito do mouse no modelo de certificado Agente de recuperação de chave e selecione a opção Registrar novamente todos os proprietários de certificado.

  10. Alterne para o console da Autoridade de Certificação, clique com o botão direito do mouse no objeto Modelos de Certificado, selecione Novo e depois Modelo de certificado a ser emitido.

  11. Selecione Certificado de agente de recuperação de chave e clique em OK.

  12. Feche os consoles de Modelos de Certificado e Autoridade de Certificação.

Solicitando e emitindo certificados de agente de recuperação de chaves

Após habilitar contas específicas para usar como KRAs, você deve emitir certificados habilitados para KRA a esses usuários.

Cc162812.note(pt-br,TechNet.10).gif Observação:

Os certificados de agente de recuperação de chaves podem ser solicitados de várias formas, inclusive através do console de Certificados, registro na Web (se habilitado) ou uso de arquivos para solicitação manual de certificado. Este guia descreve o método de console de Certificados.

Para emitir certificados habilitados para KRA

  1. Faça o logon no Windows usando o logon e a senha da conta de usuário KRA.

  2. Clique em Iniciar, Executar, digite MMC.EXE e pressione ENTER. Clique em Continuar se solicitado pelo Controle de Conta de Usuário.

  3. Clique na opção de menu Arquivo e selecione Adicionar/remover snap-in.

  4. Selecione o snap-in Certificados e clique em Adicionar.

  5. Quando solicitado, escolha Minha conta de usuário, clique em Concluir e depois em OK.

  6. Expanda o objeto Certificados - usuário atual e clique no objeto Pessoal.

  7. Clique com o botão direito do mouse em Pessoal e selecione Todas as tarefas e Solicitar novo certificado.

  8. Clique em Avançar na tela do assistente para solicitação de certificados.

  9. Selecione Agente de recuperação de chaves na caixa de diálogo Tipo de certificado e clique em Avançar.

  10. Digite um nome amigável (por exemplo, Meu certificado de agente de recuperação de chaves) e uma descrição, clique em Avançar e depois em Concluir.

  11. Feche o console de Certificados quando este não for mais necessário.

  12. Faça logout do Windows.

Repita as etapas de 1 a 12 para todos os usuários que estiverem autorizados a receber um certificado de agente de recuperação de chaves.

Aprovando solicitações de certificados

Em geral, os certificados KRA precisam ser manualmente aprovados nos Serviços de certificados.

Para aprovar solicitações de certificado KRA

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para aprovar solicitações de certificado digital nos Serviços de certificados.

  2. Abra o console da Autoridade de Certificação e conecte-se a um servidor autorizado de Serviços de certificados.

  3. Expanda o nó Autoridade de Certificação e clique em Solicitações pendentes. O painel direito irá exibir uma lista de solicitações de certificado pendentes aguardando aprovação.

  4. Selecione as solicitações de certificado KRA que você deseja aprovar.

  5. Clique com o botão direito do mouse em cada solicitação de KRA e selecione Emitir.

  6. Feche o console da Autoridade de Certificação.

Configurando agentes de recuperação de chaves em Serviços de certificados

Cada agente de recuperação de chaves precisa ser adicionado aos Serviços de certificados.

Para adicionar KRAs aos Serviços de certificados

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  2. Abra o console da Autoridade de Certificação e conecte-se a um servidor autorizado de Serviços de certificados.

  3. Clique com o botão direito do mouse no objeto do servidor e selecione Propriedades.

  4. Clique na guia Agentes de recuperação (mostrada na próxima captura de tela).

    Cc162812.57b5ad90-e987-4a94-b282-f8ebe8ff066d(pt-br,TechNet.10).gif

    Figura 2.3. A guia Agentes de Recuperação para um objeto de servidor no console da Autoridade de Certificação
  5. Na caixa Número de agentes de recuperação a serem usados, digite o número de agentes de recuperação de chaves que serão usados para criptografar a chave arquivada. Esse valor deve ser de no mínimo 1. Contudo, se o valor exceder o número de certificados de agente de recuperação com status "Válido", as novas solicitações de registro que exigirem arquivamento de chave irão falhar.

  6. Clique em Adicionar e adicione um ou mais dos KRAs que você aprovou anteriormente. Depois, clique em OK.

  7. Selecione Sim quando solicitado a parar e reiniciar os Serviços de certificados. Nenhum novo agente de recuperação de chaves será carregado até que os Serviços de certificados sejam interrompidos e reiniciados.

