BitLocker

Aplica-se a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 e mais recente

Este tópico apresenta uma visão geral do BitLocker, inclusive uma lista de requisitos do sistema, aplicativos práticos e recursos substituídos.

Visão geral do BitLocker

A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra ao sistema operacional e enfrenta as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou incorretamente descomissionados.

O BitLocker oferece o máximo em proteção quando usado com um Trusted Platform Module (TPM) versão 1.2 ou posterior. TPM é um componente de hardware instalado em muitos computadores mais novos pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e assegurar que um computador não tenha sido violado enquanto o sistema estava offline.

Em computadores que não tenham um TPM versão 1.2 ou posterior, você ainda pode usar o BitLocker para criptografar a unidade do sistema operacional Windows. No entanto, essa implementação exigirá que o usuário insira uma chave de inicialização USB para iniciar o computador tirá-lo da hibernação. Desde o Windows 8, é possível usar uma senha de volume do sistema operacional para proteger o volume do sistema operacional em um computador sem TPM. Ambas as opções não fornecem a verificação de integridade do sistema de pré-inicialização oferecida pelo BitLocker com um TPM.

Além do TPM, o BitLocker oferece a opção de bloquear o processo de inicialização normal até que o usuário forneça um número de identificação pessoal (PIN) ou insira um dispositivo USB removível, como uma unidade flash USB, que contenha uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não iniciará ou retornará da hibernação até que o PIN correto ou a chave de inicialização adequada seja apresentada.

Aplicações práticas

Dados em um computador perdido ou roubado são vulneráveis a acesso não autorizado, executando-se uma ferramenta de ataque a software ou transferindo-se o disco rígido do computador para um computador diferente. O BitLocker ajuda a atenuar o acesso a dados não autorizado aprimorando as proteções de arquivo e sistema. O BitLocker também ajuda a renderizar dados inacessíveis quando computadores protegidos pelo BitLocker são desativados ou reciclados.

Existem duas ferramentas adicionais nas Ferramentas de Administração de Servidor Remoto, que é possível usar para gerenciar o BitLocker.

  • Visualizador de Senha de Recuperação do BitLocker. O Visualizador de Senha de Recuperação do BitLocker permite localizar e exibir senhas de recuperação de Criptografia de Unidade de Disco BitLocker cujo backup foi feito nos Serviços de Domínio do Active Directory (AD DS). É possível usar essa ferramenta para ajudar a recuperar dados armazenados em uma unidade que foi criptografada usando-se o BitLocker. A ferramenta Visualizador de Senha de Recuperação do BitLocker é uma extensão do snap-in Console de Gerenciamento Microsoft (MMC) Usuários e Computadores do Active Directory. Usando essa ferramenta, você pode examinar a caixa de diálogo Propriedades do objeto de um computador para exibir as senhas de recuperação do BitLocker correspondentes. Além disso, é possível clicar com o botão direito do mouse em um contêiner de domínio e procurar uma senha de recuperação do BitLocker em todos os domínios na floresta do Active Directory. Para exibir as senhas de recuperação, você deve ser um administrador de domínio ou ter recebido permissões de um administrador de domínio.

  • Ferramentas de Criptografia de Unidade de Disco BitLocker. As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde, além dos cmdlets do BitLocker do Windows PowerShell. manage-bde e os cmdlets do BitLocker podem ser usados para realizar qualquer tarefa que possa ser feita por meio do painel de controle do BitLocker e são apropriados ao uso para implantações automatizadas e outros cenários de scripts. Repair-bde é fornecido para cenários de recuperação de desastre nos quais uma unidade protegida pelo BitLocker não pode ser desbloqueada normalmente ou usando-se o console de recuperação.

Funcionalidade nova e alterada

Para conhecer as novidades do BitLocker para Windows, como o suporte para o algoritmo de criptografia XTS-AES, consulte a seção BitLocker em "Novidades no Windows 10".

Requisitos de sistema

O BitLocker possui os seguintes requisitos de sistema:

Para o BitLocker usar a verificação de integridade do sistema fornecida por um Trusted Platform Module (TPM), o computador deve ter o TPM 1.2 ou posterior. Caso o computador não tenha um TPM, habilitar o BitLocker exige que você salve uma chave de inicialização em um dispositivo removível, como uma unidade flash USB.

Um computador com um TPM também deve ter um BIOS ou um firmware da UEFI compatível com Trusted Computing Group (TCG). O BIOS ou o firmware da UEFI estabelece uma cadeia de confiança para a inicialização do sistema pré-operacional, e ele deva incluir suporte para a raiz de confiança básica para avaliação especificada pelo TCG. Um computador sem um TPM não requer firmware compatível com TCG.

O BIOS ou o firmware da UEFI do sistema (para computadores TPM e não TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB, inclusive leitura de pequenos arquivos em uma unidade flash USB no ambiente do sistema pré-operacional.

