Guia de recuperação do BitLocker

Este tópico para profissionais de TI descreve como recuperar chaves do BitLocker do AD DS.

As organizações podem usar informações de recuperação do BitLocker salvas nos Serviços de Domínio do Active Directory (AD DS) para acessar dados protegido pelo BitLocker. É recomendável criar um modelo de recuperação do BitLocker enquanto você planeja a implantação do BitLocker.

Este artigo pressupõe que você saiba como configurar o AD DS para fazer backup das informações de recuperação do BitLocker automaticamente e quais tipos de informações de recuperação são salvos no AD DS.

Este artigo não dá detalhes sobre como configurar o AD DS para armazenar as informações de recuperação do BitLocker.

Este artigo contém os seguintes tópicos:

• O que é recuperação do BitLocker?

• Teste da recuperação

• Planejamento do processo de recuperação

• Como usar informações de recuperação adicionais

• Redefinição de senhas de recuperação

• Recuperação do pacote de chaves do BitLocker

O que é recuperação do BitLocker?

Recuperação do BitLocker é o processo por meio do qual é possível restaurar o acesso a uma unidade protegida pelo BitLocker caso você não consiga desbloquear a unidade normalmente. Em um cenário de recuperação, você tem as seguintes opções para restaurar o acesso à unidade:

• O usuário pode fornecer a senha de recuperação. Caso a organização permita que os usuários imprimam ou armazenem senhas de recuperação, o usuário pode digitar a senha de recuperação de 48 dígitos que eles imprimiram ou armazenaram em uma unidade USB ou usando a conta da Microsoft online. (Salvar uma senha de recuperação usando a conta da Microsoft online só é permitido quando o BitLocker é usado em um computador que não seja um membro de um domínio.)

• Um agente de recuperação de dados pode usar as credenciais para desbloquear a unidade. Caso seja uma unidade de sistema operacional, a unidade deve ser montada como uma unidade de dados em outro computador para o agente de recuperação de dados desbloqueá-la.

• Um administrador de domínio pode obter a senha de recuperação do AD DS e usá-la para desbloquear a unidade. Armazenar senhas de recuperação no AD DS é recomendável para oferecer uma maneira dos profissionais de TI conseguirem obter senhas de recuperação de unidades na organização, se necessário. Esse método exige que você tenha ativado esse método de recuperação na configuração de Política de Grupo do BitLocker Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas localizada em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional no Editor de Política de Grupo Local. Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.

O que causa a recuperação do BitLocker?

A seguinte lista fornece exemplos de eventos específicos que farão o BitLocker entrar no modo de recuperação durante a tentativa de iniciar a unidade do sistema operacional:

• Em computadores que usam BitLocker ou Criptografia do Dispositivo quando um ataque for detectado, o dispositivo será reinicializado imediatamente e entrará no modo de recuperação do BitLocker. Para usufruir essa funcionalidade, os administradores podem definir a configuração de Política de Grupo Logon interativo: limite de bloqueio de conta de computador localizada em \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options no Editor de Política de Grupo Local ou usar a política MaxFailedPasswordAttempts do Exchange ActiveSync (também configurável por meio do Windows Intune) para limitar o número de tentativas de senha erradas antes do dispositivo entrar no Bloqueio de Dispositivo.

• Alterar a ordem de inicialização para inicializar outra unidade antes do disco rígido.

• Colocar a unidade de CD ou DVD antes do disco rígido na ordem de inicialização do BIOS e, em seguida, inserir ou remover um CD ou DVD.

• Ocorrer uma falha na inicialização com base em uma unidade de rede antes de inicializar com base no disco rígido.

• Encaixar ou desencaixar um computador portátil. Em alguns casos (dependendo do fabricante do computador e do BIOS), a condição de encaixe do computador portátil faz parte da avaliação do sistema e deve ser consistente para validar o status do sistema e desbloquear o BitLocker. Isso significa que, se um computador portátil estiver conectado à base de encaixe quando o BitLocker for ativado, ele também poderá precisar estar conectado à base de encaixe quando for desbloqueado. Por outro lado, se um computador portátil não estiver conectado à base de encaixe quando o BitLocker for ativado, ele precisará ser desconectado do encaixe quando for desbloqueado.