  8. Feche a Autoridade de Certificação quando esta não for mais necessária.

Criando um novo modelo de certificado EFS para permitir o arquivamento de chaves

O certificado digital usado para emitir certificados EFS digitais para usuários deve ser configurado para arquivar chaves automaticamente. Esta opção não pode ser habilitada no modelo de certificado EFS Básico interno. Você precisa copiar o modelo interno e, então, habilitar a cópia do modelo de certificado EFS para automatizar o arquivamento de chaves

Para configurar um certificado digital para arquivar chaves automaticamente

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  2. Abra o console da Autoridade de Certificação e conecte-se a um servidor autorizado de Serviços de certificados.

  3. Expanda o nó Autoridade de Certificação, clique com o botão direito do mouse no nó Modelos de Certificado e selecione Gerenciar para abrir o console de Modelos de Certificado.

  4. Clique com o botão direito do mouse no modelo de certificado EFS Básico e selecione Duplicar modelo.

  5. Dê um novo nome ao novo modelo de certificado (por exemplo, EFS Básico atualizado) para diferenciá-lo do modelo padrão.

  6. Clique na guia Tratamento de solicitação e marque a caixa de seleção Arquivar chave particular de criptografia da entidade, conforme mostrado na captura de tela a seguir.

    Cc162812.c10c48ea-8cdd-4057-8b41-760fa2df9665(pt-br,TechNet.10).gif

    Figura 2.4. Propriedades da caixa de diálogo Novo Modelo, no console da Autoridade de Certificação
  7. Defina o tamanho desejado para a chave (por exemplo, 2048 bits).

  8. Clique na guia Segurança e verifique se as contas de usuário que você deseja participar no EFS têm permissão de Leitura e Registro.

  9. Defina outras opções de modelo de certificado conforme desejado, tais como, registro automático, vida útil, etc.

  10. No modelo de certificado EFS Básico original, clique na guia Segurança e crie uma nova entrada de controle de acesso que atribua a ação Negar ao direito Permissão de registro.

    Cc162812.note(pt-br,TechNet.10).gif Observação:

    Todos os certificados EFS emitidos deverão ser emitidos a partir do certificado recém-configurado; do contrário, as chaves não serão automaticamente arquivadas.

  11. Clique em OK e saia do console da Autoridade de Certificação.

Criando e usando um agente de recuperação offline

A Microsoft recomenda enfaticamente que KRAs e DRAs sejam configurados para uso offline e somente habilitados quando necessários para situações de recuperação. São necessárias quatro etapas gerais para criar um agente de recuperação offline:

  1. Criar uma nova conta de usuário, a ser usada somente para eventos de recuperação.

  2. Solicitar, gerar e atribuir certificado digital de DRA ou KRA à nova conta.

  3. Exportar o certificado e a chave particular, removê-los da rede e armazená-los com segurança.

  4. Desativar a conta de usuário de recuperação para que não possa ser usada até quando necessário.

As etapas 1 e 2 serão abordadas mais tarde neste capítulo, e a etapa 4 é uma tarefa padrão de manutenção de conta do Windows. Contudo, a etapa 3 requer explicações adicionais.

Exportar e remover certificado de recuperação

Para exportar e remover um certificado de recuperação para uso offline, siga estas etapas.

Para exportar e remover um certificado de recuperação:

  1. Faça logon no Windows usando a conta de usuário de recuperação para a qual você deseja exportar as chaves.

  2. Clique em Iniciar, Executar, digite MMC.EXE e pressione ENTER. Se solicitado na janela Controle de Conta de Usuário, clique em Continuar.

  3. No menu Arquivo, clique em Adicionar/remover snap-in.

  4. Selecione o snap-in Certificados e clique no botão Adicionar.

  5. Quando solicitado, marque o botão de seleção Minha conta de usuário, clique em Concluir e depois em OK.

  6. Expanda o objeto Certificados - usuário atual, expanda Pessoal e clique no objeto Certificados.

  7. Localize o certificado digital de recuperação correto. Se não tiver certeza de qual certificado usar, procure certificados digitais com Recuperação de arquivo ou Recuperação de chave no campo Finalidades.

  8. Clique com o botão direito do mouse no certificado digital de recuperação, clique em Todas as Tarefas e escolha Exportar para iniciar o assistente para Exportação de Certificados.

