Guia de Referência ProtectTools Security Manager Número de peça: 389171-203 Fevereiro de 2006
Copyright 2005, 2006 Hewlett-Packard Development Company, L.P. Microsoft e Windows são marcas registradas nos EUA da Microsoft Corporation. Java é uma marca comercial da Sun Microsystems, Inc. nos EUA. Intel é uma marca comercial ou marca registrada da Intel Corporation ou suas subsidiárias nos EUA e em outros países. As informações contidas neste documento estão sujeitas a alterações sem aviso. As únicas garantias para produtos e serviços da HP são as estabelecidas nas declarações de garantia expressa que acompanham tais produtos e serviços. Nada aqui contido deve ser interpretado como constituindo uma garantia adicional. A HP não será responsável por omissões, erros técnicos ou erros editoriais contidos neste documento. Guia de Referência ProtectTools Security Manager Terceira edição: Fevereiro de 2006 Primeira edição: Maio de 2005 Número de peça: 389171-203
Sumário 1 Introdução ProtectTools Security Manager.................... 1 1 Acesso ao ProtectTools Security Manager........ 1 2 Compreensão dos Perfis de Segurança.............. 1 3 Gerenciamento de Senhas do ProtectTools........... 1 4 Criação de uma Senha Segura.................. 1 8 2 Smart Card Security para ProtectTools Conceitos básicos............................... 2 1 Inicialização do smart card........................ 2 2 Modo de segurança da BIOS por Smart Card......... 2 3 Ativação do modo de segurança da BIOS por smart card e definição da senha de administrador do smart card................... 2 4 Alteração da senha de administrador do smart card................................. 2 6 Configuração e alteração da senha de usuário do Smart Card........................ 2 7 Armazenamento da senha de cartão de administrador ou de usuário................... 2 8 Tarefas gerais................................. 2 10 Atualização das configurações do Smart Card na BIOS........................ 2 10 Seleção do leitor de Smart Card............... 2 10 Alteração do PIN do Smart Card............... 2 11 Backup e restauração de Smart Cards........... 2 11 Guia de Referência iii
Sumário 3 Java Card Security para ProtectTools Conceitos básicos............................... 3 1 Tarefas gerais.................................. 3 2 Alterar o PIN de um Java Card................. 3 2 Seleção do leitor de Smart Card................ 3 3 Tarefas avançadas (somente administradores)......... 3 4 Atribuição de um PIN ao Java Card............. 3 4 Atribuição de um nome para um Java Card....... 3 5 Definição da autenticação na inicialização........ 3 6 Backup e restauração de Java Cards............ 3 10 4 Embedded Security para ProtectTools Conceitos básicos............................... 4 1 Procedimentos de configuração.................... 4 2 Ativação do chip de segurança integrado......... 4 2 Inicialização do Chip de Segurança Integrado..... 4 3 Configuração da conta de usuário básico......... 4 5 Tarefas gerais.................................. 4 7 Utilização da Unidade Pessoal Protegida......... 4 7 Criptografia de arquivos e pastas................ 4 7 Envio e recebimento de e-mail criptografado...... 4 8 Alteração da Senha de Chave de Usuário Básico... 4 8 Tarefas avançadas.............................. 4 9 Backup e restauração......................... 4 9 Alteração da senha de proprietário............. 4 11 Redefinição da senha de usuário............... 4 11 Ativação e desativação do Embedded Security.... 4 11 Migração de chaves com o Assistente de Migração 4 12 Guia de Referência iv
Sumário 5 BIOS Configuration para ProtectTools Conceitos básicos............................... 5 1 Tarefas gerais.................................. 5 2 Gerenciamento de opções de inicialização........ 5 2 Ativação e desativação das opções de configuração do sistema...................... 5 3 Tarefas avançadas.............................. 5 5 Gerenciamento de configurações do ProtectTools.. 5 5 Gerenciamento de senhas do Computer Setup..... 5 8 6 Credential Manager para ProtectTools Conceitos básicos............................... 6 1 Procedimentos de configuração.................... 6 2 Login no Credential Manager.................. 6 2 Registro de credenciais....................... 6 5 Tarefas gerais.................................. 6 9 Criação de um token virtual.................... 6 9 Alteração da senha de login do Windows........ 6 10 Alteração de um PIN de token................. 6 10 Gerenciamento de identidade................. 6 11 Bloqueio do computador..................... 6 13 Utilização do login do Microsoft Network....... 6 14 Utilização do Single Sign On (Login Único)..... 6 17 Tarefas avançadas (somente administrador)......... 6 22 Especificação de como os usuários e administradores efetuam o login............... 6 22 Configuração de requisitos personalizados de autenticação............................... 6 23 Definição de propriedades do Credential Manager. 6 24 Definição de configurações do Credential Manager 6 25 Glossário Índice Guia de Referência v
1 Introdução ProtectTools Security Manager O software ProtectTools Security Manager fornece recursos de segurança que ajudam a proteger contra acesso não-autorizado ao computador, redes e dados críticos. A funcionalidade avançada de segurança é fornecida pelos seguintes módulos de software: Smart Card Security para ProtectTools Java Card Security para ProtectTools Embedded Security para ProtectTools BIOS Configuration para ProtectTools Credential Manager para ProtectTools Os módulos de software disponíveis para seu computador podem variar de acordo com o modelo. Por exemplo, o Embedded Security para ProtectTools requer que o chip de segurança integrado Trusted Platform Module (TPM) (somente em determinados modelos) esteja instalado no computador, e o Smart Card Security para ProtectTools requer um smart card e um leitor de smart card opcional. Os módulos de software do ProtectTools podem estar pré-instalados, pré-carregados ou disponíveis para download do web site da HP. Visite http://www.hp.com.br para obter mais informações. As instruções neste guia foram escritas considerando que os módulos de software do ProtectTools aplicáveis já estão instalados. Guia de Referência 1 1