• Alterações feitas na partição NTFS no disco, inclusive criar, excluir ou redimensionar uma partição primária.

• Inserir o número de identificação pessoal (PIN) incorretamente muitas vezes, de maneira que a lógica anti-hammering do TPM seja ativada. A lógica anti-hammering é um método de software ou hardware que aumenta a dificuldade e o custo de um ataque de força bruta sobre um PIN, não aceitando entradas de PIN até decorrer um determinado tempo.

• Desativar o suporte de leitura do dispositivo USB no ambiente de pré-inicialização com base no firmware do BIOS ou da UEFI, se você estiver usando chaves baseadas em USB, em vez de um TPM.

• Desativar, desabilitar, desligar ou limpar o TPM.

• Atualizar componentes de inicialização críticos, como uma atualização de firmware do BIOS ou da UEFI, alterando as avaliações de inicialização relacionadas.

• Esquecer o PIN quando a autenticação PIN tiver sido habilitada.

• Atualizar o firmware da ROM de opção.

• Atualizar o firmware do TPM.

• Adicionar ou remover hardware; por exemplo, inserir uma nova placa no computador, inclusive algumas placas sem fio PCMIA.

• Remover, inserir ou gastar totalmente a carga de uma bateria inteligente em um computador portátil.

• Alterações feitas no registro mestre de inicialização no disco.

• Alterações feitas no gerenciador de inicialização no disco.

• Ocultar o TPM do sistema operacional. Algumas configurações do BIOS ou da UEFI podem ser usadas para impedir a enumeração do TPM para o sistema operacional. Quando implementada, essa opção pode ocultar o TPM do sistema operacional. Quando o TPM está oculto, a inicialização segura do BIOS e da UEFI permanece desabilitada e o TPM não responde a comandos de nenhum software.

• Usar um teclado diferente que não insira o PIN corretamente ou cujo mapa do teclado não corresponda ao mapa do teclado presumido pelo ambiente de pré-inicialização. Isso pode impedir a entrada de PINs aprimorados.

• Modificar os registros de configuração de plataforma (PCRs) usados pelo perfil de validação do TPM. Por exemplo, incluir PCR[1] resultaria na avaliação pelo BitLocker da maioria das alterações feitas nas configurações do BIOS, fazendo o BitLocker entrar no modo de recuperação mesmo quando nenhuma configuração do BIOS crítica de não inicialização fosse alterada.

  Observação  

  Alguns computadores têm configurações do BIOS que ignoram avaliações para determinados PCRs, como PCR[2]. A alteração dessa configuração no BIOS faria o BitLocker entrar no modo de recuperação porque a avaliação do PCR será diferente.

   

• Mover a unidade protegida pelo BitLocker para um novo computador.

• Atualizar a placa-mãe para uma nova usando um novo TPM.

• Perder a unidade flash USB que contém a chave de inicialização quando a autenticação de chave de inicialização tiver sido habilitada.

• Ocorrer falha no autoteste do TPM.

• Ter um BIOS, um firmware da UEFI ou um componente de ROM opcional não compatível com os padrões do Trusted Computing Group relevantes para um computador cliente. Por exemplo, uma implementação não compatível pode gravar dados voláteis (como tempo) nas avaliações do TPM, causando avaliações diferentes em cada inicialização e fazendo o BitLocker ser iniciado no modo de recuperação.

• Alterar a autorização de uso da chave de raiz de armazenamento do TPM para um valor diferente de zero.

  Observação  

  O processo de inicialização do TPM do BitLocker define o valor de autorização de uso como zero, de maneira que outro usuário ou processo deva ter alterado explicitamente esse valor.

   

• Desativar a verificação de integridade do código ou ativar a assinatura de teste no Gerenciador de Inicialização do Windows (Bootmgr).

• Pressionar a tecla F8 ou F10 durante o processo de inicialização.

• Adicionar ou remover cartões de suplemento (como placas de vídeo ou de rede) ou atualizar firmware em placas de suplemento.

• Usar uma tecla de acesso do BIOS durante o processo de inicialização para alterar a ordem de inicialização para algo que não seja o disco rígido.

