A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Alterações de formatação secundárias; nenhuma alteração de conteúdo.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Esta lista apresenta perguntas e respostas comuns, e é destinada a usuários que não são novos no produto.
NOTAS:
Para rever as perguntas frequentes do assistente de ponto de extremidade (EA), consulte KB85917-perguntas frequentes sobre o assistente de ponto de extremidade 2.x. EA é um aplicativo complementar para iOS e Android que foi desenvolvido para trabalhar com o DE. Os custos Help Desk de DE estão geralmente relacionados ao gerenciamento de redefinição de senha do usuário. O EA pode descarregar completamente os custos de Help Desk relacionados à redefinição da senha de pré-inicialização para os usuários. Você pode permitir que os usuários redefinam com segurança as senhas pré-inicialização, mesmo que não tenham acesso a um telefone para chamar o Help Desk.
Sumário clique para expandir a seção que você deseja exibir:
O que é um usuário Optin e OptOut?
Você poderá ver referências a usuários do Opti e do OptOut nos registros. Por exemplo, falha na imposição de política: usuário Optin atribuído.
Os usuários do Optin têm sua imposição de política baseada em usuário (UBP) definida como true no ePO, o que significa que um UBP específico se aplica.
Os usuários de optoures têm sua imposição de UBP definida como false, o que significa que o UBP atribuído ao computador se aplica.
Por que preciso DE?
O objetivo principal do é proteger apenas os dados confidenciais do disco, quando em repouso. Também pode ser necessário que esse tipo de proteção esteja coberto pelas leis de proteção de identidade.
Que proteção eu tenho quando a autenticação pré-inicialização é desativada ao ativar o recurso AutoBoot temporário?
O objetivo principal de é proteger o disco em repouso, quando o disco for desbloqueado. No entanto, DE não fornece proteção de acesso a dados. Portanto, se desejar um sistema seguro, não use o recurso AutoBoot. O recurso AutoBoot remove efetivamente a autenticação pré-inicialização, o que remove completamente a segurança do produto. O recurso AutoBoot é fornecido apenas como um meio temporário. Para obter mais detalhes sobre o AutoBoot, consulte AutoBoot. Para obter detalhes sobre a inicialização automática do Trusted Platform Module (TPM), mais segura.
Compatibilidade de 7.2.0 versões posteriores:
Você oferece suporte ao Windows 10 atualização de aniversário de novo parâmetro de linha de comando ou ReflectDrivers para upgrade no local? Sim. A Microsoft incluiu um novo recurso na atualização de data de aniversário do Windows 10 que permite a um sistema operacional no local upgrade por meio do ISO e do SCCM usando uma /Reflectdrivers opção.
Este comando switch especifica o caminho para uma pasta que contenha drivers de criptografia para um computador que tenha criptografia de terceiros ativada. PnP drivers estão instalados e o upgrade pode continuar.
Nota: A opção também é compatível com o /Reflectdrivers DE 7.1.3 hotfix 1148978 ou versões posteriores. No entanto, o processo é ainda mais simplificado com o DE 7.2.0 , como resultado das alterações introduzidas no instalador do produto.
Compatibilidade para do de 7.1.0 e versões posteriores:
Você é compatível com a ferramenta de conversão de Unified Extensible Firmware Interface (UEFI) in-loco ( MBR2GPT.EXE ) com o Windows 10 Creators Update e versões posteriores? Sim. Uma ferramenta DE tabela DE Master Boot Record (MBR) partição GUID (GPT) ( MdeMbr2GptTool.exe ) foi desenvolvida, que funciona no Microsoft Windows 10 (versão 1703) Creators Update e versões posteriores (somente 64 bits). A ferramenta funciona com a ferramenta Microsoft ( MBR2GPT.EXE ). A ferramenta converte uma unidade DE disco criptografada por software de MBR para a partição GPT. Ele faz isso sem a necessidade de descriptografar o disco.Para obter a ferramenta DE e as instruções, consulte KB89024-como converter um disco criptografado de MBR em GPT usando as ferramentas do Microsoft MBR2GPT .EXE e Drive Encryption MdeMbr2GptTool .exe.
Qual versão do DE é compatível com o Windows 10 (versão 1507)? 7.1A atualização 3 ( 7.1.3 ) é a primeira versão a ser compatível com o Windows 10, mas é lançada antes da versão geral do Windows 10. Portanto, pode haver advertências que se aplicam à distribuição e ao uso de 7.1.3 sistemas de Windows 10.
Consulte os artigos a seguir para obter detalhes específicos sobre o upgrade do Windows 10 quando o DE estiver instalado:
Versão Windows
Artigo
Atualização do sistema operacional (sistema operacional) da Windows 8
A opção Windows 10 "voltar para a compilação anterior" é compatível com o de instalado e ativo.
Windows 10 ramificação DE manutenção de longo prazo (LTSB) ou o canal DE manutenção de longo prazo (LTSC) é compatível com o DE 7.2.2 e posterior.
NOTAS:
A partir do Windows 10 versão 1809, o LTSB foi alterado para LTSC. Para obter detalhes, consulte a documentação do Microsoft.
LTSC e LTSB são terminologia Microsoft para uma compilação sustentada. Essas compilações não recebem atualizações de recursos e se limitariam a atualizações de segurança em geral.
Há suporte para um sistema operacional Windows com o DE instalado no hardware Mac?
Não. DE não foi testado em nenhum hardware Mac e, portanto, não é compatível.
Posso executar a tarefa de atualização do Microsoft para upgrade um sistema de Windows 8.0 para o Windows 8.1 ?
Não. O Microsoft usa uma funcionalidade que cria uma nova imagem WIM. Basicamente, trata-se de um processo de atualização do sistema operacional, e não de um upgrade tradicional ou Service Pack upgrade. No entanto, DE um processo DE atualização do sistema operacional documentado que permite upgrade de Windows 8.0 para Windows 8.1. o processo permite manter os dados existentes criptografados em todo o processo. Para obter assistência com esse processo, consulte os seguintes guias de processo:
Posso usar o reparo automático da Windows 8 ou posterior (ativado por padrão)?
Não. Recomendamos que você desative esse recurso. O reparo automático de um disco criptografado pode destruir inadvertidamente os arquivos do sistema operacional criptografado e causar problemas de inicialização permanentes. As versões anteriores do Windows perguntam se você deseja reparar o sistema antes de iniciar o reparo. No entanto, Windows 8 inicia o reparo automático imediatamente quando um problema é detectado, deixando um pequeno escopo para evitar a destruição de dados criptografados. Para obter informações sobre como desativar o reparo automático do Windows 8, consulte o artigo KB76649-como desativar Windows reparo automático por meio de uma script de logon para sistemas que tenham o Drive Encryption instalado.
Por que devo usar o processo DE 7.1 atualização do sistema operacional quando não o utilizo em sistemas BitLocker Windows?
Microsoft implementa um mecanismo que expõe a chave de criptografia BitLocker durante o upgrade, permitindo a execução do processo de sobreposição de WIM. Não adotamos essa abordagem porque ela deixa o sistema vulnerável a ataques durante o processo de upgrade do Windows.
Microsoft falou sobre um novo recurso chamado &. O que é?
Microsoft DE pode ser considerada uma versão reduzida e não gerenciada do BitLocker.
Outros DE fatos gerais:
A Microsoft DE é ativada automaticamente. Ela é ativada somente quando o hardware corresponde ou excede os requisitos mínimos de hardware.
O seguinte ocorrerá se você distribuir o DE a um sistema que tenha a criptografia DE dispositivo do ' Microsoft ' ativada automaticamente:
As verificações de pré-atualização determinam se o BitLocker está ativo. Lembre-se de que Microsoft DE é simplesmente uma versão não gerenciada do BitLocker.
DE ativação falha porque o disco já está criptografado com Microsoft DE.
Esse status é relatado de volta ao ePO.
O será aplicado acima se as seguintes opções se aplicarem:
A opção 'the system meets the minimum hardware requirements' é ativada automaticamente.
O disco rígido é criptografado.
Importante: Os itens a seguir se aplicam se você tiver um novo sistema que atenda à Microsoft DE requisitos mínimos DE hardware, mas que Windows 7 e DE 7.1 instalado e, em seguida, decidir upgrade para Windows 8.1 :
Se você não tiver efetuado logon com uma conta do MSDN, o sistema não tentará ativar o Microsoft DE.
Se você tiver efetuado logon com uma conta do MSDN, ele quebrará o sistema operacional.
O de é compatível com Windows unidades compactadas?
Não, Windows unidades compactadas não são suportadas porque nenhum teste de compatibilidade é executado.
Há planos para suportar JAWS para Windows software de leitura de tela para o cliente de pré-inicialização, a fim de ajudar os usuários com pouca visão?
Não. JAWS é um produto de software somente Windows. Ele não funciona no ponto de autenticação de pré-inicialização porque o Windows ainda não está carregado.
O funciona com a nova tecnologia do Dell Cylance Advanced Threat Protection, que pode relatar se um ataque de inicialização foi detectado?
Não. O DE não foi testado com o Dell Cylance Advanced Threat Protection.
O que é compatível com a tecnologia Intel Anti-Theft, que pode bloquear o computador com base no hardware?
Não. A Intel descontinuou o serviço de Proteção contra roubo da Intel.
7.1O que é compatível com a tecnologia Intel Smart Response (SRT)? Sim. Os dados são sempre seguros, até mesmo os dados armazenados em cache. O Intel SRT é um componente cache inteligente que somente armazena em cache os dados acessados com frequência. Essa cache está no nível do setor e é criptografada pelo driver DE filtro.
O que significa DE suporte para o IRS (Intel Rapid Start)?
Não. A administração fiscal requer um espaço de Solid State Drive partição extra na unidade (SSD) ou no disco rígido (HDD) chamado partição de hibernação. Essa partição deve ser igual ou maior que a quantidade de memória do sistema. Esta partição não tem uma letra de unidade.
O IRS fornece um estado S3 de baixo consumo de energia. Aqui, em vez de armazenar o estado para DRAM no S3, o conteúdo da memória é liberado para a partição dedicada no SSD. Como o BIOS é responsável pela movimentação de e para o SSD, o DE não pode interceptar e criptografar o conteúdo. Portanto, todos os dados confidenciais na DRAM são gravados no disco em texto não criptografado. Esse problema afeta somente o estado S3, e não a S4.
Nota: A tecnologia IRS permite que seu sistema continue mais rapidamente a partir do estado de suspensão; Esse fato poupa o tempo e o consumo de energia.
O cliente DE 7.1.x é compatível com Microsoft BitLocker?
Não. Ele não é compatível com BitLocker nem com qualquer outro software de criptografia de disco ou de criptografia em nível de setor em execução no mesmo sistema. DE detecta Windows BitLocker durante o processo DE ativação e interrompe a ativação de se BitLocker estiver ativo.
O Active Directory (AD) é necessário para uma 7.1 instalação?
Não. Você pode instalar os pacotes de instalação (MSI) sem acesso ao AD por causa do novo recurso de diretório de usuário incluído em de 7.1. consulte a seção "funcionalidade" para obter detalhes.
Outros AD fatos gerais:
O AD é necessário para gerenciar DE 7.1 clientes por meio do ePO.
Embora seja necessário um AD para uma 7.1 ativação, um recurso de 7.1.0 novo permite que a ativação off-line seja ativada sem uma conexão com o ePO. Quando o sistema é capaz de se comunicar com êxito com o ePO, o cliente se move para um modo on-line. Somente os sistemas que o ePO não gerenciam podem permanecer criptografados sem a necessidade de se conectar ao AD.
Os usuários atribuídos não serão excluídos do banco de dados do ePO se o nome do objeto, como um grupo ou usuário, for alterado em AD. A alteração do nome do objeto é detectada na próxima execução da tarefa ' LdapSync: sincronizar entre os usuários a partir do LDAP ' e atualizada no ePO. Durante o Agent a seguir para a comunicação do servidor (ASCI), qualquer alteração de nome de objeto de usuário é sincronizada com o cliente.
O que acontecerá aos meus pontos de extremidade se o servidor ePO ficar inativo?
Se o produto já estiver instalado e ativo, os clientes continuarão funcionando com a cópia armazenada em cache da política. Nenhuma outra atualização de política ou atribuição de usuário ocorrerá até que o cliente possa se comunicar com o servidor ePO. Se o produto ainda não estiver instalado, ele não poderá ativar até que a comunicação com o servidor ePO seja restabelecida.
Posso usar um CD Windows inicializável em um sistema criptografado?
Um CD inicializável funciona em um sistema criptografado, a menos que você queira acessar a unidade de disco rígido. Uma vantagem da criptografia de disco total é que ela impede que uma unidade inicializável seja usada para acessar a unidade de disco rígido sem autenticação.
Se Windows não estiver funcionando corretamente, e você precisar repará-lo usando o disco de instalação do Windows. Você deve primeiro descriptografar a unidade antes de usar qualquer uma das ferramentas de reparo do Windows.
Para acessar a unidade criptografada e a recuperação do WinPE-Tech, é necessário criar mídia. Para obter mais informações sobre como criar a mídia, consulte o guia de uptechs mais recente.
Nota: Os itens a seguir também se aplicam ao artigo indicado acima.
As versões mínimas do ePO compatíveis com o DE 7.x.
O mínimo de McAfee Agent (MA) compatível com o DE 7.x.
Quais versões do EEPC podem ser upgrade para o DE 7.1.x ?
Os upgrades a seguir são possíveis:
EEPC 7.x -(fim da vida útil (EOL))
Os sistemas instalados com o EEPC 7.0.x podem upgrade, a partir de 7.1. então, você deve primeiro upgrade a extensão do EEPC para o EEPC 7.0 Update 2 ( 7.0.2 ) ou para a atualização 3 ( 7.0.3 ).
EEPC 6.x -(EOL)
Se você estiver usando o EEPC 6.1.2 ou posterior, deverá primeiro upgrade todas as extensões para o EEPC 7.0 Update 2 ou a atualização 3. Os sistemas clientes que executam o EEPC 6.1.2 ou posterior podem ser diretamente atualizados para 7.1. as instalações do ePO, com as extensões do EEPC 7.0 Update 2 ou 3 check-in podem ser atualizadas diretamente para de 7.1.
EEPC 5.x -(EOL)
Sistemas instalados com o EEPC 5.2.6 , 5.2.12 e 5.2.13 pode migrar diretamente para de 7.1.
Quais etapas devo seguir se quiser upgrade para a versão mais recente de DE 7.2.x , mas já tiver uma versão anterior 7.1.x instalada? Se você tiver uma versão anterior instalada, como DE 7.1.0 , mas desejar upgrade para uma versão posterior 7.1.x , execute as seguintes etapas:
Certifique-se de que não haja tarefas de sincronização LDAP em execução. Se houver alguma tarefa em execução, aguarde até que seja concluída.
Desative todas as tarefas de sincronização de LDAP antes de iniciar o upgrade.
Instale o DE 7.1.3 extensões.
Faça check-in dos pacotes DE 7.1.3 software do Agent e do PC.
Reative todas as tarefas de sincronização de LDAP.
Distribua os pacotes DE 7.1.3 software para o sistema cliente.
Reinicie o sistema cliente depois que a tarefa de distribuição for concluída.
Estou configurando um novo servidor ePO e desejo movê-los DE clientes para outro. Esta ação é compatível? Sim. Esse cenário é compatível com o DE DE 7.1.3 e versões posteriores.
