Guia do HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools) Business Desktops HP Compaq
© Copyright 2006 Hewlett-Packard Development Company, L.P. As informações contidas neste documento estão sujeitas à alterações sem aviso. Microsoft e Windows são marcar registradas da Microsoft Corporation nos Estados Unidos e outros países. Intel e SpeedStep são marcas registradas da Intel Corporation nos Estados Unidos e em outros países. As únicas garantias para produtos e serviços da HP são as estabelecidas nas declarações de garantia expressa que acompanham tais produtos e serviços.
Sobre este guia Este guia fornece instruções para a configuração e uso do gerenciador de segurança HP ProtectTools. AVISO! O texto apresentado dessa maneira indica que a não-observância das orientações poderá resultar em lesões corporais ou morte. CUIDADO O texto apresentado dessa maneira indica que a não-observância das orientações poderá resultar em danos ao equipamento ou perda de informações. Nota PTWW O texto apresentado dessa maneira oferece informação adicional importante.
iv Sobre este guia PTWW
Conteúdo 1 Introdução HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools) ............................. 1 Acesso ao HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools) ....................................................................................................................... 1 Entendendo as funções de segurança .................................................................................................
Conceitos básicos .............................................................................................................................. 19 6 Soluções de terceiros 7 HP Client Manager para Remote Deployment (Gerenciador de HP cliente para implementação remota) Histórico ............................................................................................................................................. 23 Inicialização ..........................................................................
1 Introdução HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools) O software ProtecTools Security Manager oferece os recursos de segurança que são projetados para ajudar na proteção contra acesso não autorizado ao computador, redes e dados críticos.
Entendendo as funções de segurança Ao administrar a segurança do computador (particularmente para grandes organizações) uma prática importante é dividir as responsabilidades e direitos entre vários tipos de administradores e usuários. Nota Em uma organização pequena, ou para uso individual, estas funções podem ser executadas pela mesma pessoa.
Tabela 1-1 Gerenciamento de senhas (continuação) computador durante sua ativação. O suporte à autenticação na ativação utiliza a senha básica de usuário do HP ProtectTools Embedded Security Uma vez ativada a autenticação na ativação no utilitário de configuração do computador, a senha é definida quando a primeira/próxima chave de usuário básico do Embedded Security é inicializada. O Chip TPM Embedded Security protege a senha de autenticação na ativação.
Tabela 1-1 Gerenciamento de senhas (continuação) funções de proprietário do Embedded Security Senha de login do Credential Manager Credential Manager Esta senha oferece 2 opções: ● Ela pode ser utilizada em vez do processo de login do Windows, permitindo o acesso ao Windows ao Credential Manager simultaneamente. ● Ela pode ser utilizada em vez do processo de login individual para acessar o Credential Manager, após fazer o login no Windows.
Tabela 1-1 Gerenciamento de senhas (continuação) PIN para Virtual Token Master Credential Manager Opção do cliente para armazenar credenciais do proprietário com o Credential Manager PIN de usuário para token virtual Credential Manager Opção do cliente para armazenar credenciais do proprietário com o Credential Manager Senha do assistente de backup de identidade Credential Manager, pelo administrador de TI Utilizado para proteger o acesso a um backup de identidade ao utilizar o Credential Manager S
6 ● Sempre que possível, misture caracteres e inclua caracteres especiais e marcas de pontuação. ● Substitua os caracteres especiais ou números por letras em uma palavra chave. Por exemplo, utilizar o número 1 para letras I ou L. ● Combina palavras de 2 ou mais idiomas. ● Divide uma palavra ou frase com números ou caracteres especiais no meio, por exemplo, “Mary22Cat45”. ● Não utilize uma senha que possa constar em um dicionário.
Tarefas avançadas Gerenciamento de configurações do ProtectTools Alguns dos recursos no ProtectTools Security Manager podem ser personalizados na configuração do BIOS. Ativar e desativar o suporte para autenticação por Java Card na ativação. Se esta opção estiver disponível, quando ativada, permite utilizar o Java Card para autenticação de usuário ao ligar o computador.
Nota Para desativar o suporte para autenticação na ativação para a segurança integarda, selecione Desativar. 6. Clique em Aplicar, depois clique em OK na janela ProtectTools para salvar suas alterações. Gerenciamento de senhas do utilitário de configuração Você pode utilizar a configuração do BIOS para definir e alterar as senhas de ativação e configuração no utilitário de configuração e também para gerenciar diversas configurações de senha.