  9. Clique no botão Avançar.

  10. Marque a caixa de seleção Sim, exportar a chave particular e clique em Avançar.

  11. Marque a caixa de seleção Excluir a chave particular se a exportação tiver êxito e clique em Avançar.

    Cc162812.98313b0b-0b11-4d33-aaf6-0a5ac35dce84(pt-br,TechNet.10).gif

    Figura 2.5. Formato de arquivo de exportação no assistente para Exportação de Certificados
  12. Digite uma senha de proteção duas vezes e clique em Avançar.

  13. Clique em Procurar e escolha um local onde deseja armazenar o certificado de recuperação exportado.

  14. Digite um nome de arquivo para o backup das chaves e certificado de recuperação. Deixe a extensão de arquivo como .PFX para facilitar a reimportação da chave.

  15. Clique em Salvar, Avançar, Concluir e, por fim, OK.

  16. Copie o arquivo de backup resultante em outro local e exclua-o do local atual, se não for necessário. Lembre-se de esvaziar a Lixeira após excluir os certificados digitais ou arquivos EFS.

  17. Armazene o backup do certificado digital de recuperação e das chaves em dois ou mais locais separados e seguros.

Cc162812.note(pt-br,TechNet.10).gif Observação:

Quando a chave particular do certificado de recuperação for exportada, a chave pública de recuperação (usada para criptografar o FEK) deverá ser deixada no computador. Se for excluída, você não poderá habilitar o agente de recuperação a criptografar ou recuperar arquivos ou chaves protegidos por EFS.

Tarefas de configuração por computador

Além das tarefas de configuração da infra-estrutura, descritas anteriormente, você precisará realizar tarefas de configuração em computadores isoladamente.

Tarefas de configuração por computador para o BitLocker

Para configurar o BitLocker em um computador, é necessário:

  • Garantir que o computador é capaz de executar o BitLocker

  • Habilitar e inicializar o TPM, se houver

  • Habilitar o BitLocker

Atualizar o BIOS para suporte ao TPM

Na fase de planejamento, você determinou quais computadores seriam usados com o BitLocker e quais desses computadores incluía hardware de TPM v1.2 (ou posterior) e BIOS compatível. A primeira etapa das tarefas de configuração por computador para o BitLocker é atualizar o BIOS nos computadores que precisarem dessa atualização.

As etapas específicas para atualizar o BIOS de um computador individual varia de um fabricante para outro. As atualizações de firmware do BIOS costumam acompanhar a mídia que vem com novos computadores, e se encontram geralmente disponíveis no site do fabricante original do equipamento ou revendedor da placa-mãe. Em geral, no caso dos computadores móveis, você precisará criar um CD ou disco USB de inicialização com a imagem do BIOS fornecida pelo fabricante e, então, usá-lo para inicializar o computador quando este estiver conectado a uma tomada elétrica. Este processo requer necessariamente o acesso físico a cada computador a ser atualizado. Siga as instruções do revendedor para atualizar o firmware do BIOS e reinicialize o computador após aplicar a atualização.

Cc162812.note(pt-br,TechNet.10).gif Observação:

É importante que todos os computadores participantes tenham as mais recentes atualizações do firmware do BIOS por vários outros motivos, como, por exemplo, atualizações de software e melhorias de desempenho. Antes de habilitar o TPM ou o BitLocker no Windows Vista, verifique se a versão do firmware instalada é a mais recente.

Confirmar caminho de inicialização estável

O BitLocker e o TPM asseguram a integridade do caminho de inicialização, desde quando o computador é ligado até quando o Windows Vista é carregado,executando uma série de verificações conhecidas como Perfil de Validação de Plataforma (PVP) TPM. Se o processo de inicialização for significativamente alterado após a instalação do BitLocker, os resultados do PVP serão diferentes, e não será observada mudança de integridade. Se ocorrer mudança de integridade, o BitLocker poderá se recusar a desbloquear o volume do sistema operacional sem usar um método de recuperação adicional.

Por este motivo, assegure-se de o caminho de inicialização do hardware e software esteja totalmente configurado e estável antes de habilitar o BitLocker. Em termos específicos, cada computador no qual você pretende habilitar o BitLocker deve ter:

  • Uma configuração de BIOS que reflita o dispositivo de inicialização correto

  • Todos os dispositivos opcionais que empreguem firmware de ROM instalados

  • Eventos Wake-on-LAN configurados

  • Dados de Configuração da Inicialização (BCD) do Windows configurados

Você pode usar a diretiva do Computador Local e Diretiva de Grupo do Active Directory para configurar quais componentes de inicialização (denominados registros de configuração de plataforma ou PCRs) serão considerados pelo TPM durante o processo de inicialização. Para a maioria das aplicações, o conjunto padrão de PCRs oferece boa segurança, e a Microsoft não recomenda alterá-los.

