Ficheiros trancados a sete chaves no Windows
A segurança dos dados é daqueles problemas que nunca passam de moda. Para que blinde ficheiros importantes que tenha no seu PC, este mês dizemos-lhe como encriptar a totalidade do disco rígido com duas opções: BitLocker (um software do Windows) e VeraCryp
Na PCGuia, costumamos fazer vários guias sobre como fazer cópias de segurança dos seus ficheiros, actualizar o Windows, apagar as ameaças do computador e criar/proteger passwords - por exemplo, nesta edição vai aprender a usar o True Key para fazer isto mesmo. E agora, tem mais um tutorial para juntar à sua “colecção”: encriptar um disco rígido. Assim, se perder o computador ou for assaltado, ninguém vai poder aceder aos seus dados, o que não deixa de ser uma boa notícia, dentro da “tragédia” que é ficarmos sem a nossa máquina de trabalho ou lazer. Num disco que não está encriptado tem, teoricamente, todos os dados à “mostra”, ou seja, qualquer pasta, directório ou outros dados estão facilmente acessíveis a quem puder mexer no computador. Mesmo se houver algum tipo de segurança, como um login, um hacker experiente pode, de forma fácil, contornar esse obstáculo e ganhar acesso de administrador no Windows. Se tem documentos sensíveis no computador, por exemplo, ficheiros empresariais de um projecto em que está a trabalhar, ou informação bancária pessoal, é a encriptação de ficheiros que o pode descansar em relação à possibilidade de outra pessoa ter acesso às mesmas.
USAR DOIS SISTEMA DE ENCRIPTAÇÃO
Neste guia vamos ensinar a encriptar a totalidade dos discos rígidos. Para isso, vamos usar duas ferramentas: começamos com aquela que vem, por defeito, no Windows (a BitLocker) e depois seguimos para a VeraCrypt, uma solução mais complexa. Ambas têm os seus prós e contras, mas nenhuma delas exclui a utilização da outra - ou seja, não é um caso de escolher entre VeraCrypt e BitLocker, mas sim perceber qual é a melhor para as suas exigências. Não nos vamos alongar muito sobre os aspectos técnicos da encriptação, pois conhecer o básico será suficiente para o utilizador comum. Em relação ao desempenho do PC, é o tempo inicial da encriptação que vai ser mais demorado (embora possa trabalhar no computador durante isso); só depois, quando precisar de desencriptar os ficheiro é que poderá notar uma pequena lentidão do sistema, e isto apenas se tiver processadores mais antigos, como os das gamas Intel Nehalem de 2010 e AMD Bulldozer de 2011.
A IMPORTÂNCIA DO TPM
O BitLocker apareceu, pela primeira, vez no Windows com a versão Vista e é definido pela Microsoft como uma funcionalidade de nível empresarial. Assim, só vamos encontrar este recurso nas versões Enterprise, Ultimate ou Pro deste sistema operativo - se tiver alguma destas, está pronto a usar o BitLocker; se não, pode fazer um upgrade para uma destas versões do Windows ou, então, usar o VeraCrypt. Um requisito obrigatório para encriptar o disco de boot é ter um sistema equipado com o Trusted Platform Module (TPM), que normalmente está integrado na motherboard, e que tem uma forma segura de guardar a chave que permite desencriptar ficheiros, mantendo uma hierarquia (ou cadeia) de confiança no sistema. Contudo, ao usar o BitLocker podemos contornar isto, uma vez que a chave de desencriptação pode ser guardada numa pen, se quiser. Mas por que razão é que ter um TPM é importante e por que é que há tantas opções? Durante o processo de boot há uma cadeia de confiança: tem a certeza de que o sistema não tem malware, rootkits ou qualquer outra ameaça, por exemplo, instalados no firmware da BIOS, nos diferentes kernel ou no software que tem instalado? Todas as etapas precisam de estar protegidas e o software que temos tem de estar marcado como seguro e autorizado pelo Secure Boot (uma funcionalidade também presente no Windows). Se isto não acontecer, o elemento não
é carregado durante o boot do computador. Se uma driver ou módulo não estiver protegida por esta funcionalidade, o TPM original não será encontrado e o computador fica impedido de arrancar; se o TPM for transferido para outro PC, também não vai funcionar - é por isso que o TPM é uma espécie de guardião da integridade da segurança do Windows e que assinala sempre qualquer mudança na tal cadeia de confiança que referimos.