Introdução Acesso ao ProtectTools Security Manager Para acessar o ProtectTools Security Manager a partir do Painel de controle do Microsoft Windows :» Selecione Iniciar > Todos os programas > HP Após a configuração do módulo Credential Manager, também será possível abrir o ProtectTools fazendo login diretamente no Credential Manager a partir da tela de login do Windows. Para obter mais informações, consulte a seção Login no Windows com o Credential Manager" do Capítulo 6, Credential Manager para ProtectTools. Guia de Referência 1 2
Introdução Compreensão dos Perfis de Segurança No gerenciamento da segurança de computador (principalmente em grandes organizações), uma prática importante é dividir as responsabilidades e os direitos entre vários tipos de administradores e usuários. Em uma organização pequena ou para uso individual, esses perfis podem ser mantidos pela mesma pessoa. Para o ProtectTools, as obrigações e os privilégios da segurança podem ser divididos nos seguintes perfis: Responsável pela segurança Define o nível de segurança para a empresa ou a rede e determina os recursos de segurança a serem implementados, como smart cards, leitores biométricos ou tokens USB. Diversos recursos do ProtectTools podem ser personalizados pelo responsável pela segurança em conjunto com a HP. Para obter mais informações, visite http://www.hp.com.br Administrador de TI Aplica e gerencia os recursos de segurança definidos pelo responsável pela segurança. Pode também ativar e desativar alguns recursos. Por exemplo, se o responsável pela segurança tiver decidido implementar smart cards, o administrador de TI pode ativar o modo de segurança da BIOS por smart card. Usuário Utiliza os recursos de segurança. Por exemplo, se o responsável pela segurança e o administrador de TI tiverem ativado smart cards para o sistema, o usuário pode definir o PIN do smart card e usar o cartão para autenticação. Guia de Referência 1 3
Introdução Gerenciamento de Senhas do ProtectTools A maioria dos recursos do ProtectTools Security Manager é protegida por senhas. A tabela a seguir lista as senhas freqüentemente usadas, o módulo de software onde a senha é definida e a função da senha. As senhas definidas e usadas somente pelo administrador de TI também são indicadas nesta tabela. Todas as outras senhas podem ser definidas por usuários ou administradores comuns. Senha do ProtectTools Senha de configuração do Computer Setup Também conhecida como senha de administrador da BIOS, Configuração f10 ou Security Setup Definida neste módulo do ProtectTools BIOS Configuration, pelo administrador de TI Função Protege o acesso ao utilitário Computer Setup. Senha de inicialização BIOS Configuration Protege o acesso ao conteúdo do computador quando este for ligado, reiniciado ou sair da hibernação. (continuação) Guia de Referência 1 4
Introdução Senha do ProtectTools Senha de administrador do smart card Também conhecida como senha de cartão de administrador da BIOS Senha de usuário do smart card Também conhecida como senha de cartão de usuário da BIOS. PIN do smart card Senha de arquivo de recuperação do smart card Definida neste módulo do ProtectTools Smart Card Security, pelo administrador de TI Smart Card Security Smart Card Security Smart Card Security Função Usada para autenticação na inicialização (BIOS) do smart card. Protege o acesso ao utilitário Computer Setup e ao conteúdo do computador quando este for ligado, reiniciado ou sair da hibernação. Também permite criar arquivos de recuperação para restaurar cartões de usuário ou administrador. Usada para autenticação na inicialização (BIOS) do smart card. Permite acesso ao conteúdo do computador quando este for ligado, reiniciado ou sair da hibernação. Protege o acesso ao conteúdo do smart card e autentica usuários do smart card. Ao ser usado para autenticação na inicialização, o PIN do smart card também protege o acesso ao utilitário Computer Setup e ao conteúdo do computador. Protege o acesso ao arquivo de recuperação que contém as senhas da BIOS. (continuação) Guia de Referência 1 5
Introdução Senha do ProtectTools PIN do Java Card Java Card Security Protege o acesso ao conteúdo do Java Card e autentica usuários do Java Card. Ao ser usado para autenticação na inicialização, o PIN do Java Card também protege o acesso ao utilitário Computer Setup e ao conteúdo do computador. Senha de chave de usuário básico Também conhecida como senha do Embedded Security. Senha de token de recuperação de emergência (Emergency Recovery Token) Também conhecida como senha de chave de token de recuperação de emergência (Emergency Recovery Token Key). Definida neste módulo do ProtectTools Embedded Security Embedded Security, pelo administrador de TI Função Usada para acessar os recursos do Embedded Security, como e-mail protegido e criptografia de arquivos e pastas. Ao ser usada para autenticação de inicialização, também protege o acesso ao conteúdo do computador quando este for ligado, reiniciado ou sair da hibernação. Protege o acesso ao Emergency Recovery Token (token de recuperação de emergência), que é um arquivo de backup para o chip de segurança integrado. (continuação) Guia de Referência 1 6
Introdução Senha do ProtectTools Senha de proprietário Senha de login do Credential Manager Senha de arquivo de recuperação do Credential Manager Senha de login do Windows Definida neste módulo do ProtectTools Embedded Security, pelo administrador de TI Credential Manager Credential Manager, pelo administrador de TI Painel de controle do Windows Função Protege o sistema e o chip TPM de acesso não-autorizado a todas as funções do proprietário do Embedded Security. Esta senha oferece duas opções: Pode ser usada em um login separado para acessar o Credential Manager após o login no Microsoft Windows. Pode ser usada em lugar do processo de login do Windows, permitindo acessar o Windows e o Credential Manager simultaneamente. Protege o acesso ao arquivo de recuperação do Credential Manager. Pode ser usada no login manual ou salva no smart card. Guia de Referência 1 7
