Perguntas frequentes sobre o BitLocker
Este tópico para o profissional de TI responde perguntas frequentes sobre os requisitos de uso, atualização, implantação e administração, além de políticas de gerenciamento de chaves para o BitLocker.
BitLocker é um recurso de proteção de dados que criptografa os discos rígidos no computador para oferecer proteção avançada contra roubo ou exposição de dados em computadores e unidades removíveis perdidos ou roubados e exclusão de dados mais segura quando computadores protegidos pelo BitLocker são desativados, pois é muito mais difícil recuperar dados excluídos de uma unidade criptografada do que de uma unidade não criptografada.
Visão geral e requisitos
Atualização
Implantação e administração
Gerenciamento de chaves
BitLocker To Go
Serviços de Domínio do Active Directory (AD DS)
Segurança
Desbloqueio pela rede do BitLocker
Outras perguntas
Visão geral e requisitos
Como funciona o BitLocker?
Como o BitLocker funciona com unidades de sistema operacional
É possível usar o BitLocker para atenuar o acesso não autorizado a dados em computadores perdidos ou roubados criptografando todos os arquivos do usuário e do sistema na unidade do sistema operacional, inclusive os arquivos de permuta e hibernação, e verificando a integridade dos componentes de inicialização antecipada e os dados de configuração da inicialização.
Como o BitLocker funciona com unidades de dados fixas e removíveis
É possível usar o BitLocker para criptografar todo o conteúdo de uma unidade de dados. É possível usar Política de Grupo para exigir que o BitLocker seja habilitado em uma unidade para o computador poder gravar dados na unidade. O BitLocker pode ser configurado com diversos métodos de desbloqueio para unidades de dados, e uma unidade de dados dá suporte a vários métodos de desbloqueio.
O BitLocker dá suporte à autenticação multifator?
Sim, o BitLocker dá suporte à autenticação multifator para unidades de sistema operacional. Caso habilite o BitLocker em um computador com um TPM versão 1.2 ou posterior, você pode usar formas adicionais de autenticação com a proteção do TPM.
Quais são os requisitos de hardware e software do BitLocker?
Observação
Os discos dinâmicos não são compatíveis com o BitLocker. Os volumes de dados dinâmicos não serão exibidos no Painel de Controle. Embora o volume do sistema operacional sempre seja exibido no Painel de Controle, independentemente de ser um disco dinâmico, caso seja um disco dinâmico, ele não pode ser protegido pelo BitLocker.
Por que são necessárias duas partições? Por que a unidade do sistema precisa ser tão grande?
Duas partições são necessárias para executar o BitLocker porque a autenticação de pré-inicialização e a verificação de integridade do sistema devem ocorrer em uma partição separada da unidade do sistema operacional criptografada. Essa configuração ajuda a proteger o sistema operacional e as informações na unidade criptografada.
A quais Trusted Platform Modules (TPMs) o BitLocker dá suporte?
O BitLocker dá suporte ao TPM versão 1.2 ou superior.
Como posso saber se há um TPM em meu computador?
Abra o console MMC do TPM (tpm.msc) e veja o título Status.
Posso usar o BitLocker em uma unidade do sistema operacional sem um TPM?
Sim, é possível habilitar o BitLocker em uma unidade do sistema operacional sem um TPM versão 1.2 ou superior, caso o BIOS ou o firmware da UEFI tenha a capacidade de ler em uma unidade flash USB no ambiente de inicialização. Isso porque o BitLocker não desbloqueará a unidade protegida até a chave mestra de volume do BitLocker ser liberada primeiro pelo TPM do computador ou por uma unidade flash USB que contém a chave de inicialização do BitLocker desse computador. Porém, computadores sem TPMs não poderão usar a verificação de integridade do sistema que o BitLocker também pode oferecer.
Para ajudar a determinar se um computador pode ler em um dispositivo USB durante o processo de inicialização, use a verificação do sistema BitLocker como parte do processo de instalação do BitLocker. Essa verificação de sistema realiza testes para confirmar se o computador consegue ler corretamente nos dispositivos USB no momento apropriado e se o computador atende a outros requisitos do BitLocker.
Como obtenho suporte do BIOS para o TPM em meu computador?
Entre em contato com o fabricante do computador para solicitar um firmware de inicialização do BIOS ou da UEFI compatível com Trusted Computing Group (TCG) que atenda aos seguintes requisitos:
Ele é compatível com os padrões TCG para um computador cliente.
Ele conta com um mecanismo de atualização segura para ajudar a evitar que um firmware do BIOS ou de inicialização mal-intencionado seja instalado no computador.
Quais credenciais são necessárias para usar o BitLocker?
Para ativar, desativar ou alterar configurações do BitLocker em unidades de sistema operacional e fixas, a associação ao grupo Administradores local é necessária. Os usuários padrão podem ativar, desativar ou alterar configurações do BitLocker em unidades de dados removíveis.