3. No painel direito, próximo à Senha de ativação, clique em Alterar. 4. Digite a senha atual na caixa Senha atual. 5. Digite e confirme a nova senha nas caixas Nova senha e Confirme senha. 6. Clique em OK na caixa de diálogo Senhas. 7. Clique em Aplicar, depois clique em OK na janela ProtectTools para salvar suas alterações. Configuração de sistema 1. Inicializar o HP ProtectTools Embedded Security. 2. Inicializar chave de usuário básico.
Alteração de contas de usuário A autenticação na ativação oferece suporte apenas a um só usuário por vez. As seguintes etapas são utilizadas para alterar as contas de usuário que controlam a autenticação na ativação. 1. Navegue até F10 BIOS > Segurança > Dispositivo de embedded security > Restaurar a credencial de autenticação. 2. Pressione a tecla de seta para mover o cursor para os lados, depois pressione qualquer tecla para continuar. 3.
PTWW 6. Clique em OK na caixa de diálogo Senhas. 7. Clique em Aplicar, depois clique em OK na janela ProtectTools para salvar suas alterações.
Comportamento de ataque por dicionário com autenticação na ativação Um ataque por dicionário é um método utilizado para invadir sistemas de segurança, testando sistematicamente todas as senhas possíveis para acessar o sistema de segurança. Um ataque por dicionário contra a embedded security tentaria detectar a senha do proprietário, a senha básica de usuário ou chaves protegidas por senha. A embedded security oferece uma defesa contra ataques por dicionário.
2 HP para ProtectTools Conceitos básicos A configuração do BIOS para ProtectTools oferece o acesso às configurações de segurança e configuração do utilitário de configuração. Isso dá aos usuários Windows o acesso aos recursos de segurança do sistema que são gerenciados pelo utilitário de configuração. Com a , é possível ● Gerenciar as senhas de ativação e as senhas de administrador.
14 Capítulo 2 HP para ProtectTools PTWW
3 HP Embedded Security para ProtectTools Conceitos básicos Se disponível, o Embedded Security para ProtectTools protege contra o acesso não-autorizado aos dados ou credenciais do usuário. Este módulo oferece os seguintes recursos de segurança: ● Criptografia de arquivos e pastas pelo Enhanced Microsoft Encrypting File System (EFS). ● Criação de uma unidade segura pessoal (PSD) para criptografia de dados do usuário.
Procedimentos de configuração CUIDADO Para reduzir o risco de segurança, é altamente recomendável que o administrador de TI inicialize imediatamente o chip embedded security TPM. Se o chip embedded security TPM não for inicializado, um usuário não-autorizado ou worm de computador pode obter acesso ao mesmo, ou um vírus pode inicializar o chip embedded security TPM e restringir o acesso ao PC.
4 HP Credential Manager para ProtectTools Conceitos básicos O Credential Manager para ProtectTools possui recursos de segurança que oferecem um ambiente computacional seguro e conveniente: Estes recursos incluem: ● Alternativas de senhas quando efetuar o logon no Microsoft Windows, como a utilização de um Java Card ou leitor biométrico. ● Recurso de acesso único que lembra automaticamente as credenciais (IDs de usuário e senhas) para web sites, aplicativos e recursos de rede protegidos.
Acesso pela primeira vez Na primeira vez em que o Credential Manager é aberto, o usuário faz o logon com a senha de login normal do Windows. Uma conta Credential Manager é automaticamente criada com as credenciais de login do Windows. Após o login no Credential Manager, o usuário pode registrar credenciais adicionais, como uma impressão digital ou Java Card. No próximo login, é possível selecionar o criterio de login e utilizar qualquer combinação das credenciais registradas.
5 HP Java Card Security para ProtectTools Conceitos básicos O Java Card Security para ProtectTools gerencia a instalação e configuração do Java Card para computadores equipados com um leitor opcional de Java Card. Com a Java Card Security para ProtectTools, é possível: ● Acessar os recursos de segurança do Java Card. ● Inicializar um Java Card de forma que ele possa ser utilizado com outros módulos do ProtectTools, tais como o Credential Manager para ProtectTools.
20 Capítulo 5 HP Java Card Security para ProtectTools PTWW
6 Soluções de terceiros As plataformas que contém um TMP exigem ambos TGC Softawre Stack (TTS) e o software de embedded security. Todos os modelos oferecem o TSS; o software embedded security deve ser adquirido separadamente para alguns modelos. Para estes modelos, é fornecido um NTRU TSS para oferece suporte à aquisição de software embedded security de terceiros. Recomendamos soluções de terceiros tais como o Wave Embassy Trust Suíte.