Introdução Criação de uma Senha Segura Ao criar senhas, é preciso primeiro seguir as especificações definidas pelo programa. Geralmente, entretanto, considere as instruções a seguir para ajudar a criar senhas fortes e reduzir as chances de comprometer sua senha: Use senhas com mais de seis caracteres, de preferência mais de oito. Misture letras maiúsculas e minúsculas na senha. Sempre que possível, misture caracteres alfanuméricos e inclua caracteres especiais e sinais de pontuação. Substitua caracteres especiais ou números por letras em uma palavra-chave. Por exemplo, é possível usar o número 1 para letras l ou L. Combine palavras de dois ou mais idiomas. Divida uma palavra ou frase com números ou caracteres especiais no meio; por exemplo, Maria2-2Cat45. Não use uma senha que poderia aparecer em um dicionário. Não use seu nome para a senha, ou qualquer outra informação pessoal, como data de aniversário, nomes de animal de estimação, ou nome de solteira da mãe, mesmo se soletrar invertido. Altere as senhas regularmente. É possível mudar apenas adicionando dois caracteres. Se escrever sua senha, não a guarde em um local bastante visível, muito perto do computador. Não guarde a senha em um arquivo, como um e-mail, no computador. Não compartilhe contas ou informe sua senha a qualquer pessoa. Guia de Referência 1 8
2 Smart Card Security para ProtectTools Conceitos básicos O Smart Card Security para ProtectTools gerencia a definição e configuração de smart card para computadores equipados com um leitor de smart card opcional. Com o Smart Card Security, é possível: Acessar recursos de segurança do smart card. Inicializar um smart card de modo que ele possa ser utilizado com outros módulos do ProtectTools, como o Credential Manager para ProtectTools. Trabalhar com o utilitário Computer Setup para ativar a autenticação de smart card em um ambiente de inicialização, e configurar smart cards separados para um administrador e um usuário. Isto requer que um usuário insira o smart card e, opcionalmente, digite um PIN antes de permitir que o sistema operacional seja carregado. Definir e alterar a senha usada para autenticar usuários de smart card. Fazer backup e restaurar senhas de smart card da BIOS armazenadas no smart card. Guia de Referência 2 1
Smart Card Security para ProtectTools Inicialização do smart card É preciso inicializar o smart card antes de usá-lo. Para inicializar o smart card: 1. Insira o smart card no leitor. 2. Selecione Iniciar > Todos os programas > HP 3. No painel esquerdo, selecione Smart Card Security e, em seguida, selecione Smart Card. 4. No painel direito, clique em Inicializar. 5. Digite seu nome na primeira linha da caixa de diálogo Inicializar o smart card. 6. Defina e confirme o PIN do smart card nas caixas apropriadas. O código PIN precisa conter entre 4 e 8 caracteres numéricos. Para evitar que o acesso ao computador seja perdido, não Ä esqueça o PIN do smart card. Se esquecer o PIN do smart card, talvez não seja possível operar o computador. O smart card será bloqueado e inutilizado a menos que o PIN do smart card seja inserido corretamente em 5 tentativas. A contagem dessas tentativas é reinicializada após o PIN correto ser inserido. 7. Clique em OK para completar a inicialização. Guia de Referência 2 2
Smart Card Security para ProtectTools Modo de segurança da BIOS por Smart Card Ao ser ativado, o modo de segurança da BIOS por smart card requer a utilização de um smart card para iniciar o computador. O processo de ativação do modo de segurança da BIOS por smart card envolve as seguintes etapas: 1. Ativar o suporte de autenticação na inicialização por smart card no módulo BIOS Configuration. Consulte a seção Ativação e desativação do suporte de autenticação na inicialização por Smart Card ou Java Card do Capítulo 5, "BIOS Configuration para ProtectTools. Ativar esta configuração permite a utilização de um smart card para autenticação na inicialização. Os recursos do modo de segurança da BIOS por smart card não estão disponíveis até que o suporte de autenticação na inicialização por smart card seja ativado. 2. Ativar o modo de segurança da BIOS por smart card no Smart Card Security. Consulte a seção Ativação do modo de segurança da BIOS por smart card e definição da senha de administrador do smart card, posteriormente neste capítulo. 3. Definir a senha de administrador do smart card. A senha de administrador do smart card é definida como parte do processo de ativação do modo de segurança da BIOS por smart card. A senha de administrador do smart card não é a mesma senha de configuração do Computer Setup. A senha de administrador do smart card conecta o smart card ao computador para fins de identificação, e permite também fazer o seguinte: Acessar o Computer Setup ou o conteúdo do computador. Criar novos smart cards de administrador e de usuário. Guia de Referência 2 3
Smart Card Security para ProtectTools Criar um arquivo de recuperação para restaurar um smart card de administrador ou de usuário. Ativação do modo de segurança da BIOS por smart card e definição da senha de administrador do smart card Para ativar o modo de segurança da BIOS por smart card e definir a senha de administrador do smart card: 2. No painel esquerdo, selecione Smart Card Security e, em seguida, selecione BIOS. 3. No painel direito, em Modo de Segurança da BIOS, clique em Ativar. 4. Clique em Avançar. 5. Insira a senha de configuração do Computer Setup no prompt e clique em Avançar. 6. Insira o novo smart card de administrador e siga as instruções na tela. As instruções variam e podem incluir as seguintes tarefas: Inicialização do smart card. Consulte Inicialização do smart card para obter instruções detalhadas. Configuração da senha de administrador do smart card. Consulte Armazenamento da senha de cartão de administrador ou de usuário para obter instruções detalhadas. Criação de um arquivo de recuperação. Consulte Criação de um arquivo de recuperação para obter instruções detalhadas. Guia de Referência 2 4