Qual é a ordem de inicialização recomendada para computadores que serão protegidos pelo BitLocker?
Você deve configurar as opções de inicialização do computador para que a unidade de disco rígido seja a primeira na ordem de inicialização, antes de quaisquer outras unidades como unidades de CD/DVD ou USB. Caso o disco rígido não seja o primeiro e você normalmente inicialize usando o disco rígido, uma alteração na ordem de inicialização pode ser detectada ou pressuposta quando uma mídia removível é encontrada durante a inicialização. A ordem de inicialização normalmente afeta a avaliação do sistema verificada pelo BitLocker, e uma alteração na ordem de inicialização fará a sua chave de recuperação do BitLocker ser solicitada. Pelo mesmo motivo, caso você tenha um laptop com uma base de encaixe, verifique se a unidade de disco rígido é a primeira na ordem de inicialização quando encaixada e não encaixada.
Atualização
Posso atualizar meu computador com Windows 7 ou Windows 8 para Windows 10 com o BitLocker habilitado?
Sim. Abra o Painel de Controle Criptografia de Unidade de Disco BitLocker, clique em Gerenciar o BitLocker e em Suspender. Suspender a proteção não descriptografa a unidade; isso desabilita os mecanismos de autenticação usados pelo BitLocker e usa uma chave não criptografada na unidade para permitir o acesso. Depois que a atualização for concluída, abra o Windows Explorer, clique com o botão direito do mouse na unidade e clique em Retomar proteção. Isso reaplica os métodos de autenticação do BitLocker e exclui a chave não criptografada.
Qual é a diferença entre suspender e descriptografar o BitLocker?
Descriptografar remove completamente a proteção do BitLocker e descriptografa totalmente a unidade.
Suspender mantém os dados criptografados, mas criptografa a chave mestra de volume do BitLocker usando uma chave não criptografada. A chave não criptografada é uma chave criptográfica armazenada descriptografada e desprotegida na unidade de disco. Armazenando essa chave descriptografada, a opção Suspender permite alterações ou atualizações no computador sem o tempo e o custo de descriptografar e recriptografar toda a unidade. Depois que as alterações forem feitas e o BitLocker for reabilitado, o BitLocker selará novamente a chave de criptografia para os novos valores dos componentes avaliados que foram alterados como parte da atualização, a chave mestra de volume será alterada, os protetores serão atualizados de acordo e a chave não criptografada será apagada.
Preciso descriptografar minha unidade protegida pelo BitLocker para baixar e instalar atualizações do sistema?
A tabela a seguir lista qual ação você precisa fazer para executar a instalação de uma atualização.
| Tipo de atualização | Ação |
|---|---|
Windows Anytime Upgrade |
Descriptografar |
Atualize para o Windows 10 |
Suspender |
Atualizações de software que não sejam Microsoft, como:
|
Suspender |
Atualizações de software e sistema operacional do Windows Update |
Nada |
Observação
Caso tenha suspendido o BitLocker, você pode retomar a proteção do BitLocker depois de instalar a atualização. Depois que a proteção for retomada, o BitLocker irá selar novamente a chave de criptografia para os novos valores dos componentes avaliados alterada como parte da atualização. Se esses tipos de atualizações forem aplicados sem suspender o BitLocker, o computador entrará no modo de recuperação ao ser reiniciado e exigirá uma chave de recuperação ou senha para acessar o computador.
Implantação e administração
A implantação do BitLocker pode ser automatizada em um ambiente corporativo?
Sim, é possível automatizar a implantação e a configuração do BitLocker e do TPM usando-se scripts do WMI ou do Windows PowerShell. Como você opta por implementar os scripts depende do ambiente. Também é possível usar Manage-bde.exe para configurar local ou remotamente o BitLocker. Para obter mais informações sobre como escrever scripts que usem os provedores WMI do BitLocker, consulte Provedor de criptografia da unidade do BitLocker. Para obter mais informações sobre como usar cmdlets do Windows PowerShell com Criptografia de Unidade de Disco BitLocker, consulte Cmdlets do BitLocker no Windows PowerShell.
O BitLocker pode criptografar mais do que apenas a unidade do sistema operacional?
Sim.
Há um impacto perceptível no desempenho quando o BitLocker é habilitado em um computador?
Normalmente ele impõe uma sobrecarga no desempenho com um único dígito de porcentagem.
Quanto tempo a criptografia inicial leva quando o BitLocker está ativado?
Embora a criptografia do BitLocker ocorra em segundo plano enquanto você continua trabalhando e o sistema permaneça utilizável, os tempos de criptografia variam de acordo com o tipo de unidade que está sendo criptografada, o tamanho da unidade e a velocidade da unidade. Caso você esteja criptografando unidades muito grandes, convém definir a criptografia para ocorrer durante horários quando não usará a unidade.