Observação  

Para começar a recuperação, recomendamos que você determine o que causou a recuperação. Isso pode ajudar a evitar que o problema ocorra novamente no futuro. Por exemplo, se determinar que um invasor modificou o computador obtendo acesso físico, você poderá criar novas políticas de segurança para controlar quem tem presença física. Depois que a senha de recuperação tiver sido usada para recuperar o acesso ao computador, o BitLocker irá selar novamente a chave de criptografia segundo os valores atuais dos componentes avaliados.

 

Para cenários planejados, como atualizações de um hardware ou firmware conhecido, você pode evitar a inicialização da recuperação suspendendo temporariamente a proteção do BitLocker. Como suspender o BitLocker deixa a unidade totalmente criptografada, o administrador pode retomar rapidamente a proteção do BitLocker depois que a tarefa planejada tiver sido concluída. Usar a suspensão e a retomada também sela novamente a chave de criptografia sem exigir a entrada da chave de recuperação.

Observação  

Se for suspenso, o BitLocker retomará automaticamente a proteção quando o computador for reinicializado, a menos que uma contagem de reinicializações seja especificada usando-se a ferramenta de linha de comando manage-bde.

Se a manutenção de software exigir que o computador seja reiniciado e que você esteja usando a autenticação de dois fatores, você poderá habilitar o Desbloqueio pela rede do BitLocker para fornecer o fator de autenticação secundário quando os computadores não tiverem um usuário no local para fornecer o método de autenticação adicional.

 

A recuperação foi descrita dentro do contexto de um comportamento não planejado ou indesejado, mas você também pode deixar a recuperação como um cenário de produção desejado, para gerenciar o controle de acesso. Por exemplo, ao reimplantar computadores desktop ou laptop em outros departamentos ou funcionários na empresa, você pode forçar o BitLocker para a recuperação antes do computador ser dado a um novo usuário.

Teste da recuperação

Antes de criar um processo de recuperação do BitLocker completo, recomendamos que você teste como funciona o processo de recuperação para os usuários finais (pessoas que ligam para a assistência técnica a fim de conseguir a senha de recuperação) e os administradores (pessoas que ajudam o usuário final a obter a senha de recuperação). O comando –forcerecovery de manage-bde é uma maneira fácil para você percorrer o processo de recuperação antes dos usuários encontrarem uma situação de recuperação.

Para forçar uma recuperação do computador local

1. Clique no botão Iniciar, digite cmd na caixa Iniciar Pesquisa, clique com o botão direito do mouse em cmd.exe e clique em Executar como administrador.

2. No prompt de comando, digite o seguinte comando e pressione ENTER:

   manage-bde -forcerecovery <Volume>

Para forçar a recuperação de um computador remoto

1. Na Tela Inicial, digite cmd.exe e clique em Executar como administrador.

2. No prompt de comando, digite o seguinte comando e pressione ENTER:

   manage-bde. -ComputerName <ComputerName>-forcerecovery <Volume>

Observação  

<ComputerName> representa o nome do computador remoto. <Volume> representa o volume no computador remoto que está protegido com o BitLocker.

 

Planejamento do processo de recuperação

Ao planejar o processo de recuperação do BitLocker, consulte primeiro as práticas recomendadas atuais da organização para recuperar informações confidenciais. Por exemplo: como a empresa lida com senhas do Windows perdidas? Como a organização realiza redefinições de PIN de cartão inteligente? Você pode usar essas práticas recomendadas e recursos relacionados (pessoas e ferramentas) para ajudar a formular um modelo de recuperação do BitLocker.

Organizações que dependem da Criptografia de Unidade de Disco BitLocker e do BitLocker To Go para proteger dados em um grande número de computadores e unidades removíveis nas quais os sistemas operacionais Windows 10, Windows 8 ou Windows 7 e o Windows to Go estejam em execução devem levar em consideração o uso da ferramenta Microsoft BitLocker Administration and Monitoring (MBAM) versão 2.0, incluída no Microsoft Desktop Optimization Pack (MDOP) do Microsoft Software Assurance. O MBAM facilita a implantação e o gerenciamento de implementações do BitLocker e permite que os administradores provisionem e monitorem a criptografia do sistema operacional e das unidades fixas. O MBAM avisa o usuário antes de criptografar unidades fixas. O MBAM também gerencia chaves de recuperação para unidades fixas e removíveis, facilitando o gerenciamento da recuperação. O MBAM pode ser usado como parte de uma implantação do Microsoft System Center ou como uma solução independente. Para obter mais informações, consulte Microsoft BitLocker Administration and Monitoring.