22 Capítulo 6 Soluções de terceiros PTWW
7 HP Client Manager para Remote Deployment (Gerenciador de HP cliente para implementação remota) Histórico As plataformas HP Trustworthy equipadas com um modulo Trusted Platform (TPM), são fornecidas com o TPM desativado (estado padrão). Ativar o estado do TPM é uma opção administrativa protegida por meio de criterios reforçadas do BIOS HP. O administrador precisa estar na frente da máquina para inserir as opções da (Opções F10) para ativar o TPM.
24 Capítulo 7 HP Client Manager para Remote Deployment (Gerenciador de HP cliente para implementação remota) PTWW
8 Solução de problemas para ProtectTools Descrição resumida Detalhes Solução Ao utilizar a opção contas de rede do Credential Manager, um usuário pode selecionar em qual conta de domínio deseja efetuar o logon. Quando a autenticação TPM é utilizada, esta opção não está disponível. Todos os outros métodos de autenticação funcionam normalmente. Ao utilizar a autenticação TPM, o usuário efetua o logon apenas no computador local.
26 Descrição resumida Detalhes Solução O acesso com a autenticação TPM não oferece a opção Contas de rede. Ao utilizar a opção Contas de rede, um usuário pode selecionar em qual conta de domínio deseja efetuar o logon. Quando a autenticação TPM é utilizada, esta opção não está disponível. A HP está pesquisando uma solução alternativa para aprimoramentos futuros do produto. Os administradores de domínio não podem alterar a senha do Windows, mesmo com autorização.
Descrição resumida Detalhes Solução login do Windows. Nesta altura, o usuário consegue efetuar o logon. ● Com Java Card/token, as seguintes soluções alternativas permitem que o usuário ative/ desative a abertura do Credential Manager mediante a inserção do Java Card. 1. Clique na guia Configurações avançadas. 2. Clique em Serviço e aplicativos. 3. Clique em Java Cards e Tokens. 4. Clique quando o Java Card/token for inserido. 5. Marque a caixa de seleção Alerta para logon.
Descrição resumida Detalhes Solução Windows XP Service Pack 1. credencial de login (senha, impressão digital ou Java Card) selecionada. Para efetuar o logon, o usuário deve selecionar o Credential Manager e efetuar o login. Depois de acessar o Credential Manager, o usuário deve efetuar o login no Windows (ele terá que selecionar a opção de logon do Windows) para concluir o processo de login. Se o usuário acessar antes o Windows, então terá que acessar manualmente o Credential Manager.
Embedded Security for ProtectTools PTWW Descrição resumida Detalhes Solução Criptografia de pastas, sub-pastas e arquivos no PSD gera mensagem de erro. Se o usuário copiar arquivos e pastas para o PSD e tentar codificá-los, a mensagem de erro Erro ao aplicar atributos é exibida. O usuário pode codificar os mesmos arquivos na unidade C:\ em uma unidade de disco rígido adicional instalada. Isso foi projetado desta maneira.
Descrição resumida Detalhes Solução criptografado ou excluído este arquivo, ninguém poderá utilizar o software TPM. de melhores práticas e instruir seus usuários a nunca criptografar ou excluir arquivos de recuperação. A interação do HP ProtectTools Embedded Security EFS com o Symantec Antivirus ou Norton Antivirus prolongam os tempos de codificação/decodificação e varredura. Os arquivos criptografados interferem com a varredura de vírus do Symantec Antivirus ou Norton Antivirus 2005.
Descrição resumida Detalhes Solução 9. Pressione ENTER. 10. Pressione a tecla F10 para salvar as alterações e sair do utilitário de configuração F10. PTWW A senha do utilitário de configuração (F10) pode ser removida depois de ativar o módulo TPM. A ativação do módulo TPM requer uma senha do utilitário de configuração (F10). Com o módulo ativado, o usuário pode remover a senha. Isso permite que qualquer pessoa com acesso direto ao sistema restaure o módulo TPM e causar uma possível perda de dados.
Descrição resumida Detalhes Solução removível ocorre se o armazenamento for removido antes da geração ou transferência dos novos dados. disco rígido MultiBay ainda mostra a disponibilidade PSD e não gera erros ao adicionar/modificar dados no PSD. Após reiniciar o sistema, o PSD não reflete as alterações de arquivo que ocorreram enquanto a mídia removível não estava disponível. de concluir a geração ou transferência de novos dados.
Descrição resumida Detalhes Solução de inicialização de usuário ou se a configuração de email seguro estiver desativada nas políticas de usuário. configurações de um cliente de email (Outlook, Outlook Express ou Netscape) email. O uso de email seguro é definido e controlado por aplicativos de terceiros. O assistente HP permite vínculos a três aplicativos de referência para personalização imediata.