NOTAS:
Com versões anteriores de DE, transferir um sistema de um servidor ePO para outro substitui as atribuições de usuários. Os dados de token do usuário no sistema também são substituídos pelos dados do servidor de destino. Há uma possibilidade de perder atribuições de usuários e alterar as credenciais do usuário no ambiente pré-inicialização.
DE introduz um recurso DE 7.1.3 transferência de cliente. O recurso fornece ao administrador do ePO um mecanismo para permitir que os sistemas sejam transferidos de um servidor ePO para outro. A transferência ocorre durante a preservação de atribuições de usuário e dados de usuário. Se o recurso estiver ativado, um sistema DE 7.1.3 do detectará uma alteração no servidor. Ele solicita que o novo servidor DE 7.1.3 Gerenciamento atribua automaticamente os usuários ao sistema no contexto do novo servidor de gerenciamento. Quando a atribuição é bem-sucedida, o sistema envia seus dados de token de usuário para o novo servidor de gerenciamento. Todos os sistemas que falharam no processo de transferência do sistema são realçados no servidor de destino por meio de um relatório intuitivo e fácil de ser acessado.
Um Guia de transferência de sistema de 7.1.3 cliente separado é incluído na versão que descreve o processo de transferência do sistema em detalhes.
O que devo considerar se eu instalar o em um sistema de Windows 8.x usando a UEFI nativa? Recomendações se você planeja instalar o DE 7.x em um sistema de Windows 8.x , usando a UEFI nativa: Recomendamos que você use apenas o modo UEFI nativo se o sistema for explicitamente Windows 8 certificado. Recomendamos também que você upgrade seus sistemas UEFI para o nível de firmware UEFI mais recente. Em seguida, teste em um sistema nativo com capacidade para UEFI específico antes da distribuição em larga escala.
Nota: Para outras perguntas e respostas de UEFI, consulte a seção "funcionalidade" abaixo. Tenho que descriptografar e criptografar novamente os clientes durante a upgrade 7.1 de?
Não. O processo de upgrade foi projetado para transferir a chave do agente antigo para o novo agente.
Durante o processo de instalação, quais métodos estão disponíveis para evitar que todos os usuários usem a mesma senha padrão?
Existem dois métodos:
Por meio do DE política, você pode Forgo usando a senha padrão. Em vez disso, faça com que os usuários sejam solicitados a inserir uma senha que escolher.
Use um regra de atribuição de políticas com um UBP diferente, onde você define uma senha padrão diferente para os usuários que atribuiram o UBP.
Posso instalar o DE em um sistema e fazer uma imagem bruta (setor por setor) para usar em novos computadores?
Não. Esse cenário não é compatível. Ele introduziria um problema de segurança, pois cada sistema teria a mesma chave de segurança.
Posso alterar o tamanho do teclado virtual do Tablet exibido durante a pré-inicialização, se achar que o tamanho padrão é muito pequeno?
Não. Para enviar uma solicitação de aprimoramento de produto para incluir essa funcionalidade, consulte a seção "informações relacionadas a".
Preciso adicionar VirusScan exclusões de antivírus para o DE?
Não. As exclusões de antivírus não são mais necessárias.
Perguntas frequentes DE funcionalidade aplicáveis a DE 7.2.0 e posteriores
Como o 7.2.x usa a extensão do Intel software Guard (SGX)? O Intel SGX é uma extensão de arquitetura Intel, introduzida com a sexta geração de plataformas de processador Intel Core, que foi projetada para aumentar a segurança do software por meio de um mecanismo de área restrita inverso . Nessa abordagem, softwares legítimos podem ser lacrados dentro de um enclave e protegidos contra tais ameaças, independentemente do nível de privilégio da ameaça. A alternativa é tentar identificar e isolar todas as ameaças potenciais ou superfícies de ataque na plataforma.
Usar o SGX Intel com DE aprimora ainda mais a proteção contra ataques baseados em memória (como o ataque de inicialização a frio) sem afetar o desempenho em sistemas que oferecem suporte a SGX e com uma política adequada aplicada.
Perguntas frequentes DE funcionalidade aplicáveis a DE 7.1 e posteriores
Posso reparticionar um disco criptografado com o de?
Não. Não é possível alterar o particionamento de um disco que já esteja criptografado. Você precisa descriptografar completamente o disco e desinstalá-lo antes de executar a repartição do disco.
Qual é o tamanho da chave usada pelo algoritmo de criptografia AES256?
O comprimento de chave usado é de 256 bits.
O RAID é compatível?
Há dois tipos de tecnologias RAID a serem consideradas: computadores com hardware ou software RAID.
O DE não foi testado com o RAID DE hardware. No entanto, é esperado que o antitech funcione corretamente em ambientes onde o RAID de hardware puro é implementado. Essa expectativa abrange sistemas que têm placas RAID internas ou sistemas RAID externos com um controlador incorporado.
Nota: O DE ou a restech não pode oferecer suporte a diagnóstico ou recuperação de desastres para uma configuração RAID interrompida quando o RAID de hardware estiver em uso.
O DE ou o untech não é compatível com o RAID baseado em software. Windows discos dinâmicos são uma forma de RAID de software.
Computadores quando o modo de BIOS SATA é configurado para usar RAID ou RAID em:
Em geral, o DE ou a DETech funciona no modo RAID, desde que o modo de BIOS SATA desse computador possa ver o disco.
NOTAS:
No modo herdado ou do MBR BIOS, o DE depende de chamadas Int13 para acessar o disco rígido (HDD) do computador.
No modo UEFI, DE depende do protocolo de entrada ou saída do sistema; Portanto, o DE não é independente do modo de BIOS SATA.
A única advertência para essa instrução é se o disco for uma HDD de unidade de criptografia (SED) OPAL ou de autorreferência. O DE deve ser definido como o modo Advanced Host Controller Interface (AHCI). O motivo é que por tem seu próprio driver de controlador e não depende do BIOS para acesso de disco rígido.
Notas: A advertência somente se aplica à criptografia de hardware de uma unidade OPAL ou SED, e não se a HDD do OPAL for configurada para criptografia de software.
É possível criptografar um dispositivo de armazenamento de mídia removível conectado por meio de uma porta USB?
Não. DE detecta e criptografa a unidade somente se ela for detectada por meio de uma porta SATA.
O que é o diretório DE DE usuário?
O diretório de usuário estende o seu gerenciado pelo ePO para os sistemas com usuários não gerenciados e fora do domínio. Além dos usuários gerenciados no AD, o DE agora também pode usar esses usuários gerenciados pelo ePO para autenticação pré-inicialização.
Os dados do usuário agora estão sincronizados a partir do AD e armazenados em cache localmente no ePO. Esse fato elimina a necessidade de round trips constantes do ePO para AD. Isso resulta em melhorias significativas de desempenho para verificações de políticas baseadas no usuário.
Outros fatos gerais do diretório do usuário:
O diretório do usuário remove a dependência em AD.
Um administrador deve instalar a extensão de diretório de usuário. Você pode fazer essa instalação antes ou depois DE 7.1.x ter feito upgrade para o, desde que os pré-requisitos do ePO sejam atendidos, o que é o ePO 5.1.x.
Não há diferenças conceituais entre os usuários autônomos no EEPC 5.x e os usuários no diretório do usuário.
Migrar usuários autônomos do EEPC 5.x para o diretório do usuário.
Você pode criar unidades organizacionais (UOs) no diretório do usuário.
Os usuários podem ser adicionados e removidos de uma OU.
Os usuários podem ser movidos de uma OU para outra OU.
As UOs podem ser aninhadas.
Um usuário não pode pertencer a mais de uma UO.
Ao selecionar uma unidade organizacional, você pode ver todos os usuários que compõem esse OU (incluindo UOs aninhadas).
Notas: Você pode ver todos os usuários de subunidades, mas nem todas as UOs aninhadas. No nome distinto, você pode ver a origem da subuo de cada usuário.
Em relação à execução de scripts, o ePO WebAPI mudar para User: Machine assignments ?
Não.
O que é AutoBoot do Trusted Platform Module (TPM)? O AutoBoot do TPM é uma nova oferta 7.1. de ti que fortalece as funções tradicionais de inicialização automática usando um TPM, se o hardware estiver presente, para proteger a chave.
O TPM fornece um mecanismo de selo, no qual os dados criptografados só podem ser descriptografados se o sistema estiver em um estado predefinido. Durante a inicialização do sistema, o TPM mede o firmware e todos os componentes de inicialização. A medição consiste em estender uma hash armazenada em um registro de TPM, com o código prestes a ser executado. O firmware toma medidas, o que não pode ser ignorado. O TPM permite apenas a descriptografia da chave. Se o sistema estiver no mesmo estado em que foi lacrado, qualquer alteração, seja qual for pequena, fará com que ele falhe.
Outros fatos gerais do TPM:
O AutoBoot do TPM é diferente do AutoBoot tradicional, pois o AutoBoot tradicional não oferece segurança para o sistema. A chave usada para criptografar o disco é gravada em texto não criptografado no disco. O AutoBoot do TPM protege a chave criptografando-a com o TPM; Ele não está mais em texto não criptografado.
O TPM ajuda a proteger a chave, pois o TPM só pode descriptografar a chave se o estado sistema não tiver sido alterado. A chave não será descriptografada se uma das seguintes opções for verdadeira:
O TPM acredita que o estado sistema foi alterado.
Há um novo chip do TPM presente (nova placa-mãe).
Se não for possível descriptografar a chave, a função de inicialização automática falhará e a autenticação pré-inicialização será exibida.
Com o AutoBoot do TPM ativado, o sistema continua a ser inicializado automaticamente, mas somente se o TPM acreditar que tudo está em ordem. Nessa situação, o usuário não vê o ambiente de pré-inicialização e simplesmente é inicializado em Windows.
O AutoBoot do TPM pode ser usado com o AutoBoot reativo.
O AutoBoot do TPM e o AutoBoot reativo podem ser usados com o novo modo de espera conectado. Ambos oferecem suporte e a otimização da blindagem de sistemas contra ataques de inicialização a frio.
Se a placa-mãe tiver sido alterada ou as medições de inicialização do TPM forem alteradas, o usuário verá a tela de autenticação pré-inicialização. Se um usuário tiver chegado a essa situação, ele precisará executar uma recuperação de desafio ou resposta para obter acesso ao Windows.
Se credenciais de usuário pré-inicialização válidas forem conhecidas, o usuário poderá simplesmente se autenticar e inicializar em Windows. No entanto, como o usuário esteve nesse modo de inicialização automática, as chances de eles conhecerem uma credencial de usuário válida são insuficientes.
O TPM faz mais do que criptografar a chave. Ele também mede o caminho de inicialização. A cada vez que o sistema é inicializado, hashmos alguns dados sobre o caminho de inicialização no TPM. O resultado é que o TPM apenas descriptografa a chave se o caminho de inicialização não tiver sido alterado.
Esse fato significa que, após a inicialização automática do TPM desbloqueie o disco, não é possível inicializar em outro caminho de inicialização. Se uma opção de inicialização diferente for selecionada na inicialização, a função AutoBoot falhará e a pré-inicialização será exibida.
Outros fatos de função de administrador de TPM:
As configurações de política para o AutoBoot do TPM estão sob o título "TPM de usuário para" de inicialização automática e têm as três opções a seguir:
Never -A chave de disco é gravada em texto não criptografado no disco. Essa opção é a funcionalidade original do AutoBoot.
If Available -Se o sistema tiver um TPM utilizável, o TPM será usado para criptografar a chave. Se não houver um TPM disponível, ou se ele estiver inutilizável, o TPM presente no sistema terá a chave gravada em texto não criptografado no disco. Essa ação é de acordo com a funcionalidade do AutoBoot original.
Required -A inicialização automática funcionará somente se o sistema tiver um TPM utilizável. O ambiente DE pré-inicialização é exibido em sistemas que não têm um TPM.
Importante: Se Microsoft atualiza o carregador de inicialização do Windows durante uma atualização de Windows, as medidas de reinicialização foram alteradas. Como resultado, o TPM não pode descriptografar a chave e você deve passar por um processo de recuperação. O processo de recuperação exige que uma chamada de Help Desk para que o sistema seja inicializado com êxito novamente.
Nota: O DE pré-inicialização também está no caminho de inicialização. Assim, quando um administrador faz uma nova versão de DE, hotfix, atualização ou uma nova versão, ele atualiza os seguintes itens:
DE aplicativo EFI pré-inicialização
Medidas de inicialização
De maneira semelhante ao cenário de atualização do Windows, os usuários devem fazer uma chamada de Help Desk para acessar o sistema depois DE enviar por push um atualização.
Os requisitos mínimos para a inicialização automática do TPM são os seguintes:
DE 7.1.x/7.2.x somente oferecer suporte ao AutoBoot do TPM em sistemas TPM 2.0 (todos os sistemas em espera conectados são compatíveis com o TPM 2.0 ).
Nota: Sistemas mais antigos com TPM 1.2 não são compatíveis com este recurso.
DE 7.1 atualização 1 ( 7.1.1 ) e posterior Adicione suporte a chipsets do TPM 1.2 (apenas sistemas UEFI).
A chave de proprietário do TPM deve ser gerenciada localmente e não está no AD.
O sistema deve incluir o protocolo de UEFI de TPM na implementação de UEFI do OEM (um requisito para sistemas em espera conectados).
Outros fatos da experiência do usuário do TPM:
Quando o TPM não puder descriptografar a chave, ele exibirá o ambiente de pré-inicialização e solicitará que o usuário faça a autenticação. Se o TPM estiver em qualquer dúvida, ele não inicializará automaticamente o sistema e exibirá o ambiente pré-inicialização e aguardará a autenticação.
Agora posso lidar com um grande número de usuários na pré-inicialização?
O ambiente pré-inicialização agora é aprimorado para oferecer suporte a mais de 5.000 usuários sem degradação de desempenho perceptível durante a autenticação pré-inicialização. O limite anterior era de no máximo 250 usuários na pré-inicialização. Você pode, agora, configurar todos os usuários com segurança para compartilhar desktops, o que permite que qualquer usuário use qualquer sistema.
Qual é a recomendação do número de usuários atribuídos para a autenticação pré-inicialização?
A recomendação geral permanece inalterada. Atribua somente o número mínimo de usuários para a autenticação pré-inicialização.
Outros fatos gerais da autenticação pré-inicialização:
O DE 7.1 e versões posteriores aumentam o número de usuários que o pré-inicialização pode oferecer suporte, embora seja recomendável minimizar o número de usuários atribuídos por nó. Os números aumentaram para milhares, em vez de centenas.
Em primeiro lugar, a melhor prática de segurança visa limitar o número de usuários que podem acessar um sistema para o menor grupo de usuários.
Em segundo lugar, a atribuição de um grande número de usuários a cada nó pode afetar a escalabilidade geral de todo o sistema. Isso pode reduzir o número máximo de nós que o DE pode oferecer suporte.
As penalidades a seguir se aplicam se você permitir que os usuários do 5.000 efetuem logon na pré-inicialização de um computador:
A ativação é mais demorada porque precisa download todas as informações sobre os usuários do 5.000.
A sincronização das informações do usuário demora mais, aumentando a carga de trabalho no servidor ePO.