Depois que uma recuperação do BitLocker tiver sido iniciada, os usuários poderão usar uma senha de recuperação para desbloquear o acesso a dados criptografados. Você deve levar em consideração os métodos de recuperação de senha de autorrecuperação e recuperação da organização.

Ao determinar o processo de recuperação, você deve:

• Familiarizar-se com a maneira como você pode recuperar a senha de recuperação. Consulte:

  • Autorrecuperação

  • Recuperação de senha de recuperação

• Determine uma série de etapas de pós-recuperação, inclusive analisar o motivo pelo qual ocorreu a recuperação e redefinir a senha de recuperação. Consulte:

  • Análise pós-recuperação

Autorrecuperação

Em alguns casos, os usuários podem ter a senha de recuperação em uma cópia impressa ou em uma unidade flash USB e podem realizar a autorrecuperação. Recomendamos que a organização crie uma política de autorrecuperação. Caso a autorrecuperação inclua o uso de uma senha ou uma chave de recuperação armazenada em uma unidade flash USB, os usuários devem ser avisados para não armazenarem a unidade flash USB no mesmo lugar do computador, especialmente durante viagens, por exemplo, se o computador e os itens de recuperação estivessem na mesma bolsa, seria muito fácil para o acesso ser obtido no computador por um usuário não autorizado. Outra política a ser levada em consideração é fazer os usuários entrarem em contato com o suporte técnico antes ou depois de realizarem a autorrecuperação de maneira que a causa raiz possa ser identificada.

Recuperação de senha de recuperação

Se o usuário não tiver uma senha de recuperação em uma cópia impressa ou em uma unidade flash USB, o usuário precisará ser capaz de recuperar a senha de recuperação de uma fonte online. Caso o computador seja membro de um domínio, o backup da senha de recuperação pode ser feito no AD DS. No entanto, isso não acontece por padrão. Você deve ter definido as configurações de Política de Grupo apropriadas antes do BitLocker ter sido habilitado no computador. As configurações de Política de Grupo do BitLocker podem ser encontradas no Editor de Política de Grupo Local ou no Console de Gerenciamento de políticas de Grupo (GPMC) em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker. As configurações de política a seguir definem os métodos de recuperação que podem ser usados para restaurar o acesso em uma unidade protegida pelo BitLocker caso um método de autenticação falhe ou não possa ser usado.

• Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas

• Escolher como as unidades fixas protegidas por BitLocker podem ser recuperadas

• Escolher como as unidades removíveis protegidas por BitLocker podem ser recuperadas

Em cada uma dessas políticas, selecione Salvar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory e escolha quais informações de recuperação do BitLocker devem ser armazenadas nos Serviços de Domínio do Active Directory (AD DS). Marque a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados removíveis caso você queira evitar que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker da unidade no AD DS seja bem-sucedido.

Observação  

Caso os computadores façam parte de um grupo de trabalho, os usuários devem ser orientados a salvar a senha de recuperação do BitLocker usando a conta da Microsoft online. Ter uma cópia online da senha de recuperação do BitLocker é recomendável para ajudar a garantir que você não perca o acesso aos dados caso essa recuperação seja necessária.

 

A ferramenta Visualizador de Senha de Recuperação do BitLocker para Usuários e Computadores do Active Directory permite que os administradores de domínios exibam senhas de recuperação do BitLocker para objetos de computador específicos no Active Directory.

Você pode usar a lista a seguir como um modelo para criar o próprio processo de recuperação para recuperação de senha de recuperação. Este processo de exemplo usa a ferramenta Visualizador de Senha de Recuperação do BitLocker para Usuários e Computadores do Active Directory.

• Registrar o nome do computador do usuário

• Verificar a identidade do usuário

• Localizar a senha de recuperação no AD DS

• Coletar informações para determinar por que ocorreu a recuperação

• Dar ao usuário a senha de recuperação

Registrar o nome do computador do usuário

Você pode usar o nome do computador do usuário para localizar a senha de recuperação no AD DS. Caso o usuário não saiba o nome do computador, peça para ele ler a primeira palavra do Rótulo da Unidade na interface do usuário Entrada de senha de criptografia da unidade do BitLocker. Esse é o nome do computador quando o BitLocker foi habilitado e provavelmente seja o nome atual do computador.