Também é possível escolher se BitLocker deve ou não criptografar toda a unidade ou apenas o espaço usado no disco quando você ativa o BitLocker. Em um novo disco rígido, criptografar apenas o espaço usado pode ser consideravelmente mais rápido do que criptografar toda a unidade. Quando essa opção de criptografia é selecionada, o BitLocker criptografa automaticamente os dados à medida que eles são salvos, garantindo que nenhum dado seja armazenado descriptografado.
O que acontece se o computador é desligado durante a criptografia ou a descriptografia?
Se o computador for desligado ou entrar em hibernação, o processo de criptografia e descriptografia do BitLocker será retomado de onde parou na próxima vez em que o Windows for iniciado. Isso vale mesmo quando a energia fica indisponível repentinamente.
O BitLocker criptografa e descriptografa toda a unidade de uma só vez ao ler e gravar dados?
Não, o BitLocker não criptografa e descriptografa toda a unidade ao ler e gravar dados. Os setores criptografados na unidade protegida pelo BitLocker só são descriptografados quando solicitados por operações de leitura do sistema. Blocos gravados na unidade são criptografados antes do sistema gravá-los no disco físico. Nenhum dado não criptografado é sequer armazenado em uma unidade protegida pelo BitLocker.
Como posso impedir que usuários em uma rede armazenem dados em uma unidade não criptografada?
É possível definir configurações de Política de Grupo para exigir que unidades de dados sejam protegidas pelo BitLocker para um computador protegido pelo BitLocker poder gravar dados nelas. Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
Quando essas configurações de política forem habilitadas, o sistema operacional protegido pelo BitLocker montará todas as unidades de dados não protegidas pelo BitLocker como somente leitura.
Quais alterações feitas no sistema causariam uma falha na verificação de integridade da unidade do sistema operacional?
Os seguintes tipos de alterações feitas no sistema podem causar uma falha de verificação de integridade e impedir que o TPM libere a chave do BitLocker para descriptografar a unidade do sistema operacional protegida:
Mover a unidade protegida pelo BitLocker para um novo computador.
Instalar uma nova placa-mãe com um novo TPM.
Desativar, desabilitar ou limpar o TPM.
Alterar qualquer definição de configuração de inicialização.
Alterar o BIOS, o firmware da UEFI, o registro mestre de inicialização, o setor de inicialização, o gerenciador de inicialização, option ROM ou outros componentes da inicialização com antecedência ou dados de configuração da inicialização.
O que faz o BitLocker ser iniciado no modo de recuperação ao tentar iniciar a unidade do sistema operacional?
Como o BitLocker foi projetado para proteger o computador de diversos ataques, existem vários motivos pelos quais o BitLocker pode ser iniciado no modo de recuperação. No BitLocker, a recuperação consiste em descriptografar uma cópia da chave mestra de volume usando-se uma chave de recuperação armazenada em uma unidade flash USB ou uma chave criptográfica derivada de uma senha de recuperação. Como o TPM não está envolvido em nenhum cenário de recuperação, a recuperação ainda é possível caso o TPM não passe na validação do componente de inicialização, não funcione ou seja removido.
Posso trocar discos rígidos no mesmo computador caso o BitLocker esteja habilitado na unidade do sistema operacional?
Sim, é possível trocar vários discos rígidos no mesmo computador caso o BitLocker esteja habilitado, mas somente se os discos rígidos forem protegidos pelo BitLocker no mesmo computador. As chaves do BitLocker são exclusivas do TPM e da unidade do sistema operacional, logo, se você quiser preparar um sistema operacional de backup ou uma unidade de dados a ser usada em caso de falha do disco, você precisa se certificar de que elas correspondam ao TPM correto. Também é possível configurar discos rígidos diferentes para sistemas operacionais diferentes e habilitar o BitLocker em cada um com métodos de autenticação diferentes (como um apenas com TPM e outro com TPM+PIN) sem conflitos.
Posso acessar meu disco protegido pelo BitLocker caso insira o disco rígido em um computador diferente?
Sim, caso a unidade seja uma unidade de dados, é possível desbloqueá-la no item do Painel de Controle Criptografia de Unidade de Disco BitLocker exatamente como faria com qualquer outra unidade de dados usando uma senha ou um cartão inteligente. Se a unidade de dados tiver sido configurada apenas para desbloqueio automático, você precisará desbloqueá-la usando a chave de recuperação. O disco rígido criptografado pode ser desbloqueado por um agente de recuperação de dados (caso um tenha sido configurado) ou pode ser desbloqueado usando-se a chave de recuperação.
Por que "Ativar BitLocker" não está disponível quando eu clico com o botão direito do mouse em uma unidade?