Outras ações que incluem informações do usuário levam mais tempo para serem processadas. Um exemplo dessas ações é salvar as informações do sistema sobre um cliente, pois ela também inclui informações sobre o usuário.
A escalabilidade de um servidor ePO pode ser afetada. O servidor ePO executa mais trabalho por ASCI para garantir que todas as informações estejam atualizadas.
Exemplo:
Suponhamos que você tenha 100 sistemas que cada um tenha 5.000 usuários atribuídos. Usar a ocorrência mais comum, uma senha alterada. Para um usuário, ele seria capturado em um sistema, submetido a upload para o ePO e, em seguida, enviado para os outros sistemas 99 quando eles forem sincronizados com o ePO.
Se você forçar os usuários a alterar suas senhas a cada 90 dias, 5.000 os usuários devem atualização suas senhas. O resultado é 500.000 atualizações (5.000 usuários x 100 sistemas) que o servidor ePO deve processar em alguns momentos em que os sistemas se sincronizam com o ePO.
Um grande número de usuários causa o maior tráfego de rede. Todo esse tráfego é tratado na rede. Embora dados de usuários individuais sejam pequenos, geralmente < 20 kilobytes, eles são multiplicados pelo número de transações. Se um sistema tiver um link lento, pode levar um tempo considerável para receber todas as alterações. Se o servidor lida com atualizações do usuário para muitos clientes, o tráfego de rede também pode ser significativo. No pior caso, ele pode não receber todas as atualizações em um período de sincronização.
O que é AOAC?
AOAC significa sempre ativada, sempre conectada. Microsoft chama o ' modo de espera conectado ' e a Intel chama o Smart Connect. Todos eles fazem referência basicamente à mesma função de alto nível.
É a capacidade de manter um sistema em um modo de suspensão de baixa energia e, periodicamente, ativá-lo para recuperar dados, por exemplo, para e-mails ou atualizações de Facebook e depois fazê-lo voltar para a suspensão. Essa atividade ocorre sem o usuário saber ou intervir. Pense nisso como sendo semelhante à maneira como o seu telefone celular funciona.
Outros fatos gerais do AOAC:
DE 7.1.x oferece suporte a um modelo do AOAC. O suporte é fornecido por meio do modo de espera conectado. Enquanto ele está no modo de espera, o logon Windows é usado para proteger os dados de acesso não autorizado.
O AOAC altera a criptografia de disco total. A criptografia de disco completa tem sido historicamente a proteção de dados em repouso (quando o sistema está desativado). Várias empresas estão apresentando a função AOAC.
Com o modelo AOAC, o sistema e os serviços precisam acessar o disco. Isso significa que a chave de criptografia do disco sempre permanecerá na memória. No entanto, os sistemas que suportam o AOAC são mais vulneráveis a ataques de inicialização a frio porque a chave está sempre na memória. Lembre-se de que o sistema não desliga; Ele está apenas em espera.
Todos os AOAC e o modo de espera conectado continuam a funcionar quando essa função está ativada.
Quando o sistema estiver dormindo, os dados nunca serão colocados em repouso com o modelo AOAC. Os sistemas não estão desligados; Eles estão apenas no modo de espera. O modelo AOAC exige que os discos permaneçam ' desbloqueados ' por causa do seguinte:
Os sistemas podem ser ativados periodicamente ou por meio de uma notificação por push.
Os aplicativos e serviços podem requerer acesso ao disco durante este período de ativação.
Você pode usar as funções do AOAC com pré-inicialização, a função de inicialização automática ou ambas.Essa função funciona independentemente do método de autenticação. No entanto, recomendamos que você use um dos seguintes itens:
Pré-inicialização
Se a inicialização automática for escolhida, ative o AutoBoot do TPM com o AutoBoot reativo ou a integração com a tecnologia de gerenciamento ativo da Intel.
Como é a proteção de sistemas contra ataques de inicialização a frio?
Abaixo, uma visão geral de alto nível dessas novas funcionalidades é fornecida a seguir:
Nas plataformas modernas Windows que podem oferecer suporte ao novo modo ' modo de espera conectado ', o usuário pode ter uma experiência semelhante a iPad.
Esses sistemas estão sempre em um estado "ligado".
O sistema exige que a chave de criptografia esteja sempre na RAM, tornando-a suscetível a ataques de depuração de memória que podem fazer a limpeza da chave de criptografia da RAM.
O DE pode operar em segundo plano, proporcionando uma experiência de Windows nativa para o usuário. Quando o dispositivo entra no estado ' espera conectada ', elimina a chave de criptografia da RAM. Em seguida, o move para uma área segura em um sistema de blindagem de hardware da Intel, para evitar contra ataques de inicialização a frio e depuração de memória. Quando o dispositivo se move para um estado ativo, a chave de criptografia é movida de forma transparente de volta para a RAM. Isso ocorre após a autenticação bem-sucedida do usuário ser Windows.
O que é um ataque de inicialização a frio?
Um ataque de inicialização a frio é uma forma de extração de dados confidenciais da memória do sistema. Ele faz isso quando o sistema é ligado ou está em um estado de espera, mesmo que o sistema esteja protegido por uma senha de Windows. O ataque envolve uma destas duas ações:
Reinicialização do sistema e execução de um pequeno programa no próximo ciclo de inicialização que faz a varredura da memória do sistema para obter informações confidenciais
Remoção da RAM de um sistema conectado e tradução para outro sistema para varredura
Outros fatos gerais de inicialização a frio:
DE otimiza sistemas em relação a um ataque de inicialização a frio quando um sistema entra em um dos modos de espera. DE 7.1.x Remove a chave da memória. Ele é armazenado em um local seguro que ainda pode ser acessado durante o modo de espera conectado. O sistema continua a funcionar como o usuário espera; no entanto, o sistema fica menos vulnerável a um ataque de um estilo de inicialização frio porque a chave não está mais na memória.
DE remove completamente a chave da memória. Essa função fortalece o sistema contra ataques de tipo de memória. Todos os esforços são tomados para garantir que a chave seja removida da memória. Mas não podemos garantir que ela foi removida, devido ao modo como o Windows gerencia a memória.
Além disso, essa função não funciona com a segurança baseada em virtualização, introduzida no Windows RS1 e versões posteriores. Portanto, ele não pode ser ativado nessas plataformas..
A única condição na qual a chave é colocada de volta na memória é após um usuário ser autenticado com êxito para o Windows. A simples execução de Windows não coloca a chave de volta na memória.
Quando a chave não está na memória, ela é mantida em uma área de armazenamento segura que não esteja na memória. A chave pode ser removida da memória quando ocorre um dos seguintes eventos:
O sistema está desativado.
O usuário efetua logoff.
O usuário bloqueia a estação de trabalho.
O sistema está aguardando a autenticação de um usuário no prompt de logon do Windows.
Depois que o sistema for ativado modo de espera ou de suspensão/
Se os usuários forem autenticados e estiverem em sua área de trabalho, a chave estará na memória. Se os usuários não estiverem autenticados ou estiverem na área de trabalho, a chave não está na memória.
Notas: Um administrador pode selecionar, por meio de uma política, em que condições a chave é removida.
Embora apenas um driver seja necessário para manipular a chave na memória, ele opera em um dos dois modos:
Cript. padrão
Criptografia elevada para segurança
O que é o modo de cript padrão?
É um estado driver de criptografia em que:
A chave de criptografia é armazenada na RAM.
Ele não está protegido contra ataques com base em RAM ou no estilo de inicialização a frio.
É altamente otimizado para desempenho.
Ele usa a mesma implementação de algoritmo das versões anteriores do EEPC 7.x legado.
O que é o modo de criptografia de segurança elevada?
É um estado driver de criptografia em que:
Uma nova implementação do algoritmo de criptografia AES256-CBC é usada.
A chave de criptografia é armazenada em um local seguro e não na RAM.
Atualizalização.
Ele vem com uma penalidade de desempenho significativa.
As imposição de política estão desativadas.
Outros fatos gerais de segurança elevada:
O driver troca entre os dois modos e é definido por meio de uma política. Exemplo: DE 7.1 pode trocar para o modo de criptografia de segurança elevada quando o sistema for:
Bloqueado
Logoff
Entra no modo de espera
Nota: O modo de cript padrão é retomado quando o usuário se autentica com êxito em Windows.
Essa funcionalidade pode ser usada com o AutoBoot do TPM.
O tempo de inicialização é mais lento no modo de criptografia de segurança elevada. A partir da inicialização inicial, a chave não é armazenada na memória até que o usuário seja autenticado com êxito para o Windows. Se você estiver usando um Tablet, você raramente será desligado completamente e, portanto, nem sempre enfrentará esse problema.
Quando o sistema executa uma tarefa de alto uso de disco e a estação de trabalho é bloqueada, a estação de trabalho fica mais lenta. Os usuários observam esse impacto no desempenho quando retornam mais tarde. Esse problema é verificado quando o sistema está em execução no modo de criptografia de segurança elevada e quando a chave não está na memória.
No modo de criptografia de segurança elevada, você tem uma compensação de segurança versus desempenho. O importante a ser lembrado é que, quando um usuário estiver usando o sistema ativamente, o desempenho total normal será detectado. Apenas os pontos onde a autenticação ainda deve ocorrer, que o usuário enfrenta o impacto sobre o desempenho.
Exemplo do impacto sobre o desempenho quando o driver usa o modo de criptografia de segurança elevada:
Examinando o desempenho do algoritmo bruto: processador compatível com o AES de 64 bits-NI:
Horário padrão criptografado = 1 ciclo de relógio/byte da CPU
Segurança elevada criptografada = 15 ciclos de relógio/byte da CPU
processador compatível com 32-bit não-AES-NI:
StandardCrypt = 35 ciclos de relógio/byte da CPU
Segurança elevada criptografada = 133 ciclos de relógio/byte da CPU
Nota: O impacto pode ser maior do que o do algoritmo bruto acima devido aos testes que estão sendo executados com interrupções desativadas. Analisado de outra forma, apenas como exemplo, se um sistema tiver uma taxa de transferência de 208 MB/s em criptografia padrão, ele poderá cair para 20 MB/S em criptografia elevada de segurança.
Nota: O sistema precisa ser compatível com o modo de espera conectado e deve ser um Tablet da Clover ou um sistema de Haswell.
Há alguma diferença entre "em espera conectado" e "conexão inteligente"? Sim. Smart Connect é uma tecnologia mais antiga. O Smart Connect possui um driver que ativa periodicamente o sistema e disca para um servidor para efetuar notificações de pull. O modo de espera conectado é uma nova tecnologia na qual o sistema entra em um novo estado de energia na CPU.
O modo de espera conectado requer novo hardware para oferecer suporte a ele; A conexão inteligente não. Portanto, você pode ter conexão inteligente em um sistema Windows 7 com CPU e hardware mais antigos. Tecnicamente falando, o Smart Connect usa o estado de energia S3, que está em suspensão. O modo de espera conectado usa o estado de energia RTD3, que é um estado diferente na CPU.
O que está conectado em espera?
A espera conectada não é realmente um modo de suspensão real. Ele é executado nesse novo estado de energia e deixa alguns serviços em execução que podem receber notificações do servidor. Portanto, ele tem requisitos de hardware e está disponível apenas em sistemas Windows 8.x .
Exemplo: os requisitos de hardware para o modo em espera conectado no Windows 8 tiram proveito do modo de espera conectado se todos os seguintes requisitos de hardware forem atendidos:
Um sinalizador de firmware indica suporte para o padrão.
O volume de inicialização não usa um disco rotacional.
Suporte a NDIS 6.30 por todos os dispositivos de rede.
Resfriamento passivo quando estiver conectado em espera.
Notas: Existem outros requisitos específicos de segurança; por exemplo:
A memória deve ser soldada na placa-mãe para evitar vetores de ataque de inicialização a frio que envolvem a remoção da memória do computador.
É possível clonar uma unidade de disco rígido (HDD) existente para um disco maior, tornar o novo disco inicializável e estender o tamanho sob o ambiente do Windows?
Não. Para migrar para um HDD maior, você deve primeiro descriptografar o HDD, concluir a clonagem e, em seguida, criptografar novamente.
É possível executar uma limpeza remota de um sistema criptografado?
Não. A pré-inicialização não tem funcionalidade de rede.
Por que o Windows 8 requer uma alteração significativa nos produtos de criptografia?
A Microsoft introduziu muitos recursos novos com o Windows 8 e versões posteriores. Os que afetam a criptografia são os seguintes:
A UEFI Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Outros fatos gerais de segurança elevada:
O Windows 8.x tem dois métodos de inicialização possíveis. Dependendo da configuração e dos recursos do seu sistema, o Windows 8 instala o recurso de inicialização com o novo processo de inicialização de UEFI ou o processo de inicialização do BIOS legado.
Não é possível alterar uma definição de configuração e trocar Windows 8 de um processo de inicialização para outro. Você precisa reinstalar o Windows 8 por completo devido à alteração no mecanismo de particionamento.
Do Windows 8 e versões posteriores, DE tem dois ambientes pré-inicialização. Uma pré-inicialização para lidar com o processo de inicialização de UEFI e uma pré-inicialização para lidar com o processo de inicialização do BIOS.
O cliente DE inteligente examina qual processo de inicialização o sistema está configurado para usar. Em seguida, ele determina qual pré-inicialização precisa ser instalada. Esse fato permite que um administrador distribua o DE para sistemas e saiba que a pré-inicialização apropriada é instalada automaticamente.
O DE 7.x não usa a interface do usuário do Windows 8 moderna (UI). Após o carregamento do Windows, o único DE DE interface do usuário no Windows 8 é o status da bandeja monitor, que está disponível apenas na área de trabalho. Ele não está disponível na interface do usuário moderna.
O que é AutoBoot?
O AutoBoot é uma conta que efetivamente ignora a proteção fornecida por DE. Com essa opção ativada, os usuários não vêem a tela de autenticação pré-inicialização.
O que é reativo AutoBoot?
O AutoBoot reativo é um aprimoramento da funcionalidade tradicional de AutoBoot que existe em Windows e OS X. No modo de inicialização automática, a unidade é criptografada. No entanto, o usuário não vê a tela de autenticação pré-inicialização e inicializa diretamente no sistema operacional.
Ao contrário do AutoBoot tradicional, o AutoBoot reativo possui uma outra funcionalidade. Quando ativado, o produto monitora Windows solicitações de autenticação. Se um usuário exceder um número máximo de falhas de autenticação especificado, o AutoBoot reativo ativará automaticamente a autenticação pré-inicialização, desativará o AutoBoot e reiniciará imediatamente o computador. Depois que essas ações ocorrerem, o usuário deverá passar com êxito na autenticação pré-inicialização antes de obter acesso ao sistema operacional.
Essa funcionalidade permite que a política de autenticação seja automaticamente transição da inicialização automática (desbloqueada, desprotegida) para pré-inicialização (bloqueada, segura). Ele se baseia em determinadas condições designadas pelo administrador.
Outros fatos gerais reativos do autoboot:
Para ativar o AutoBoot reativo (não ativado por padrão), um administrador deve fazer duas coisas:
Selecione a configuração 'Disable and restart system after <n> (1–10) failed logons or unlocks (Windows only, Vista onwards)' de política do produto.
Especifique o número de logons com falha ou de desbloqueios permitidos.
A política deve, então, ser atribuída aos sistemas que requerem a funcionalidade de AutoBoot reativa.