Smart Card Security para ProtectTools Desativação do modo de segurança da BIOS por Smart Card Ao desativar o modo de segurança da BIOS por smart card, as senhas de administrador e de usuário do smart card são desativadas, e a utilização do smart card não é mais necessária para acessar o computador. Se o modo de segurança da BIOS por smart card tiver sido ativado anteriormente, o botão na página "Smart Card Security BIOS" é alterado para Desativar. Para desativar a segurança por smart card: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione BIOS. 3. No painel direito, em Modo de Segurança da BIOS, clique em Desativar. 4. Insira o cartão que contém a senha atual de administrador do smart card e, em seguida, clique em Avançar. 5. Insira o PIN do smart card no prompt e clique em Concluir. Guia de Referência 2 5
Smart Card Security para ProtectTools Alteração da senha de administrador do smart card A senha de administrador do smart card é definida como parte do processo de ativação do modo de segurança da BIOS por smart card. É possível alterar a senha de administrador do smart card após ela ter sido definida. Consulte Modo de segurança da BIOS por Smart Card, anteriormente neste capítulo, para obter mais informações sobre a senha de administrador do smart card. O procedimento a seguir atualiza a senha de administrador do smart card armazenada no cartão e no Computer Setup. Para alterar a senha de administrador do smart card: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione BIOS. 3. No painel direito, em Modo de Segurança da BIOS e, próximo a Cartão de administrador da BIOS, clique em Alterar 4. Insira o PIN do smart card e clique em Avançar. 5. Insira o novo cartão de administrador e clique em Avançar. 6. Insira o PIN do smart card e clique em Concluir. Guia de Referência 2 6
Smart Card Security para ProtectTools Configuração e alteração da senha de usuário do Smart Card Para definir ou alterar a senha de usuário do smart card: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione BIOS. 3. No painel direito, em Modo de Segurança da BIOS, próximo a Cartão de usuário da BIOS, clique no botão Definir. Se já houver uma senha de usuário no Computer Setup, clique no botão Alterar. 4. Insira o PIN do smart card e clique em Avançar. 5. Insira o novo cartão de usuário e clique em Avançar. Se já houver uma senha de usuário no cartão, a caixa de diálogo Concluir será exibida. Pule as etapas 6 a 8 e vá para a etapa 9. Se não houver uma senha de usuário no cartão, o Assistente de Senha da BIOS será aberto. 6. No Assistente de Senha da BIOS, é possível: Inserir uma senha manualmente. Gerar uma senha aleatória de 32 bits. A utilização de uma senha conhecida permite a criação de cartões duplicados sem o uso de um arquivo de recuperação. A geração de uma senha aleatória oferece mais segurança; entretanto, é preciso um arquivo de recuperação para fazer cartões de backup. Guia de Referência 2 7
Smart Card Security para ProtectTools 7. Em Requisitos de Inicialização, marque a caixa de seleção se exigir que o PIN do smart card seja inserido na inicialização. Se não for necessário que o PIN do smart card seja inserido na inicialização, deixe a caixa de seleção desmarcada. 8. Insira o PIN do smart card e clique em OK. O sistema lhe pede para criar um arquivo de recuperação. É altamente recomendável que você crie um arquivo de recuperação. Para obter mais informações, consulte Criação de um arquivo de recuperação, posteriormente neste capítulo. 9. Insira o PIN do smart card na caixa de diálogo Concluir e, em seguida, clique em Concluir. Armazenamento da senha de cartão de administrador ou de usuário Se desejar criar um cartão de backup e já tiver definido a senha de administrador, é possível armazenar a senha no novo cartão. ÄCUIDADO: Esse procedimento atualiza somente a senha no cartão e não no Computer Setup. Não será possível acessar o computador com o novo cartão. Para armazenar a senha de cartão de administrador ou de usuário: 1. Insira um smart card no leitor. 2. Selecione Iniciar > Todos os programas > HP 3. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione BIOS. Guia de Referência 2 8
Smart Card Security para ProtectTools 4. No painel direito, em Senha da BIOS no Smart Card, clique em Armazenar. 5. No Assistente de Senha da BIOS, é possível: Inserir uma senha manualmente. Gerar uma senha aleatória de 32 bits. A utilização de uma senha conhecida permite a criação de cartões duplicados sem o uso de um arquivo de recuperação. A geração de uma senha aleatória oferece mais segurança; entretanto, é preciso um arquivo de recuperação para fazer cartões de backup. 6. Em Privilégios de Acesso, clique em Administrador ou Usuário para o tipo de cartão. 7. Em Requisitos de Inicialização, marque a caixa de seleção se exigir que o PIN do smart card seja inserido na inicialização. Se não for necessário que o PIN do smart card seja inserido na inicialização, deixe a caixa de seleção desmarcada. 8. Insira o PIN do smart card e clique em OK. 9. Insira o PIN do smart card novamente na caixa de diálogo Concluir e, em seguida, clique em Concluir. O sistema lhe pede para criar um arquivo de recuperação. É altamente recomendável que você crie um arquivo de recuperação do smart card. Para obter mais informações, consulte Criação de um arquivo de recuperação, posteriormente neste capítulo. Guia de Referência 2 9
Smart Card Security para ProtectTools Tarefas gerais Atualização das configurações do Smart Card na BIOS Para exigir um PIN do smart card quando reiniciar o computador: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione BIOS. 3. No painel direito, em Propriedades da Senha da BIOS no Smart Card, clique em Configurações. 4. Marque a caixa de seleção para exigir um PIN na reinicialização. Para cancelar este requisito, desmarque a caixa de seleção. 5. Insira o PIN do smart card e clique em OK. Seleção do leitor de Smart Card Verifique se o leitor de smart card correto está selecionado no Smart Card Security antes de usar o smart card. Se o leitor correto não estiver selecionado no Smart Card Security, alguns dos recursos podem não ficar disponíveis ou serem exibidos incorretamente. Para selecionar o leitor de smart card: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione Geral. 3. No painel direito, em Leitor de Smart Card, selecione o leitor correto. Guia de Referência 2 10
