NOTA: O chip de segurança incorporado do Trusted Platform Module (TPM) tem de estar instalado no computador para que possa utilizar o Embedded Security for HP ProtectTools. O Embedded Security for HP ProtectTools protege-o contra o acesso não autorizado a dados ou credenciais do utilizador. Este módulo de software fornece as seguintes funcionalidades de segurança:
● Encriptação avançada de ficheiros e pastas do Sistema de ficheiros de encriptação (EFS) da Microsoft®
● Criação de uma PSD (Personal Secure Drive) para proteger os dados do utilizador
● Funções de gestão de dados, como a criação de cópias de segurança e o restauro da hierarquia de chaves.
● Suporte para aplicações de outros fabricantes (tais como o Microsoft Outlook e o Internet Explorer) para a execução de operações protegidas em certificados digitais durante a utilização do software Embedded Security.
O chip de segurança incorporado do TPM melhora e activa outras funcionalidades de segurança do HP ProtectTools Security Manager. Por exemplo, o Credential Manager for HP ProtectTools pode utilizar o chip incorporado como factor de autenticação durante o início de sessão do utilizador no Windows. Em alguns modelos, o chip de segurança incorporado do TPM também activa
Procedimentos de configuração
CUIDADO: Para reduzir o risco de segurança, recomendamos vivamente que o administrador de TI inicialize imediatamente o chip de segurança incorporado. A não inicialização do chip de segurança incorporado pode permitir que um utilizador não autorizado, um worm informático ou um vírus assuma propriedade do computador e ganhe controlo sobre as tarefas do proprietário, como o processamento do arquivo de recuperação de emergência e a configuração das definições de acesso do utilizador.
Siga os passos existentes nas 2 secções seguintes para activar e inicializar o chip de segurança incorporado.
Activar o chip de segurança incorporado
O chip de segurança incorporado tem de ser activado no utilitário Computer Setup. Este procedimento não pode ser efectuado no BIOS Configuration for HP ProtectTools.
Para activar o chip de segurança incorporado:
1. Abra o Computer Setup ligando ou reiniciando o computador e premindo a tecla f10 enquanto a mensagem "f10 = ROM Based Setup" for apresentada no canto inferior esquerdo do ecrã.
2. Se não tiver definido uma palavra-passe de administrador, utilize as teclas de seta para
seleccionar Security > Setup password (Segurança > Configurar palavra-passe) e, em seguida, prima enter.
3. Escreva a sua palavra-passe nas caixas New password (Palavra-passe nova) e Verify new
password (Verificar palavra-passe nova) e, em seguida, prima f10.
4. No menu Security (Segurança), utilize as teclas de seta para seleccionar TPM Embedded
Security e, em seguida, prima enter.
5. Em Embedded Security, se o dispositivo estiver escondido, seleccione Available (Disponível).
6. Seleccione Embedded security device state (Estado do dispositivo de segurança incorporado) e mude para Enable (Activar).
7. Prima f10 para aceitar as alterações à configuração do Embedded Security.
8. Para guardar as suas preferências e sair do Computer Setup, utilize as teclas de seta para seleccionar File > Save Changes and Exit (Ficheiro > Guardar alterações e sair). Siga as instruções apresentadas no ecrã.
Inicializar o chip de segurança integrado
No processo de inicialização do Embedded Security, irá efectuar as seguintes tarefas:
● Definir uma palavra-passe de proprietário para o chip de segurança incorporado que protege o acesso a todas as funções do proprietário.
● Configurar o arquivo de recuperação de emergência, que é uma área de armazenamento protegida que permite a reencriptação das chaves de todos os utilizadores básicos.
Para inicializar o chip de segurança incorporado:
1. Clique com o botão direito do rato no ícone do HP ProtectTools Security Manager na área de notificação, na extremidade direita da barra de tarefas, e, em seguida, seleccione Embedded
Security Initialization (Inicialização do Embedded Security).
É apresentado o HP ProtectTools Embedded Security Initialization Wizard (Assistente de inicialização do HP ProtectTools Embedded Security).
2. Siga as instruções apresentadas no ecrã.
Configurar a conta de utilizador básico
Configurar uma conta de utilizador básico no Embedded Security realiza as seguintes tarefas:
● Produz uma chave de utilizador básico que protege as informações encriptadas e define uma palavra-passe para proteger a chave de utilizador básico.
● Configura uma PSD (Personal Secure Drive) para armazenamento dos ficheiros e pastas encriptados.
CUIDADO: Salvaguarda a palavra-passe da chave de utilizador básico. As informações encriptadas não podem ser acedidas ou recuperadas sem esta palavra-passe.
