20 Mai Como utilizar TPM, PIN e pen USB no BitLocker
Um chip Trusted Platform Module (TPM) é um cripto-processador seguro cujo propósito é executar operações criptográficas, como gerar, armazenar e limitar a utilização de chaves criptográficas. Se o seu computador tem um chip TPM, ao encriptar o seu disco com recurso ao BitLocker sem configurações adicionais, as chaves de encriptação serão armazenadas no chip TPM. Depois de iniciar o computador, o chip irá automaticamente aceder e armazenar as chaves de encriptação na memória RAM, não sendo necessário inserir uma password ou uma pen. Isto é conveniente, no entanto significa que, ao ligar o computador, as chaves de encriptação serão automaticamente armazenadas na memória RAM, a partir de onde poderão ser extraídas e posteriormente utilizadas para aceder aos seus dados. A Microsoft está consciente deste problema, e admite que o desbloqueio do disco através do TPM é a opção menos segura.
Uma opção mais segura consiste em utilizar o BitLocker com o TPM e com um PIN ou com uma pen. No entanto, existe uma opção ainda mais segura, que consiste em utilizar o BitLocker com o TPM, com um PIN e com uma pen simultaneamente. Desta forma, o TPM apenas irá aceder e armazenar as chaves de encriptação na memória RAM se a pen estiver ligada ao computador, e após a inserção do PIN, impossibilitando o supramencionado ataque. Neste artigo, iremos explicar como poderá proteger o seu disco com o TPM, com um PIN e com uma pen.
Como activar BitLocker com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “BitLocker” e clique na opção “Gerir BitLocker”.
2º. Clique em “Ativar BitLocker”.
3º. Ser-lhe-á pedido para fazer uma cópia de segurança da chave de recuperação. Poderá guardar a cópia de segurança da chave de recuperação numa conta Microsoft, num ficheiro ou poderá mesmo imprimi-la. É fundamental que possua mais que uma cópia da chave de recuperação e que guarde cada uma num lugar seguro pois, se o TPM detectar um potencial risco de segurança, apenas através desta chave conseguirá ter acesso aos seus dados. Após ter guardado a cópia de segurança, clique em “Seguinte”.
4º. Clique em “Ativar BitLocker”.
5º. O BitLocker está activado.
Como permitir PIN e pen USB com TPM
1º. Clique no ícone do Windows na barra de tarefas, pesquise por “Editar política de grupo” e clique nessa opção.
2º. Clique em “Configuração do computador”.
3º. Clique em “Modelos Administrativos”.
4º. Clique em “Componentes do Windows”.
5º. Clique em “Encriptação de Unidade BitLocker”.
6º. Clique em “Unidades do Sistema Operativo”.
7º. Clique em “Exigir autenticação adicional durante o arranque”.
8º. Seleccione a opção “Ativado”.
9º. Desmarque a opção “Permitir o BitLocker sem um TPM compatível”.
10º. Em “Configurar o arranque do TPM”, seleccione a opção “Não permitir TPM”.
11º. Em “Configurar o PIN de arranque do TPM”, seleccione a opção “Não permitir PIN de arranque com TPM”.
12º. Em “Configurar a chave de arranque do TPM”, seleccione a opção “Não permitir chave de arranque com TPM”.
13º. Em “Configurar o PIN e a chave de arranque do TPM”, seleccione a opção “Exigir chave e PIN de arranque com TPM”.
14º. Clique em “OK”.
Como adicionar PIN e pen USB como chave de arranque
1º. Ligue a pen que pretende utilizar como chave de arranque ao seu computador, e veja que letra de unidade lhe foi atribuída. Neste caso, a letra de unidade que foi atribuída à pen que utilizámos para este guia foi D. Esta informação será necessária mais à frente.
2º. Clique no ícone do Windows na barra de tarefas, pesquise por “linha de comandos”, clique com o botão direito do rato sobre essa opção e de seguida clique em “Executar como administrador”.
3º. Ir-se-á abrir a linha de comandos.
4º. Escreva “manage-bde -protectors -add c: -TPMandPINandStartupKey -tp OSEUPIN -tsk x:” (sem aspas, substituindo OSEUPIN pelo PIN que pretende utilizar e substituindo o x pela letra de unidade da sua pen, neste caso d) e pressione a tecla Enter.
5º. A chave que lhe permitirá aceder ao seu computador será guardada na pen como um ficheiro oculto. Não perca a pen, pois necessitará dela para aceder ao seu computador.
6º. Para confirmar se o PIN e a pen foram adicionados, escreva “manage-bde -status” (sem aspas) na linha de comandos e pressione a tecla Enter.
7º. Se o PIN e a pen tiverem sido adicionadas correctamente, em “Key Protectors”, irá ver “Numerical Password” e “TPM And PIN And Startup Key”.
8º. A partir de agora, para aceder ao seu computador, terá que inserir a pen antes de o ligar e terá ainda que inserir o PIN que criou anteriormente. Apenas com a pen ligada ao computador, e após inserir o PIN, o TPM irá aceder às chaves de encriptação, permitindo-lhe aceder ao seu computador.