Implantar o gerenciamento do BitLocker

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

O gerenciamento do BitLocker no Configuration Manager inclui os seguintes componentes:

Antes de criar e implantar políticas de gerenciamento do BitLocker:

Criar uma política

Quando você cria e implanta essa política, o cliente Configuration Manager habilita o agente de gerenciamento do BitLocker no dispositivo.

Observação

Para criar uma política de gerenciamento do BitLocker, você precisa da função de Administrador Completo no Configuration Manager.

  1. No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Proteção do Ponto de Extremidade e selecione o nó Gerenciamento do BitLocker.

  2. Na faixa de opções, selecione Criar Política de Controle de Gerenciamento do BitLocker.

  3. Na página Geral , especifique um nome e uma descrição opcional. Selecione os componentes para habilitar os clientes com esta política:

    • Unidade do Sistema Operacional: gerenciar se a unidade do sistema operacional está criptografada

    • Unidade Fixa: gerenciar criptografia para outras unidades de dados em um dispositivo

    • Unidade Removível: gerenciar criptografia para unidades que você pode remover de um dispositivo, como uma chave USB

    • Gerenciamento de cliente: gerenciar o backup do serviço de recuperação de chave das informações de recuperação de criptografia de unidade do BitLocker

  4. Na página Instalação , configure as seguintes configurações globais para a Criptografia de Unidade do BitLocker:

    Observação

    Configuration Manager aplica essas configurações ao habilitar o BitLocker. Se a unidade já estiver criptografada ou estiver em andamento, qualquer alteração nessas configurações de política não alterará a criptografia de unidade no dispositivo.

    Se você desabilitar ou não configurar essas configurações, o BitLocker usará o método de criptografia padrão (AES de 128 bits).

    • Para dispositivos Windows 8.1, habilite a opção para o método de criptografia drive e a força da codificação. Em seguida, selecione o método de criptografia.

    • Para dispositivos Windows 10 ou posteriores, habilite a opção de método de criptografia de unidade e força de criptografia (Windows 10 ou posterior). Em seguida, selecione individualmente o método de criptografia para unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis.

    Para obter mais informações sobre essas e outras configurações nesta página, consulte Referência de Configurações – Configuração.

  5. Na página Unidade do Sistema Operacional , especifique as seguintes configurações:

    • Configurações de criptografia de unidade do sistema operacional: se você habilitar essa configuração, o usuário precisará proteger a unidade do sistema operacional e o BitLocker criptografa a unidade. Se você desabilitar, o usuário não poderá proteger a unidade.

    Em dispositivos com um TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a entrada de um número de identificação pessoal (PIN). Defina as seguinte configurações:

    • Selecione protetor para unidade do sistema operacional: configure-o para usar um TPM e PIN ou apenas o TPM.

    • Configurar o comprimento mínimo do PIN para inicialização: se você precisar de um PIN, esse valor será o comprimento mais curto que o usuário pode especificar. O usuário insere esse PIN quando o computador inicializa para desbloquear a unidade. Por padrão, o comprimento mínimo do PIN é 4.

    Para obter mais informações sobre essas e outras configurações nesta página, consulte Referência de configurações – unidade do sistema operacional.

  6. Na página Unidade Fixa , especifique as seguintes configurações:

    • Criptografia de unidade de dados fixa: se você habilitar essa configuração, o BitLocker exigirá que os usuários coloquem todas as unidades de dados fixas sob proteção. Em seguida, criptografa as unidades de dados. Ao habilitar essa política, habilite o desbloqueio automático ou as configurações da política de senha de unidade de dados fixa.

    • Configurar o desbloqueio automático para a unidade de dados fixa: permitir ou exigir que o BitLocker desbloqueie automaticamente qualquer unidade de dados criptografada. Para usar o desbloqueio automático, também exija que o BitLocker criptografe a unidade do sistema operacional.

    Para obter mais informações sobre essas e outras configurações nesta página, consulte Referência de Configurações – Unidade fixa.

  7. Na página Unidade Removível , especifique as seguintes configurações:

    • Criptografia de unidade de dados removível: quando você habilita essa configuração e permite que os usuários apliquem a proteção do BitLocker, o cliente Configuration Manager salva informações de recuperação sobre unidades removíveis para o serviço de recuperação no ponto de gerenciamento. Esse comportamento permite que os usuários recuperem a unidade se esquecerem ou perderem o protetor (senha).

    • Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis: os usuários podem ativar a proteção do BitLocker para uma unidade removível.

    • Política de senha de unidade de dados removível: use essas configurações para definir as restrições para senhas para desbloquear unidades removíveis protegidas pelo BitLocker.

    Para obter mais informações sobre essas e outras configurações nesta página, consulte Referência de configurações – unidade removível.

  8. Na página Gerenciamento de Clientes , especifique as seguintes configurações:

    Importante

    Para versões de Configuration Manager anteriores a 2103, se você não tiver um ponto de gerenciamento com um site habilitado para HTTPS, não configure essa configuração. Para obter mais informações, consulte Serviço de recuperação.