Exemplo para o uso do AutoBoot reativo: você deseja criptografar sistemas compartilhados, que podem ser necessários para o acesso de qualquer usuário da organização. Como resultado, não é possível atribuir um usuário ou grupo de usuários específico para a autenticação pré-inicialização. O AutoBoot reativo pode ser uma solução aceitável para tais casos, em que você seria forçado a distribuir usando o AutoBoot.
As unidades serão criptografadas em um sistema com o AutoBoot reativo, caso isso seja definido na política de criptografia. No entanto, como a autenticação não é ativada quando o AutoBoot está ativado, os dados não são protegidos.
Quais são os principais recursos do AutoBoot reativo?
Esse recurso é somente lado cliente; Essa funcionalidade é apenas para cliente. Os eventos de auditoria são carregados no ePO na próxima sincronização, mas o servidor ePO não tem interação com essa funcionalidade.
Você pode especificar o número máximo de tentativas com falha. Um administrador do ePO pode especificar esse número na política. Ele tem um valor mínimo de 1 e o valor máximo de 10.
Ela se aplica a todas as tentativas de autenticação do Windows. Ele se aplica a logons Windows e tentativas de desbloqueio.
Ele funciona com o software Encryption e o Opal.
Os usuários podem usar a recuperação de desafio/resposta para permitir que o sistema acesse Windows quando um usuário exceder o número máximo de tentativas com falha definidas.
Um usuário Windows pode fazer parte de um grupo de trabalho ou usuário de domínio.
Os eventos são auditados. Um administrador do ePO pode ver quais sistemas estão ativados. O evento 30070: "inicialização automática desativada – excedeu o número máximo de logons com falha" é enviado ao servidor ePO, mas somente após a próxima autenticação bem-sucedida ser Windows e quando a conectividade com o ePO é possível.
Nota: No momento em que o sistema acha que está sob ataque, ele desativa o AutoBoot e reinicia o sistema. Não há tempo para enviar um evento para o ePO, portanto, o ePO não reconhece o bloqueio conforme ele é implementado.
Não é necessária nenhuma ação do administrador para reativar a inicialização automática reativa em um sistema em que ela está desativada, o que pode ocorrer em uma tentativa de autenticação Windows com falha. Depois que o cliente reinicia o sistema e acessa o Windows, o AutoBoot reativo é reativado automaticamente. O sistema não precisa se comunicar com o ePO para reativar a inicialização automática.
Qual é a experiência do usuário quando o sistema usa o AutoBoot reativo?
Quando os usuários ligam seus computadores, eles são inicializados diretamente em Windows. A Autoinicialização significa que não há autenticação pré-inicialização. Os usuários acessam diretamente o Windows logon. Supondo que eles sempre se autentiquem com êxito para a Windows, sua experiência não é alterada.
O usuário enfrenta o seguinte após exceder o número máximo de tentativas de autenticação Windows com falha:
A autenticação pré-inicialização é ativada automaticamente, e a inicialização automática é desativada.
Ocorre um desligamento inesperado Windows e o sistema é reinicializado.
Quando o computador é reiniciado, a tela de autenticação pré-inicialização é exibida e o usuário deve se autenticar com êxito para obter acesso ao Windows.
Depois que um usuário exceder o máximo definido de tentativas com falha, um usuário não poderá executar as seguintes ações:
Autenticar usando credenciais do Windows
Use a AutoRecuperação para passar na pré-inicialização e acessar Windows
Nota: Se o sistema sempre tiver funcionado no modo de inicialização automática, é improvável que qualquer um DE seus usuários tenha sido atribuído para permitir qualquer autenticação pré-inicialização bem-sucedida.
Para obter acesso ao Windows quando a autenticação pré-inicialização é apresentada, para obter acesso a Windows, um usuário deve executar uma das seguintes ações:
Faça a autenticação na tela de pré-inicialização.
Passar por um dos mecanismos de recuperação padrão.
Como reativar o AutoBoot reativo e desativar a autenticação pré-inicialização para voltar ao fluxo de trabalho anterior?
O usuário deve se autenticar com êxito na pré-inicialização ou passar pelo processo de recuperação necessário para acessar o Windows. Depois que as cargas DE Windows e de os serviços são iniciadas, o AutoBoot reativo é reativado automaticamente.
Quais recursos de integração da tecnologia Intel Active Management Technology (AMT) funcionam com o AutoBoot reativo?
Embora, na teoria, você possa usar o caso de uso de reconhecimento de local da integração do Intel AMT com o AutoBoot reativo, o uso combinado não faz sentido por dois motivos principais.
Primeiro, embora o AutoBoot reativo esteja ativado, a funcionalidade AMT não é usada na pré-inicialização porque o sistema é inicializado diretamente em Windows.
Segundo, de um ponto de vista de segurança e usabilidade, é melhor usar a funcionalidade AMT e o caso de uso ' reconhecimento de local '. Ambos permitem a inicialização automática segura e autorizada do sistema em Windows. Se você tiver ativado essa funcionalidade, ela será a solução mais segura em comparação com o AutoBoot reativo.
Você pode considerar o uso do AMT para remover ou reduzir as chamadas do Help Desk dos usuários quando a funcionalidade de AutoBoot reativa permite pré-inicialização. Essa funcionalidade pode reduzir a necessidade de uma chamada do suporte técnico para continuar além do ambiente de pré-inicialização. No entanto, você ainda pode encontrar um cenário onde a chamada a Help Desk é necessária. O mais importante é que a funcionalidade AMT fornece segurança de dados, exigindo que uma autenticação pré-inicialização automática seja fornecida pelo servidor. Por outro lado, o AutoBoot não tem autenticação pré-inicialização e não fornece segurança de dados.
A experiência do usuário parece ser a mesma quando se aplica o seguinte:
Quando a integração entre a AMT e o AutoBoot reativo são usados
Quando o usuário não consegue autenticar muitas vezes
Nota: No entanto, existem diferenças de back-end.
Exemplo de cenário:
importante: se você ativou a localização do Intel AMT 'local Aware', recomendamos que utilize essa funcionalidade e não o AutoBoot reativo. O motivo é que ele fornece segurança de dados Autenticando-se do servidor. Se necessário, você pode definir uma política de Windows para desativar o usuário se ele não efetuar a autenticação após um limite definido.
O AutoBoot reativo é uma solução insegura que é inicializada no Windows com o uso de informações de criptografia já presentes no cliente.
A integração do Intel AMT é uma solução segura que entra em contato com o ePO e solicita permissão para ser inicializado em Windows. Em seguida, recebe as informações criptográficas necessárias para fazê-lo.
Em um sistema cliente que usa o AutoBoot reativo, a funcionalidade de AMT na pré-inicialização não é usada. Quando um usuário falha ao autenticar repetidas vezes, o AutoBoot reativo permite pré-inicialização e reinicializar o sistema.
A pré-inicialização usa AMT e entra em contato com o ePO para receber permissão para inicialização. Se o ePO não responder, o usuário está na mesma situação que o AutoBoot tradicional reativo sem AMT.
O usuário voltará para a tela de autenticação Windows. O AutoBoot ativo está ativado porque o sistema é inicializado em Windows. O usuário pode continuar inserindo senhas incorretas até Windows desativa o usuário.
Esse cenário pode forçar uma chamada a Help Desk. O AutoBoot reativo é uma atividade do lado cliente. Não há comunicação com o servidor ePO e não há tempo para se comunicar com o servidor quando a funcionalidade responde às tentativas de entrada com falha.
O que é a criptografia inicial rápida (somente setor usado)?
A criptografia rápida inicial é a capacidade de instalar o produto DE em um sistema e executar a criptografia em questão de minutos, em comparação com várias horas que são necessárias em circunstâncias normais.
A função principal de criptografia rápida inicial é para a criptografia inicial de um sistema recém-instalado ou com imagem. O sistema fica em uma mesa de um técnico de TI e não é usado pelo usuário. Você pode ver os casos de uso "configuração interna" ou "provisionamento por um terceiro" a partir das perguntas frequentes de ativação off-line.
Este recurso não pode ser usado com uma unidade Opal. Não há necessidade de usar a criptografia rápida inicial com uma unidade Opal, pois a unidade é tecnicamente sempre criptografada. O processo DE ativação ativa o mecanismo de bloqueio da unidade. Atualmente, uma unidade Opal vai de inativa para ativo e totalmente criptografada em questão de minutos. Consulte também as perguntas frequentes de ativação off-line.
Não é possível usar a criptografia rápida inicial como parte do processo de ativação normal.
A criptografia rápida inicial pode ser usada com uma HDD ou um SSD normal. Mas é importante ler as considerações sobre apenas o setor usado (veja abaixo).
Outra criptografia rápida inicial (somente setor usado):
A criptografia rápida inicial remove a proteção contra falha de energia, que fornece proteção contra perda de dados em um cenário de falha de energia ou de desligamento físico. Ele executa a criptografia inicial tão rapidamente quanto o hardware permite. Ele também criptografa somente os setores que estão em uso no momento.
A criptografia rápida inicial difere da forma como 7.1 as versões anteriores do e posterior funcionam. Tradicionalmente, o produto supõe que esteja criptografando um sistema que está em uso. Ele prioriza a experiência do usuário para minimizar o impacto na rotina diária do usuário. Esse fato tem o benefício de permitir que o usuário continue trabalhando enquanto a criptografia ocorre e fornece proteção contra falhas de energia ou desligamento de hardware. Em uma distribuição padrão, o processo de criptografia demora mais para ser concluído. O motivo é que o DE criptografa todos os setores dos volumes e das partições. Ele criptografa qualquer área que esteja especificada na política de criptografia. Até mesmo setores em branco que não contêm dados são criptografados.
A criptografia inicial rápida criptografa apenas os setores usados. O produto consulta o sistema operacional para o qual os setores estão sendo usados pelo sistema arquivo. Em seguida, o produto criptografa apenas os setores sinalizados como sendo usados nos volumes e nas partições. De acordo com os volumes e partições especificados na política de criptografia, em uma nova instalação, esse número é geralmente um pequeno subconjunto do tamanho total do disco.
Quando novos dados são gravados no disco, à medida que novos setores são usados, eles são criptografados.
A criptografia inicial rápida só está disponível em Windows por 7.1. causa de alterações da Apple, MNE substituiu o produto EEMac.
Para ativar a criptografia rápida inicial como parte de um pacote de ativação off-line, use uma das duas opções a seguir:
SkipUnused (o valor padrão é desativado)
DisablePF (o valor padrão é desativado)
Esse recurso não é ativado por padrão para ativação off-line. Você deve ativar explicitamente a criptografia rápida inicial.
A criptografia rápida inicial está disponível somente como parte do processo de ativação off-line. A opção de ativação off-line é chamada pular setores não utilizados.
Outra criptografia rápida inicial (somente setor usado) fatos da experiência do usuário:
Quando a criptografia rápida inicial é ativada, o usuário deve digitar sim ao usar somente setores usados. Esse ato certifica-se de que você leu o aviso de isenção de responsabilidade e entendeu o uso dessa funcionalidade. É importante ler as considerações sobre apenas o setor usado.
Quando um usuário não digita "Sim" quando solicitado, o pacote de ativação off-line não é criado e o processo falha. Você precisa recriar o pacote novamente e digitar ' Sim ' corretamente ou remover a opção ' somente setores usados ' do pacote.
A opção ' somente setor usado ' significa que não há setores no disco que não estejam criptografados. O produto criptografa apenas os setores que os Estados do sistema operacional estão em uso. Todos os outros setores (espaço em branco) serão deixados em estado não criptografado até serem usados, mesmo que esses setores contenham dados confidenciais anteriormente excluídos. Todos os novos setores gravados durante a operação normal são gravados em um estado criptografado.
A opção recomendação para usar somente o setor usado se aplica a um novo HDD e SSD. Essa funcionalidade pode ser usada antes que quaisquer dados confidenciais da empresa sejam gravados no disco.
Quando você está reciclando uma unidade mais antiga, totalmente criptografada com o DE, essa funcionalidade ainda pode ser usada, pressupondo que todos os volumes que contêm dados confidenciais sejam criptografados anteriormente. Se essa condição não for atendida, é recomendável não usar esta função.
Importante: Não use essa funcionalidade em discos que continham anteriormente dados confidenciais da empresa. Criptografar o volume ou a partição ou o disco inteiro.
Posso reiniciar um computador enquanto o disco rígido está sendo criptografado?
Há dois cenários a serem considerados:
Você não pode reiniciar enquanto usa a criptografia rápida inicial e quando o recurso DisablePF está ativado. Uma reinicialização do sistema sob essas condições levaria a uma perda de dados.
Com a criptografia de disco total (FDE), é possível reiniciar. Com o FDE, a criptografia continua quando o computador é reiniciado.
Qual é o tamanho máximo de HDD que é compatível com o?
O que for compatível com o BIOS ou com a UEFI, DE suporte. O BIOS é tecnicamente limitado a 2.2 TB, em que a UEFI está limitada a 9.4 ZB. Para obter mais detalhes sobre a limitação da UEFI, consulte este documento.
Posso ainda executar uma ativação normal ou off-line com a proteção contra falhas de energia ativada e criptografar todos os setores, e não apenas os que estão sendo usados? Sim. Você deve ativar explicitamente a criptografia inicial rápida para que ela seja usada. Se ele não estiver ativado, será usado o processo normal de ativação e criptografia inicial.
Posso desativar a opção de proteção contra falha de energia, mas permitir somente a funcionalidade de criptografia de setor usado? Sim. Qualquer combinação das duas opções pode ser selecionada. No entanto, devido às possíveis preocupações de segurança ao usar a criptografia ' somente setor usado ' em unidades recicladas (discos sujos), é possível desativar essa opção. É importante ler as considerações sobre apenas o setor usado.
O que é UEFI?
A UEFI define a interface de firmware da próxima geração para o seu computador pessoal. O sistema de entrada e saída básico (BIOS) firmware, originalmente escrito em assembly e usando interrupções de software para O I/O, definiu o sistema do PC desde seu início. No entanto, as mudanças no cenário de computação paved a forma de uma definição de firmware moderna para obter a próxima geração de tablets e dispositivos.
Outros fatos da UEFI:
A UEFI é gerenciada pelo Fórum UEFI, um conjunto de fornecedores de chipset, hardware, sistema, firmware e sistema operacional. O fórum mantém especificações, ferramentas de teste e implementações de referência que são usadas em vários computadores com UEFI.
A intenção da UEFI é definir uma maneira padrão para que o sistema operacional se comunique com a plataforma firmware durante o processo de inicialização. Antes da UEFI, o mecanismo primário para se comunicar com o hardware durante o processo de inicialização eram as interrupções de software. Os computadores modernos podem executar bloqueios de entrada/saída mais rápidos e eficientes entre o hardware e o software. Além disso, a UEFI permite que os designs usem todo o potencial de seu hardware.
A UEFI permite um design de firmware modular, o que permite que os designers de hardware e de sistema tenham maior flexibilidade na criação de firmware para os mais exigentes ambientes de computação modernos. Embora a I/O seja limitada por interrupções de software, a UEFI promove o conceito de padrões de codificação neutros com base em eventos.
DE 7.1 é compatível com a versão 2.3.1 de UEFI e versões posteriores.
Windows 7 (64 bits) e Windows 8 (32 bits e 64 bits) e sistemas posteriores oferecem suporte a um processo de inicialização UEFI.