Descrição resumida Detalhes Solução O usuário não consegue excluir o PSD e Solução: Na reinicialização seguinte, a emulação não uma mensagem aparece dizendo: seu consegue carregar e o usuário pode excluir a emulação PSD ainda está em uso, certifique-se de PDS anterior e criar um novo PSD. de que o PSD não contém arquivos abertos e que não está sendo acessado por nenhum outro processo. O usuário deve reiniciar o sistema para excluir o PSD e não carregá-lo após a reinicialização.
Descrição resumida Detalhes Solução Se o backup automático for programado para ocorrer no login, o ícone Embedded Security TNA exibe a seguinte mensagem: O local do arquivo de backup atual não pode ser acessado. Clique a2qui se deseja fazer o backup em um arquivo temporário até que o arquivo de backup esteja acessível. Se o backup automático for programado para um horário específico, o backup falha em exibir o aviso de falha.
Diversos Impactado por software – Descrição resumida Detalhes Solução HP ProtectTools Security Manager—Aviso recebido: O aplicativo de segurança não pode ser instalado até que o HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools) seja instalado. Todos os aplicativos de segurança, como o Embedded Security, Java Card e dados biométricos são plug-ins expansíveis da interface do HP ProtectTools Security Manager (Gerenciador de segurança HP ProtectTools).
Impactado por software – Descrição resumida Detalhes Solução 5. HP ProtectTools Security Manager—Intermitente, um erro é exibido ao fechar a interface do Security Manager. Intermitente (1 em 12 instâncias), um erro é gerado ao utilizar o botão fechar no canto superior direito da tela, para fechar o Security Manager antes que todos os aplicativos de plug-ins tenham sido totalmente carregados. ● Versão de FW = 2.19 (ou posterior) ● Versão de biblioteca de drivers de dispositivo TPM 2.0.0.
38 Impactado por software – Descrição resumida Detalhes Solução O Suporte à autenticação na ativação não definido como padrão utilizando a Restauração das configurações de fábrica Embedded Security No utilitário de configuração a opção Suporte à autenticação na ativação não foi restaurada com as configurações de fábrica ao utilizar a opção de dispositivo Embedded Security Restauração das configurações de fábrica. Por padrão, o suporte para autenticação na ativação é definido como Desativado.
Glossário Acesso único (Single Sign On) Recurso que armazena dados de autenticação e permite utilizar o Credential Manager para acessar aplicativos da Internet e do Windows que exigem autenticação por senha. Advanced Encryption Standard (AES) Uma técnica de criptografia de dados por blocos simétricos de 120 bits. Application Programming Interface (API) Uma série de funções de sistema operacional que os aplicativos podem utilizar para realizar várias tarefas.
Conta de rede Conta de usuário ou administrador Windows, seja em um computador local, em um grupo de trabalho ou em um domínio. Conta de usuário do Windows Perfil de um indivíduo autorizado a acessar uma rede ou um computador individual. Credenciais Método no qual um usuário comprova sua elegibilidade para determinada tarefa no processo de autenticação. Criptografia específicos.
Senha de administrador de Java Card Senha que vincula um Java Card de administrador ao computador no utilitário de configuração para a identificação na inicialização ou reinicialização. Esta senha pode ser definida manualmente pelo administrador ou gerada aleatoriamente. Senha de usuário de Java Card Senha que vincula um Java Card de usuário ao computador no utilitário de configuração para a identificação na inicialização ou reinicialização.
42 Glossário PTWW
Índice A Alias de autenticação TPM 5 Ataque por dicionário 12 Autenticação de ativação 2 Autenticação na ativação embedded security 7 Java Card 7 Autenticação por token USB 5 B BIOS alteração das configurações 13 senha de administrador, definição 2 senha de cartão do usuário, definição 3 senha do cartão do administrador, definição 3 C Client Manager 23 Credential Manager acessar 18 instalação 17 login 5 senha de login 4 senha do arquivo de recuperação 4 solução de problemas 25 D de ativação alteração de se
senha do proprietário, definição 3 Senha do utilitário de configuração F10 2 senhas Administrador do utilitário de configuração 2 Administrador do utilitário de configuração, alteração 10 Administrador do utilitário de configuração, configuração 10 Agente de recuperação de segurança 4 Alias de autenticação TPM 5 Arquivo de recuperação do Credential Managerr 4 arquivo de recuperação Java Card 3 Assistente de backup de identidade 5 ativação, alteração 8 ativação, configuração 8 Autenticação por token USB 5 Au