Smart Card Security para ProtectTools 4. Insira o smart card no leitor. A informação no leitor é automaticamente atualizada. Alteração do PIN do Smart Card Para alterar o PIN do smart card: 2. No painel esquerdo, selecione Smart Card Security, e, em seguida, selecione Smart Card. 3. No painel direito, em Alterar PIN, clique em Alterar PIN. 4. Digite o PIN atual do smart card. 5. Defina e confirme o novo PIN. 6. Clique em OK na caixa de diálogo de confirmação. Backup e restauração de Smart Cards Após a inicialização de um smart card e estando ele pronto para uso, é altamente recomendável que você crie um arquivo de recuperação do smart card. O arquivo de recuperação pode ser usado para transferir os dados do smart card de um smart card para outro smart card. Este arquivo também pode ser usado para fazer o backup do smart card original ou para restaurar os dados quando um smart card for perdido ou roubado. ÄCUIDADO: Para evitar a existência de um arquivo de recuperação que não corresponde a um smart card com informações atualizadas, crie imediatamente um novo arquivo de recuperação e guarde-o em local seguro. Se mantiver um smart card de backup, é preciso também atualizar suas informações, restaurando o novo arquivo de recuperação do smart card de backup. Guia de Referência 2 11
Smart Card Security para ProtectTools Criação de um arquivo de recuperação Para criar um arquivo de recuperação: 2. No painel esquerdo, selecione Smart Card Security e, em seguida, selecione Smart Card. 3. No painel direito, em Recuperar, clique em Criar. 4. Insira o PIN do smart card e clique em OK. 5. Digite o caminho e o nome do arquivo na caixa Nome de arquivo. Para evitar perda de acesso ao computador, não salve o Ä arquivo de recuperação na unidade de disco rígido do computador; você não poderá acessar o arquivo sem o smart card. Além disso, um arquivo de recuperação salvo na unidade de disco rígido pode ser acessado por outras pessoas, representando um risco à segurança. 6. Defina e confirme uma senha de arquivo de recuperação e, em seguida, clique em OK. ÄCUIDADO: Para evitar que os dados do arquivo de recuperação do smart card sejam perdidos, não esqueça a senha do arquivo de recuperação. Não é possível recriar seu cartão a partir do arquivo de recuperação, se a senha for esquecida. Guia de Referência 2 12
Smart Card Security para ProtectTools Restauração de dados do Smart Card É possível restaurar os dados do smart card a partir do arquivo de recuperação. Isto é especialmente útil se um smart card foi perdido ou roubado, ou se você deseja criar um smart card de backup. Se você usa um smart card contendo dados salvos anteriormente, os dados serão sobrescritos. Antes de começar, será necessário o seguinte: Acesso ao computador com o software Smart Card Security instalado Arquivo de recuperação do smart card Senha do arquivo de recuperação do smart card Smart card Para restaurar um smart card: 2. No painel esquerdo, selecione Smart Card Security e, em seguida, selecione Smart Card. 3. Insira o disquete ou outra mídia que contenha o arquivo de recuperação do smart card. 4. Insira um smart card no leitor. Se o cartão não for inicializado, você será solicitado a inicializá-lo. Para obter instruções detalhadas sobre a inicialização do smart card, consulte Inicialização do smart card, anteriormente neste capítulo. 5. No painel direito, em Recuperar, clique em Restaurar. 6. Verifique se o nome do arquivo de recuperação correto está selecionado e insira a senha do arquivo de recuperação. 7. Insira o PIN do smart card. 8. Clique em OK. O conteúdo do smart card original é restaurado para o novo smart card. Guia de Referência 2 13
Smart Card Security para ProtectTools Criação de um Smart Card de backup É altamente recomendável que você crie smart cards duplicados para fins de backup. Podem ser usados dois métodos para criar um cartão de backup, dependendo se a senha do smart card foi gerada de forma manual ou aleatória. Para criar um smart card de substituição com uma senha de smart card gerada aleatoriamente:» Insira um smart card no leitor e, em seguida, carregue nele o arquivo de recuperação apropriado. Para obter mais informações, consulte Restauração de dados do Smart Card, anteriormente neste capítulo. Para criar um smart card de substituição com uma senha de smart card gerada manualmente: 1. Inicialização de um novo smart card. Para obter instruções, consulte "Inicialização do smart card, anteriormente neste capítulo. 2. Armazene a senha do cartão de administrador ou usuário no novo smart card. Para obter instruções, consulte Armazenamento da senha de cartão de administrador ou de usuário, anteriormente neste capítulo. Guia de Referência 2 14
3 Java Card Security para ProtectTools Conceitos básicos O Java Card Security para ProtectTools gerencia a definição e configuração do Java Card para computadores equipados com um leitor de smart card opcional. Com o Java Card Security, é possível: Acessar recursos de segurança do Java Card. Trabalhar com o utilitário Computer Setup para ativar a autenticação de Java Card em um ambiente de inicialização, e configurar Java Cards separados para um administrador e um usuário. Isto requer que um usuário insira o Java Card e digite um PIN para permitir que o sistema operacional seja carregado. Definir e alterar o PIN usado para autenticar usuários do Java Card. Fazer o backup e restaurar dados de autenticação de inicialização no Java Card. Guia de Referência 3 1
Java Card Security para ProtectTools Tarefas gerais A página "Geral"permite executar as seguintes tarefas: Alterar o PIN de um Java Card Selecionar o leitor de Smart Card O leitor de smart card usa igualmente Java Cards e smart cards. Este recurso está disponível se você tiver mais de um leitor de smart card no computador. Alterar o PIN de um Java Card Para alterar o PIN de um Java Card: O PIN do Java Card precisa conter entre 4 e 8 caracteres numéricos. 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Geral. 3. Insira um Java Card (com um PIN existente) no leitor de smart card. 4. No painel direito, clique em Alterar. 5. Na caixa de diálogo Alterar PIN, insira o PIN atual na caixa PIN Atual. 6. Insira um novo PIN na caixa Novo PIN e, em seguida, insira o PIN novamente na caixa Confirmar Novo PIN. 7. Clique em OK. Guia de Referência 3 2