Após a instalação do BitLocker, a alteração de qualquer componente que tenha um PCR correspondente fará com que o BitLocker solicite uma senha de recuperação. Como exemplos de alterações no PCR, podem-se citar: atualizar o BIOS, incluir um dispositivo adicional de inicialização habilitado por ROM, modificar o registro MBR (Master Boot Record), tabela de partição, dados setoriais de inicialização de nível baixo, dados de configuração de inicialização ou gerenciador de inicialização ou instalar um outro sistema operacional em uma situação de dupla inicialização.

Cc162812.note(pt-br,TechNet.10).gif Observação:

O MBR, código de setor de inicialização e gerenciador de inicialização do Windows Vista fornecem proteção de integridade crítica para o BitLocker. A Microsoft recomenda enfaticamente que não sejam utilizados carregadores de inicialização de outros fabricantes. A inclusão de um novo carregador de inicialização após o BitLocker ter sido habilitado irá ativar a recuperação; a alternância de carregadores de inicialização antes que o BitLocker seja habilitado irá impedir que o BitLocker mantenha um ambiente seguro de inicialização.

Habilitar o TPM

Se você pretende implantar o BitLocker com o TPM, precisa habilitar o TPM em cada computador cliente. Os computadores certificados como compatíveis com Windows Vista devem conter uma versão do BIOS que permita que o BitLocker habilite o TPM como parte do processo de instalação e configuração do BitLocker. Do contrário, habilitar o TPM é algo que geralmente requer que você utilize o programa de instalação e configuração do BIOS do computador, que em geral pode ser aberto pressionando-se uma combinação específica de teclas durante o processo de inicialização do hardware do computador. A opção TPM costuma estar localizada em Opções avançadas ou Configuração periférica, dentro das telas de configuração, mas não há um local padrão. Se a opção estiver desabilitada, selecione Habilitar, salve as novas configurações do BIOS e saia; depois reinicialize, se necessário. Após a reinicialização, a maioria dos computadores equipados com TPM exibirá uma tela, como a mostrada na figura a seguir, solicitando que você confirme se realmente deseja habilitar o TPM.

Cc162812.e6903e71-09fe-424c-87de-d344db8d8e05(pt-br,TechNet.10).gif

Figura 2.6. Exemplo de caixa de confirmação de TPM
Inicialize o TPM com o Windows Vista

Se você pretender usar um TPM com o BitLocker, o chip do TPM precisará ser inicializado, para isso, deve-se permitir que o Windows Vista se aproprie do TPM. As informações de apropriação de TPM podem ser vistas através do snap-in MMC do TPM (tpm.msc).

O TPM precisa ser inicializado uma vez para cada computador. O BitLocker precisa ser ativado uma vez para cada sistema operacional (se o computador estiver configurado para inicialização em vários sistemas operacionais). Em outras palavras, se você tiver um único computador com várias instalações de inicialização do Windows Vista, precisará ativar o BitLocker para cada uma.

Em condições normais, o Assistente para Instalação do BitLocker irá automatizar o processo de inicialização do TPM. Contudo, você também pode inicializar manualmente o TPM, se necessário.

Para inicializar o TPM de dentro do Windows Vista

  1. Certifique-se de que o chip do TPM foi habilitado no BIOS.

  2. Verifique se o dispositivo de armazenamento ou de impressão apropriado está disponível para a senha de gerenciamento de TPM.

  3. Faça o logon no Windows Vista usando uma conta com privilégios de Administrador local no computador.

  4. Inicie o snap-in MMC do TPM. Para isso, digite TPM.MSC na caixa Pesquisar e pressione ENTER.

  5. Se solicitado na janela Controle de Conta de Usuário, clique em Continuar e será exibido um console do TPM.

  6. Se o Windows Vista não reconhecer o chip do TPM, você precisará resolver o problema, habilitá-lo corretamente e, então, reiniciar este procedimento.