CUIDADO COM A CHAVE DE RECUPERAÇÃO!
Na janela do BitLocker, vai ver uma lista de drives que lhe vão avisar de que esta funcionalidade está desligada - ignore isto. Clique em ‘TPM Administration’ no canto inferior esquerdo para perceber se tem um sistema com este elemento. Se a indicação for negativa e mesmo assim achar que a sua motherboard tem um TMP, entre na BIOS e procure por uma opção que lhe vai permitir activá-lo. Para já, vamos assumir que tem o Trusted Platform Module no computador. Clique em ‘Turn BitLocker on’, perto do ícone da drive que quer encriptar - para assumir as mudanças, o PC vai ter de reiniciar. Durante este processo, vai ter de criar um pin de boot, uma password ou uma chave numa pen USB; e vai ter de fazer isto mesmo antes de o Windows carregar. Depois, é preciso escolher uma chave de recuperação (para usar caso se esqueça da password ou perca a pen USB) que pode ficar guardada no serviço de cloud OneDrive da Microsoft ou num ficheiro de texto que pode ser impresso ou ficar guardado numa pen. Quando tiver isto tudo feito, a encriptação vai começar e o Windows vai apresentar-lhe duas opções: encriptar a totalidade do disco ou apenas os dados do utilizador. Esta última é mais rápida, mas não protege dados que forem apagados; a primeira, por ser feita a todo o disco, será mais lenta. Como já referimos, a encriptação é feita ao mesmo tempo que usa o computador, por isso o tempo é irrelevante.
CONFIGURAR O BITLOCKER
Finalmente, o Windows vai perguntar se quer usar um de dois modos: ‘Novo’ ou ‘Compatível’. Para discos rígidos que estão dentro do PC a primeira opção e, para os externos, seleccione a segunda, pois permite usar a pen em versões mais antigas do Windows. De seguida, o sistema vai analisar a compatibilidade com a drive, configurar o sistema e depois fazer reboot (vai ter de usar o novo login que criou) e inicia já pronto a fazer a encriptação da drive. Para discos externos ou pens, não será preciso usar TPM, basta escolher uma password e está feito. Mas, se tentar fazer isto num disco rígido do computador, aparece uma mensagem de erro que lhe diz que tem de adicionar uma política (policy) para que isto seja permitido; todavia, não lhe são dadas quaisquer instruções para o fazer. Nós dizemos-lhe como: escreva gpedit.msc na caixa de pesquisa do menu ‘Iniciar’ do Windows e clique na opção que aparece. Na janela, e no directório em árvore, siga estes passos: ‘Editor de Políticas de Grupo Local’ > ‘Configuração do computador’ > ‘Modelos Administrativos’ > ‘Componentes do Windows’ > ‘Encriptação de Unidade BitLocker’ >
‘Unidades do Sistema Operativo’. Dê um duplo clique em ‘Exigir autenticação adicional durante o arranque’ e seleccione ‘Permitir BitLocker sem um TPM compatível’ na caixa de ‘Opções’. Carregue em ‘Ok’ para que consiga agora fazer o processo que descrevemos, usando uma chave numa pen USB ou password.
O BITLOCKER APARECEU, PELA PRIMEIRA, VEZ NO WINDOWS COM A VERSÃO VISTA E É DEFINIDO PELA MICROSOFT COMO UMA FUNCIONALIDADE DE NÍVEL EMPRESARIAL.