Pular para o conteúdo

Encriptação: Device Encryption

A encriptação de aparelhos permite gerenciar a Encriptação da Unidade de Disco do BitLocker em computadores com Windows e FileVault em Macs. A encriptação de discos rígidos mantém os dados em segurança, mesmo quando um dispositivo é perdido ou roubado.

Siga este procedimento para configurar a encriptação:

  1. O agente Encriptação de Aparelho é instalado automaticamente nos computadores com Windows quando você usa o programa de instalação do agente Windows (se você tiver a licença necessária). Em Macs, você deverá instalar manualmente o agente Encriptação de Aparelho.
  2. Crie uma política de base Encriptação de dispositivo e aplique a política aos usuários, conforme descrito abaixo.
  3. Os computadores serão encriptados quando os usuários se conectarem.

    Nota

    A encriptação FileVault é baseada no usuário; todos os usuários de um endpoint (ponto final) específico deverão ter a encriptação ativada.

Para obter detalhes completos sobre como os computadores são encriptados, consulte o Manual do Administrador da Sophos Central Device Encryption.

Nota

Você pode aplicar a encriptação de aparelho a volumes de inicialização e volumes de dados fixos, mas não a mídias removíveis.

Para definir uma política:

  • Edite uma política de base Device Encryption
  • Na política, abra a guia Configurações e configure-a como descrito abaixo.

Configurações

Encriptação de Aparelho está ligada/desligada: O computador é encriptado tão logo um dos usuários ao qual a política se aplica faça login.

Um endpoint com Windows permanece encriptado mesmo que outro usuário que não esteja incluído na política se conecte.

Alerta

Você deve aplicar uma política de encriptação a todos os usuários de um ponto final com MacOS específico para assegurar que esteja totalmente protegido.

Encriptar apenas o volume de inicialização: Esta opção permite que você encripte apenas o volume de inicialização. Volumes de dados são ignorados.

Configurações Avançadas do Windows

Requer autenticação na inicialização: Esta opção é ativada por padrão. Ela força a autenticação via TPM+PIN, frase de segurança ou pen drive. Se você desativá-la, a proteção de logon Apenas TPM será instalada nos computadores com suporte. Para obter detalhes completos sobre como os computadores são encriptados, consulte o “Manual do Administrador do Device Encryption”.

Exigir novo PIN/senha de autenticação dos usuários: Esta opção é desativada por padrão. Ela força a alteração da senha ou do PIN do BitLocker após o tempo especificado. Após os usuários alterarem a senha ou PIN, é registrado um evento.

Nota

No endpoint, o recurso estará disponível apenas no Central Device Encryption 2.0 ou posterior.

Se os usuários fecharem a caixa de diálogo sem digitar uma nova senha ou PIN, ela voltará a ser exibida a cada reinicialização do computador. Registramos um log de alerta após os usuários fecharem a caixa de diálogo cinco vezes sem alterar a senha ou o PIN.

Encriptar apenas o espaço utilizado: Esta opção é desativada por padrão. Ela permite encriptar apenas o espaço utilizado, em vez de encriptar a unidade de disco inteira. Use-a para acelerar a encriptação inicial (na primeira aplicação da política a um computador).

Alerta

Se você encriptar apenas o espaço utilizado, os dados deletados no computador poderão não estar encriptados, de modo que você deve fazer isso apenas para computadores recém-configurados.

Nota

Esta opção não afeta os pontos finais do Windows 7.

Proteger arquivos com senha para compartilhá-los com segurança (somente Windows)

Nota

No endpoint, o recurso estará disponível apenas no Central Device Encryption 2.0 ou posterior.

Você pode proteger arquivos de até 50 Mb.

Habilitar menu contextual com o clique do botão direito: Se você ativar esta opção, a opção Criar arquivo protegido por senha será adicionada ao menu acionado pelo botão direito dos arquivos. Os usuários podem anexar arquivos protegidos por senha a e-mails quando enviam dados confidenciais a destinatários fora da rede corporativa. Os arquivos são encapsulados em um novo arquivo HTML com conteúdo encriptado.

Os destinatários podem abrir o arquivo clicando duas vezes nele e digitando a senha. Eles podem enviar o arquivo recebido de volta e protegê-lo com a mesma senha ou com uma nova senha, ou podem criar um novo arquivo protegido por senha.

Habilitar o Suplemento do Outlook: Esta opção adiciona a encriptação de anexos de e-mail ao Outlook. Os usuários podem proteger anexos selecionando Proteger anexos na faixa de opções do Outlook. Todos os anexos não protegidos são encapsulados em um novo anexo HTML com conteúdo encriptado que é enviado por e-mail.

Sempre perguntar como proceder com os arquivos anexados: Se você ativar esta opção, os usuários deverão escolher como enviar os anexos sempre que a mensagem contiver um. Eles podem enviá-los com ou sem senha de proteção.

Você pode inserir domínios excluídos para os quais a opção Sempre perguntar como proceder com os arquivos anexados não se aplica. Por exemplo, o domínio da sua organização. Se os destinatários pertencerem a tal domínio, os remetentes não serão indagados sobre como desejam lidar com os anexos.

Digite apenas nomes de domínio completos e separe-os por vírgula.