Encriptação de dispositivo, passo a passo

Siga estas etapas para encriptar dispositivos.

Antes que os usuários possam começar:

  • O software agente do Sophos Central deve ser instalado nos endpoints.
  • Uma política de Encriptação de Dispositivo deve ser configurada e habilitada no Sophos Central.
  • Os usuários devem iniciar uma sessão interativa em seus endpoints para que eles sejam conectados e sincronizados com o Sophos Central. Observe que o logon remoto não é suportado.
  • O sistema operacional deve ser compatível com a Encriptação de Unidade de Disco BitLocker. Para obter mais informações, consulte Preparar encriptação de dispositivo e Compatibilidade do sistema de encriptação do dispositivo.

Estas instruções lhe informam o que os usuários verão e o que precisarão fazer:

  1. Se o hardware de segurança TPM ainda não estiver habilitado, uma ação BIOS é desencadeada para habilitá-lo. Será necessária uma reinicialização. O usuário pode fazer a reinicialização imediatamente ou adiá-la.
    Durante a reinicialização, o usuário será solicitado a habilitar o TPM. Caso o TPM não puder ser habilitado ou o usuário não responder, será exibida uma mensagem.
  2. Caso o TPM esteja ativo e habilitado, porém sem proprietário, o software agente do Sophos Central automaticamente gerará e definirá as informações de proprietário do TPM. Um alerta será enviado ao Sophos Central caso isso não aconteça.
  3. Caso as chaves de endosso do TPM estejam ausentes, o software agente do Sophos Central automaticamente as criará. Um alerta será enviado ao Sophos Central caso isso não aconteça.
  4. Se a política Device Encryption não especificar que ela Requer autenticação na inicialização, a encriptação do disco rígido inicia automaticamente. Nesse caso, o usuário não precisará fazer nada. Você pode ir direto para o passo 8.
  5. Se a política Device Encryption especificar que ela Requer autenticação na inicialização, o usuário verá o diálogo Sophos Device Encryption.
    • Caso a política Device Encryption requeira um PIN ou senha para autenticação, siga as instruções na tela para definir o PIN ou senha. Se TPM+PIN for usado, a chave de encriptação para o disco do sistema será armazenada no TPM.

      Nota: Os usuários devem ter cuidado ao criarem uma senha. O ambiente de pré-inicialização é compatível apenas com teclados com layout em Inglês dos EUA. Caso definam um PIN ou senha com caracteres especiais, pode ser que tenham que usar teclas diferentes ao digitá-los para iniciar posteriormente uma sessão.
    • Caso a política Device Encryption requeira um pen drive para autenticação, será necessário conectar uma unidade de memória flash USB ao computador. A unidade de memória flash USB deve ser formatada com NTFS, FAT ou FAT32.
  6. Quando o usuário clica em Reiniciar e Encriptar, o computador é reinicializado e verifica se a Device Encryption funciona.
    O usuário pode selecionar Deixar para mais tarde para fechar o diálogo. No entanto, ele aparecerá novamente na próxima vez em que o usuário iniciar uma sessão ou quando você alterar a política Device Encryption.
  7. Se o usuário não puder inserir o PIN/senha correta, ele pode pressionar a tecla Esc. O sistema é inicializado normalmente, pois a encriptação ainda não foi aplicada. O usuário é solicitado a inserir novamente o PIN/senha após iniciar a sessão.
  8. É possível ver quais usuários ainda não possuem a encriptação habilitada. Isso significa que eles ainda não reiniciaram seus computadores ou ainda não completaram as instruções na tela. Procure em Relatórios no Sophos Central.
  9. Se o teste de pré-inicialização for bem-sucedido, o software agente do Sophos Central iniciará a encriptação dos discos rígidos. A encriptação ocorre em segundo plano, permitindo aos usuários trabalharem normalmente com os seus computadores.
    Caso o teste de hardware apresente erro, o sistema será reinicializado e a encriptação não será imposta. Será enviado um evento ao Sophos Central para que você seja notificado.
  10. Após o agente do Sophos Central ter encriptado o volume do sistema, será iniciada a encriptação dos volumes de dados (se especificado na política). A proteção desses volumes é armazenada no volume do sistema, para que os volumes de dados estejam automaticamente disponíveis após a inicialização. Isso significa que quando um usuário inicia uma sessão em seu computador, os volumes de dados podem ser acessados sem qualquer outra interação por parte do usuário. Os volumes de dados removíveis, como unidades flash USB, não são encriptados.

Você pode encontrar dois arquivos - CDE.log e CDE_trace.xml em %ProgramData%\Sophos\Sophos Data Protection\Logs no endpoint.