Verificar a identidade do usuário

Você deve verificar se a pessoa que está solicitando a senha de recuperação é realmente o usuário autorizado desse computador. Você também pode querer verificar se o computador com o nome do usuário fornecido pertence ao usuário.

Localizar a senha de recuperação no AD DS

Localize o objeto Computador com o nome correspondente no AD DS. Como nomes de objeto Computador estão listados no catálogo global do AD DS, você deve ser capaz de localizar o objeto mesmo se tiver uma floresta de vários domínios.

Várias senhas de recuperação

Se várias senhas de recuperação forem armazenadas em um objeto de computador no AD DS, o nome do objeto de informações de recuperação do BitLocker incluirá a data em que a senha foi criada.

Se a qualquer momento não souber qual senha fornecer, ou se achar que você está fornecendo a senha incorreta, peça para o usuário ler a ID de senha de oito caracteres exibida no console de recuperação.

Como a ID de senha é um valor exclusivo associado a cada senha de recuperação armazenada no AD DS, a execução de uma consulta usando-se essa ID encontrará a senha correta para desbloquear o volume criptografado.

Coletar informações para determinar por que ocorreu a recuperação

Antes de dar ao usuário a senha de recuperação, você deve coletar todas as informações que ajudarão a determinar por que a recuperação foi necessária, para analisar a causa raiz durante a análise pós-recuperação. Para obter mais informações sobre a análise pós-recuperação, consulte Análise pós-recuperação.

Dar ao usuário a senha de recuperação

Como a senha de recuperação tem 48 dígitos, o usuário talvez precise gravar a senha anotando-a ou digitando-a em um computador diferente. Se você estiver usando o MBAM, a senha de recuperação será regenerada depois de ser recuperada junto ao banco de dados do MBAM para evitar os riscos de segurança associados a uma senha não controlada.

Observação  

Como a senha de recuperação de 48 dígitos é longa e contém uma combinação de dígitos, o usuário pode ouvir ou digitar a senha incorretamente. O console de recuperação do tempo de inicialização usa números de soma de verificação internos para detectar erros de entrada em cada bloco de 6 dígitos da senha de recuperação de 48 dígitos e dá ao usuário a chance de corrigir esses erros.

 

Análise pós-recuperação

Quando um volume é desbloqueado usando-se uma senha de recuperação, um evento é gravado no log de eventos e as avaliações de validação da plataforma são redefinidas no TPM de acordo com a configuração atual. Desbloquear o volume significa que a chave de criptografia foi liberada e está pronta para uma criptografia dinâmica quando os dados são gravados no volume e uma descriptografia dinâmica quando os dados são lidos com base no volume. Depois que o volume for desbloqueado, o BitLocker se comportará da mesma maneira, independentemente de como o acesso foi concedido.

Se perceber que um computador está apresentando desbloqueios de senha de recuperação repetidos, você poderá pedir para um administrador realizar uma análise pós-recuperação para determinar a causa raiz da recuperação e atualizar a validação da plataforma do BitLocker de maneira que o usuário não precise mais inserir uma senha de recuperação sempre que o computador é inicializado. Consulte:

• Determinar a causa raiz da recuperação

• Atualizar a proteção do BitLocker

Determinar a causa raiz da recuperação

Caso um usuário precise recuperar a unidade, é importante determinar a causa raiz que iniciou a recuperação assim que possível. Analisar corretamente o estado do computador e detectar adulterações pode revelar ameaças com implicações mais amplas para a segurança corporativa.

Embora um administrador possa investigar remotamente a causa da recuperação em alguns casos, o usuário final talvez precise trazer o computador que contém a unidade recuperada para o local a fim de analisar mais a causa raiz.

Examine e responda às seguintes perguntas para a organização:

1. O modo de proteção do BitLocker está em vigor (TPM, TPM + PIN, TPM + chave de inicialização, somente chave de inicialização)? Qual perfil do PCR está em uso no computador?

2. O usuário simplesmente esqueceu o PIN ou perdeu a chave de inicialização? Se um token fosse perdido, onde ele poderia estar?