Java Card Security para ProtectTools Seleção do leitor de Smart Card Certifique-se de que o leitor correto de smart card esteja selecionado no Java Card Security antes de usar o Java Card. Se o leitor correto não estiver selecionado no Java Card Security, alguns recursos talvez não fiquem disponíveis ou sejam exibidos incorretamente. Para selecionar o leitor de smart card: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Geral. 3. Insira o Java Card no leitor de smart card. 4. No painel direito, em Leitor de Smart Card, selecione o leitor correto. Guia de Referência 3 3
Java Card Security para ProtectTools Tarefas avançadas (somente administradores) A página "Avançado" permite executar as seguintes tarefas: Atribuir o PIN de um Java Card Atribuir um nome para um Java Card Definir a autenticação na inicialização Fazer backup e restaurar Java Cards Você deve ter uma senha de configuração no Computer Setup para poder chegar à página "Avançado. Atribuição de um PIN ao Java Card Você deve atribuir um PIN a um Java Card para ele poder ser usado para autenticação de inicialização. Para atribuir um PIN a um Java Card: O PIN do Java Card precisa conter entre 4 e 8 caracteres numéricos. 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Geral. 3. Insira um novo Java Card no leitor de smart card. 4. Quando a caixa de diálogo Alterar PIN abrir, insira um novo PIN na caixa Novo PIN e, em seguida, insira o PIN novamente na caixa Confirmar Novo PIN. 5. Clique em OK. Guia de Referência 3 4
Java Card Security para ProtectTools Atribuição de um nome para um Java Card Você deve atribuir um nome a um Java Card para ele poder ser usado para autenticação de inicialização. Para atribuir um nome para um Java Card: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Configurar Senha for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. Insira o Java Card no leitor de smart card. Se você não atribuiu um PIN a este cartão, a caixa de diálogo Alterar PIN é aberta, permitindo que você insira um novo PIN. 5. No painel direito, em Nome do Java Card, clique em Alterar. 6. Insira um nome para o Java Card na caixa Nome. 7. Insira o PIN atual do Java Card na caixa PIN. 8. Clique em OK. Guia de Referência 3 5
Java Card Security para ProtectTools Definição da autenticação na inicialização Ao ser ativada, a autenticação na inicialização requer a utilização de um Java Card para iniciar o computador. O processo de ativar a autenticação na inicialização por Java Card compreende as seguintes etapas: 1. Ativar o suporte de autenticação na inicialização por Java Card na BIOS Configuration ou Computer Setup. Consulte Ativação e desativação do suporte de autenticação na inicialização por Smart Card ou Java Card, no Capítulo 5, "BIOS Configuration para ProtectTools. 2. Ativar autenticação na inicialização por Java Card no Java Card Security. Consulte Ativação de autenticação na inicialização por Java Card e criação de um Java Card de administrador, posteriormente neste capítulo. 3. Criar e ativar o Java Card do administrador. Guia de Referência 3 6
Java Card Security para ProtectTools Ativação de autenticação na inicialização por Java Card e criação de um Java Card de administrador Para ativar a autenticação na inicialização por Java Card: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Senha do Computer Setup for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. Insira o Java Card no leitor de smart card. Se você não atribuiu um PIN a este cartão, a caixa de diálogo Alterar PIN é aberta, permitindo que você insira um novo PIN. 5. No painel direito, em Autenticação na inicialização, clique na caixa de seleção Ativar. 6. Se você não tiver o DriveLock ativado, insira o PIN do Java Card e, em seguida, clique em OK. ou Se você tiver realmente o DriveLock ativado: a. Selecione Tornar a identidade do Java Card exclusiva. ou Selecione Tornar a identidade do Java Card igual à senha do DriveLock. Se o DriveLock estiver ativado no computador, você pode definir a identidade do Java Card igual à senha de usuário do DriveLock, o que lhe permite validar igualmente o DriveLock e o Java Card usando apenas o Java Card ao iniciar o computador. Guia de Referência 3 7
Java Card Security para ProtectTools b. Se for válido, insira sua senha de usuário do DriveLock na caixa Senha do DriveLock e, em seguida, insira-a novamente na caixa Confirmar senha. c. Insira o PIN do Java Card. d. Clique em OK. 7. Quando lhe for solicitado para criar um arquivo de recuperação, consulte Criação de um arquivo de recuperação, ou você pode clicar em Cancelar e criar um arquivo de recuperação posteriormente. Criação de um Java Card de usuário Para criar um Java Card de usuário, a autenticação na inicialização e um cartão de administrador devem ser configurados. Para criar um Java Card de usuário: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Configurar Senha for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. Insira o Java Card que será usado como um cartão de usuário. 5. No painel direito, em Autenticação na inicialização, clique em Criar, próximo a Identidade do cartão do usuário. 6. Insira um PIN para o Java Card do usuário e, em seguida, clique em OK. Guia de Referência 3 8
Java Card Security para ProtectTools Desativação da autenticação na inicialização por Java Card Ao desativar a autenticação na inicialização por Java Card, o uso do Java Card não é mais necessário para acessar o computador. Para desativar a autenticação na inicialização por Java Card: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Configurar Senha for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. Insira o Java Card, insira o PIN e, em seguida, clique em OK. 5. No painel direito, em Autenticação na inicialização, desmarque a caixa de seleção Ativar. Guia de Referência 3 9