  7. No painel Ações, clique na opção Inicializar TPM.

  8. Na caixa de diálogo Criar a senha de proprietário do TPM, você será solicitado a criar uma senha de proprietário do TPM. Essa senha é necessária somente tarefas de gerenciamento de TPM fora do reino do BitLocker.

    Você pode deixar o assistente criar a senha automaticamente (a ação recomendada) ou criá-la manualmente. Se optar por criar a senha manualmente, você precisará criar uma com no mínimo 8 caracteres. Você pode alterar a senha de proprietário do TPM a qualquer hora após defini-la (embora seja necessário saber a senha atual para alterá-la).

  9. Você pode salvar a senha em mídia removível ou em qualquer outro local de armazenamento válido, como, por exemplo, dispositivo de memória flash USB, local do arquivo, área de trabalho ou local da rede. Se preferir, você pode imprimir a senha em uma impressora local ou de rede conectada. Se você armazenar a senha do TPM, o Windows Vista irá salvá-la em formato de arquivo XML com a extensão .TPM. Por padrão, o arquivo é nomeado com o nome do computador. É aconselhável salvar ou imprimir a senha de proprietário do TPM em dois ou mais locais separados e seguros.

  10. Depois que a senha for fornecida e salva ou impressa, o TPM irá inicializar. O Windows Vista exibe uma caixa de diálogo de andamento indicando o status da inicialização do TPM.

  11. Após a inicialização ter sido concluída, o Windows Vista exibirá uma caixa de diálogo de conclusão. Clique em Fechar para encerrar o processo de inicialização.

Você pode também inicializar e se apropriar do TPM de dentro do Windows Vista usando o script manage-bde.wsf da seguinte maneira no prompt de comando:

cscript manage-bde.wsf -tpm -takeownership - <senha>

A execução desse comando fará a apropriação do TPM e definirá a senha de proprietário do TPM de acordo com o valor especificado.

Opcionalmente, você pode criar um script seu, que utilize as interfaces WMI fornecidas para controlar o TPM.

Habilitar o BitLocker

O BitLocker pode ser habilitado de duas formas: manualmente, utilizando-se as etapas do procedimento a seguir ou com o Assistente para Implantação do Windows. Para obter mais informações sobre o uso do Assistente para Implantação do Windows para habilitar o BitLocker, consulte a seção Executando o Windows Deployment Wizard, do "Guia para Lite Touch Installation" do toolkit Business Desktop Deployment.

Cc162812.note(pt-br,TechNet.10).gif Observação:

Podem ser usadas configurações de Diretiva de Grupo para controlar quais recursos do BitLocker os usuários finais podem configurar, portanto a interface nas seguintes capturas de tela pode variar.

Para habilitar o BitLocker manualmente

  1. Abra o Painel de Controle e clique duas vezes em Segurança.

  2. Clique duas vezes em Criptografia de Unidade de Disco BitLocker. Se solicitado na janela Controle de Acesso de Usuário, clique em Continuar.

    Cc162812.d98ec788-93f5-4dc5-813d-55a9f67c70ba(pt-br,TechNet.10).gif

    Figura 2.7. Tela da Criptografia de Unidade de Disco BitLocker dentro do Painel de Controle
  3. Clique na opção Ativar BitLocker.

  4. Conforme mostra a figura a seguir, você talvez seja solicitado a escolher um local para salvar ou imprimir a senha de recuperação do BitLocker. Se optar por salvar a senha de recuperação do BitLocker, a senha de recuperação de 48 caracteres do BitLocker será salva em um arquivo de texto nomeado de acordo com a ID de senha do BitLocker. Se você salvar a senha de recuperação em uma unidade de memória USB Flash, uma chave de recuperação de 256 bits será armazenada juntamente com um arquivo oculto (com a extensão .BEK). Você pode escolher qualquer local de armazenamento de arquivo ou unidade de memória USB Flash, ou pode imprimir a senha de recuperação. A captura de tela a seguir mostra a senha de recuperação sendo armazenada em uma pasta, em uma unidade de memória USB Flash.

    Cc162812.f0c09b3f-eeee-479e-8aa3-12214ccb7249(pt-br,TechNet.10).gif

    Figura 2.8. Opções para a senha de recuperação do BitLocker
  5. Você deve salvar a senha de recuperação em um ou mais locais seguros e separados. Se perder essa chave de recuperação do BitLocker, você poderá perder o acesso aos seus dados. Não é possível continuar ativando o BitLocker sem antes salvar corretamente a senha de recuperação do BitLocker.