3. Se o modo do TPM estava em vigor, a recuperação foi causada por uma alteração no arquivo de inicialização?

4. Se a recuperação foi causada por uma alteração no arquivo de inicialização, foi por causa de uma ação do usuário desejada (por exemplo, atualização do BIOS) ou de um software mal-intencionado?

5. Quando o usuário foi capaz de iniciar o computador com êxito pela última vez, e o que pode ter acontecido com o computador desde então?

6. O usuário pode ter encontrado um software mal-intencionado ou deixado o computador sozinho desde a última inicialização bem-sucedida?

Para ajudar a responder a essas perguntas, use a ferramenta de linha de comando do BitLocker para exibir a configuração atual e o modo de proteção (por exemplo, manage-bde -status). Examine o log de eventos para encontrar eventos que ajudem a indicar por que a recuperação foi iniciada (por exemplo, se ocorreu uma alteração no arquivo de inicialização). Esses recursos podem ser executados remotamente.

Resolver a causa raiz

Depois de ter identificado o que causou a recuperação, você poderá redefinir a proteção do BitLocker e evitar recuperação a cada inicialização.

Os detalhes dessa redefinição podem variar de acordo com a causa raiz da recuperação. Se você não conseguir determinar a causa raiz, ou se um software mal-intencionado ou um rootkit tiver infectado o computador, a assistência técnica deverá aplicar as políticas de vírus de melhores práticas para reagir apropriadamente.

Observação  

Você pode executar uma redefinição do perfil de validação do BitLocker suspendendo e retomando o BitLocker.

 

• PIN desconhecido

• Chave de inicialização perdida

• Alterações feitas em arquivos de inicialização

PIN desconhecido

Se um usuário tiver esquecido o PIN, você deverá redefinir o PIN enquanto estiver conectado ao computador para impedir que o BitLocker inicie a recuperação sempre que o computador for reiniciado.

Para evitar a recuperação contínua por causa de um PIN desconhecido

1. Desbloqueie o computador usando a senha de recuperação.

2. Redefina o PIN:

   2. Clique com o botão direito do mouse na unidade e clique em Alterar PIN.

   3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Redefinir um PIN esquecido. Se não estiver conectado usando uma conta de administrador, você deverá fornecer credenciais administrativas neste momento.

   4. Na caixa de diálogo de redefinição do PIN, forneça e confirme o novo PIN a ser usado e clique em Concluir.

3. Você usará o novo PIN na próxima vez em que desbloquear a unidade.

Chave de inicialização perdida

Se tiver perdido a unidade flash USB que contém a chave de inicialização, você deverá desbloquear a unidade usando a chave de recuperação e criar uma nova chave de inicialização.

Para evitar a recuperação contínua por causa de uma chave de inicialização perdida

1. Faça logon como administrador no computador que tem a chave de inicialização perdida.

2. Abra Gerenciar o BitLocker.

3. Clique em Duplicate start up key, insira a unidade USB limpa na qual você gravará a chave e clique em Salvar.

Alterações feitas em arquivos de inicialização

Esse erro poderá ocorrer se você tiver atualizado o firmware. Como melhor prática, você deve suspender o BitLocker antes de fazer alterações no firmware e retomar a proteção após a conclusão da atualização. Isso evita que o computador entre no modo de recuperação. Porém, se alterações foram feitas quando a proteção do BitLocker estava ativada, bastará você fazer logon no computador usando a senha de recuperação, e o perfil de validação da plataforma será atualizado, de maneira que a recuperação não ocorrerá na próxima vez.

Windows RE e BitLocker

O Ambiente de Recuperação do Windows (RE) pode ser usado para recuperar o acesso a uma unidade protegida pelo BitLocker ou pela Criptografia do Dispositivo. Se um computador não puder ser inicializado após duas falhas, o Reparo de Inicialização será iniciado automaticamente. Quando for iniciado automaticamente por causa de falhas na inicialização, o Reparo de Inicialização só executará reparos no sistema operacional e no arquivo de driver, desde que os logs de inicialização ou qualquer despejo de memória disponível apontem para um arquivo corrompido específico. No Windows 8.1 e posteriores, dispositivos que incluam firmware para dar suporte a avaliações do TPM específicas para PCR[7] que o TPM possa validar ser o Windows RE um ambiente operacional confiável desbloquearão quaisquer unidades protegidas pelo BitLocker se o Windows RE não tiver sido modificado. Se o ambiente do Windows RE tiver sido modificado, por exemplo, o TPM foi desabilitado, as unidades permanecerão bloqueadas até a chave de recuperação do BitLocker ser fornecida. Se o Reparo de Inicialização não puder ser executado automaticamente com base no computador e, em vez disso, o Windows RE for iniciado manualmente com base em um disco de reparo, a chave de recuperação do BitLocker deverá ser fornecida para desbloquear as unidades protegidas pelo BitLocker.