Para configurar uma conta de utilizador básico e activar as funcionalidades de segurança do utilizador:
1. Se o Embedded Security User Initialization Wizard (Assistente de inicialização de utilizadores do Embedded Security) não estiver aberto, seleccione Iniciar > Todos os programas > HP
ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em User Settings (Definições do utilizador).
3. No painel da direita, em Embedded Security Features (Funcionalidades do Embedded Security), clique em Configure (Configurar).
É apresentado o Embedded Security User Initialization Wizard (Assistente de inicialização de utilizadores do Embedded Security).
4. Siga as instruções apresentadas no ecrã.
NOTA: Para utilizar correio electrónico protegido, tem primeiro de configurar o cliente de correio electrónico para utilizar um certificado digital criado com o Embedded Security. Se não existir nenhum certificado digital disponível, tem de obter um junto de uma autoridade de certificação. Para obter instruções para configurar o correio electrónico e obter um certificado digital, consulte a ajuda online do cliente de correio electrónico.
Tarefas gerais
Após configurar a conta de utilizador básico, poderá efectuar as seguintes tarefas:
● Encriptar ficheiros e pastas
● Enviar e receber correio electrónico encriptado
Utilizar a Personal Secure Drive
Depois de configurar a PSD, é-lhe pedido para escrever a palavra-passe da chave de utilizador básico durante o próximo início de sessão. Se a palavra-passe da chave de utilizador básico for introduzida correctamente, poderá aceder à PSD directamente a partir do Explorador do Windows.
Encriptar ficheiros e pastas
Quando trabalha com ficheiros encriptados, tome em consideração as seguintes regras:
● Só é possível encriptar ficheiros e pastas em partições NTFS. Não é possível encriptar ficheiros e pastas em partições FAT.
● Não é possível encriptar ficheiros de sistema e ficheiros comprimidos e os ficheiros encriptados não podem ser comprimidos.
● As pastas temporárias devem ser encriptadas, porque são potenciais alvos dos hackers.
● É automaticamente configurada uma política de recuperação quando encripta um ficheiro ou pasta pela primeira vez. Esta política garante que, se perder os certificados de encriptação e as chaves privadas, poderá utilizar um agente de recuperação para desencriptar as informações.
Para encriptar ficheiros e pastas:
1. Clique com o botão direito no ficheiro ou pasta que pretende encriptar.
2. Clique em Encrypt (Encriptar).
3. Clique numa das seguintes opções:
● Apply changes to this folder only (Aplicar alterações apenas a esta pasta).
● Apply changes to this folder, subfolders, and files (Aplicar alterações a esta pasta, subpastas e ficheiros).
4. Clique em OK.
Enviar e receber correio electrónico encriptado
O Embedded Security permite-lhe enviar e receber correio electrónico encriptado, mas os
procedimentos variam consoante o programa utilizado para aceder ao correio electrónico. Para obter mais informações, consulte a ajuda online do Embedded Security e a ajuda online do seu programa de correio electrónico.
Alterar a palavra-passe da chave de utilizador básico
Para alterar a palavra-passe da chave de utilizador básico:1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em User Settings (Definições do utilizador).
3. No painel da direita, em Basic User Key password (Palavra-passe da chave de utilizador básico), clique em Change (Alterar).
4. Introduza a palavra-passe antiga e, em seguida, defina e confirme a nova palavra-passe.
Tarefas avançadas
Efectuar cópia de segurança e restaurar
A funcionalidade de cópia de segurança do Embedded Security cria um arquivo que contém informações de certificação a restaurar em caso de emergência.
Criar um ficheiro de cópia de segurança
Para criar um ficheiro de cópia de segurança:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em Backup (Cópia de segurança).
3. No painel da direita, clique em Backup (Efectuar cópia de segurança). É apresentado o Assistente de cópia de segurança do HP ProtectTools Embedded Security.
4. Siga as instruções apresentadas no ecrã.
Restaurar dados de certificação a partir do ficheiro de cópia de segurança
Para restaurar dados a partir do ficheiro de cópia de segurança:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em Backup (Cópia de segurança).
3. No painel da direita, clique em Restore (Restaurar). É apresentado o Assistente de cópia de segurança do HP ProtectTools Embedded Security.
4. Siga as instruções apresentadas no ecrã.
Alterar a palavra-passe de proprietário
Para alterar a palavra-passe de proprietário:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em Advanced (Avançadas).
3. No painel da direita, em Owner Password (Palavra-passe de proprietário), clique em Change (Alterar).
4. Introduza a palavra-passe de proprietário antiga e, em seguida, defina e confirme a nova palavra- passe de proprietário.