    Cc162812.note(pt-br,TechNet.10).gif Observação:

    A senha de recuperação é escrita em texto simples no arquivo de texto, portanto o arquivo deve estar protegido contra acesso não-autorizado.

    Após salvar a senha de recuperação do BitLocker uma ou mais vezes, clique no botão Avançar.

  6. Na caixa de diálogo Criptografar o volume, selecione a opção Executar verificação do sistema Bitlocker para confirmar se o caminho de inicialização é confiável e se o protetor do BitLocker pode ser localizado, antes de iniciar a criptografia. Esta etapa é opcional, mas enfaticamente recomendada. Se houver alguma falha, o Windows Vista exibirá um alerta, e a criptografia do BitLocker não ocorrerá automaticamente.

  7. Clique no botão Continuar. Se você optar por não realizar uma verificação do sistema, pode clicar em Criptografar para iniciar a criptografia do volume.

  8. Se você optar pela verificação do sistema, será solicitado a confirmar se a mídia de memória USB flash está inserida (se este for o local onde você optou por armazenar a senha de recuperação do BitLocker) e reiniciar o computador.

  9. Durante a reinicialização, o Windows Vista procura e verifica a senha de recuperação do BitLocker armazenada na chave USB; depois exibe uma mensagem em uma caixa de diálogo de texto pré-inicialização que indica êxito.

  10. Quando o Windows Vista for reinicializado, o BitLocker começará a criptografar o volume de inicialização e exibirá uma mensagem de andamento, indicando o percentual completo, conforme mostra a figura a seguir.

    Cc162812.bdf7dbb8-4613-45fb-af4a-6c0180e4702b(pt-br,TechNet.10).gif

    Figura 2.9. Mensagem de andamento da criptografia do BitLocker

A primeira criptografia ativa do volume do sistema operacional causará um retardo no desempenho quase imperceptível. Os usuários podem continuar trabalhando no computador enquanto a criptografia ocorre.

Validar a configuração e instalação do BitLocker

Quando o BitLocker terminar de criptografar o volume do sistema operacional, você poderá confirmar seu status usando o console de Gerenciamento de Disco, mostrado na figura a seguir. O volume criptografado irá incluir as palavras BitLocker Criptografado.

Cc162812.7985cd63-82be-41ae-bf22-ef5b57f7f667(pt-br,TechNet.10).gif

Figura 2.10. Console de Gerenciamento de Disco

Se você utiliza o Active Directory para armazenamento de chave de recuperação, deve verificar se as informações de recuperação estão corretamente armazenadas no Active Directory. Para isso, você pode obter o BitLocker Recovery Password Viewer (disponível no artigo 928202 (em inglês) da Microsoft Knowledge Base que explica como usar a ferramenta BitLocker Recovery Password Viewer para usuários e computadores do Active Directory para visualizar senhas de recuperação do Windows Vista"), instalá-lo e usá-lo para verificar se as informações de recuperação estão disponíveis para um ou mais computadores de teste. O BitLocker Recovery Password Viewer também simplifica o processo de permitir que o suporte técnico autorizado ou a equipe de atendimento obtenham informações de recuperação, quando necessário. (Para obter maiores informações sobre questões de diretivas relacionadas a recuperação de senha, consulte o guia sobre como configurar o Active Directory para fazer backup das informações de recuperação do Windows BitLocker e TPM (pode estar em inglês)

Tarefas de configuração por computador para o EFS

O EFS requer um número relativamente pequeno de tarefas de configuração por computador. Se você estiver implantando o EFS pela primeira vez, a única tarefa que realmente precisa completar é a de criptografar os arquivos e pastas que você deseja proteger no computador de destino.

Criptografar arquivos e pastas

Após o EFS estar habilitado nos computadores de destino, os usuários da organização poderão começar a criptografar arquivos e pastas em seus respectivos computadores. O Assistente do EFS que acompanha esse toolkit pode ser usado para criar diretivas de criptografia, ou os usuários podem ser instruídos sobre como usar uma das duas interfaces fornecidas com o Windows para habilitar a criptografia por EFS.