Quais são os principais recursos do uso da UEFI com o DE?
Existem diferentes ferramentas de recuperação para sistemas com um processo de inicialização UEFI. Como ele é um processo de inicialização diferente, uma ferramenta de recuperação diferente é necessária para lidar com os diferentes processos de inicialização.
A destech também é um aplicativo UEFI. Há um aplicativo de DETech que é usado para recuperação em sistemas com um processo de inicialização UEFI.
Nota: Não é possível usar as ferramentas desteched do BIOS (herdadas) com um sistema de inicialização UEFI.
Importante: Um sistema com um processo de inicialização UEFI não funciona com MBR discos particionados. Windows requer um novo mecanismo de particionamento de disco, chamado GPT, para ser inicializado sob UEFI.
DE pré-inicialização é um aplicativo. Se você considerar que a UEFI é como um sistema operacional, o DE pré-inicialização se tornará um aplicativo de UEFI nativo. Em comparação, a versão de pré-inicialização do BIOS é um sistema operacional propriamente dito. Em ambos, o DE pré-inicialização precisa ser executado primeiro para que, após uma autenticação bem-sucedida, a chave de criptografia possa ser carregada e o processo de inicialização possa continuar. No mundo da UEFI, quando um usuário se autentica com êxito em DE pré-inicialização.
Nem todos os dispositivos de tela sensível ao toque são compatíveis com a UEFI. Se você acha que o UEFI é mais semelhante a um sistema operacional, os OEMs precisam fornecer drivers de software para o hardware contido nesse dispositivo. Para a UEFI, a pré-inicialização é compatível com o protocolo de ponteiro simples e o protocolo de ponteiro de Absolute. Espera-se que um ou ambos os protocolos sejam implementados para todos os dispositivos de tela sensível ao toque encontrados. Se um fabricante ou OEM da implementação de UEFI não conseguir implementar nenhum desses mecanismos, o suporte ao dispositivo de tela sensível ao toque não poderá ser garantido.
Nota: Encontramos em seu próprio teste interno que nem todas as implementações de UEFI dos OEMs realmente implementam essas interfaces. Nesses casos, o criador da implementação da UEFI no sistema deixa as seções de especificação da UEFI.
As unidades GPT são compatíveis com a UEFI. Eles são compatíveis com os discos de inicialização ou secundários.
A implementação da UEFI ocorre em todos os fornecedores. Implementações de UEFI diferem por fornecedores de hardware. Dependendo da implementação de UEFI, os problemas podem variar de acordo com o seguinte:
Protocolos ausentes necessários para o suporte às unidades Opal.
Problemas para oferecer suporte a USB fornecido no ambiente pré-inicialização e usado por por DE quando estiver operando no modo UEFI nativo.
Unidades Opal suportadas na UEFI:
O suporte para unidades de autocriptografia Opal em sistemas UEFI está disponível somente em sistemas Windows 8 ou posteriores em conformidade com o logotipo, que são equipados com uma unidade de autocriptografia Opal quando fabricado.
O suporte para unidades de autocriptografia Opal na UEFI não é oferecido quando uma das seguintes condições for verdadeira:
Retrofitting unidades Opal para sistemas de Windows 8
Retrofitting a Windows 8 sistemas que não são fornecidos com unidades Opal dos fabricantes.
O motivo para o acima é o fato de um protocolo de segurança UEFI ser necessário para o gerenciamento Opal. É obrigatório somente quando uma unidade de criptografia automática é ajustada no momento do envio. Sem o protocolo de segurança, o gerenciamento do Opal não é possível.
Há suporte para unidades GPT? Windows 7
Como um disco de inicialização, não. Como um disco secundário, sim. Além disso, o sistema operacional é compatível com a unidade secundária no modo GPT e, para o BIOS, oferecer suporte a discos grandes para que a DETech (independente) os recupere.
Windows 8 e versões posteriores
Os discos GPT primário e secundário são compatíveis com Windows 8 DE 7.1.0 e para versões posteriores.
NOTAS:
Os sistemas baseados em UEFI só podem ser inicializados a partir de um disco GPT primário.
Os sistemas baseados em BIOS não podem ser inicializados a partir de um disco GPT primário. Nesses sistemas a partir do EEPC 7.0 e versões posteriores, os discos GPT são compatíveis apenas como uma unidade secundária.
Qual é a experiência do usuário quando o sistema está usando a UEFI?
Os dois ambientes pré-inicialização parecem e se comportam da mesma forma. Um usuário não pode dizer a diferença entre os ambientes de pré-inicialização e UEFI do BIOS.
Por que devo criar e usar a mídia de recuperação WinPE do antitech, quando a versão independente do destech inclui mais funcionalidade, como fazer uma inicialização de emergência?
A versão do WinPE é muito mais rápida do que a versão independente.
A versão do WinPE também permite que você acesse o disco rígido criptografado, corrija Windows problemas ou copie dados do usuário para outra unidade antes de fazer a recriação de imagem.
Também é possível executar qualquer uma das ferramentas Windows, bem como acessar a rede.
Notas: O untech standalone não é compatível com versões anteriores. Use sempre uma versão de mídia de recuperação de destechs correspondente. Se o cliente tiver DE 7.1 ser instalado, crie uma mídia de recuperação independente de DETech 7.1 para executar qualquer ação de recuperação.
Importante: Não é possível que possamos fornecer aos clientes um CD de recuperação do WinPE porque uma licença de Microsoft válida é necessária.
O que é inicialização segura?
A inicialização segura é um recurso ativado por UEFI, mas o Microsoft exige implementações específicas para PCs x86 (Intel). Qualquer sistema com um adesivo de logotipo Windows 8 tem inicialização segura ativada.
A UEFI tem um processo de validação de firmware, chamado inicialização segura, que é definido no capítulo 27 da especificação UEFI 2.3.1 . A inicialização segura define como a plataforma firmware gerencia certificados de segurança, validação de firmware e uma definição da interface (protocolo) entre o firmware e o sistema operacional. Ele cria uma raiz de confiança, que começa em UEFI, o que valida o próximo módulo na cadeia antes de carregá-lo e executá-lo. A validação certifica-se de que ela não foi alterada desde que foi assinada digitalmente. Com a arquitetura de inicialização segura e seu estabelecimento de uma cadeia de confiança, o cliente fica protegido contra malware em execução no processo de inicialização. Somente os carregadores de código e de inicialização assinados e certificados em boas condições podem ser executados antes que o próprio sistema operacional seja carregado.
Outros fatos gerais de inicialização segura:
DE 7.1.x é compatível com a inicialização segura.
DE é assinado, por isso o processo de inicialização segura confia nele.
A inicialização segura não funciona em sistemas Windows 8 ou posteriores baseados em BIOS. Ele funciona apenas em sistemas baseados em UEFI.
O que é inicialização híbrida/ inicialização rápida/inicialização rápida?
Em versões anteriores do Windows, um desligamento tradicional fechou todas as sessões do usuário, serviços e dispositivos e também fechou o kernel para se preparar para um desligamento completo. Windows 8 fecha as sessões do usuário, mas em vez de fechar a seção do kernel, ela a coloca em hibernação. O resultado é um desligamento e hora de início mais rápidos.
Nota: O Microsoft Windows 8 adiciona suporte para inicialização rápida (conhecido anteriormente como inicialização híbrida); com o lançamento do Windows 10 e versões posteriores, esse recurso agora é conhecido como inicialização rápida.
Outros fatos de inicialização híbrida, inicialização rápida e inicialização rápida :
O de 7.1.x não é compatível com a inicialização híbrida, a inicialização rápida e a inicialização rápida. Os recursos DE serão impactados se estiverem ativados.
O login único (SSO) funciona em uma inicialização híbrida. DE dá suporte a SSO em retomada do modo de hibernação, diferentemente das versões anteriores do EEPC.
DE 7.1 inclui aprimoramentos em todas as áreas de desempenho, que não são excepcionalmente experimentadas com um processador compatível com o AES-Ni. Em testes internos, de experiências com tempo de inicialização comparáveis criptografado ou não criptografado usando a inicialização híbrida.
Vejo referências a Windows RT. O que é?
Windows RT (formalmente conhecido como Windows no ARM) é uma versão do Windows 8 para dispositivos ARM. Somente software escrito para a Windows 8 interface de interface do usuário moderna é executado no Windows RT, com exceção do Microsoft Office 2013 RT e Internet Explorer 10. Qualquer aplicativo escrito usando as APIs do Win32, como os aplicativos mais atuais, não é executado no Windows RT.
O que é Windows Tablet?
Um Windows Tablet é um dispositivo em estilo Tablet compatível com a execução de Windows. Há duas categorias principais de tablets de Windows:
Tablets equipados por processadores Intel
Tablets alimentados por processadores ARM
Outros fatos gerais do Tablet:
O DE 7.xnão é compatível com tablets Windowss usando um processador ARM e Windows RT.
DE 7.x suporta tablets Windows usando um processador Intel. Esses tablets são exibidos como qualquer outro sistema Windows. No entanto, você deve examinar o seguinte:
Capacidade de CPU
Suporte a tela sensível ao toque
Capacidade de CPU nos tablets: a equipe de desenvolvimento de produtos observou que algumas visualizações de dispositivos Windows tablets de fabricantes contêm processadores de baixo consumo, algumas das quais não têm recursos de uso do AES. Os clientes devem estar cientes dos recursos da CPU para certificar-se de que o usuário tenha uma experiência ideal quando o sistema estiver criptografado.
Suporte à tela sensível ao toque em tablets: alguns Windows tablets têm teclados, portanto, o suporte à tela sensível ao toque não é um problema. Para os dispositivos que não têm teclados, esses dispositivos exigem que o usuário faça a autenticação usando a interface de toque na pré-inicialização.
O que é a ativação off-line?
A ativação off-line é a capacidade de ativar o DE sem uma conexão com o ePO.
Outros fatos gerais da ativação off-line:
Processo de alto nível para ativação off-line:
Um administrador cria um pacote off-line no servidor ePO. Este pacote contém a primeira política que precisa ser criada e uma lista de ' usuários off-line '.
Depois que o pacote é criado, ele pode ser distribuído para os clientes com o MSIs necessário para instalar o DE. Quando o DE é instalado com êxito, o pacote off-line é executado e a política é aplicada e imposta.
Agora você pode efetuar logon com os "usuários off-line" na pré-inicialização.
Não há logs de auditoria no ePO para encontrar informações sobre um sistema ativado por meio da ativação off-line. Esse é o comportamento esperado. Como o sistema nunca se comunicou com o ePO, não há informações sobre esse sistema.
Se um dispositivo for ativado apenas via ativação off-line, você não conseguirá provar que ele está criptografado. Se o sistema nunca se comunicar com o ePO, não há informações no ePO que possam ser usadas para fins de auditoria em caso de perda ou roubo. Depois que o sistema se comunicar com o ePO e entrar no modo on-line, todas as informações normais serão apresentadas no ePO. Quando a transferência é concluída, ele comprova o estado de criptografia do sistema.
A adição de usuários de domínio local (ALDU) não funciona via ativação off-line. O ALDU é um processo de duas etapas que exige que o ePO execute a atribuição de usuário ou de sistema. Como o ePO não está disponível com a ativação offline, o ALDU não pode ser concluído e não pode ser usado.
Para definir a política inicial para ativação off-line, use os parâmetros disponíveis no utilitário de criação de pacote off-line.
Um sistema descarta todos os usuários off-line depois que o sistema se comunica com êxito com o servidor ePO.
Quais são os casos de uso da ativação off-line?
Os três casos de uso principais tratados pela ativação off-line são os seguintes:
Configuração interna.
Configuração por terceiros.
Um sistema remoto que nunca se conecta ao ePO.
Nota: Há outros casos de uso onde a ativação off-line pode ser útil; no entanto, o objetivo DE 7.1 se concentrar nesses três casos de uso.
Um caso de uso de configuração interna para ativação offline é onde você pode ter seu próprio processo de configuração. O processo pode indicar que um sistema precisa ter o sistema operacional instalado, além de todos os aplicativos aprovados pela empresa. O disco deve ser totalmente criptografado antes de ser enviado para o usuário. No ponto de configuração, talvez você não tenha conectividade de rede porque os dispositivos podem estar sentado em uma prateleira em uma sala separada.
Configuração por um caso de uso de terceiros para a ativação offline. Você pode ter um terceiro externo para configurar seus dispositivos. Nesse cenário, você não quer abrir o firewall para permitir conexões com o ePO, mas você precisa que todos os laptops precisem ser criptografados antes da entrega.
Caso de uso para ativação off-line para um sistema remoto que nunca se conecta ao ePO:
Você tem um cliente em um local remoto.
O cliente não tem conectividade de rede.
O sistema pode coletar dados confidenciais e precisa ser criptografado.
Você pode distribuir um CD com os pacotes MSI. Os pacotes instalam o MA, DE e o pacote de ativação off-line.
Os pacotes MSI, em seguida, são executados para instalar, ativar DE e criptografar o sistema.
Como a recuperação funciona para ativação off-line?
Se o administrador tiver selecionado a opção de salvar a chave de criptografia, a chave será gravada em um arquivo em um disco. Em seguida, é responsabilidade do usuário transferir essa chave criptografada para o administrador usando um método aprovado pela empresa. Quando os administradores têm a chave criptografada, eles podem descriptografá-la quando necessário usando o servidor ePO que cria o pacote off-line. O resultado desse processo de descriptografia é um arquivo XML padrão que pode ser usado com as ferramentas DE recuperação.
Outros fatos gerais da ativação off-line:
Há apenas uma opção de recuperação disponível para uma ativação off-line. Essa opção é uma recuperação local usando as ferramentas DE recuperação.
Se o administrador desativar a recuperação local, a única opção será usar as ferramentas DE recuperação para corrigir qualquer problema com o sistema. Também é possível conectar o sistema ao ePO. A essa altura, os usuários e as políticas são substituídos pelas informações fornecidas pelo ePO. No entanto, esse cenário exige a capacidade de inicializar em Windows.
Não há opções de recuperação adicionais para ativação off-line quando a seguinte isenção é verdadeira:
A recuperação local está desativada.
A chave de criptografia não foi salva.
Quais são os principais recursos sobre ativação off-line para instalação?
Considere os sistemas ativados pela ativação off-line como sistemas não gerenciados. O motivo é que você pode não vê-los no ePO e não é possível gerenciá-los no ePO.
Importante: Não há versões autônomas e não-gerenciadas de para sistemas que estejam off-line e ativadas. A ativação off-line pode permitir que você crie um sistema independente que esteja criptografado de acordo com uma política específica. No entanto, depois que a primeira imposição de política for concluída, você não poderá atualização a política ou os usuários. Não há console local e nenhum método para atualização a política ou as informações do usuário. No entanto, é oferecido suporte a um mecanismo de recuperação de chave. Para obter detalhes, consulte as perguntas frequentes de recuperação de usuário off-line abaixo.
Para a ativação off-line, o importante fato é que DE pode ser instalado no sistema. O método de instalação que você usa — por exemplo, um CD/DVD para usuários com MSIs que eles podem executar ou um método mais automatizado — depende do seu ambiente específico.
Os requisitos de instalação a seguir são necessários para a ativação off-line:
MA
Agent do Endpoint Encryption
DE
Pacote off-line criado pelo administrador
Um sistema pode ser ativado através da ativação off-line para o ePO mais tarde do ePO.
Quando um sistema ativado off-line se conecta ao ePO, ocorre o seguinte:
Supondo-se que a ativação off-line seja feita para fins de configuração, o sistema em um ponto se conecta ao ePO.
Quando o sistema é capaz de se comunicar com êxito com o ePO, o cliente se move para um modo on-line.
O modo on-line é definido como uma conexão normal entre o MA e o ePO; Considere-o o mesmo que uma instalação normal. Outros detalhes:
Ele descarta a política off-line que é imposta e também descarta todos os usuários off-line. Ele recebe a política real do ePO, a lista de usuários atribuídos de acordo com a ativação normal e salva sua chave de criptografia no ePO. Você pode visualizá-lo como um segundo, mas a ativação automática.
Importante: Lembre-se de que todas as informações off-line serão descartadas se o usuário não for conhecido pelo servidor ePO antes da conexão. Se o usuário off-line for conhecido pelo servidor ePO, as políticas do ePO serão distribuídas. No entanto, todos os dados armazenados no modo off-line não são descartados.
O que é um usuário off-line?
Um usuário off-line é aquele usado para autenticação pré-inicialização e que existe somente em um pacote offline específico.
Outros fatos de usuário off-line:
Um usuário off-line é diferente de um usuário normal em DE. Existem usuários off-line somente nesse pacote off-line específico. Esses usuários não existem na AD e, basicamente, não existem em nenhum lugar, exceto neste pacote off-line.
Você não pode adicionar mais usuários off-line a um sistema ativado off-line após a conclusão da ativação e ele estiver fora do campo por um tempo.
Um usuário off-line começa com a senha padrão.
Você pode recuperar uma senha se um usuário off-line esquecê-la porque os usuários podem usar a funcionalidade de recuperação local para fazer a recuperação.
Considerações sobre o uso de tokens (que não seja uma senha) para usuários off-line:
Senhas e cartões inteligentes que suportam a inicialização automática podem funcionar na ativação off-line.
Os cartões inteligentes que são apenas PKI não podem funcionar, pois não há back-end para recuperar as informações necessárias para autenticar o usuário.
Quando um administrador desativa a recuperação local, os usuários off-line são bloqueados. Se houver outro usuário no sistema, ele poderá inicializar o sistema ou conectar o sistema ao ePO. No entanto, essa alternativa exige que o sistema seja inicializado em Windows.
Quando o usuário offline esqueceu suas respostas de senha e recuperação local, o usuário agora fica bloqueado. Se houver outro usuário no sistema, ele poderá inicializar o sistema ou conectar o sistema ao ePO. No entanto, essa alternativa exige que o sistema seja inicializado em Windows.
Se houver um usuário off-line chamado Bob e um usuário de AD chamado Bob, quando Bob sair de off-line para o modo on-line, o que acontecerá com a senha?
Supondo que AD usuário Bob tenha entrado no sistema pelo menos uma vez e um ALDU esteja ativo na política do ePO, Bob será atribuído ao sistema depois que o Bob off-line for descartado.
Nota: Desse ponto em diante, o usuário do AD Bob pode ter duas possibilidades. Se estiver efetuando logon na pré-inicialização pela primeira vez, Bob terá a senha padrão. Caso contrário, e se o ePO já tiver credenciais para Bob, essas credenciais do ePO estarão no sistema.
A política está offline é igual a uma política definida no ePO?
Não. Há algumas configurações de política que requerem interação, como ALDU. Essas configurações de política não podem ser usadas em uma ativação off-line.
Outros fatos gerais da política off-line:
Você não pode atualização a política de um sistema ativado off-line após a conclusão da ativação e após ela ter sido retirada no campo por um tempo. A ativação off-line somente força a primeira política. Não há possíveis atualizações após a aplicação da primeira política.
Um sistema descarta todos os usuários off-line depois que o sistema se comunica com êxito com o servidor ePO. Ele descarta a política off-line e faz com que o ePO forneça a política apropriada.
As configurações a seguir estão disponíveis para uma política off-line:
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
Importante: Quando o computador é equipado com uma unidade Opal, as ativações offline usam a criptografia Opal primeiro. As preferências do OPAL são codificadas nos pacotes de ativação off-line e não usam as configurações de política personalizadas.
O que acontece com as chaves de criptografia durante a ativação offline?
Quando o administrador configura o pacote de ativação off-line, há uma opção disponível para indicar se as chaves foram salvas ou não. A decisão de salvar as chaves e em qual local, é exclusivamente a critério do administrador. Não é algo que o usuário pode escolher ou manipular.
Outros fatos gerais de chave de criptografia:
Depois de receber a chave criptografada, um administrador pode descriptografá-la e exportar as informações no formato XML usado pelas ferramentas DE recuperação.
Se você salvar uma chave de criptografia a partir de um sistema que concluiu o processo de ativação offline, não poderá importar a chave para o ePO. No entanto, você pode armazenar todas as suas chaves em um local seguro e usar o ePO para descriptografá-las e gerar os arquivos XML de recuperação necessários.
Se as chaves de criptografia não puderem ser salvas devido a alguma outra falha, o disco rígido no cliente deverá ser reformatado. O processo de ativação off-line deve ser reiniciado.
A chave de criptografia não é gravada em um arquivo de texto sem formatação no disco, e a chave de criptografia é sempre criptografada. Se um aplicativo de terceiros interceptar a chave, nenhuma delas será útil para elas, nem terá uma maneira de identificar a qual sistema pertence.
O único local em que a chave de criptografia de uma ativação off-line pode ser descriptografada é o servidor ePO que cria o pacote off-line. Nenhum outro servidor ePO pode descriptografar a chave.
Todas as ativações off-line não têm a mesma chave de criptografia. Durante a primeira imposição de política, a chave de criptografia é gerada. Esse fato garante que todas as ativações off-line tenham uma chave diferente.
Outros fatos do caso de uso de chave de criptografia:
Referente à chave de criptografia do sistema no caso de uso de configuração interna:
Talvez você queira ou não salvar a chave. Lembre-se de que, na primeira conexão com o servidor ePO, ele carrega a chave. Esse cenário abrange principalmente novos sistemas. Há poucos dados de usuário a serem perdidos se alguma das situações a seguir ocorrer:
Encontrado um defeito físico que faz com que o disco falhe.
Você fica bloqueado no sistema.
Nota: Você pode salvar a chave em uma unidade USB ou em um compartilhamento de rede específico para o caso de uma recuperação ser necessária.
Em relação às chaves de criptografia do sistema no provisionamento por um cenário de terceiros:
É provável que você não queira que o terceiro salve a chave de criptografia; Portanto, você pode especificar que o não salve a chave em qualquer lugar.
AVISO: Se o aplicativo de terceiros copiar cada chave de criptografia para todos os sistemas em sua organização, ele será considerado como um risco de segurança.
Como esse cenário abrange principalmente novos sistemas, não há poucos dados de usuário a serem perdidos quando ocorre uma das seguintes situações:
Encontrado um defeito físico que faz com que o disco falhe.
Você fica bloqueado no sistema.
Em relação às chaves de criptografia, nas quais as chaves de criptografia do sistema nunca se conectam ao ePO:
É provável que você queira salvar a chave de criptografia em uma unidade USB ou em um disco rígido. Essa etapa é opcional e é puramente a critério do administrador. É sua responsabilidade certificar-se de que a chave de criptografia seja transportada com segurança para o ePO, para que ela seja segura. Esse transporte pode ser obtido por qualquer mecanismo que sua organização aprove para chaves de criptografia. Depois que o administrador do ePO tiver uma cópia da chave salva, ela poderá ser usada posteriormente para fins de recuperação.
O que está incluído no sistema de arquivos de pré-inicialização (PBFS)?
O PBFS contém todas as informações necessárias para fornecer ao usuário a capacidade de se autenticar. Estas informações incluem, mas não se limitam às seguintes:
Os arquivos necessários para o ambiente pré-inicialização.
Arquivos de idioma para todos os idiomas compatíveis com o cliente.
Fontes para exibir caracteres de todos os idiomas compatíveis.
O tema atribuído ao cliente.
Os usuários atribuídos ao cliente.
Outros fatos do PBFS:
Se você distribuir o para um cliente e aumentar o tamanho do PBFS na política mais tarde, o tamanho do PBFS não será alterado no cliente distribuído. A configuração de tamanho de PBFS é aplicada somente quando o PBFS é criado ou recriado durante qualquer procedimento de recuperação.
É possível criar e personalizar temas de pré-inicialização no ePO.
Você não pode forçar a pré-inicialização de um teclado em inglês ao instalar pela primeira vez o DE 7.x em um sistema operacional que não esteja em inglês. O motivo é que, por padrão, o instalador DE exibe o teclado localizado associado ao sistema operacional Windows localizado no qual o produto está sendo instalado.
Quanto tempo leva para um usuário recém-criado estar disponível no PBFS?
Não há resposta curta para essa pergunta. Os cenários a seguir tentam abranger as situações mais comuns:
Cenário 1
Se apenas um usuário não inicializado for atribuído a um sistema — somente um ASCI é necessário, considerando-se que o usuário é verificado pela tarefa de sincronização de LDAP do EE no ePO.
Nota: Um usuário não inicializado é um usuário que não se conectou anteriormente a nenhum sistema DE. Portanto, não há dados de token presentes para este usuário.
Cenário 2
Se um novo usuário não inicializado for adicionado a um sistema que já tenha usuários atribuídos — pode ser necessário dois ASCIs antes que o usuário esteja totalmente disponível no PBFS.
Cenário 3
Se um usuário inicializado for recentemente adicionado a um sistema que pode ou não ter usuários atribuídos — dois ASCIs são necessários até que o usuário esteja totalmente disponível no PBFS. O motivo é que esse usuário tem seus token dados já inicializados.
Em resumo, quando um usuário é atribuído a um sistema, as políticas desse sistema são incrementadas. Durante a imposição de política, um evento para solicitar dados do usuário é disparado. Quando o ePO retorna esse evento, todos os usuários que foram atribuídos são verificados e transferidos por download para o cliente.
Para um usuário não inicializado, onde não há dados de token, o evento secundário não é necessário para efetuar pull de todos os dados de usuário necessários e ao PBFS. Como em outros cenários, ele exige dois eventos para tornar um usuário totalmente disponível no PBFS.
Além disso, se o cliente estiver usando a opção de política ALDU, há um 2.5 tempo limite de asci que é disparado. Esse evento ocorre quando a solicitação ALDU não é respondida. Se esse tempo limite for excedido, uma nova imposição de política será necessária para fazer o upload dos dados do usuário para verificação.
Quais são os requisitos DE 7.x tema personalizado?
Crie o tema personalizado de acordo com os seguintes requisitos:
Uma imagem deve ter dimensões 1024 x 768
O formato do arquivo deve ser. PNG
O tamanho da arquivo deve ser de cerca de 600 KB
Nota: Para os usuários que fizerem upgrade do EEPC 6.x , um novo tema padrão será enviado como parte DE de 7.1.x. se você estiver usando temas personalizados com o EEPC 6.x , recrie seus temas personalizados a partir do tema de 7.1.x padrão após a upgrade. Esse método garante que a interface de usuário correta seja exibida e que o áudio correto seja ouvido. Se você não fizer isso, continuará a exibir a interface do usuário do EEPC 6.x e usar o áudio do EEPC 6.x . Os usuários que desejam distribuir o novo tema padrão para todos os pontos de extremidade existentes, ou ter seu próprio tema personalizado, devem seguir as etapas descritas nas notas DE 7.1 versão. Essas etapas garantem que estejam usando o tema correto durante o PBA.
O que é PBSC?
O PBSC é uma funcionalidade em que o executa várias verificações de compatibilidade de hardware de pré-inicialização. As verificações garantem que o ambiente DE pré-inicialização possa funcionar com êxito em um sistema. Ele testa as áreas que foram identificadas para causar problemas de incompatibilidade no passado.
Outros fatos gerais do PBSC:
O objetivo do PBSC é ajudar a fornecer uma distribuição sem complicações de criptografia de disco totalmente descomplicada, o que é obtido procurando condições de erro comuns no ambiente pré-inicialização. Sem as verificações ativadas, a produtividade pode ser afetada, e os problemas de distribuição podem bloquear os usuários do sistema. O PBSC é desativado DE se houver um problema e permite que o sistema seja revertido para a autenticação somente Windows.
A funcionalidade do PBSC não é ativada por padrão, pois ela apresenta um ou mais reinicializações do sistema para o processo de ativação. Alguns clientes aceitam essa situação, enquanto outros não.
Quando o PBSC encontra um problema, como uma falha ao carregar a pré-inicialização ou um problema ao passar para o Windows, o sistema é reiniciado automaticamente ou o usuário deve forçar a reinicialização forçada do sistema. Isso permite que o PBSC Experimente um conjunto diferente de configurações de compatibilidade para resolver o problema. Se alguma configuração funcionar e o sistema for inicializado em Windows, o DE se tornará totalmente ativado e a política de criptografia será imposta.
Se todas as configurações de compatibilidade tiverem sido tentadas e problemas irrecuperáveis forem encontrados, o DE pré-inicialização será ignorado. Nessa situação, o sistema é inicializado em Windows e DE não é desativado. Nesse ponto, uma auditoria é enviada ao ePO alertando sobre a falha, e as ativações subsequentes no sistema são bloqueadas.
Quando um sistema passa o PBSC, ele ativa DE e impõe a política de criptografia.
O que acontecerá se um sistema não conseguir o PBSC?
Se um sistema falha no PBSC, ele não é ativado DE. Assim, de ativação (e criptografia, se definido na política), não continuará e o sistema "voltará a ser" a autenticação somente Windows.
Outros fatos de falha gerais do PBSC:
Para um sistema que ainda está sendo executado por meio do PBSC, o administrador do ePO só pode ver que o sistema não está ativado, e não criptografado.
Eles podem exibir o log de auditoria para obter o andamento da última vez que o sistema foi sincronizado com o ePO.
O administrador pode ver que um sistema não está ativado, pois a falha é auditada.
Para que um administrador Veja que ocorreu uma falha no sistema do PBSC, exiba o log de auditoria do sistema.
Se um sistema falha no PBSC, ele continua tentando ativar o DE na próxima imposição de política. No entanto, a ativação é imediatamente abandonada. Todas as ativações subsequentes são imediatamente abandonadas até que ocorra uma das seguintes situações:
Você desativa o PBSC da política.
Você exclui o valor do registro: Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status.
Nota: Além disso, uma solução alternativa é configurar uma resposta automática no ePO com base na ID do evento. Dessa forma, quando um evento chega ao ePO (o evento que indica falha de PBSC), o ePO pode atribuir automaticamente uma nova política a esse sistema. Essa política seria configurada para desativar o e, portanto, interromper futuras tentativas DE ativação. Consulte a documentação do ePO para obter mais informações.
Como posso saber se o PBSC modifica a configuração? Essas informações não são expostas em DE 7.1. ti transparentes para o usuário e acontecem automaticamente.
Se o PBSC não tiver feito alterações e o sistema funcionar fora da caixa, isso indica que posso desativar essa verificação para fins de distribuição?
Ele está à vontade de os clientes se desejam desativar a verificação. No entanto, a variabilidade é comum entre sistemas que têm o mesmo número de modelo. Por exemplo, um usuário pode ter entrado no BIOS e alterado suas configurações de USB.
As alterações nas configurações de USB podem afetar a integração com esse BIOS; Portanto, manter o PBSC adiciona um valor aqui. No entanto, se você usar senhas do BIOS para impedir que seus usuários façam essas alterações, talvez seja seguro não usar o PBSC.
Nota: A versão AMT é parte das informações que um administrador pode exibir em um computador. As informações agrupadas são relatadas de volta para o ePO Deep Command.
Outros fatos gerais do Intel AMT:
Um administrador pode aprender a determinar se pode usar a funcionalidade do Intel AMT em um sistema específico. Ele é obtido através da exibição das propriedades do sistema no ePO. No ePO, você pode ver as informações de AMT referentes a esse sistema específico. o recurso de descoberta e geração de relatórios do ePO Deep Command (gratuito) também fornece essas informações para todos os sistemas gerenciados no ePO e as exibe em um dashboard. Para ser compatível com o DE, o Deep Command deve relatar o status do AMT como configuração de postagem. Além disso, DE requer que o AMT seja a versão 6.0 ou versões posteriores.
Processo de transferência das informações do Intel AMT sobre um sistema para o ePO.
Primeiro, você deve instalar as extensões do Deep Command, incluindo as extensões de descoberta e geração de relatórios, e fazer check-in dos pacotes no servidor ePO.
Você deve distribuir os pacotes de comando Deep para os clientes, que retornam novamente se a AMT estiver ativada. Além disso, se o sistema ativar o AMT, o cliente relatará com quais recursos do AMT são compatíveis.
O Deep Command adiciona uma tarefa de servidor de agendamento ao ePO, que marca automaticamente os sistemas com a AMT. Esta tarefa está agendada para ser executada diariamente e pode ser alterada. Consulte a documentação do ePO Deep Command para obter mais informações.
Se o sistema não tiver ativado a AMT, consulte o Dashboard de Resumo de geração de comandos e relatórios para obter informações de suporte de AMT de um cliente.
Quantos tipos de ações do Intel AMT podem ser colocadas em fila em relação a um sistema?
Existem dois tipos:
Ações transitórias
Ações
permanentes
Exemplos de ações permanentes e temporárias:
Ação transitória é uma ação executada x número de vezes e, em seguida, removida da fila de ações. Veja a seguir alguns exemplos:
Redefinir senha de usuário
Desbloqueio x número de vezes
Desbloquear de até
Inicialização de emergência
Restaurar MBR
A açãopermanente é uma ação que permanece na fila de ações, até que o administrador a remova.
Desbloquear programação
Desbloquear permanentemente
Outros fatos permanentes e transitórios:
Para cada ação do Intel AMT, você pode apenas atribuir o seguinte de cada vez:
Um sistema ou usuário para um máximo de uma ação transitória.
Uma ação permanente.
Você só pode ter uma ação transitória e uma operação permanente do Intel AMT. Essa é uma decisão de projeto tomada para a primeira implementação da integração com a Intel AMT. Se outros casos de uso surgirem, essa decisão poderá ser revisitada. A arquitetura subjacente foi projetada para lidar com mais ações, se necessário.
O que o cliente iniciou o acesso local (CILA) e os Acesso remoto iniciados pelo cliente (CIRA) significam em relação ao Intel AMT?
A definição do que é local e remoto é definida como parte do processo de configuração do AMT.
CILA é uma solicitação de AMT a partir de um endereço de rede interno.
CIRA é uma solicitação de AMT a partir de um endereço de rede remoto.
Nota: A configuração de política padrão para CIRA é desativada por padrão. Essa decisão é consciente de uma tomada pela equipe de desenvolvimento de produtos para proteger os clientes contra exposição acidental.
O CIRA é compatível e deve ser ativado explicitamente. A desativação de CIRA significa que, se um Manipulador de agentes for exposto à Internet, ele não poderá responder a nenhuma solicitação de AMT. A equipe de desenvolvimento de produtos acredita que os clientes precisam decidir se desejam ativar essa funcionalidade.
Quando eu assisto Wakeand Patch (Remote Unlock)Contextual Security (Unlock) a um cliente, a pré-inicialização parece aguardar cerca de 20 segundos antes que ele continue a ser inicializado no sistema operacional; isso é normal?
Há muitos fatores envolvidos na determinação do tempo de espera que pode durar. A velocidade da rede e da carga de trabalho do servidor ePO são dois fatores possíveis. Existe um problema conhecido no AMT firmware, que pode levar a um atraso de 20 segundos antes que eventos de CILA saiam do ponto de extremidade. O efeito desse problema em DE é que pode levar mais de 20 segundos para um desbloqueio fora de banda ocorrer em um ambiente CILA. Estamos investigando esse problema. Para revisar outros 7.1 problemas conhecidos, consulte KB84502-Drive Encryption 7.x problemas conhecidos.
Quais políticas e configurações de Deep Command são necessárias para a 7.1 integração?
o ePO Deep Command 1.5.0 e as políticas do Intel AMT são necessários, o que garante que os itens a seguir estejam configurados corretamente nas políticas:
A Acesso remoto deve ser ativada.
O CILA deve ser ativado. O manipulador de agentes correto deve ser selecionado.
Para o tipo de conexão, o BIOS e o sistema operacional devem ser selecionados.
Se desejar ativar o CIRA, certifique-se de configurar o seguinte:
Doméstica sufixo de domínio
Manipulador de agentes zona desmilitarizada
Permitir túnel iniciado pelo usuário
Quais são os primeiros dos casos DE uso implementados em DE 7.1.x com o uso do comando Intel (AMT) e ePO Deep? Os quatro primeiros casos de uso implementados em DE 7.1.0 são os seguintes:
Qual é o caso de uso da redefinição de senha?
Essa funcionalidade usa o Intel AMT para enviar novos dados de token para um cliente. Nesse caso de uso, um usuário inicia o sistema, mas esquece sua senha. Eles podem ligar para o helpdesk ou administrador e solicitar que eles redefinam a senha. O administrador cria uma senha de uso único que é enviada por meio do Intel AMT para o cliente na pré-inicialização. O uso da Intel AMT é uma alternativa mais rápida para uma redefinição de senha do que o desafio ou método de resposta muito estabelecido.
Outros fatos gerais da senha de redefinição :
A seguir estão as etapas de alto nível para o caso de uso de redefinição de senha:
O usuário inicia o computador, falha ao entrar e chama o suporte técnico.
O usuário vai para a seção recuperação na pré-inicialização e fornece o usuário do helpdesk com seu nome de usuário do ePO.
O operador de suporte técnico encontra no ePO o sistema usado pelo usuário.
O usuário da assistência técnica usa a funcionalidade do Intel AMT para redefinir sua senha com uma senha de uso único temporária.
Para que o sistema especificado receba novos dados de token, o ePO grava o item na fila de trabalho. A pré-inicialização lê a fila de trabalho e busca a chave usando a pilha de rede fornecida pelo Intel AMT.
O cliente recebe novos dados de token e deixa automaticamente a tela de recuperação e retorna à tela de senha. Esse fato é uma indicação para o usuário de que a nova senha foi recebida. Além disso, o usuário ouve um alarme sonoro para indicar que os novos dados de token são recebidos.
Em seguida, o usuário se autentica com o senha de uso único e define uma nova senha.
Ações necessárias quando um usuário requer uma redefinição de senha: para determinar em qual sistema o usuário está ativado, o usuário no cliente, na pré-inicialização, deve ir para a tela de recuperação. Na tela de recuperação, eles podem exibir o ID do computador e o nome do computador. Eles podem fornecer essas informações ao administrador ou à assistência técnica e localizar o computador no ePO. Esse procedimento é necessário porque as ações do Intel AMT funcionam em sistemas, e não em usuários.
Outros fatos de função de administrador de senha de redefinição:
Quando um administrador precisa verificar se uma alteração é realizada com êxito ou por que ela parece não funcionar, o administrador pode encontrar as informações na AMTService.log arquivo.
NOTAS:
Um evento não é gerado no ePO porque não há API do ePO para gerar um evento a partir do manipulador de agentes.
O administrador pode encontrar o AMTService.log arquivo no servidor ePO em <ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log . Ele também é coletado como parte do MER do servidor.
O exemplo a seguir não é recomendável quando um administrador deseja determinar qual sistema o usuário está usando. É possível para o administrador enviar o comando Intel AMT a todos os sistemas que podem ser acessados pelo usuário.
Raciocínio:
Suponha que o usuário possa acessar dois laptops.
Eles iniciam o laptop-1 e recebem a instrução para alterar a senha.
Eles passam pelo processo e iniciam Windows.
Agora, eles ativam o laptop-2, que também recebe a solicitação para alterar a senha.
Seus dados token são atualizados para o senha de uso único, e eles são solicitados a alterá-lo novamente.
Na teoria, a acima pode funcionar em um ambiente controlado ou quando o usuário estiver ciente.
Outra experiência de usuário para redefinição de senha:
Quando o administrador usa a funcionalidade do Intel AMT para alterar a senha do usuário, o usuário sabe que a nova senha de recuperação passou para o cliente. Se o usuário estiver na tela de recuperação, verá que a tela de recuperação desaparece. Logo após, ela será substituída pela tela de logon. Essa indicação confirma que as novas informações de senha foram recebidas.
Notas: Quando os novos dados de token forem recebidos, o usuário ouvirá um aviso sonoro.
Qual é o caso de uso de segurança contextual?
O caso de uso de segurança contextual (também conhecido como reconhecimento de local) é um novo recurso de autenticação no ambiente DE pré-inicialização. Ele oferece aos sistemas a capacidade de se autenticar sem a intervenção do usuário. Em vez de solicitar as credenciais de um usuário, a pré-inicialização usa o Intel AMT para iniciar uma conexão de rede com o ePO. Em seguida, a pré-inicialização recupera uma chave que é usada para autenticar na pré-inicialização e, em seguida, inicializa o computador no sistema operacional. O ambiente pré-inicialização e o ePO podem determinar se o sistema está no escritório ou se conectando através da Internet. A segurança contextual fornece aos administradores a capacidade de configurar sistemas para serem autenticados automaticamente através do ePO e do AMT no escritório. No entanto, quando o sistema estiver fora do escritório, ele exibirá a tela de autenticação pré-inicialização.
Alguns exemplos de casos de uso onde a segurança contextual é útil são os seguintes:
Os clientes que não desejam mostrar o ambiente pré-inicialização enquanto seus usuários estiverem no escritório, mas mostrá-lo quando estiverem fora do escritório ou se o sistema for perdido ou roubado.
Criptografe um sistema que esteja sempre no escritório. Não afete o usuário com as noções de pré-inicialização e faça com que eles se autentiquem automaticamente por meio do ePO e do AMT. No entanto, mostre a opção pré-inicialização se o computador for roubado escritório.
Clientes que compartilharam computadores usados por várias pessoas, como em uma sala de reuniões ou em salas de treinamento, laptops e desktops em um ambiente hospitalar.
Clientes que desejam remover problemas de sincronização de senha, nunca mostrando a opção de pré-inicialização. Mas, ao mesmo tempo que tem sua proteção, se o computador for perdido ou roubado, os usuários se autenticarão pela primeira Windows. Mesmo que esteja em segundo plano, o DE é autenticado automaticamente por meio do ePO e do AMT.
Como funciona a segurança contextual?
Quando a pré-inicialização é iniciada, ela tenta entrar em contato com o ePO e pede permissão para a inicialização. o ePO está no controle e decide se a chave de desbloqueio deve ser retornada. Se o cliente não puder entrar em contato com o ePO ou o ePO falhar ao retornar a chave de desbloqueio para o cliente, o ambiente pré-inicialização será exibido. A tela pré-inicialização permanece exibida enquanto aguarda o usuário se autenticar com êxito. Se o ePO enviar a chave de desbloqueio, o computador será desbloqueado. As chaves de desbloqueio são enviadas para o cliente em um canal seguro, protegido pelo hardware AMT.
Outros fatos de segurança contextual:
A autenticação de segurança contextual ocorre, na verdade, no cliente, mas as informações são provenientes do ePO.
A segurança contextual não ignora a pré-inicialização. O ambiente pré-inicialização está sempre ativo. A pré-inicialização ainda desliga e inicializa o sistema operacional quando ocorre uma autenticação bem-sucedida. Nesse caso de uso, a autenticação é proveniente do ePO.
SSO não funciona nesse caso de uso de segurança contextual, pois a autenticação na pré-inicialização é feita no computador e não em um usuário. Como o DE não sabe qual usuário deve entrar, ele não pode reproduzir os dados de SSO capturados.
Com a segurança contextual, o usuário só precisa efetuar logon uma vez. Nesse cenário, a autenticação do usuário ocorre no prompt de Windows e não no prompt DE pré-inicialização.
O uso de segurança contextual significa que o usuário sempre efetua logon no Windows com a senha mais recente do Windows. Esse fato pode remover qualquer preocupação da sincronização de senha para os usuários que usam continuamente essa funcionalidade.
Com um usuário móvel que passa o tempo para dentro e para fora do escritório, esses usuários precisam de suas credenciais para se autenticar na pré-inicialização quando não estão no escritório.
O computador é inicializado automaticamente em Windows, contanto que o ePO envie uma resposta positiva. Ele inicializa automaticamente o sistema operacional depois que a resposta é processada.
Se um computador for roubado ao usar a segurança contextual, ele exibirá o ambiente pré-inicialização. A pré-inicialização é mostrada porque o sistema não consegue se comunicar com o ePO e aguarda a autenticação de um usuário.
O caso de uso mais não excepcional é usar esse recurso somente para sistemas desktop ou laptops que não deixam a rede do escritório.
Outros fatos de função de administrador de segurança contextual:
Para que os administradores ativem a funcionalidade de segurança contextual, eles devem executar as seguintes ações:
Selecione um ou mais sistemas
Selecione a ação "fora de banda – desbloquear PBA"
Especificar a duração do desbloqueio, seja de forma permanente ou programada
Nota: Um administrador também pode escolher se a ação é acionável para computadores locais, ou locais e remotos.
Quando um administrador recebe reclamações de um usuário que, a partir do tempo até o momento, a segurança contextual não está funcionando, para verificar se no servidor ePO, revise o ' arquivo amtservice. log '. Esse arquivo é revertido e tem um limite de tamanho de arquivo (o limite de tamanho padrão é definido por meio do comando Deep. A configuração é configurável).
Quando o administrador ativa a funcionalidade de segurança contextual, ela pode ser ativada permanentemente ou por um horário definido.
Para a opção período definido, um administrador pode especificar uma das seguintes opções:
Uma ou mais reinicializações
Data/hora inicial da data/hora de término
Uma programação semanal para horários bloqueados ou disponíveis
Para usuários móveis, é melhor sempre impor a autenticação pré-inicialização, pois, tecnicamente, um usuário não efetua logon na pré-inicialização neste caso de uso. Não está ciente das atualizações de senha porque não sabe qual usuário de pré-inicialização deve aplicar qualquer atualização de senha.
Ao usar a segurança contextual, o sistema permanece no ambiente de pré-inicialização. Ele se repete a cada cinco minutos, se o servidor ePO estiver ocupado e não puder responder ao sistema.
Se o sistema não conseguir acessar o ePO na primeira tentativa, ele tentará novamente. Ele tenta entrar em contato com o ePO a cada cinco minutos. Esse comportamento é verdadeiro para solicitações CILA (locais). No entanto, para solicitações CIRA (remotas), o computador somente entra em contato com o ePO. Se ele não receber uma resposta, o sistema deverá ser reiniciado para entrar em contato com o ePO novamente.
