Deployment Guide
Glossário
Advanced Authentication - O produto Advanced Authentication fornece opções de leitor de Smart Card. O Advanced Authentication ajuda
a gerir estes vários métodos de autenticação, suporta o início de sessão com unidades de encriptação automática, SSO e gere as
credenciais e palavras-passe do utilizador.
Palavra-passe de administrador para encriptação (EAP) - A EAP é uma palavra-passe administrativa exclusiva de cada computador. A
maioria das alterações à configuração efetuadas na Consola de gestão local requerem esta palavra-passe. Esta é também a mesma
palavra-passe que é necessária para usar o ficheiro LSARecovery_[hostname].exe para recuperar dados. Registe e guarde esta palavra-
passe num local seguro.
Encryption Client - O Encryption Client é o componente no dispositivo que aplica as políticas de segurança, quer o endpoint esteja ligado à
rede, desligado da rede, ou seja perdido ou roubado. Ao criar um ambiente de computação fidedigno para endpoints, o cliente Encryption
funciona como uma camada no topo do sistema operativo do dispositivo e proporciona autenticação, encriptação e autorização aplicadas
de forma consistente para maximizar a proteção de informações sensíveis.
Chaves de encriptação - Na maioria dos casos, o Encryption utiliza a chave de encriptação de Utilizador em conjunto com duas chaves de
encriptação adicionais. No entanto, existem exceções: Todas as políticas de SDE e a política de Credenciais Seguras do Windows utilizam a
chave de SDE. A política de Encriptar ficheiro de paginação do Windows e a política de Ficheiro de hibernação seguro do Windows utilizam
a sua própria chave, a General Purpose Key (GPK). A chave de encriptação Comum torna os ficheiros acessíveis a todos os utilizadores
geridos no dispositivo em que foram criados. A chave de encriptação de Utilizador torna os ficheiros acessíveis apenas para o utilizador
que os criou, e apenas no dispositivo em que foram criados. A chave de encriptação de Roaming do utilizador torna os ficheiros acessíveis
apenas para o utilizador que os criou, em qualquer dispositivo Windows ou Mac encriptado.
Varrimento de encriptação - processo de análise das pastas a serem encriptadas para assegurar que os ficheiros contidos estão no estado
de encriptação adequado. As operações comuns de criação e mudança de nome de ficheiros não acionam um varrimento de encriptação.
É importante entender quando pode ocorrer um varrimento de encriptação e o que pode afetar os tempos de varrimento resultantes, da
seguinte forma: - Um varrimento de encriptação ocorre após a receção inicial de uma política com a encriptação ativada. Isto pode ocorrer
imediatamente depois da ativação se a sua política tem a encriptação ativada. - Se a política Analisar ambiente de trabalho ao iniciar
sessão estiver ativada, as pastas especificadas para a encriptação são submetidas a varrimento em cada início de sessão do utilizador. -
Um varrimento pode ser acionado novamente sob determinadas alterações de política subsequentes. Qualquer alteração de política
relacionada com a definição das pastas de encriptação, algoritmos de encriptação, utilização da chave de encriptação (utilizador de versos
comuns), aciona um varrimento. Adicionalmente, a alternância entre a encriptação ativada e desativada aciona um varrimento de
encriptação.
Autenticação de Pré-arranque (PBA) - A Autenticação de Pré-arranque funciona como uma extensão da BIOS ou do firmware de arranque
e garante um ambiente seguro, à prova de adulteração e externo ao sistema operativo como camada de autenticação fidedigna. A PBA
impede a leitura de quaisquer informações a partir do disco rígido, como o sistema operativo, até que o utilizador confirme ter as
credenciais corretas.
Início de sessão único (SSO) - O SSO simplifica o processo de início de sessão quando uma autenticação multi-factores é activada no pré-
arranque e no início de sessão do Windows. Se estiver ativado, a autenticação só é necessária no pré-arranque e os utilizadores iniciam a
sessão automaticamente no Windows. Se estiver desativado, a autenticação poderá ser necessária várias vezes.
System Data Encryption (SDE) - A SDE foi concebida para encriptar o sistema operativo e ficheiros de programas. Para concretizar este
objetivo, é necessário que a SDE consiga abrir a respetiva chave durante o arranque do sistema operativo. O seu objetivo é impedir
alterações ou ataques offline ao sistema operativo por um atacante. A SDE não se destina à encriptação de dados do utilizador. A
encriptação de chave Comum e de Utilizador destina-se a dados confidenciais do utilizador, uma vez que estes requerem uma palavra-
passe do utilizador para desbloquear as chaves de encriptação. As políticas de SDE não encriptam os ficheiros de que o sistema operativo
necessita para iniciar o processo de arranque. As políticas de SDE não requerem uma autenticação de pré-arranque, nem interferem, de
modo algum, com o Registo de Arranque Principal. Quando o computador arranca, os ficheiros encriptados estão disponíveis antes de
qualquer utilizador iniciar sessão (para ativar as ferramentas de cópia de segurança e recuperação, SMS e gestão de patches). Ao
desativar a SDE, é iniciada a desencriptação automática de todos os diretórios e ficheiros encriptados pela SDE para os utilizadores
aplicáveis, independentemente de outros valores de política de SDE, tais como as Regras de encriptação SDE.
TPM (Trusted Platform Module) – O TPM é um chip de segurança com três funções principais: armazenamento seguro, medição e
atestados. O cliente Encryption utiliza o TPM para a sua função de armazenamento seguro. O TPM pode também fornecer contentores
encriptados para o cofre do software.
13
92 Glossário