Algumas unidades não podem ser criptografadas pelo BitLocker. Entre os motivos pelos quais uma unidade não pode ser criptografada estão tamanho de disco insuficiente, um sistema de arquivos incompatível, se a unidade é um disco dinâmico ou se uma unidade foi designada como a partição do sistema. Por padrão, a unidade do sistema (ou a partição do sistema) permanece oculta na exibição. No entanto, caso ela não tenha sido criada como uma unidade oculta quando o sistema operacional foi instalado por causa de um processo de instalação personalizado, essa unidade pode ser exibida, mas não criptografada.
Que tipo de configurações de disco são compatíveis com o BitLocker?
Várias unidades de dados internas, fixas, podem ser protegidas pelo BitLocker. Em algumas versões baseadas em ATA e SATA, dispositivos de armazenamento conectados diretamente também são compatíveis.
Gerenciamento de chaves
Qual é a diferença entre uma senha de proprietário do TPM, uma senha de recuperação, uma chave de recuperação, uma senha, um PIN, um PIN avançado e uma chave de inicialização?
Existem várias chaves que podem ser geradas e usadas pelo BitLocker. Algumas chaves são necessárias e outras são protetores opcionais que você pode optar por usar dependendo do nível de segurança necessário.
Como a senha de recuperação e a chave de recuperação podem ser armazenadas?
A senha de recuperação e a chave de recuperação para uma unidade do sistema operacional ou uma unidade de dados fixa podem ser salvas em uma pasta, em um ou mais dispositivos USB, na conta da Microsoft ou impressas.
Para unidades de dados removíveis, a senha de recuperação e a chave de recuperação podem ser salvas em uma pasta, na conta da Microsoft ou impressas. Por padrão, não é possível armazenar uma chave de recuperação para uma unidade removível em uma unidade removível.
Um administrador de domínio ainda pode configurar Política de Grupo para gerar automaticamente senhas de recuperação e armazená-las nos Serviços de Domínio do Active Directory (AD DS) para qualquer unidade protegida pelo BitLocker.
É possível adicionar um método adicional de autenticação sem descriptografar a unidade caso só tenha o método de autenticação do TPM habilitado?
É possível usar a ferramenta de linha de comando Manage-bde.exe para substituir o modo de autenticação somente TPM por um modo de autenticação multifator. Por exemplo, caso o BitLocker esteja habilitado com a autenticação somente TPM e você queira adicionar a autenticação de PIN, use os seguintes comandos em um prompt de comando com privilégios elevados, substituindo <4-20 digit numeric PIN> pelo PIN numérico que deseja usar:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
Se eu perder minhas informações de recuperação, os dados protegidos pelo BitLocker serão irrecuperáveis?
O BitLocker foi projetado para tornar a unidade criptografada irrecuperável sem a autenticação necessária. No modo de recuperação, o usuário precisa da senha de recuperação ou da chave de recuperação para desbloquear a unidade criptografada.
Importante
Armazene as informações de recuperação no AD DS, além da conta da Microsoft, ou em outro local seguro.
A unidade flash USB usada como a chave de inicialização também pode ser usada para armazenar a chave de recuperação?
Embora isso seja tecnicamente possível, não é uma melhor prática usar uma unidade flash USB para armazenar ambas as chaves. Caso a unidade flash USB que contém a chave de inicialização seja perdida ou roubada, você também perde o acesso à chave de recuperação. Além disso, inserir essa chave faria o computador ser inicializado automaticamente pela chave de recuperação, mesmo que arquivos avaliados pelo TPM tenham sido alterados, o que desvia a verificação de integridade do sistema do TPM.
Posso salvar a chave de inicialização em várias unidades flash USB?
Sim, é possível salvar a chave de inicialização de um computador em várias unidades flash USB. Clique com o botão direito do mouse em uma unidade protegida pelo BitLocker e selecionar Gerenciar o BitLocker dará as opções para duplicar as chaves de recuperação conforme necessário.
Posso salvar várias chaves de inicialização (diferentes) na mesma unidade flash USB?
Sim, é possível salvar chaves de inicialização do BitLocker para computadores diferentes na mesma unidade flash USB.
Posso gerar várias chaves de inicialização (diferentes) para o mesmo computador?
É possível gerar chaves de inicialização diferentes para o mesmo computador por meio de scripts. No entanto, para computadores que tenham um TPM, criar chaves de inicialização diferentes evita que o BitLocker use a verificação de integridade do sistema do TPM.
Posso gerar várias combinações de PIN?
Não é possível gerar várias combinações de PIN.
Quais chaves de criptografia são usadas no BitLocker? Como elas funcionam juntas?
Os dados brutos são criptografados com a chave de criptografia de volume completo, que é criptografada com a chave mestra de volume. A chave mestra de volume é, por sua vez, criptografada por um dos diversos métodos possíveis dependendo da autenticação (ou seja, protetores de chave ou TPM) e cenários de recuperação.
