Como utilizar TPM e pen USB no BitLocker

Como utilizar TPM e pen USB no BitLocker

Um chip Trusted Platform Module (TPM) é um cripto-processador seguro cuja função é executar operações criptográficas, como gerar, armazenar e limitar a utilização de chaves criptográficas. Se o seu computador tem um chip TPM, ao encriptar o seu disco recorrendo ao BitLocker sem configurações adicionais, as chaves de encriptação serão armazenadas no chip TPM. Ao iniciar o computador, o chip irá automaticamente aceder e armazenar as chaves de encriptação na memória RAM, não sendo necessário inserir uma password ou uma pen. Isto é conveniente, no entanto significa que, ao ligar o computador, as chaves de encriptação serão automaticamente armazenadas na memória RAM, a partir de onde poderão ser extraídas e posteriormente utilizadas para aceder aos seus dados. A Microsoft reconhece este problema, admitindo que o desbloqueio do disco através do TPM é a opção menos segura.

Uma opção mais segura consiste em utilizar o BitLocker com o TPM e com uma pen. Desta forma, o TPM apenas irá aceder e armazenar as chaves de encriptação na memória RAM se a pen estiver ligada ao computador, impossibilitando o supramencionado ataque. Neste artigo, iremos explicar como poderá proteger o seu disco com o TPM e com uma pen.

Como activar BitLocker com TPM

1º. Clique no ícone do Windows na barra de tarefas, pesquise por “BitLocker” e clique na opção “Gerir BitLocker”.

TPM e pen USB no BitLocker

2º. Clique em “Ativar BitLocker”.

TPM e pen USB no BitLocker

3º. Ser-lhe-á pedido para fazer uma cópia de segurança da chave de recuperação. Poderá guardar a cópia de segurança da chave de recuperação numa conta Microsoft, num ficheiro ou poderá mesmo imprimi-la. É vital que possua mais que uma cópia da chave de recuperação e que guarde cada uma num lugar seguro pois, se o TPM detectar um potencial risco de segurança, só através desta chave conseguirá ter acesso aos seus dados. Após ter guardado a cópia de segurança, clique em “Seguinte”.

TPM e pen USB no BitLocker

4º. Clique em “Ativar BitLocker”.

TPM e pen USB no BitLocker

5º. O BitLocker está activado.

TPM e pen USB no BitLocker

 

Como permitir pen USB com TPM

1º. Clique no ícone do Windows na barra de tarefas, pesquise por “Editar política de grupo” e clique nessa opção.

TPM e pen USB no BitLocker

2º. Clique em “Configuração do computador”.

TPM e pen USB no BitLocker

3º. Clique em “Modelos Administrativos”.

TPM e pen USB no BitLocker

4º. Clique em “Componentes do Windows”.

TPM e pen USB no BitLocker

5º. Clique em “Encriptação de Unidade BitLocker”.

TPM e pen USB no BitLocker

6º. Clique em “Unidades do Sistema Operativo”.

TPM e pen USB no BitLocker

7º. Clique em “Exigir autenticação adicional durante o arranque”.

TPM e pen USB no BitLocker

8º. Seleccione a opção “Ativado”.

TPM e pen USB no BitLocker

9º. Desmarque a opção “Permitir o BitLocker sem um TPM compatível”.

TPM e pen USB no BitLocker

10º. Em “Configurar chave de arranque do TPM”, seleccione a opção “Pedir chave de arranque com TPM”.

TPM e pen USB no BitLocker

11º. Clique em “OK”.

TPM e pen USB no BitLocker

 

Como adicionar pen USB como chave de arranque

1º. Ligue a pen que pretende utilizar como chave de arranque ao seu computador, e veja que letra de unidade lhe foi atribuída. Neste caso, a letra de unidade que foi atribuída à pen que utilizámos para este guia foi D. Esta informação será necessária mais à frente.

TPM e pen USB no BitLocker

2º. Clique no ícone do Windows na barra de tarefas, pesquise por “linha de comandos”, clique com o botão direito do rato sobre essa opção e de seguida clique em “Executar como administrador”.

TPM e pen USB no BitLocker

3º. Ir-se-á abrir a linha de comandos.

TPM e pen USB no BitLocker

4º. Escreva “manage-bde -protectors -add c: -TPMAndStartupKey x:” (sem aspas, substituindo o x pela letra de unidade da sua pen, neste caso d) e pressione a tecla Enter.

TPM e pen USB no BitLocker

5º. A chave que lhe permitirá aceder ao seu computador será guardada na pen como um ficheiro oculto. Não perca a pen, pois necessitará dela para aceder ao seu computador. Para além disso, não guarde a pen perto do seu computador pois, se um atacante roubar o computador e a pen, conseguirá aceder aos seus dados.

TPM e pen USB no BitLocker

6º. Para confirmar se a pen foi adicionada, escreva “manage-bde -status” (sem aspas) na linha de comandos e pressione a tecla Enter.

TPM e pen USB no BitLocker

7º. Se a pen tiver sido adicionada correctamente, em “Key Protectors”, irá ver “TPM and Startup Key”.

TPM e pen USB no BitLocker

8º. A partir de agora, para aceder ao seu computador, terá que inserir a pen antes de o ligar. Apenas com a pen ligada ao computador o TPM irá aceder às chaves de encriptação, permitindo-lhe aceder ao seu computador.