13 Mai Como utilizar TPM e pen USB no BitLocker
Um chip Trusted Platform Module (TPM) é um cripto-processador seguro cuja função é executar operações criptográficas, como gerar, armazenar e limitar a utilização de chaves criptográficas. Se o seu computador tem um chip TPM, ao encriptar o seu disco recorrendo ao BitLocker sem configurações adicionais, as chaves de encriptação serão armazenadas no chip TPM. Ao iniciar o computador, o chip irá automaticamente aceder e armazenar as chaves de encriptação na memória RAM, não sendo necessário inserir uma password ou uma pen. Isto é conveniente, no entanto significa que, ao ligar o computador, as chaves de encriptação serão automaticamente armazenadas na memória RAM, a partir de onde poderão ser extraídas e posteriormente utilizadas para aceder aos seus dados. A Microsoft reconhece este problema, admitindo que o desbloqueio do disco através do TPM é a opção menos segura.
Uma opção mais segura consiste em utilizar o BitLocker com o TPM e com uma pen. Desta forma, o TPM apenas irá aceder e armazenar as chaves de encriptação na memória RAM se a pen estiver ligada ao computador, impossibilitando o supramencionado ataque. Neste artigo, iremos explicar como poderá proteger o seu disco com o TPM e com uma pen.
Como activar BitLocker com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “BitLocker” e clique na opção “Gerir BitLocker”.
2º. Clique em “Ativar BitLocker”.
3º. Ser-lhe-á pedido para fazer uma cópia de segurança da chave de recuperação. Poderá guardar a cópia de segurança da chave de recuperação numa conta Microsoft, num ficheiro ou poderá mesmo imprimi-la. É vital que possua mais que uma cópia da chave de recuperação e que guarde cada uma num lugar seguro pois, se o TPM detectar um potencial risco de segurança, só através desta chave conseguirá ter acesso aos seus dados. Após ter guardado a cópia de segurança, clique em “Seguinte”.
4º. Clique em “Ativar BitLocker”.
5º. O BitLocker está activado.
Como permitir pen USB com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “Editar política de grupo” e clique nessa opção.
2º. Clique em “Configuração do computador”.
3º. Clique em “Modelos Administrativos”.
4º. Clique em “Componentes do Windows”.
5º. Clique em “Encriptação de Unidade BitLocker”.
6º. Clique em “Unidades do Sistema Operativo”.
7º. Clique em “Exigir autenticação adicional durante o arranque”.
8º. Seleccione a opção “Ativado”.
9º. Desmarque a opção “Permitir o BitLocker sem um TPM compatível”.
10º. Em “Configurar chave de arranque do TPM”, seleccione a opção “Pedir chave de arranque com TPM”.
11º. Clique em “OK”.
Como adicionar pen USB como chave de arranque
1º. Ligue a pen que pretende utilizar como chave de arranque ao seu computador, e veja que letra de unidade lhe foi atribuída. Neste caso, a letra de unidade que foi atribuída à pen que utilizámos para este guia foi D. Esta informação será necessária mais à frente.
2º. Clique no ícone do Windows na barra de tarefas, pesquise por “linha de comandos”, clique com o botão direito do rato sobre essa opção e de seguida clique em “Executar como administrador”.
3º. Ir-se-á abrir a linha de comandos.
4º. Escreva “manage-bde -protectors -add c: -TPMAndStartupKey x:” (sem aspas, substituindo o x pela letra de unidade da sua pen, neste caso d) e pressione a tecla Enter.
5º. A chave que lhe permitirá aceder ao seu computador será guardada na pen como um ficheiro oculto. Não perca a pen, pois necessitará dela para aceder ao seu computador. Para além disso, não guarde a pen perto do seu computador pois, se um atacante roubar o computador e a pen, conseguirá aceder aos seus dados.
6º. Para confirmar se a pen foi adicionada, escreva “manage-bde -status” (sem aspas) na linha de comandos e pressione a tecla Enter.
7º. Se a pen tiver sido adicionada correctamente, em “Key Protectors”, irá ver “TPM and Startup Key”.
8º. A partir de agora, para aceder ao seu computador, terá que inserir a pen antes de o ligar. Apenas com a pen ligada ao computador o TPM irá aceder às chaves de encriptação, permitindo-lhe aceder ao seu computador.