06 Mai Como utilizar TPM e PIN no BitLocker
Um chip Trusted Platform Module (TPM) é um cripto-processador seguro que serve para executar operações criptográficas, como gerar, armazenar e limitar a utilização de chaves criptográficas. Se o seu computador possui um chip TPM, ao encriptar o seu disco utilizando o BitLocker sem configurações adicionais, as chaves de encriptação serão armazenadas no chip TPM. Quando iniciar o computador, o chip irá automaticamente aceder e armazenar as chaves de encriptação na memória RAM, não sendo necessário inserir uma password ou uma pen. Isto é conveniente, no entanto significa que, ao ligar o computador, as chaves de encriptação serão automaticamente armazenadas na memória RAM, a partir de onde poderão ser extraídas e posteriormente utilizadas para aceder aos seus dados. A Microsoft está ciente deste problema, e reconhece que o desbloqueio do disco através do TPM é a opção menos segura.
Uma opção mais segura consiste em utilizar o BitLocker com o TPM e com um PIN. Desta forma, o TPM apenas irá aceder e armazenar as chaves de encriptação na memória RAM após inserir o PIN, impossibilitando o supramencionado ataque. Neste artigo, iremos explicar como poderá proteger o seu disco com o TPM e com um PIN.
Como activar BitLocker com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “BitLocker” e clique na opção “Gerir BitLocker”.
2º. Clique em “Ativar BitLocker”.
3º. Ser-lhe-á pedido para fazer uma cópia de segurança da chave de recuperação. Esta poderá ser guardada numa conta Microsoft, num ficheiro ou poderá mesmo imprimi-la. É essencial que possua mais que uma cópia da chave de recuperação e que guarde cada uma num lugar seguro pois, se o TPM detectar um potencial risco de segurança, só através desta chave conseguirá ter acesso aos seus dados. Após ter guardado a cópia de segurança, clique em “Seguinte”.
4º. Clique em “Ativar BitLocker”.
5º. O BitLocker está activado.
Como permitir PIN com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “Editar política de grupo” e clique nessa opção.
2º. Clique em “Configuração do computador”.
3º. Clique em “Modelos Administrativos”.
4º. Clique em “Componentes do Windows”.
5º. Clique em “Encriptação de Unidade BitLocker”.
6º. Clique em “Unidades do Sistema Operativo”.
7º. Clique em “Exigir autenticação adicional durante o arranque”.
8º. Seleccione a opção “Ativado”.
9º. Desmarque a opção “Permitir o BitLocker sem um TPM compatível”.
10º. Em “Configurar o PIN de arranque com TPM”, seleccione a opção “Pedir PIN de arranque com TPM”.
11º. Clique em “OK”.
Como adicionar PIN
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “linha de comandos”, clique com o botão direito do rato sobre essa opção e de seguida clique em “Executar como administrador”.
2º. Ir-se-á abrir a linha de comandos.
3º. Escreva “manage-bde -protectors -add c: -TPMAndPIN” (sem aspas) e pressione a tecla Enter.
4º. Ser-lhe-á pedido para criar o PIN. Insira-o e pressione a tecla Enter.
5º. Em seguida, ser-lhe-á pedido para confirmar o PIN. Insira-o e pressione a tecla Enter.
6º. O PIN foi adicionado.
7º. Para confirmar se o PIN foi adicionado, escreva “manage-bde -status” (sem aspas) na linha de comandos e pressione a tecla Enter.
7º. Se o PIN tiver sido adicionado correctamente, em “Key Protectors”, irá ver “Numerical Password” e “TPM And PIN”.
8º. A partir de agora, para aceder ao seu computador, terá que inserir o PIN que criou anteriormente. Só depois de inserir o PIN é que o TPM irá aceder às chaves de encriptação, permitindo-lhe aceder ao seu computador.