Java Card Security para ProtectTools Backup e restauração de Java Cards Após você ter atribuído a identidade da autenticação na inicialização a um Java Card, recomenda-se veementemente que você crie um arquivo de recuperação de Java Card. O arquivo de recuperação pode ser usado para transferir os dados de identidade da autenticação na inicialização de um Java Card para outro Java Card. Este arquivo também pode ser usado para fazer o backup do Java Card original ou para restaurar os dados quando um Java Card for perdido ou roubado. ÄCUIDADO: Para evitar a existência de um arquivo de recuperação que não corresponde a um Java Card com informações atualizadas, crie imediatamente um novo arquivo de recuperação em mídia removível, e guarde-o em local seguro. Se mantiver um Java Card de backup, é preciso também atualizar as informações no Java Card de backup, restaurando o novo arquivo de recuperação no Java Card de backup. Criação de um arquivo de recuperação Para criar um arquivo de recuperação: 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Configurar Senha for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. No painel direito, em Recuperar, clique em Criar. Guia de Referência 3 10
Java Card Security para ProtectTools 5. Digite o caminho e o nome do arquivo na caixa Nome de arquivo. Para evitar perda de acesso ao computador, não salve o Ä arquivo de recuperação na unidade de disco rígido do computador; você não poderá acessar o arquivo sem o Java Card. Além disso, um arquivo de recuperação salvo na unidade de disco rígido pode ser acessado por outras pessoas, representando um risco à segurança. 6. Insira uma senha de arquivo de recuperação na caixa Senha de arquivo de recuperação e, em seguida, insira-a novamente na caixa Confirmar senha. 7. Insira o PIN do Java Card e, em seguida, clique em OK. ÄCUIDADO: Para evitar a perda dos dados do arquivo de recuperação do Java Card, não esqueça a senha do arquivo de recuperação. Não é possível recriar seu cartão a partir do arquivo de recuperação, se a senha for esquecida. Restauração dos dados do Java Card É possível restaurar os dados do Java Card a partir do arquivo de recuperação. Isto é especialmente útil se um cartão foi perdido ou roubado, ou se você deseja criar um Java Card de backup. Se você usa um cartão contendo dados salvos anteriormente, os dados serão sobrescritos. Antes de começar, será necessário o seguinte: Acesso ao computador com o software Java Card Security instalado Arquivo de recuperação do Java Card Senha do arquivo de recuperação do Java Card Java Card Para restaurar um Java Card: Guia de Referência 3 11
Java Card Security para ProtectTools 2. No painel esquerdo, selecione Java Card Security e, em seguida, selecione Avançado. 3. Quando a caixa de diálogo Configurar Senha for exibida, insira sua senha de configuração no Computer Setup e, em seguida, clique em OK. 4. Insira o disquete ou outra mídia que contenha o arquivo de recuperação do Java Card. 5. Insira um Java Card no leitor. Se um PIN não tiver sido atribuído ao cartão, você será solicitado a criar um PIN. Para obter instruções detalhadas sobre a atribuição de um PIN ao Java Card, consulte Atribuição de um PIN ao Java Card, anteriormente neste capítulo. 6. No painel direito, em Recuperar, clique em Restaurar. 7. Verifique se o nome do arquivo de recuperação correto está selecionado e insira a senha do arquivo de recuperação. 8. Insira o PIN do Java Card. 9. Clique em OK. O conteúdo do Java Card original é restaurado para o novo Java Card. Criação de um Java Card de backup É altamente recomendável que você crie Java Cards duplicados para fins de backup. Para criar um Java Card de substituição:» Insira um Java Card no leitor e, em seguida, carregue nele o arquivo de recuperação apropriado. Para obter mais informações, consulte Restauração dos dados do Java Card, anteriormente neste capítulo. Guia de Referência 3 12
4 Embedded Security para ProtectTools Conceitos básicos O chip de segurança integrado Trusted Platform Module (TPM) deve ser instalado no computador para utilização do Embedded Security para ProtectTools. O Embedded Security para ProtectTools protege contra o acesso não autorizado a dados ou credenciais do usuário. Este módulo de software fornece os seguintes recursos de segurança: Criptografia de pasta e de arquivo Enhanced Microsoft Encryption File System (EFS - Sistema de criptografia de arquivo aprimorado pela Microsoft) Criação de uma unidade pessoal protegida (PSD) para proteção de dados do usuário Funções de gerenciamento de dados, como backup e restauração da hierarquia principal Suporte para aplicativos de terceiros (como Microsoft Outlook e Internet Explorer) para operações de certificado digital protegidas ao utilizar o software Embedded Security. Guia de Referência 4 1
Embedded Security para ProtectTools O chip de segurança integrado TPM aprimora e ativa outros recursos de segurança do Por exemplo, o Credential Manager para ProtectTools pode usar o chip integrado como um fator de autenticação quando o usuário faz login no Windows. Em determinados modelos, o chip de segurança integrado TPM também ativa recursos de segurança aprimorados da BIOS acessados através do BIOS Configuration para ProtectTools. Procedimentos de configuração ÄCUIDADO: Para reduzir o risco à segurança, é altamente recomendável que o administrador de TI inicialize imediatamente o chip de segurança integrado. Não inicializar o chip de segurança integrado pode fazer com que um usuário não autorizado, um invasor de computador ou um vírus tome conta do computador e obtenha controle sobre as tarefas do proprietário, como o manuseio do arquivo de recuperação de emergência e a definição de configurações de acesso do usuário. Siga as etapas nas duas seções adiante para ativar e inicializar o chip de segurança integrado. Ativação do chip de segurança integrado O chip de segurança integrado deve ser ativado no utilitário Computer Setup. Este procedimento não pode ser executado no BIOS Configuration para ProtectTools. Para ativar o chip de segurança integrado. 1. Abra o utilitário Computer Setup ligando ou reiniciando o computador e, em seguida, pressione f10 enquanto a mensagem F10 = ROM Based Setup for exibida no canto inferior esquerdo da tela. 2. Se uma senha de configuração não tiver sido definida, use as teclas de seta para selecionar Segurança > Senha de configuração e, em seguida, pressione Enter. Guia de Referência 4 2