Como usar informações de recuperação adicionais

Além da senha de recuperação do BitLocker de 48 dígitos, outros tipos de informações de recuperação são armazenados no Active Directory. Esta seção descreve como essas informações adicionais podem ser usadas.

Pacote de chaves do BitLocker

Se os métodos de recuperação abordados anteriormente neste documento não desbloquearem o volume, você poderá usar a ferramenta Reparo do BitLocker para descriptografar o volume no nível do bloco. A ferramenta usa o pacote de chaves do BitLocker para ajudar a recuperar dados criptografados de unidades seriamente danificadas. Assim, você pode usar esses dados recuperados para recuperar dados criptografados, mesmo depois que a senha de recuperação correta deixar de desbloquear o volume danificado. Recomendamos que você continue salvando a senha de recuperação. Um pacote de chaves não pode ser usado sem a senha de recuperação correspondente.

Observação  

Você deve usar a ferramenta de Reparo do BitLocker repair-bde para usar o pacote de chaves do BitLocker.

 

O pacote de chaves do BitLocker não é salvo por padrão. Para salvar o pacote com a senha de recuperação no AD DS, você deve selecionar a opção Fazer backup da senha de recuperação e do pacote da chave nas configurações de Política de Grupo que controlam o método de recuperação. Você também pode exportar o pacote de chaves de um volume de trabalho. Para saber mais detalhes sobre como exportar pacotes de chaves, consulte Recuperando o pacote de chaves do BitLocker.

Redefinição de senhas de recuperação

Você deve invalidar uma senha de recuperação depois que ela tiver sido fornecida e usada. Isso também deve ser feito quando você quiser invalidar intencionalmente uma senha de recuperação existente por qualquer motivo.

Você pode redefinir a senha de recuperação de duas maneiras:

• Usar manage-bde Você pode usar manage-bde para remover a senha de recuperação anterior e adicionar uma nova senha de recuperação. O procedimento identifica o comando e a sintaxe para esse método.

• Executar um script Você pode executar um script para redefinir a senha sem descriptografar o volume. O script de exemplo no procedimento ilustra essa funcionalidade. O script de exemplo cria uma nova senha de recuperação e invalida todas as outras senhas.

Para redefinir a senha de recuperação usando manage-bde

1. Remover a senha de recuperação anterior

   Manage-bde –protectors –delete C: –type RecoveryPassword
   

2. Adicionar a nova senha de recuperação

   Manage-bde –protectors –add C: -RecoveryPassword
   

3. Obtenha a ID da nova senha de recuperação. Copie a ID da senha de recuperação da tela.

   Manage-bde –protectors –get C: -Type RecoveryPassword
   

4. Fazer backup da nova senha de recuperação no AD DS

   Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
   

   Aviso  

   Você deve incluir as chaves na cadeia de caracteres da ID.

    

Para executar o script da senha de recuperação de exemplo

1. Salve o script de exemplo a seguir em um arquivo VBScript. Por exemplo: ResetPassword.vbs.

2. No prompt de comando, digite um comando semelhante ao seguinte:

   cscript ResetPassword.vbs

Importante  

Este script de exemplo é configurado para funcionar apenas para o volume C. Você deve personalizar o script de acordo com o volume onde você deseja testar a redefinição de senha.

 

Observação  

Para gerenciar um computador remoto, você pode especificar o nome do computador remoto, em vez do nome do computador local.

 

Você pode usar o script de exemplo a seguir para criar um arquivo VBScript e redefinir as senhas de recuperação.

' Target drive letter
strDriveLetter = "c:"

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------

nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Removes the other, "stale", recovery passwords 
' ----------------------------------------------------------------------------------

nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)

If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Delete those key protectors other than the one we just added. 