    • Configurar os Serviços de Gerenciamento do BitLocker: quando você habilita essa configuração, Configuration Manager faz backup automático e silencioso das principais informações de recuperação no banco de dados do site. Se você desabilitar ou não configurar essa configuração, Configuration Manager não salvará informações de recuperação de chave.

      • Selecione Informações de recuperação do BitLocker para armazenar: configure-as para usar uma senha de recuperação e um pacote de chave ou apenas uma senha de recuperação.

      • Permitir que as informações de recuperação sejam armazenadas em texto simples: sem um certificado de criptografia de gerenciamento do BitLocker, Configuration Manager armazena as principais informações de recuperação em texto simples. Para obter mais informações, consulte Criptografar dados de recuperação no banco de dados.

    Para obter mais informações sobre essas e outras configurações nesta página, consulte Referência de Configurações – Gerenciamento de cliente.

  9. Conclua o assistente.

Para alterar as configurações de uma política existente, escolha-a na lista e selecione Propriedades.

Ao criar mais de uma política, você pode configurar a prioridade relativa deles. Se você implantar várias políticas em um cliente, ele usará o valor de prioridade para determinar suas configurações.

A partir da versão 2006, você pode usar Windows PowerShell cmdlets para esta tarefa. Para obter mais informações, consulte New-CMBlmSetting.

Implantar uma política

  1. Escolha uma política existente no nó Gerenciamento do BitLocker . Na faixa de opções, selecione Implantar.

  2. Selecione uma coleção de dispositivos como o destino da implantação.

  3. Se você quiser que o dispositivo potencialmente criptografe ou descriptografe suas unidades a qualquer momento, selecione a opção permitir a correção fora da janela de manutenção. Se a coleção tiver janelas de manutenção, ela ainda corrigirá essa política do BitLocker.

  4. Configure uma agenda simples ou personalizada . O cliente avalia sua conformidade com base nas configurações especificadas na agenda.

  5. Selecione OK para implantar a política.

Você pode criar várias implantações da mesma política. Para exibir informações adicionais sobre cada implantação, selecione a política no nó Gerenciamento do BitLocker e, em seguida, no painel de detalhes, alterne para a guia Implantações. Você também pode usar Windows PowerShell cmdlets para essa tarefa. Para obter mais informações, consulte New-CMSettingDeployment.

Importante

Se uma conexão RDP (protocolo de área de trabalho remota) estiver ativa, o cliente MBAM não iniciará ações de Criptografia de Unidade do BitLocker. Feche todas as conexões de console remoto e entre em uma sessão de console com uma conta de usuário de domínio. Em seguida, a Criptografia de Unidade do BitLocker começa e o cliente carrega chaves e pacotes de recuperação. Se você entrar com uma conta de usuário local, o BitLocker Drive Encryption não será iniciado.

Você pode usar o RDP para se conectar remotamente à sessão de console do dispositivo com a opção /admin . Por exemplo: mstsc.exe /admin /v:<IP address of device>

Uma sessão de console é quando você está no console físico do computador ou uma conexão remota que é a mesma que se você estiver no console físico do computador.

Monitorar

Exibir estatísticas básicas de conformidade sobre a implantação da política no painel de detalhes do nó Gerenciamento do BitLocker :

  • Contagem de conformidade
  • Contagem de falhas
  • Contagem de não conformidade

Alterne para a guia Implantações para ver o percentual de conformidade e a ação recomendada. Selecione a implantação e, em seguida, na faixa de opções, selecione Exibir Status. Essa ação alterna a exibição para o workspace monitoramento , nó Implantações . Semelhante à implantação de outras implantações de política de configuração, você pode ver status de conformidade mais detalhadas nesta exibição.

Para entender por que os clientes estão relatando que não estão em conformidade com a política de gerenciamento do BitLocker, consulte Códigos de não conformidade.

Para obter mais informações sobre solução de problemas, consulte Solucionar problemas do BitLocker.

Use os seguintes logs para monitorar e solucionar problemas:

Logs de clientes

  • Log de eventos MBAM: no Windows Visualizador de Eventos, navegue até Aplicativos e Serviços>Microsoft>Windows>MBAM. Para obter mais informações, consulte Sobre logs de eventos do BitLocker e logs de eventos do Cliente.

  • BitlockerManagementHandler.log e BitlockerManagement_GroupPolicyHandler.log no caminho de logs do cliente, %WINDIR%\CCM\Logs por padrão

Logs de ponto de gerenciamento (serviço de recuperação)

  • Log de eventos do serviço de recuperação: no Windows Visualizador de Eventos, navegue até Aplicativos e Serviços>Microsoft>Windows>MBAM-Web. Para obter mais informações, confira Sobre logs de eventos do BitLocker e logs de eventos do Servidor.

  • Logs de rastreamento do serviço de recuperação: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Considerações de migração

Se você atualmente usar o MBAM (Microsoft BitLocker Administration and Monitoring), poderá migrar perfeitamente o gerenciamento para Configuration Manager. Quando você implanta políticas de gerenciamento do BitLocker no Configuration Manager, os clientes carregam automaticamente chaves e pacotes de recuperação no serviço de recuperação Configuration Manager.