5. Clique em OK.
Repor uma palavra-passe de utilizador
Um administrador pode ajudar um utilizador a repor uma palavra-passe esquecida. Para obter mais informações, consulte a ajuda online.
Activar e desactivar o Embedded Security
É possível desactivar as funcionalidades do Embedded Security se pretende trabalhar sem as funções de segurança.
As funcionalidades do Embedded Security podem ser activadas ou desactivadas a 2 níveis diferentes:
● Temporary disabling (Desactivação temporária)—Com esta opção, o Embedded Security é automaticamente reactivado quando o Windows for reiniciado. Esta opção está disponível para todos os utilizadores por predefinição.
● Permanent disabling (Desactivação permanente)—Com esta opção, a palavra-passe de
proprietário é requerida para reactivar o Embedded Security. Esta opção só está disponível para administradores.
Desactivar permanentemente o Embedded Security
Para desactivar permanentemente o Embedded Security:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em Advanced (Avançadas).
3. No painel da direita, em Embedded Security, clique em Disable (Desactivar).
4. Introduza a sua palavra-passe de proprietário quando lhe for pedido e clique em OK.
Activar o Embedded Security após uma desactivação permanente
Para activar o Embedded Security após desactivá-lo permanentemente:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Embedded Security e, em seguida, clique em Advanced (Avançadas).
3. No painel da direita, em Embedded Security, clique em Enable (Activar).
4. Introduza a sua palavra-passe de proprietário quando lhe for pedido e clique em OK.
Migrar chaves com o Migration Wizard
A migração é uma tarefa avançada de administrador que permite a gestão, restauro e transferência de chaves e certificados.
4
Java Card Security for HP ProtectTools
O Java Card Security para HP ProtectTools gere a configuração do Java Card e a configuração de computadores equipados com um leitor de cartões opcional.
Com o Java Card Security, pode realizar as seguintes tarefas:
● Aceder às funcionalidades do Java Card Security.
● Trabalhar com o utilitário Computer Setup para activar a autenticação de Java Card num ambiente de arranque.
● Configurar Java Cards separados para administradores e utilizadores. O utilizador deve introduzir o Java Card e escrever um PIN para que o sistema operativo possa ser carregado.
Tarefas gerais
A página "General" (Geral) permite-lhe efectuar as seguintes tarefas:
● Alterar o PIN de um Java Card
● Seleccionar o leitor de cartões.
NOTA: O leitor de cartões utiliza Java Cards e smart cards. Esta funcionalidade está disponível se tiver mais de um leitor de cartões no computador.
Alterar o PIN de um Java Card
Para alterar o PIN de um Java Card:NOTA: O PIN do Java Card tem de conter entre 4 e 8 caracteres numéricos.
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em General (Geral).
3. Introduza um Java Card (com um PIN existente) no leitor de cartões.
4. No painel da direita, clique em Change (Alterar).
5. Na caixa de diálogo Change PIN (Alterar PIN), escreva o PIN actual na caixa Current PIN (PIN actual).
6. Escreva um PIN novo na caixa New PIN (PIN novo) e, em seguida, escreva-o novamente na caixa Confirm New PIN (Confirmar PIN novo).
7. Clique em OK.
Seleccionar o leitor de cartões
Certifique-se de que o leitor de cartões correcto está seleccionado no Java Card Security antes de utilizar o Java Card. Se o leitor correcto não estiver seleccionado, algumas funcionalidades poderão estar indisponíveis ou ser incorrectamente apresentadas. Além disso, os controladores do leitor de cartões devem estar instalados correctamente, tal como é mostrado no Gestor de Dispositivos de Windows.
Para seleccionar o leitor de cartões:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em General (Geral).
3. Introduza o Java Card no leitor de cartões.
4. No painel da direita, em Selected card reader (Leitor de cartões seleccionado), clique no leitor correcto.
Tarefas avançadas (somente administradores)
A página “Advanced” (Avançadas) permite-lhe efectuar as seguintes tarefas:
● Atribuir um PIN a um Java Card
● Atribuir um nome a um Java Card
● Definir a autenticação na ligação
● Efectuar uma cópia de segurança e restaurar Java Cards
NOTA: Deve ter privilégios de administrador do Windows para poder apresentar a página “Avançadas”.
Atribuir um PIN a um Java Card
Tem de atribuir um nome e um PIN a um Java Card para que este possa ser utilizado no Java Card Security.
Para atribuir um PIN a um Java Card:
NOTA: O PIN do Java Card tem de conter entre 4 e 8 caracteres numéricos.