Onde as chaves de criptografia são armazenadas?
A chave de criptografia de volume completo é criptografada pela chave mestra de volume e armazenada na unidade criptografada. A chave mestra de volume é criptografada pelo protetor de chave apropriado e armazenada na unidade criptografada. Caso o BitLocker tenha sido suspenso, a chave não criptografada usada para criptografar a chave mestra de volume também é armazenada na unidade criptografada, além da chave mestra de volume criptografada.
Esse processo de armazenamento garante que a chave mestra de volume jamais seja armazenada descriptografada e esteja protegida, a menos que você desabilite o BitLocker. As chaves também são salvas em dois locais adicionais na unidade para redundância. As chaves podem ser lidas e processadas pelo gerenciador de inicialização.
Por que preciso usar as teclas de função para inserir o PIN ou a senha de recuperação de 48 caracteres?
As teclas de F1 a F10 são códigos de leitura mapeados universalmente disponíveis no ambiente de pré-inicialização em todos os computadores e em todos os idiomas. As chaves numéricas de 0 a 9 não são utilizáveis no ambiente de pré-inicialização em todos os teclados.
Usando um PIN avançado, os usuários devem executar a verificação de sistema opcional durante o processo de instalação do BitLocker para garantir que o PIN possa ser inserido corretamente no ambiente de pré-inicialização.
Como o BitLocker ajuda a impedir que um invasor descubra o PIN que desbloqueia a unidade do sistema operacional?
É possível que um número de identificação pessoal (PIN) seja descoberto por um invasor executando um ataque de força bruta. Um ataque de força bruta ocorre quando um invasor usa uma ferramenta automatizada para tentar diferentes combinações de PIN até a correta ser descoberta. Para computadores protegidos pelo BitLocker, esse tipo de ataque, também conhecido como um ataque de dicionário, exige que o invasor tenha acesso físico ao computador.
O TPM tem a capacidade interna de detectar e reagir a esses tipos de ataques. Como TPMs de diferentes fabricantes podem dar suporte a diferentes atenuações de PIN e ataques, entre em contato com o fabricante do TPM para determinar como o TPM do computador atenua ataques de força bruta de PIN.
Depois de determinar o fabricante do TPM, entre em contato com o fabricante para coletar informações específicas do fornecedor do TPM. A maioria dos fabricantes usa a contagem de falhas de autenticação de PIN para aumentar exponencialmente o tempo de bloqueio da interface do PIN. No entanto, cada fabricante tem políticas diferentes em relação a quando e como o contador de falhas é diminuído ou redefinido.
Como posso determinar o fabricante do meu TPM?
É possível determinar o fabricante do TPM no console MMC do TPM (tpm.msc) no título Informações sobre o Fabricante do TPM.
Como posso avaliar o mecanismo de atenuação do ataque de dicionário do TPM?
As seguintes perguntas podem ajudar você ao pedir a um fabricante de TPM mais informações sobre o design de um mecanismo de atenuação de ataque de dicionário:
Quantas tentativas de autorização com falha podem ocorrer até o bloqueio?
Qual é o algoritmo para determinar a duração de um bloqueio com base no número de tentativas com falha e quaisquer outros parâmetros relevantes?
Quais ações podem fazer a contagem de falhas e a duração do bloqueio diminuir ou ser redefinida?
O tamanho e a complexidade do PIN podem ser gerenciados com Política de Grupo?
Sim e não. É possível configurar o tamanho mínimo do número de identificação pessoal (PIN) usando-se a configuração de Política de Grupo Configurar tamanho mínimo do PIN para inicialização e permitir o uso de PINs alfanuméricos habilitando a configuração de Política de Grupo Permitir PINs avançados para inicialização. No entanto, não é possível solicitar complexidade de PIN por Política de Grupo.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
BitLocker To Go
BitLocker To Go é Criptografia de Unidade de Disco BitLocker em unidades de dados removíveis. Isso inclui a criptografia de unidades flash USB, cartões SD, unidades de disco rígido externas e outras unidades formatadas usando-se os sistemas de arquivos NTFS, FAT16, FAT32 ou exFAT.
Serviços de Domínio do Active Directory (AD DS)
E se o BitLocker for habilitado em um computador antes do computador ingressar no domínio?