Importante

No Windows 7, você pode criptografar uma unidade do sistema operacional sem um TPM e uma unidade flash USB. Para este procedimento, consulte Dica do Dia: Bitlocker sem TPM ou USB.

Observação

Não há suporte para o TPM 2.0 nos modos Herdado e CSM do BIOS. Os dispositivos com TPM 2.0 devem ter seu modo BIOS configurado apenas como UEFI nativo. As opções do Módulo de Suporte herdado e de compatibilidade (CSM) devem ser desabilitadas. Para maior segurança, habilite o recurso Inicialização Segura.

O sistema operacional instalado no hardware no modo herdado impedirá que o sistema operacional seja inicializado quando o modo BIOS for alterado para a UEFI. Use a ferramenta MBR2GPT antes de alterar o modo BIOS que preparará o sistema operacional e o disco para dar suporte à UEFI.

O disco rígido deve ser particionado com pelo menos duas unidades:

  • A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e os arquivos de suporte. Ela deve ser formatada com o sistema de arquivos NTFS.
  • A unidade do sistema contém os arquivos que são necessários para carregar o Windows após a preparação do hardware do sistema pelo firmware. O BitLocker não está habilitado nessa unidade. Para o BitLocker funcionar, a unidade do sistema não deve estar criptografada, deve ser diferente da unidade do sistema operacional e ser formatada com o sistema de arquivos FAT32 em computadores que usem o firmware baseado em UEFI ou com o sistema de arquivos NTFS em computadores que usem o firmware do BIOS. Recomendamos que a unidade do sistema tenha aproximadamente 350 MB. Depois que é ativado, o BitLocker deve ter aproximadamente 250 MB de espaço livre.

Uma partição sujeita à criptografia não pode ser marcada como uma partição ativa (isso se aplica ao sistema operacional, dados fixos e unidades de dados removíveis).

Quando instalado em um novo computador, o Windows criará automaticamente as partições que são necessárias para o BitLocker.

Ao instalar o componente opcional do BitLocker em um servidor, você também precisará instalar o recurso Armazenamento Avançado, usado para dar suporte a unidades criptografadas de hardware.

Nesta seção

Tópico Descrição
Visão geral da Criptografia do Dispositivo BitLocker no Windows Este tópico fornece ao profissional de TI uma visão geral das maneiras como a Criptografia de Dispositivo BitLocker pode ajudar a proteger dados nos dispositivos que executam o Windows.
Perguntas frequentes sobre o BitLocker Este tópico para o profissional de TI responde a perguntas frequentes sobre os requisitos de uso, atualização, implantação e administração, além de políticas de gerenciamento de chaves para o BitLocker.
Preparar a organização para o BitLocker: planejamento e políticas Este tópico para o profissional de TI explica como você deve planejar a implantação do BitLocker.
Implantação básica do BitLocker Este tópico para o profissional de TI explica como os recursos do BitLocker podem ser usados para proteger os dados por meio da criptografia de unidade.
BitLocker: Como implantar no Windows Server Este tópico para o profissional de TI explica como implantar o BitLocker e o Windows Server.
BitLocker: Como habilitar o desbloqueio pela rede Este tópico para o profissional de TI descreve como funciona o Desbloqueio pela rede do BitLocker e como configurá-lo.
BitLocker: Usar as Ferramentas de Criptografia de Unidade de Disco BitLocker para gerenciar o BitLocker Este tópico para o profissional de TI descreve como usar ferramentas para gerenciar o BitLocker.
BitLocker: Usar o Visualizador de Senha de Recuperação do BitLocker Este tópico para o profissional de TI descreve como usar o Visualizador de Senha de Recuperação do BitLocker.
Configurações de Política de Grupo do BitLocker Este tópico para profissionais de TI descreve a função, o local e o efeito de cada configuração de Política de Grupo usada para gerenciar o BitLocker.
Configurações do BCD e o BitLocker Este tópico para profissionais de TI descreve as configurações do BCD que são usadas pelo BitLocker.
Guia de recuperação do BitLocker Este tópico para profissionais de TI descreve como recuperar chaves do BitLocker do AD DS.
Proteger o BitLocker contra ataques de pré-inicialização Este guia detalhado o ajudará a entender as circunstâncias em que o uso de autenticação de pré-inicialização é recomendado para os dispositivos que executam os sistemas Windows 11, Windows 10, Windows 8.1, Windows 8 ou Windows 7; e quando ela pode ser omitida com segurança da configuração do dispositivo.
Solucionar problemas do BitLocker Este guia descreve os recursos que podem ajudá-lo a solucionar problemas do BitLocker e fornece soluções para vários problemas comuns do BitLocker.
Protegendo volumes compartilhados do cluster e redes de área de armazenamento com o BitLocker Este tópico para profissionais de TI descreve como proteger CSVs e SANs com o BitLocker.
Habilitando a inicialização segura e a Criptografia de Dispositivo do BitLocker no Windows 10 IoT Core Este tópico aborda como usar o BitLocker com o Windows IoT Core