Usando o Windows Explorer

Para alterar o status da criptografia de um arquivo ou pasta usando o Windows Explorer

  1. Clique com o botão direito do mouse no arquivo ou pasta e escolha Propriedades.

  2. Na guia Geral, clique no botão Avançado e marque a caixa de seleção Criptografar o conteúdo para proteger os dados.

  3. Clique em OK duas vezes para garantir a criptografia do arquivo.

Cc162812.5c7c1e31-6246-4f2a-bdd2-dd1691effa61(pt-br,TechNet.10).gif

Figura 2.11. Caixa de diálogo Atributos Avançados do Windows Explorer

Quando você criptografa um arquivo isolado em uma pasta pela primeira vez, o Windows pergunta se você quer criptografar somente aquele arquivo ou toda a pasta pai — conseqüentemente, habilitando o EFS para toda a pasta e seus respectivos arquivos e pastas subjacentes.

Cc162812.1adbaf44-740f-4eef-82d9-b9bbd0750f41(pt-br,TechNet.10).gif

Figura 2.12. Caixa de diálogo Aviso de Criptografia do Windows Explorer
Usando o Cipher.exe

O comando Cipher.exe também pode ser usado para criptografar arquivos e pastas. Para isso, quando surgir o prompt de comando, mude para o diretório que contém os arquivos ou pastas que você deseja criptografar. Para criptografar todo o diretório e os respectivos arquivos e pastas nele contidos, digite Cipher.exe /e e pressione ENTER. Opcionalmente, você pode especificar uma lista de arquivos ou pastas que deseja criptografar, incluindo os nomes após a instrução /e.

Criptografando arquivos compartilhados

Para adicionar usuários a um arquivo compartilhado

  1. Clique com o botão direito do mouse no arquivo ou pasta e escolha Propriedades.

  2. Na guia Geral, clique no botão Avançado e depois no botão Detalhes.

    O Windows irá exibir os outros usuários disponíveis com certificados digitais EFS.

  3. Escolha um ou mais usuários adicionais e clique em OK.

  4. Quando terminar, clique em OK duas vezes para voltar ao Windows Explorer.

Cc162812.note(pt-br,TechNet.10).gif Observação:

No Windows Vista, também é possível usar o comando Cipher.exe com o parâmetro /adduser para adicionar usuários a arquivos protegidos por EFS.

Verificando o estado da criptografia de um arquivo ou pasta

Se você não tiver certeza se um determinado arquivo ou pasta está ou não criptografado, pode usar vários métodos para determinar seu estado. Dois desses métodos consistem em observar pistas visuais no Windows Explorer e usar o Cipher.exe.

Windows Explorer

No Windows Explorer, os arquivos ou pastas criptografados por EFS estão realçados em fonte verde (como mostrado na figura a seguir) ou apresentam um E nos atributos do arquivo.

Cc162812.87097207-c6cf-446a-be68-c00201db89ee(pt-br,TechNet.10).gif

Figura 2.13. Arquivos criptografados por EFS no Windows Explorer

O destaque verde é uma característica que é ativada por padrão no Windows XP Professional e nas versões posteriores do Windows. Para ativar ou desativar esse recurso no Windows XP, clique em Opções de pasta e marque ou desmarque a caixa de seleção de atributo Mostrar arquivos NTFS criptografados ou compactados em cores.

Para acessar essa configuração no Windows Vista, abra o Windows Explorer e, no menu Organizar, clique em Opções de Pasta e Pesquisa, escolha a guia Exibir e marque ou desmarque a caixa de seleção Mostrar arquivos NTFS criptografados ou compactados em cores.

Para acessar essa configuração no Windows XP Professional, abra o Windows Explorer e, no menu Ferramentas, clique em Opções de pasta. Depois clique na guia Exibir.

Os atributos de arquivo e pasta nem sempre estão prontamente visíveis no Windows Explorer em algumas versões do Windows. Use a exibição Detalhes para ver os arquivos. Se ainda assim os atributos de arquivo ou pasta ainda não estiverem visíveis, será preciso adicioná-los à exibição Detalhes. Para isso, clique com o botão direito do mouse em qualquer título de coluna da exibição Detalhes, clique em Mais e selecione Atributos.

Cipher.exe

Também é possível usar o comando Cipher.exe para ver, criptografar e descriptografar arquivos protegidos por EFS (entre outras opções). Para verificar o status do EFS de qualquer arquivo, abra um prompt de comando no Windows, mude o local do arquivo ou pasta, digite Cipher.exe sem nenhum parâmetro de linha de comando e pressione ENTER. O utilitário Cipher irá exibir um U ao lado dos arquivos ou pastas não-criptografados e um E ao lado dos arquivos ou pastas criptografados.

Mais informações


Neste artigo

Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft