É possível usar a
GUI de gerenciamento ou a interface da linha de comandos para ativar a criptografia em seu sistema. O sistema
suporta unidades flash USB como um método para gerenciar chaves de criptografia. A criptografia baseada em unidade flash USB requer acesso físico aos sistemas e é efetiva em ambientes com um número mínimo de sistemas. Para as organizações que requerem políticas de segurança rígidas em relação às unidades flash USB, o sistema suporta a desativação dessas portas, para evitar a transferência não autorizada de dados do sistema para dispositivos de mídia portáteis. Se você tiver tais requisitos de segurança, use os servidores de chaves para gerenciar chaves de criptografia.
Antes de poder ativar a criptografia, você deve configurar uma licença de criptografia em cada nó que usará a criptografia. Na GUI de gerenciamento, selecione para verificar os nós que estão licenciados para criptografia. Use o comando lsencryption para assegurar que o status esteja configurado como licensed.
Usando a GUI de gerenciamento para ativar a
criptografia
Enquanto
o sistema está ativando a criptografia, você é solicitado a inserir as
unidades flash USB no sistema. O sistema copia a chave de criptografia
para essas unidades sistematicamente. O sistema gera e copia a
chave de criptografia para todas as unidades flash USB disponíveis. Para ativar a criptografia, conclua estas etapas:
- Se você ativou uma licença de criptografia e concluiu o assistente de configuração do sistema, clique em Ativar Criptografia e conclua o assistente.
- Se você optou por ativar a criptografia posteriormente, na
GUI de gerenciamento, selecione .
- Clique em Ativar criptografia.
- No painel Bem-vindo, selecione Unidades flash
USB.
Nota: Também é possível selecionar Servidores de chave e Unidades flash
USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, será possível usar o
outro método para acessar os dados criptografados no sistema.
- No assistente, você é solicitado a inserir o número necessário
de unidades flash USB no sistema. Quando o sistema
detecta as unidades flash USB, a chave de criptografia é automaticamente
copiada para as unidades flash USB. Assegure-se de criar quaisquer cópias adicionais necessárias para backups.
É possível deixar as unidades flash USB inseridas
no sistema. No entanto, a área na qual o sistema está localizado deve ser segura para evitar que unidades flash USB sejam perdidas ou roubadas. Se a área em que o sistema está localizado não for segura, remova todas as unidades flash USB do sistema e
armazene com segurança.
- Depois que todas as cópias forem concluídas, clique em Confirmar.
- Crie várias cópias de backup da chave nas unidades flash USB
ou em outra mídia de armazenamento externa e armazene com segurança.
Usando a interface da linha de comandos para
ativar a criptografia
Antes de ativar a criptografia, verifique se a licença de criptografia está configurada para o
sistema usando o comando lsencryption.
Siga estas etapas para ativar a criptografia:
- Insira o comando da CLI a seguir para ativar a criptografia no sistema:
chencryption -usb enable
- Certifique-se de que haja ao menos três unidades flash USB
instaladas:
lsportusb
Verifique
se o valor para o parâmetro status é active. Esse status indica que a unidade flash USB está inserida no
nó e pode ser usada pelo sistema.
- Crie chaves de criptografia do sistema e grave essas chaves para todas as unidades flash USB conectadas ao sistema:
chencryption -usb newkey -key prepare
- Confirme a chave preparada como a chave atual. Utilize este comando quando o valor de
lsencryption para usb_rekey for configurado como prepared e o número
de chaves de criptografia USB for maior que o número mínimo requerido.
chencryption -usb newkey -key commit
Sem
a chave que está gravada no dispositivo USB, o acesso a matrizes criptografadas não é possível e os dados são perdidos. É
de vital importância ter cópias suficientes de chaves para disponibilidade e backups adicionais no caso de desastre. É possível copiar o material de chave fazendo backups dos arquivos criados.