Importante

Ao migrar do MBAM autônomo para Configuration Manager gerenciamento do BitLocker, se você precisar da funcionalidade existente do MBAM autônomo, não reutilize servidores ou componentes MBAM autônomos com Configuration Manager gerenciamento do BitLocker. Se você reutilizar esses servidores, o MBAM autônomo deixará de funcionar quando Configuration Manager gerenciamento do BitLocker instalar seus componentes nesses servidores. Não execute o script MBAMWebSiteInstaller.ps1 para configurar os portais BitLocker em servidores MBAM autônomos. Ao configurar Configuration Manager gerenciamento do BitLocker, use servidores separados.

Política de grupo

  • As configurações de gerenciamento do BitLocker são totalmente compatíveis com as configurações de política de grupo do MBAM. Se os dispositivos receberem configurações de política de grupo e Configuration Manager políticas, configure-os para corresponder.

    Observação

    Se existir uma configuração de política de grupo para MBAM autônomo, ela substituirá a configuração equivalente tentada por Configuration Manager. O MBAM autônomo usa a política de grupo de domínio, enquanto Configuration Manager define políticas locais para o gerenciamento do BitLocker. As políticas de domínio substituirão as políticas locais de gerenciamento do BitLocker Configuration Manager. Se a política de grupo de domínio mbam autônoma não corresponder à política de Configuration Manager, Configuration Manager gerenciamento do BitLocker falhará. Por exemplo, se uma política de grupo de domínio definir o servidor MBAM autônomo para serviços de recuperação de chave, Configuration Manager gerenciamento do BitLocker não poderá definir a mesma configuração para o ponto de gerenciamento. Esse comportamento faz com que os clientes não reportem suas chaves de recuperação para o serviço de recuperação de chave de gerenciamento do BitLocker Configuration Manager no ponto de gerenciamento.

  • Configuration Manager não implementa todas as configurações de política de grupo mbam. Se você configurar mais configurações na política de grupo, o agente de gerenciamento do BitLocker em Configuration Manager clientes honrará essas configurações.

    Importante

    Não defina uma política de grupo para uma configuração que Configuration Manager gerenciamento do BitLocker já especifica. Apenas defina políticas de grupo para configurações que não existem atualmente no gerenciamento do BitLocker Configuration Manager. Configuration Manager versão 2002 tem paridade de recursos com MBAM autônomo. Com Configuration Manager versão 2002 e posterior, na maioria das instâncias não deve haver razão para definir políticas de grupo de domínio para configurar políticas do BitLocker. Para evitar conflitos e problemas, evite o uso de políticas de grupo para BitLocker. Configure todas as configurações por meio de Configuration Manager políticas de gerenciamento do BitLocker.

Hash de senha do TPM

  • Os clientes MBAM anteriores não carregam o hash de senha do TPM para Configuration Manager. O cliente carrega apenas o hash de senha do TPM uma vez.

  • Se você precisar migrar essas informações para o serviço de recuperação Configuration Manager, desmarque o TPM no dispositivo. Depois que ele é reiniciado, ele carrega o novo hash de senha do TPM para o serviço de recuperação.

Observação

O carregamento do hash de senha do TPM diz respeito principalmente às versões do Windows antes do Windows 10. O Windows 10 ou posterior por padrão não salva o hash de senha do TPM, portanto, esses dispositivos normalmente não o carregam. Para obter mais informações, consulte Sobre a senha do proprietário do TPM.

Reencriptação

Configuration Manager não criptografa novamente unidades que já estão protegidas com a Criptografia de Unidade do BitLocker. Se você implantar uma política de gerenciamento do BitLocker que não corresponda à proteção atual da unidade, ela será reportada como incompatível. A unidade ainda está protegida.

Por exemplo, você usou o MBAM para criptografar a unidade com o algoritmo de criptografia AES-XTS 128, mas a política de Configuration Manager requer o AES-XTS 256. A unidade não está em conformidade com a política, mesmo que a unidade esteja criptografada.

Para contornar esse comportamento, primeiro desabilite o BitLocker no dispositivo. Em seguida, implante uma nova política com as novas configurações.

Cogerenciamento e Intune

O manipulador de clientes Configuration Manager para BitLocker está ciente do cogerenciamento. Se o dispositivo for cogerenciado e você alternar a carga de trabalho do Endpoint Protection para Intune, o cliente Configuration Manager ignorará sua política bitLocker. O dispositivo obtém a política de criptografia do Windows de Intune.

Observação

Alternar autoridades de gerenciamento de criptografia mantendo o algoritmo de criptografia desejado não requer nenhuma ação adicional no cliente. No entanto, se você alternar as autoridades de gerenciamento de criptografia e o algoritmo de criptografia desejado também mudar, você precisará planejar a reencritação.

Para obter mais informações sobre como gerenciar o BitLocker com Intune, confira os seguintes artigos:

Próximas etapas

Sobre o serviço de recuperação do BitLocker

Configurar relatórios e portais do BitLocker