For Each sKeyProtectorID In aKeyProtectorIDs

If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If

Next

WScript.Echo "A new recovery password has been added. Old passwords have been removed."

' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Recuperação do pacote de chaves do BitLocker

Você pode usar dois métodos para recuperar o pacote de chaves, conforme descrito em Como usar informações de recuperação adicionais:

• Exporte um pacote de chaves salvo anteriormente do AD DS. Você deve ter acesso de leitura para senhas de recuperação do BitLocker armazenadas no AD DS.

• Exporte um novo pacote de chaves de um volume protegido pelo BitLocker desbloqueado. Você deve ter acesso de administrador local ao volume de trabalho, antes da ocorrência de quaisquer danos.

O script de exemplo a seguir exporta todos os pacotes de chaves salvos anteriormente do AD DS.

Para executar o script de recuperação do pacote de chaves de exemplo

1. Salve o script de exemplo a seguir em um arquivo VBScript. Por exemplo: GetBitLockerKeyPackageADDS.vbs.

2. No prompt de comando, digite um comando semelhante ao seguinte:

   cscript GetBitLockerKeyPackageADDS.vbs -?

Você pode usar o script de exemplo a seguir para criar um arquivo VBScript e recuperar o pacote de chaves do BitLocker do AD DS.

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageAD [Path To Saved Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackageAD E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else 
      strFilePath = args(0)
      ' Get the name of the local computer      
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName      
    End If    
      
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage

End Select



' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------

Function GetStrPathToComputer(strComputerName) 

    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone

    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com    

    strBase = "<GC://" & namingContext & ">"
 
    Set objConnection = CreateObject("ADODB.Connection") 
    Set objCommand = CreateObject("ADODB.Command") 
    objConnection.Provider = "ADsDSOOBject" 
    objConnection.Open "Active Directory Provider" 
    Set objCommand.ActiveConnection = objConnection 

    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree" 

    objCommand.CommandText = strQuery 
    objCommand.Properties("Page Size") = 100 
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False 

    ' Enumerate all objects found. 

    Set objRecordSet = objCommand.Execute 
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If

    ' Found object matching name

    Do Until objRecordSet.EOF 
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext 
    Loop 


    ' Clean up. 
    Set objConnection = Nothing 
    Set objCommand = Nothing 
    Set objRecordSet = Nothing 

End Function


' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------


Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)

WScript.Echo "Accessing object: " + strPathToComputer

Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80


' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------

' Get all the recovery information child objects of the computer object

Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)

objFveInfos.Filter = Array("msFVE-RecoveryInformation")

' Iterate through each recovery information object and saves any existing key packages

nCount = 1
strFilePathCurrent = strFilePath & nCount

For Each objFveInfo in objFveInfos

   strName = objFveInfo.Get("name")

   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")

   WScript.echo 
   WScript.echo "Recovery Object Name: " + strName 
   WScript.echo "Recovery Password: " + strRecoveryPassword

   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")

   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If

   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage
   
   WScript.echo "Related key package successfully saved to " + strFilePathCurrent


   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount

Next


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

WScript.Quit

The following sample script exports a new key package from an unlocked, encrypted volume.

To run this script, start by saving the code into a VBS file (for example, GetBitLockerKeyPackage.vbs). Then, open an administrator command prompt and use “cscript” to run the saved file (for example, type "cscript GetBitLockerKeyPackage.vbs  -?").



' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Saved Key Package]"
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage

End Select

' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 

' Default key protector ID to use. Specify "" to let the script choose.

strDefaultKeyProtectorID = ""

' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------

nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

nExternalKeyProtectorType = 2 ' type associated with "External Key" protector

nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If


' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------

if strDefaultKeyProtectorID = "" Then

' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If

' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If 

' Fail case: no recovery key protectors exist. 
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If

End If

' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------

' is the type valid?

nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)

If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' what's a string that can be used to describe it?

strDefaultKeyProtectorType = ""

Select Case nDefaultKeyProtectorType 

  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"

  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"

  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."

End Select


' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------

nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If

Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next

' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage

' Display helpful information
' ----------------------------------------------------------------------------------

WScript.Echo "The backup key package has been saved to " & strFilePath & "."

WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."

' Display the recovery password or a note about saving the recovery key file

If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then

nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword

ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Consulte também

• Visão geral do BitLocker