Deployment Guide
Glossário
Advanced Authentication - O produto Advanced Authentication fornece opções de leitor de cartão inteligente. O Advanced Authentication
ajuda a gerenciar esses diversos métodos de autenticação, oferece suporte a login com unidades de criptografia automática, SSO e
gerencia credenciais e senhas de usuário.
Senha de administrador de criptografia (EAP) - A EAP é uma senha administrativa exclusiva de cada computador. A maioria das
configurações feitas no Console de gerenciamento local exige essa senha. Essa senha também é a mesma senha necessária para usar o
seu arquivo LSARecovery_[hostname].exe para recuperar dados. Anote e guarde essa senha em um local seguro.
Cliente Encryption - O cliente Encryption é o componente presente no dispositivo que impõe as políticas de segurança,
independentemente de o endpoint estar conectado ou não à rede e de ter sido perdido ou roubado. Criando um ambiente de computação
confiável para endpoints, o cliente Encryption opera como uma camada acima do sistema operacional do dispositivo e fornece
autenticação imposta de forma sistemática, criptografia e autorização, para maximizar a proteção de informações confidenciais.
Chaves de criptografia - Na maioria dos casos, o Encryption usa a chave de usuário e mais duas chaves de criptografia adicionais.
Entretanto, existem exceções: todas as políticas do SDE e a política Proteger credenciais do Windows usam a chave do SDE. As políticas
Criptografar arquivo de paginação do Windows e Proteger arquivo de hibernação do Windows usam suas próprias chaves, a Chave de uso
geral (GPK - General Purpose Key). A chave de criptografia Comum torna os arquivos acessíveis a todos os usuários gerenciados no
dispositivo em que foram criados. A chave de criptografia de Usuário torna os arquivos acessíveis apenas para o usuário que os criou,
apenas no dispositivo em que foram criados. A chave de criptografia de Roaming de usuário torna os arquivos acessíveis apenas ao usuário
que os criou, em qualquer dispositivo protegido do Windows ou Mac.
Varredura de criptografia - O processo de verificar as pastas a serem criptografadas para garantir que os arquivos contidos nelas estejam
no estado de criptografia adequado. As operações habituais de criação de arquivo e alteração de nome não acionam uma varredura de
criptografia. É importante entender quando uma varredura de criptografia pode ocorrer e o que pode influenciar os tempos de varredura
resultantes, da seguinte forma: - Uma varredura de criptografia ocorre após o recebimento inicial de uma política com criptografia ativada.
Isso pode ocorrer imediatamente após a ativação se sua política tiver criptografia ativada. - Se a política Verificar estação de trabalho no
log-on estiver ativada, as pastas especificadas para criptografia são verificadas toda vez que o usuário fizer log-on. - Uma varredura pode
ser acionada novamente por certas mudanças de política subsequentes. Qualquer mudança de política relacionada à definição das pastas
de criptografia, algoritmos de criptografia e uso de chave de criptografia (comum x usuário) ativa uma varredura. Além disso, alternar
entre a ativação e a desativação da criptografia aciona uma varredura de criptografia.
Autenticação de pré-inicialização (PBA) - A autenticação de pré-inicialização serve como uma extensão do BIOS ou do firmware de
inicialização e garante um ambiente seguro e à prova de falsificação externo ao sistema operacional, como uma camada de autenticação
confiável. A PBA impede a leitura de qualquer informação do disco rígido, como o sistema operacional, até o usuário confirmar que tem as
credenciais corretas.
Logon único (SSO) - o SSO simplifica o processo de logon quando a autenticação multifatores está ativada, tanto na pré-inicialização
como no logon do Windows. Se ativado, a autenticação será necessária na pré-inicialização apenas, e os usuários serão automaticamente
conectados ao Windows. Se não estiver ativado, a autenticação talvez seja necessária mais de uma vez.
System Data Encryption (SDE) - O SDE foi projetado para criptografar arquivos do sistema operacional e de programas. Para atingir este
objetivo, o SDE precisa ser capaz de abrir sua chave enquanto o sistema operacional estiver sendo inicializado. A intenção é evitar que um
invasor altere ou ataque o sistema operacional off-line. O SDE não se destina a dados de usuário. Criptografia comum e de chave de
usuário são destinadas a dados confidenciais do usuário, pois exigem uma senha de usuário para desbloquear as chaves de criptografia. As
políticas de SDE não criptografam os arquivos necessários para que o sistema operacional comece o processo de inicialização. As políticas
de SDE não exigem autenticação de pré-inicialização e não interferem no Registro mestre de inicialização de nenhuma forma. Quando o
computador é inicializado, os arquivos criptografados ficam disponíveis antes de qualquer usuário fazer login (para ativar ferramentas de
backup e recuperação, SMS e gerenciamento de patches). Desativar o SDE aciona a descriptografia automática de todos os arquivos e
diretórios criptografados do SDE para os usuários relevantes, independentemente de outras políticas de SDE, como, por exemplo, Regras
de criptografia SDE.
Módulo TPM (Trusted Platform Module - Módulo de plataforma confiável) – É um chip de segurança com três funções principais:
armazenamento seguro, medição e confirmação. O cliente Encryption usa o TPM para sua função de armazenamento seguro. O TPM
pode também fornecer recipientes criptografados para o vault de software.
13
90 Glossário