Se o BitLocker estiver habilitado em uma unidade antes de Política de Grupo ter sido aplicada para impor o backup, não haverá backup automático das informações de recuperação no AD DS quando o computador ingressar no domínio ou quando Política de Grupo for aplicada depois. No entanto, é possível usar as configurações de Política de Grupo Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas, Escolher como as unidades fixas protegidas por BitLocker podem ser recuperadas e Escolher como as unidades removíveis protegidas por BitLocker podem ser recuperadas para exigir que o computador esteja conectado a um domínio para o BitLocker ser habilitado e ajudar a garantir que o backup das informações de recuperação das unidades protegidas pelo BitLocker na sua organização seja feito no AD DS.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
A interface de Instrumentação de Gerenciamento do Windows (WMI) do BitLocker permite que os administradores escrevam um script para fazer backup ou sincronizar as informações de recuperação existentes do cliente on-line; no entanto, o BitLocker não gerencia automaticamente esse processo. A ferramenta de linha de comando manage-bde também pode ser usada para fazer backup manualmente das informações de recuperação manual no AD DS. Por exemplo, para fazer backup de todas as informações de recuperação na unidade C: no AD DS, você usaria o seguinte comando em um prompt de comando com privilégios elevados: manage-bde -protectors -adbackup C:.
Importante
Adicionar um computador ao domínio deve ser a primeira etapa para novos computadores dentro de uma organização. Depois que os computadores forem adicionados a um domínio, armazenar a chave de recuperação do BitLocker no AD DS é algo automático (quando habilitado em Política de Grupo).
Existe uma entrada de log de eventos registrada no computador cliente para indicar o êxito ou a falha do backup do Active Directory?
Sim, uma entrada de log de eventos que indica o êxito ou a falha de um backup do Active Directory é registrada no computador cliente. No entanto, mesmo que uma entrada no log de eventos indique "Êxito", as informações poderiam ter sido removidas depois do AD DS, ou o BitLocker poderia ter sido reconfigurado de maneira que as informações do Active Directory não consigam mais desbloquear a unidade (como remover o protetor de chave de senha de recuperação). Além disso, também é possível que a entrada de log possa ter sido falsificada.
Por fim, determinar se um backup legítimo existe no AD DS exige consultar o AD DS com credenciais de administrador de domínio usando a ferramenta de visualização de senha do BitLocker.
Se eu alterar a senha de recuperação do BitLocker no meu computador e armazenar a nova senha no AD DS, o AD DS substituirá a senha anterior?
Não. Por design, as entradas de senha de recuperação do BitLocker não são excluídas do AD DS; por isso, você pode ver várias senhas para cada unidade. Para identificar a senha mais recente, verifique a data no objeto.
O que acontecerá se o backup falhar inicialmente? O BitLocker tentará novamente o backup?
Caso o backup falhe inicialmente, como quando um controlador de domínio está inacessível no momento em que o Assistente para Instalação do BitLocker é executado, o BitLocker não tenta novamente fazer o backup das informações de recuperação no AD DS.
Quando um administrador marca a caixa de seleção Exigir backup do BitLocker no AD DS da configuração de política Armazenar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory (Windows Server 2008 e Windows Vista) ou a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas | removíveis equivalente em qualquer uma das configurações de política Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas, Escolher como as unidades de dados fixas protegidas por BitLocker podem ser recuperadas, Escolher como as unidades de disco removíveis protegidas por BitLocker podem ser recuperadas, isso impede que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup de informações de recuperação do BitLocker no AD DS seja bem-sucedido. Com essas configurações definidas caso o backup falhe, o BitLocker não pode ser habilitado, garantindo que os administradores sejam capazes de recuperar unidades protegidas pelo BitLocker na organização.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
Ao desmarcar essas caixas de seleção, o administrador está permitindo que uma unidade seja protegida pelo BitLocker sem que seja necessário o backup das informações de recuperação feito com êxito no AD DS; no entanto, o BitLocker não repetirá automaticamente o backup se ele falhar. Em vez disso, os administradores podem criar um script para o backup, conforme descrito anteriormente em E se o BitLocker for habilitado em um computador antes do computador ingressar no domínio? para capturar as informações depois que a conectividade for restaurada.
Segurança
Que forma de criptografia o BitLocker usa? É configurável?
O BitLocker usa Advanced Encryption Standard (AES) como o algoritmo de criptografia com tamanhos de chave configuráveis de 128 ou 256 bits. A configuração de criptografia padrão é AES-128, mas as opções são configuráveis usando-se Política de Grupo.
Qual é a melhor prática para usar o BitLocker em uma unidade de sistema operacional?
A prática recomendada para a configuração do BitLocker em uma unidade de sistema operacional é implementar o BitLocker em um computador com um TPM versão 1.2 ou superior e um BIOS compatível com Trusted Computing Group (TCG) ou uma implementação de firmware da UEFI, mais um PIN. Exigindo um PIN que tenha sido definido pelo usuário além da validação do TPM, um usuário mal-intencionado com acesso físico ao computador simplesmente não consegue iniciá-lo.
Quais são as implicações de usar as opções de gerenciamento de energia de suspensão ou hibernação?