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em Advanced (Avançadas).
3. Introduza um novo Java Card no leitor de cartões.
4. Quando a caixa de diálogo New Card (Cartão novo) for apresentada, escreva um novo nome na caixa New display name (Novo nome a apresentar), escreva um PIN novo na caixa New PIN (PIN novo) e, em seguida, escreva novamente o PIN novo na caixa Confirm New PIN (Confirmar PIN novo).
5. Clique em OK.
Atribuir um nome a um Java Card
Tem de atribuir um nome a um Java Card para que este possa ser utilizado para autenticação na ligação.
Para atribuir um nome a um Java Card:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em Advanced (Avançadas).
3. Introduza o Java Card no leitor de cartões.
NOTA: Se não tiver atribuído um PIN a este cartão, será apresentada a caixa de diálogo New Card (Cartão novo) para escrever o nome e PIN novos.
5. Escreva um nome para o Java Card na caixa Name (Nome).
6. Escreva o PIN actual do Java Card na caixa PIN.
7. Clique em OK.
Definir a autenticação na ligação
Quando activada, a autenticação na ligação requer a utilização de um Java Card para iniciar o computador.
O processo de activação da autenticação por Java Card na ligação envolve os seguintes passos:
1. Activar o suporte para autenticação por Java Card na ligação no BIOS Configuration ou no Computer Setup. Para obter mais informações, consulte “Activar e desactivar o suporte para autenticação por smart card na ligação na página 47.”
2. Activar a autenticação por Java Card na ligação no Java Card Security:
3. Criar e activar o Java Card do administrador.
Activar a autenticação por Java Card na ligação e criar o Java Card do administrador
Para activar a autenticação por Java Card na ligação:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em Advanced (Avançadas).
3. Introduza o Java Card no leitor de cartões.
NOTA: Se não tiver atribuído um nome e um PIN a este cartão, será apresentada a caixa de diálogo New Card (Cartão novo) para escrever o nome e PIN novos.
4. No painel da direita, em Power-on authentication (Autenticação na ligação), seleccione a caixa de verificação Enable (Activar).
5. Escreva a palavra-passe do Computer Setup na caixa de diálogo Computer Setup Password (Palavra-passe do Computer Setup) e, em seguida, clique em OK.
6. Se não tiver o DriveLock activado, escreva o PIN do Java Card e clique em OK. – ou –
Se tiver o DriveLock activado:
a. Clique em Make Java card identity unique (Tornar identidade do Java Card exclusiva). – ou –
Clique em Make the Java card identity the same as the DriveLock password (Tornar identidade do Java Card igual à palavra-passe do DriveLock).
NOTA: Se o DriveLock estiver activado no computador, poderá definir a identidade do Java Card como sendo igual à palavra-passe do DriveLock, o que lhe permite validar o DriveLock e o Java Card utilizando apenas o Java Card quando iniciar o computador.
b. Se aplicável, escreva a sua palavra-passe de utilizador do DriveLock na caixa DriveLock
password (Palavra-passe do DriveLock) e, em seguida, escreva-a novamente na caixa Confirm password (Confirmar palavra-passe).
c. Escreva o PIN do Java Card.
d. Clique em OK.
7. Quando lhe for solicitado que crie um ficheiro de recuperação, clique em Cancelar para criar um ficheiro de recuperação mais tarde ou clique em OK e siga as instruções apresentadas no ecrã no Assistente de cópia de segurança do HP ProtectTools.
NOTA: Para obter mais informações, consulte “Cópia de Segurança e Restauro do HP ProtectTools na página 10.”
Criar um Java Card de utilizador
NOTA: Tem de configurar a autenticação na ligação e um cartão de administrador para poder criar um Java Card de utilizador.
Para criar um Java Card de utilizador:
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em Advanced (Avançadas).
3. Introduza o Java Card que será usado como cartão de utilizador.
4. No painel da direita, em Power-on authentication (Autenticação na ligação), clique em Create (Criar) junto de User card identity (Identidade de cartão de utilizador).
5. Escreva um PIN para o Java Card de utilizador e, em seguida, clique em OK.
Desactivar a autenticação por Java Card na ligação
Quando desactiva a autenticação por Java Card na ligação, a utilização do Java Card deixa de ser necessária para aceder ao computador.
1. Seleccione Iniciar > Todos os programas > HP ProtectTools Security Manager.
2. No painel da esquerda, clique em Java Card Security e, em seguida, clique em Advanced (Avançadas).
3. Introduza o Java Card do administrador.
4. No painel da direita, em Power-on authentication (Autenticação na ligação), desmarque a caixa de verificação Enable (Activar).