Embedded Security para ProtectTools 3. Digite a senha nas caixas Nova senha e Confirmar nova senha e, em seguida, pressione f10. 4. No menu Segurança, use as teclas de seta para selecionar TPM Embedded Security, e, em seguida, pressione Enter. 5. Em Embedded Security, se o dispositivo estiver oculto, selecione Disponível. 6. Selecione Estado do dispositivo de segurança integrado e altere para Ativar. 7. Pressione f10 para aceitar as alterações na configuração do Embedded Security. 8. Para salvar suas preferências e sair do Computer Setup, use as teclas de seta para selecionar Arquivo > Salvar alterações e sair. Siga as instruções na tela. Inicialização do Chip de Segurança Integrado No processo de inicialização do Embedded Security, você irá: Definir uma senha de proprietário para o chip de segurança integrado que protege o acesso a todas as funções do proprietário do chip de segurança integrado. Configurar o arquivo de recuperação de emergência, que é uma área de armazenamento protegida que permite nova criptografia das chaves de usuário básico para todos os usuários. Para inicializar o chip de segurança integrado: 1. Clique com o botão direito no ícone ProtectTools Security Manager na área de notificação, na extremidade direita da barra de tarefas e, em seguida, selecione Inicialização do Embedded Security. O Assistente de Inicialização do Embedded Security para ProtectTools é exibido. 2. Clique em Avançar. Guia de Referência 4 3
Embedded Security para ProtectTools 3. Defina e confirme uma senha de proprietário e, em seguida, clique em Avançar. A caixa de diálogo Recuperação de emergência da configuração é exibida. 4. Clique em Avançar para aceitar a localização padrão do arquivo de recuperação, ou clique no botão Procurar para escolher uma localização diferente, e clique em Avançar. 5. Defina e confirme a senha de token de recuperação de emergência e, em seguida, clique em Avançar. 6. Clique em Procurar e selecione a localização para o arquivo de recuperação de emergência e, em seguida, clique em Avançar. 7. Clique em Avançar na página Sumário. Se não desejar configurar uma conta de usuário básico neste momento, desmarque a caixa de seleção Iniciar o Assistente de Inicialização do Usuário do Embedded Security e, em seguida, clique em Concluir. É possível iniciar o assistente manualmente em qualquer momento para configurar uma conta de usuário básico, seguindo as instruções fornecidas na próxima seção. Se desejar configurar uma conta de usuário básico, marque a caixa de seleção Iniciar o Assistente de Inicialização do Usuário do Embedded Security e, em seguida, clique em Concluir. O Assistente de Inicialização do Usuário do Embedded Security é exibido. Consulte as instruções na próxima seção para obter mais detalhes. Guia de Referência 4 4
Embedded Security para ProtectTools Configuração da conta de usuário básico Configuração de uma conta de usuário básico no Embedded Security: Produz uma chave de usuário básico que protege os dados criptografados, e define uma senha de chave de usuário básico para proteger a chave de usuário básico. Configura uma unidade pessoal protegida (PSD) para armazenamento de pastas e arquivos criptografados. ÄCUIDADO: Proteja a senha de chave de usuário básico. Os dados criptografados não podem ser acessados ou recuperados sem essa senha. Para configurar uma conta de usuário básico e ativar os recursos de segurança do usuário: 1. Se o Assistente de Inicialização do Usuário do Embedded Security não estiver aberto, selecione Iniciar > Todos os programas > HP 2. No painel esquerdo, selecione Embedded Security e, em seguida, selecione Configurações do Usuário. 3. No painel direito, em Recursos do Embedded Security, clique em Configurar. O Assistente de Inicialização do Usuário do Embedded Security é exibido. 4. Clique em Avançar. 5. Defina e confirme a senha de chave de usuário básico e, em seguida, clique em Avançar. 6. Clique em Avançar para confirmar as configurações. 7. Selecione os recursos de segurança desejados e, em seguida, clique em Avançar. 8. Clique em Avançar novamente. Guia de Referência 4 5
Embedded Security para ProtectTools Para usar e-mail protegido, é preciso primeiro configurar o cliente de e-mail para usar um certificado digital criado com o Embedded Security. Se não houver um certificado digital disponível, é preciso obter um de uma autoridade de certificação. Para obter instruções sobre a configuração de seu e-mail e a obtenção de um certificado digital, consulte a Ajuda on-line do cliente de e-mail. 9. Se houver mais de um certificado de criptografia, selecione o certificado apropriado e, em seguida, clique em Avançar. 10. Selecione a letra de unidade e o rótulo para sua PSD, em seguida clique em Avançar. 11. Selecione o tamanho e a localização da PSD e, em seguida, clique em Avançar. 12. Clique em Avançar na página Sumário. 13. Clique em Concluir. Guia de Referência 4 6
Embedded Security para ProtectTools Tarefas gerais Após a configuração da conta de usuário básico, é possível executar as seguintes tarefas: Criptografar arquivos e pastas Enviar e receber e-mail criptografado Utilização da Unidade Pessoal Protegida Após configurar a PSD, no próximo login é solicitada a inserção da senha de chave de usuário básico. Se a senha de chave de usuário básico for inserida corretamente, é possível acessar a PSD diretamente do Windows Explorer. Criptografia de arquivos e pastas Ao trabalhar no Windows XP Professional com arquivos criptografados, considere as seguintes regras: Apenas arquivos e pastas em partições NTFS podem ser criptografados. Arquivos e pastas em partições FAT não podem ser criptografados. Arquivos de sistema e arquivos compactados não podem ser criptografados, e arquivos criptografados não podem ser compactados. Pastas temporárias devem ser criptografadas, porque interessam particularmente aos hackers. Uma política de recuperação é automaticamente configurada quando um arquivo ou pasta é criptografado pela primeira vez. Essa política garante que se os certificados de criptografia e as chaves de privacidade forem perdidas, será possível usar um agente de recuperação para descriptografar os dados. Guia de Referência 4 7