O servidor ePO se torna indisponível, e o cliente não pode entrar em contato com o servidor ePO. Se o usuário não souber suas credenciais de pré-inicialização, elas ficarão presas no ambiente de pré-inicialização. Sua única opção é ligar para o helpdesk e executar uma recuperação do sistema com o processo de desafio e resposta.
Quando o CIRA está ativado, isso significa que um sistema que não está na rede não pode ser inicializado automaticamente. Por que não tomar decisões sobre como exibir o PBA. Se DE ' Out of Band management' está ativado, de tentativas de envio de uma chamada para obter ajuda.
Em seguida, o chip AMT verifica o ambiente e vê se ele está conectado na rede remota ou local.
Rede local: Ele lança um CILA no servidor ePO.
Rede remota: Se um servidor CIRA for especificado, ele tentará se conectar com segurança a ele.
O PBA desbloqueia e entra em Windows se o seguinte for verdadeiro:
Uma chamada do CILA ou do CIRA resulta em uma conexão bem-sucedida com o servidor.
O servidor envia a chave de criptografia.
Caso contrário, se nenhuma chave for recebida, ela permanecerá no PBA.
Outra experiência de usuário de segurança contextual:
Exemplo de uso:
Quais ações são executadas pelos usuários quando eles usam um sistema de desktop no escritório com a funcionalidade de segurança contextual. Eles nunca precisavam efetuar logon na pré-inicialização antes, mas vê a tela pré-inicialização e não conhecem suas credenciais. Tais usuários têm várias opções listadas abaixo:
Primeiro, eles podem aguardar cinco minutos para a próxima tentativa de entrar em contato com o ePO. Isso é verdadeiro porque é uma solicitação CILA (local).
Segundo, eles podem desativar o sistema e ligá-lo novamente. Isso faz com que a pré-inicialização entre em contato imediatamente com o ePO quando for reiniciada.
Por fim, eles sempre podem ser autenticados inserindo o nome do usuário e a senha de outro usuário conhecido que possa se autenticar na pré-inicialização.
Qual é o caso de Wake and Patch (Remote Unlock) uso? Esse caso de uso cobre a necessidade de programar wake and patch com urgência ou regularidade dos computadores. Esses computadores são encerrados e precisam ser woken para que o atualização possa ser aplicado a eles. Os casos de Wake and Patch (Remote Unlock) uso são semelhantes aos casos de uso de segurança contextual. As perguntas a seguir que já foram respondidas para segurança contextual também se aplicam à Wake and Patch (Remote Unlock opção:
Como funciona?
A prEinicialização está sendo ignorada?
Se eu fosse um usuário posicionado na frente do computador, ele será inicializado automaticamente no Windows?
O SSO funciona neste caso de uso?
O que acontecerá se o ePO estiver ocupado e não puder responder ao sistema?
Se o sistema não conseguir acessar o ePO na primeira tentativa, ele tentará novamente?
Como um administrador pode ativar essa funcionalidade?
Essa funcionalidade pode ser definida permanentemente ou apenas por um período de tempo específico?
A autenticação ocorre de fato no cliente e as informações são provenientes do ePO?
Outros Wake and Patch (Remote Unlock) fatos gerais:
Quando o servidor ePO estiver ocupado e não responder após uma solicitação Wake on LAN, o sistema cliente permanecerá na pré-inicialização e tentará novamente a cada cinco minutos. Embora isso seja verdadeiro para solicitações CILA (locais), para solicitações CIRA (remotas), o computador somente entra em contato com o ePO uma vez. Se não receber uma resposta, o sistema precisará ser reinicializado para que ele entre em contato com o servidor ePO.
Para acessar um sistema periodicamente, ele precisa ser configurado para enviar mensagens CIRA periodicamente usando o relógio de alarme. O recurso de relógio do alarme alterna para o sistema no horário especificado.
Outros Wake and Patch (Remote Unlock) fatos de função de administrador:
Um administrador pode ver quantos sistemas o tornaram em Windows para o Wake and Patch (Remote Unlock) processo. Os resultados podem ser observados por meio da consulta "evento DE cliente do produto" com um filtro apropriado. Os resultados dependem dos sistemas que se comunicaram com o servidor ePO para enviar as informações de auditoria.
Um administrador não pode determinar quais sistemas não o fazem após a pré-inicialização ao usar o Wake and Patch recurso. Como o sistema não é inicializado em Windows, não há nenhuma entrada na 'DE: Product Client Event' consulta.
Um administrador pode escalonar o ou o intervalo para entrar em contato com o Wake and Patch (Remote Unlock) ePO. Um administrador precisa escalonar o Deep Command Power On comando ou sua solicitação equivalente de Wake on LAN.
Os sistemas são ativados quando corrigidos no ambiente do CILA (local) (quando a ação é iniciada pelo servidor). Em outros casos, o cliente entra em contato com o ePO; Portanto, pode ser presumido que esteja ligado porque entra em contato com o servidor ePO.
Qual é o caso de uso remoto de remediação?
Esse recurso oferece aos administradores a capacidade de executar uma inicialização de emergência ou substituir o MBR em um sistema cliente por meio da AMT. Ele faz isso sem a necessidade de tocar fisicamente o computador. Isso permite que um administrador corrija um problema em um sistema cliente que esteja na metade do mundo.
Exemplo de caso de uso 1:
Um administrador em Santa Clara tenta executar uma inicialização de emergência em um usuário que está no Japão. O usuário precisa de uma recuperação urgentemente antes de uma reunião importante.
O uso desse processo não exige a intervenção do usuário. Eles podem simplesmente observar que você repara o seu sistema cliente, que se mantém verdadeiro para CILA. Para o CIRA, inicialmente ele falha, mas depois que o sistema se conecta por meio do CIRA, ele é acionado.
Nota: O tempo decorrido para a correção remota no exemplo acima depende muito da velocidade da rede. Quando ela é inicializada na imagem, ela leva a mesma quantidade de tempo que a inicialização de emergência leva hoje, se ela for feita manualmente. Na verdade, ele segue o mesmo processo, mas de maneira automatizada.
Exemplo de uso 2:
O processo de correção remoto foi bem-sucedido e o usuário obtém acesso a Windows. O usuário pode dar sua apresentação, mas não tem uma conexão com o servidor do ePO corporativo.
Nesse cenário, o usuário precisa passar pelo mesmo processo novamente ao reiniciar seu cliente. Se a pré-inicialização estiver danificada, o cliente terá sido inicializado com emergência. Ele não pode ser reparado até que o cliente possa se comunicar com êxito com o servidor ePO.
Como funciona a correção remota? Em um alto nível, uma pequena imagem de disco ( 1.44 MB em tamanho, mas apenas 300k de ti usada) é empurrada por AMT para o sistema cliente. Quando ela é recebida no cliente, ela é reiniciada e inicializada usando a rede de inicialização do IDE-R. A imagem, em seguida, executa as ações de correção necessárias e inicia o processo de inicialização do Windows.
Outros fatos gerais de remediação remota:
A correção remota funciona apenas em computadores com um processo de inicialização do BIOS.
A funcionalidade de correção remota não funciona em um ambiente de UEFI. O redirecionamento do IDE não funciona em UEFI e essa funcionalidade é necessária para a correção remota.
As possíveis ações para a correção remota são as seguintes:
Execute uma inicialização de emergência.
Substitua o MBR.
Outros fatos de função de administrador de remediação remota:
Para usar a funcionalidade de correção remota, um administrador seleciona um ou mais sistemas e, em seguida, seleciona a opção "fora de banda – correção" como a ação. Por fim, o administrador especifica 'boot de emergência' ou ' restaurar Endpoint Encryption MBR' antes de clicar em OK.
O seguinte se aplica a um administrador para receber notificações do progresso da correção remota:
O administrador só é informado quando ele foi iniciado e finalizado.
Após a conclusão, o administrador é informado de que foi bem-sucedido.
O log de auditoria no cliente só é enviado de volta para o ePO no próximo ASCI.
O administrador pode executar uma consulta nos eventos de cliente para encontrar os clientes com um evento de desbloqueio.
Um administrador substitui a MBR, caso seja válida uma das seguintes opções:
Um produto de terceiros sobrescreve acidentalmente o MBR, enquanto o sistema é criptografado.
Se o sistema estiver infectado por um vírus de MBR.
Para tanto, você precisa colocar o sistema novamente em Windows para que qualquer outra correção possa ser executada.
Ao selecionar uma correção, um administrador pode selecionar uma imagem de disco específica. Existem imagens diferentes para a inicialização do BIOS e a correção Opal e não Opal.
A opção automático é a opção padrão e a que você deve sempre usar, a menos que seja direcionada de outra forma. A opção automático usa as informações recebidas do cliente para selecionar a imagem correta. Se as informações não estiverem disponíveis, isso não executará a correção. Essa opção permite que você especifique a imagem exata que é enviada para o computador.
Importante: Se o administrador selecionar a imagem de disco errada para o cliente, quando a imagem for selecionada manualmente, a interface do usuário indicará que você pode danificar o disco usando a imagem errada. Essa opção é adicionada ao evento quando o provedor de criptografia ou o tipo de BIOS não estão disponíveis.
Outros fatos da experiência remota do usuário de correções:
Notificação do progresso da correção remota para o usuário — uma mensagem é exibida na tela quando a imagem é obtida por download e o processo de correção é iniciado.
Nota: Ao fazer download da imagem para o cliente por meio de AMT, em alguns casos, você pode ver um glifo piscante no canto superior direito da tela. Essa luz é uma indicação de que a AMT está recebendo tráfego de rede. Novamente, a duração depende muito do tráfego e da velocidade da rede. Se a rede for rápida, o usuário poderá ver Windows carga repentina.
Quando uma correção remota é executada, um usuário pode não ver o glifo piscante. Essa funcionalidade é incluída apenas no AMT versão 7. Portanto, se você tiver a versão 6 do AMT, você não poderá vê-la.
Quando um usuário executa uma remediação remota, fica sem tempo e precisa sair do local atual, não é necessário iniciar todo o processo novamente. O motivo é que o processo é iniciado novamente automaticamente. Quando o administrador adiciona a solicitação de correção remota, ela fica na fila de ações até ser concluída ou o administrador a exclui. Como resultado, ele tenta executar a remediação toda vez que você switch no cliente até que ele seja bem-sucedido.
Como a correção remota é iniciada no cliente quando ele é local?
Aqui está uma visão geral do processo quando o sistema cliente está conectado à rede corporativa local:
O usuário Inicializa o sistema e descobre que ele não está funcionando.
O usuário chama o administrador e pede ajuda.
O administrador seleciona a ação de correção apropriada e a ação inicia o processamento imediatamente. Essa ação também é conhecida como Server Initiated Local Access (SILA ).
Se o sistema cliente for encontrado e puder ser conectado, o redirecionamento iniciará e reparará o sistema automaticamente.
No entanto, se o sistema cliente não puder ser encontrado na rede local, a ação falhará e o status permanecerá como pendente na fila. Essa situação pode, então, ser processada apenas quando o sistema efetuar uma chamada. Nessa situação, o sistema não pode fazer a chamada porque a pré-inicialização foi interrompida. Portanto, um fluxo semelhante, conforme descrito no próximo cenário abaixo, também pode ser usado.
Como a correção remota é iniciada no cliente quando ele é remoto?
Aqui está uma visão geral do processo quando o sistema está conectado por uma rede pública:
O usuário Inicializa o sistema e descobre que ele não está funcionando.
O usuário chama o administrador e pede ajuda.
O administrador seleciona a ação de correção apropriada e a ação inicia o processamento imediatamente. Nessa situação, a ação falha porque não consegue encontrar o sistema na rede corporativa.
O administrador solicita que o usuário inicie uma ' chamada para obter ajuda ' do BIOS. Essa chamada varia de um OEM para outro. Mas, ele tende a estar em opções de inicialização e, em alguns sistemas, você pode simplesmente pressionar CTRL+ALT+F1 .
Quando essa opção é selecionada, o sistema se conecta ao Stunner (Deep Command Gateway Services). Em seguida, o manipulador de Agent detecta esse serviço e envia uma mensagem para o Deep Command.
O Deep Command processa a ação associada ao sistema. Nesse caso, trata-se da ação de correção.
Nota: A correção sobre o CIRA pode levar consideravelmente mais tempo do que ao executar a mesma ação dentro da empresa. Em alguns sistemas, pode levar até 20 minutos, dependendo uso da rede durante o processamento.
O queos relatórios podem ser usados por um administrador para saber se a ação AMT foi concluída com êxito no cliente?
DE somente tem uma ação do lado servidor, que é para correção. Para determinar se ela foi concluída, um administrador deve observar o log de tarefas do servidor ePO. Isso é conseguido através da execução de uma consulta no log de auditoria de eventos para ver os eventos do cliente. Todas as outras ações (desbloquear/redefinir, senha do usuário) são iniciadas pelo cliente. Quando o administrador configura essas ações, há uma entrada no log de auditoria de usuário do ePO para registrar que a solicitação foi adicionada à fila DE ação ' DE: fora de banda '. Em seguida, quando o PBA do cliente solicita ajuda, ele cria um item de auditoria no cliente. Esse item de auditoria é enviado ao ePO no próximo ASCI quando Windows é carregado. Esses eventos são exibidos na consulta ' DE: eventos de cliente do produto '.
Quais relatórios ou registros podem ser exibidos por um administrador para determinar o que e onde o problema deu errado e não foi possível concluir a ação com êxito? O administrador deve observar a AMTService.log consulta de eventos de cliente e a de: do produto.
Onde um administrador pode ver que uma (ou mais) das ações do AMT foi concluída com êxito em um cliente (ou em vários clientes)?
Execute a consulta DE evento DE cliente DE um produto.
Um administrador pode criar relatórios sobre as ações do AMT, por exemplo, para mostrar quantos sistemas foram inicializados automaticamente no momento usando a funcionalidade de desbloqueio remoto?
Execute a consulta "DE: do cliente do produto" com um filtro apropriado. Essa consulta se baseia nos sistemas que tiverem se comunicado com êxito com o servidor ePO para enviar as informações de auditoria.
Qual solução de problemas um administrador pode tomar para um problema de AMT fora de banda? Quais são as primeiras etapas que devem ser executadas?
O administrador deve estabelecer se o problema é proveniente de uma tarefa CILA (local) ou CIRA (remota).
No caso em que uma tarefa de CIRA (remota) é executada, o que o administrador faz?
Peça ao administrador para inicializar o sistema cliente e acessar o BIOS. Ou o administrador pode inicializar a Windows e usar o status de gerenciamento e segurança da Intel para solicitar ajuda. Peça para que ele procure o ' arquivo amtservice. log ' para ver se uma solicitação foi recebida. Se tiver, a chamada de suporte envolve DE Suporte técnico. Caso contrário, isso envolve uma profundo Suporte técnico de comando.
E se o problema de AMT fora de banda se originar de uma tarefa CILA (local)?
Peça ao administrador para usar a ação de comando detalhada para inicializar o cliente no BIOS. Se obtiver êxito, a chamada de suporte envolve DE Suporte técnico. Caso contrário, isso envolve uma profundo Suporte técnico de comando.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.