O BitLocker em unidades de sistema operacional na configuração básica (com um TPM, mas sem autenticação avançada) oferece segurança adicional para o modo de hibernação. No entanto, o BitLocker oferece ainda mais segurança quando é configurado para usar um modo de autenticação avançado (TPM+PIN, TPM+USB ou TPM+PIN+USB) com o modo de hibernação. Esse método é mais seguro porque a saída da hibernação requer a autenticação do BitLocker. Como melhor prática, recomendamos que o modo de suspensão seja desabilitado e que você use TPM+PIN para o método de autenticação.
Quais são as vantagens de um TPM?
A maioria dos sistemas operacionais usa um espaço de memória compartilhado e depende do sistema operacional para gerenciar a memória física. TPM é um componente de hardware que o próprio firmware interno e os circuitos de lógica para processar instruções, protegendo-o, assim, de vulnerabilidades de softwares externas. Atacar o TPM requer acesso físico ao computador. Além disso, as ferramentas e as habilidades necessárias para atacar um hardware normalmente são mais caras e não estão disponíveis como aquelas usadas para atacar um software. E como cada TPM é exclusivo do computador que o contém, atacar o TPM de vários computadores seria difícil e demorado.
Observação
Configurar o BitLocker com um fator adicional de autenticação oferece ainda mais proteção contra ataques de hardware do TPM.
Desbloqueio pela rede do BitLocker
O Desbloqueio pela rede do BitLocker permite um gerenciamento mais fácil para desktops e servidores habilitados para o BitLocker que usam o método de proteção TPM+PIN em um ambiente de domínio. Quando um computador conectado a uma rede corporativa com fio é reiniciado, o Desbloqueio pela Rede permite que o prompt de entrada PIN seja ignorado. Ele desbloqueia automaticamente volumes de sistema operacional protegidos pelo BitLocker usando uma chave confiável fornecida pelo servidor dos Serviços de Implantação do Windows como o método de autenticação secundário.
Para usar Desbloqueio pela Rede você também deve ter um PIN configurado para o computador. Quando o computador não estiver conectado à rede, você precisará fornecer o PIN para desbloqueá-lo.
Desbloqueio pela rede do BitLocker tem requisitos de software e hardware para computadores cliente, Serviços de Implantação do Windows e controladores de domínio que devem ser atendidos para você poder usá-lo.
Desbloqueio pela Rede usa dois protetores, o protetor do TPM e o fornecido pela rede ou pelo PIN, e o desbloqueio automático usa um único protetor, aquele armazenado no TPM. Se o computador for adicionado a uma rede sem o protetor de chave, ele solicitará a inserção do PIN. Se o PIN não estiver disponível, você precisará usar a recuperação de chave para desbloquear o computador se ele puder ser conectado à rede.
Para obter mais informações, consulte BitLocker: Como habilitar o desbloqueio pela rede.
Outras perguntas
Posso executar um depurador de kernel com usando o BitLocker?
Sim. No entanto, o depurador deve ser ativado antes do BitLocker. Ativar o depurador garante que as medidas corretas sejam calculadas durante a selagem para o TPM, permitindo que o computador seja iniciado corretamente. Caso você precise ativar ou desativar a depuração ao usar o BitLocker, não se esqueça de suspender o BitLocker primeiro para evitar colocar o computador no modo de recuperação.
Como o BitLocker manipular despejos de memória?
O BitLocker tem uma pilha de drivers de armazenamento que garante que despejos de memória sejam criptografados quando o BitLocker está habilitado.
O BitLocker pode dar suporte a cartões inteligentes para autenticação de pré-inicialização?
O BitLocker não dá suporte a cartões inteligentes para autenticação de pré-inicialização. Não há um padrão do setor único para suporte a cartão inteligente no firmware, e a maioria dos computadores não implementa o suporte a firmware para cartões inteligentes ou só dá suporte a cartões inteligentes e leitores específicos. Essa falta de padronização dificulta muito o suporte a eles.
Posso usar um driver do TPM que não seja Microsoft?
A Microsoft não dá suporte a drivers do TPM que não sejam Microsoft, e é altamente recomendável não usá-los com o BitLocker. A tentativa de usar um driver do TPM que não seja Microsoft com o BitLocker pode fazer o BitLocker relatar que não há um TPM presente no computador e não permitir que o TPM seja usado com o BitLocker.
Outras ferramentas que gerenciam ou modificam o registro mestre de inicialização podem funcionar com o BitLocker?
Não é recomendável modificar o registro mestre de inicialização em computadores cujas unidades do sistema operacional sejam protegidas pelo BitLocker por vários motivos de segurança, confiabilidade e suporte ao produto. As alterações feitas no registro mestre de inicialização (MBR) poderiam alterar o ambiente de segurança e impedir que o computador fosse iniciado normalmente, bem como complicar qualquer esforço de recuperação de um MBR corrompido. As alterações feitas no MBR por outro que não seja o Windows podem forçar o computador no modo de recuperação ou impedir que ele seja inicializado por completo.
Por que a verificação do sistema falha quando estou criptografando a unidade do sistema operacional?
A verificação de sistema foi projetada para garantir que o BIOS ou o firmware da UEFI do computador seja compatível com o BitLocker e que o TPM esteja funcionando corretamente. A verificação do sistema pode falhar por vários motivos:
O BIOS ou o firmware da UEFI do computador não consegue ler unidades flash USB.
O BIOS do computador, o firmware da UEFI ou o menu de inicialização não têm unidades flash USB habilitadas para leitura.
Existem várias unidades flash USB inseridas no computador.
O PIN não foi inserido corretamente.
O BIOS ou o firmware da UEFI do computador só dá suporte ao uso das teclas de função (F1 – F10) para inserir números no ambiente de pré-inicialização.
A chave de inicialização foi removida antes do computador ter concluído a reinicialização.
O TPM apresenta mau funcionamento e falha ao desselar as chaves.
O que posso fazer caso a chave de recuperação na minha unidade flash USB não possa ser lida?
Alguns computadores não podem ler unidades flash USB no ambiente de pré-inicialização. Primeiro, verifique as configurações de inicialização do BIOS ou do firmware da UEFI para garantir que o uso de unidades USB esteja habilitado. Caso ele não esteja habilitado, habilite o uso de unidades USB no BIOS ou no firmware da UEFI e nas configurações de inicialização e tente ler novamente a chave de recuperação com base na unidade flash USB. Se ainda assim ela não puder ser lida, você terá que montar o disco rígido como uma unidade de dados em outro computador, de maneira que haja um sistema operacional para tentar ler a chave de recuperação na unidade flash USB. Caso a unidade flash USB tenha sido corrompida ou danificada, você precisa fornecer uma senha de recuperação ou usar as informações de recuperação em backup no AD DS. Além disso, caso você esteja usando a chave de recuperação no ambiente de pré-inicialização, certifique-se de que a unidade esteja formatada usando-se o sistema de arquivos NTFS, FAT16 ou FAT32.
Por que não consigo salvar minha chave de recuperação na minha unidade flash USB?
A opção Save to USB não é mostrada por padrão em unidades removíveis. Caso a opção esteja disponível, isso significa que um administrador do sistema desautorizou o uso de chaves de recuperação.
Por que não consigo desbloquear automaticamente minha unidade?
O desbloqueio automático para unidades de dados fixas requer que a unidade do sistema operacional também seja protegida pelo BitLocker. Caso você esteja usando um computador que não tenha uma unidade de sistema operacional protegida pelo BitLocker, a unidade não pode ser desbloqueada automaticamente. Para unidades de dados removíveis, é possível adicionar um desbloqueio automático clicando-se na unidade no Windows Explorer e em Gerenciar o BitLocker. Você continua podendo usar a senha ou as credenciais de cartão inteligente fornecidas quando ativou o BitLocker para desbloquear a unidade removível em outros computadores.
Posso usar o BitLocker em modo de segurança?
Há funcionalidade limitada do BitLocker disponível em modo de segurança. As unidades protegidas pelo BitLocker podem ser desbloqueadas e descriptografadas usando-se o item do Painel de Controle Criptografia de Unidade de Disco BitLocker. Clicar com o botão direito do mouse para acessar as opções do BitLocker no Windows Explorer não está disponível em modo de segurança.
Como devo "bloquear" uma unidade de dados?
As unidades de dados fixas e removíveis podem ser bloqueadas usando-se a ferramenta de linha de comando Manage-bde e o comando –lock.
Observação
Certifique-se de que todos os dados estejam salvos no disco antes de bloqueá-la. Depois de bloqueada, a unidade se tornará inacessível.
A sintaxe desse comando é:
manage-bde <driveletter> -lock
Além de usar esse comando, as unidades de dados serão bloqueadas no desligamento e na reinicialização do sistema operacional. Uma unidade de dados removível também será bloqueada automaticamente quando a unidade for removida do computador.
Posso usar o BitLocker com o Serviço de Cópias de Sombra de Volume?
Sim. No entanto, as cópias de sombra feitas antes da habilitação do BitLocker serão excluídas automaticamente quando o BitLocker estiver habilitado em unidades criptografadas pelo software. Caso você esteja usando uma unidade criptografada de hardware, as cópias de sombra são mantidas.
O BitLocker dá suporte a discos rígidos virtuais (VHDs)?
O BitLocker não é compatível com VHDs inicializáveis, mas é compatível com VHDs de volume de dados, como aqueles usados por clusters, caso você esteja executando Windows 10, Windows 8.1, Windows 8, Windows Server 2012 ou Windows Server 2012 R2.