Site de administração e monitorização bitLocker
Aplica-se a: Gestor de Configuração (ramo atual)
O website de administração e monitorização BitLocker é uma interface administrativa para a Encriptação BitLocker Drive. Também é referido como o portal do balcão de ajuda. Utilize este website para rever relatórios, recuperar as unidades dos utilizadores e gerir os TPMs do dispositivo.
Antes de poder usá-lo, instale este componente num servidor web. Para obter mais informações, consulte configurar relatórios e portais bitLocker.
Aceda ao site de administração e monitorização através do seguinte URL: https://webserver.contoso.com/HelpDesk
Nota
Pode ver o Relatório de Auditoria de Recuperação no site de administração e monitorização. Adicione outros relatórios de gestão BitLocker ao ponto de serviços de reporte. Para mais informações, consulte os relatórios do BitLocker.
Grupos
Para aceder a áreas específicas do site de administração e monitorização, a sua conta de utilizador tem de estar num dos seguintes grupos. Crie estes grupos no Ative Directory utilizando o nome que quiser. Quando instalar este site, especifique estes nomes de grupo. Para obter mais informações, consulte configurar relatórios e portais bitLocker.
| Grupo | Descrição |
|---|---|
| Administradores de mesa de ajuda BitLocker | Proporciona acesso a todas as áreas do site de administração e monitorização. Quando ajuda um utilizador a recuperar as suas unidades, introduz apenas a chave de recuperação e não o domínio e o nome de utilizador. Se um utilizador for membro deste grupo e do grupo de utilizadores de ajuda BitLocker, as permissões do grupo de administração substituem as permissões do grupo de utilizadores. |
| BitLocker ajuda utilizadores de secretária | Fornece acesso às áreas de Gestão de TPM e Recuperação de Unidades do site de administração e monitorização. Quando utilizar qualquer uma das áreas, tem de preencher todos os campos, incluindo o domínio e o nome da conta do utilizador. Se um utilizador for membro deste grupo e do grupo de administração de ajuda BitLocker, as permissões do grupo de administração substituem as permissões do grupo de utilizadores. |
| BitLocker reporta utilizadores | Fornece acesso à área de Relatórios do site de administração e monitorização. |
Gerir TPM
Se um utilizador introduzir o PIN incorreto demasiadas vezes, pode bloquear o TPM. O número de vezes que um utilizador pode introduzir um PIN incorreto antes que as fechaduras TPM variem de fabricante para fabricante. A partir da área de Gestão de TPM do site de administração e monitorização, aceda ao sistema centralizado de dados de recuperação de chaves.
Para obter mais informações sobre a propriedade da TPM, consulte o CONFD MBAM para caurir as palavras-passe do TPM e da loja OwnerAuth.
Nota
Começando com Windows 10, versão 1607, Windows não mantém a senha do proprietário do TPM ao providenciar o TPM.
Vá ao site de administração e monitorização no navegador web, por
https://webserver.contoso.com/HelpDeskexemplo.No painel esquerdo, selecione a área De gestão de TPM.
Introduza o nome de domínio totalmente qualificado para o computador e o nome do computador.
Se necessário, insira o domínio e o nome de utilizador do utilizador para recuperar o ficheiro de senha do proprietário da TPM.
Escolha uma das seguintes opções para a razão para solicitar o ficheiro de senha do proprietário da TPM:
- Bloqueio PIN de reset
- Ligue o TPM
- Desligue o TPM
- Alterar palavra-passe TPM
- TPM claro
- Outro
Depois de submeter o formulário, o site devolve uma das seguintes respostas:
Se não encontrar um ficheiro de senha do proprietário da TPM correspondente, retorna uma mensagem de erro.
O ficheiro de senha do proprietário do TPM para o computador submetido
Depois de recuperar o ficheiro de senha do proprietário da TPM, o site apresenta a palavra-passe do proprietário.
Para guardar a palavra-passe num ficheiro, selecione Guardar.
Na área 'Gerir TPM', selecione a opção de bloqueio reset TPM e forneça o ficheiro de senha do proprietário TPM.
O bloqueio TPM é reiniciado. O BitLocker restaura o acesso do utilizador ao dispositivo.
Importante
Não partilhe o valor hash de TPM ou o ficheiro de palavra-passe do proprietário de TPM.
Recuperação de unidade
Recuperar uma unidade no modo de recuperação
As unidades entram em modo de recuperação nos seguintes cenários:
- O utilizador perde ou esquece o PIN ou a palavra-passe
- A Plataforma de Módulos Fidedignos (TPM) deteta alterações nos ficheiros BIOS ou startups do computador
Para obter uma senha de recuperação, utilize a área de recuperação drive da administração e do site de monitorização.
Importante
As palavras-passe de recuperação expiram após uma única utilização. Nas unidades de SISTEMA e unidades de dados fixas, a regra de utilização única aplica-se automaticamente. Nas unidades amovíveis, aplica-se quando retira e reinserir a unidade.
Vá ao site de administração e monitorização no navegador web, por
https://webserver.contoso.com/HelpDeskexemplo.No painel esquerdo, selecione a área de recuperação da unidade.
Se necessário, insira o domínio e o nome de utilizador do utilizador para visualizar as informações de recuperação.
Para ver uma lista de possíveis chaves de recuperação correspondentes, insira os primeiros oito dígitos do ID da chave de recuperação. Para obter a chave de recuperação exata, insira toda a chave de recuperação ID.
Escolha uma das seguintes opções como razão para o desbloqueio de unidade:
- A ordem de arranque do sistema operativo foi alterada
- BIOS alterado
- Ficheiros do sistema operativo modificados
- Chave de arranque perdida
- PIN perdido
- Reset TPM
- Frase perdida
- Cartão inteligente perdido
- Outro
Depois de submeter o formulário, o site devolve uma das seguintes respostas:
Se o utilizador tiver várias palavras-passe de recuperação correspondentes, retorna várias correspondências possíveis.
O pacote de senha de recuperação e recuperação para o utilizador submetido.
Nota
Se estiver a recuperar uma unidade danificada, a opção de pacote de recuperação fornece ao BitLocker informações críticas de que necessita para recuperar a unidade.
Se não encontrar uma senha de recuperação correspondente, retorna uma mensagem de erro.
Depois de recuperar a palavra-passe de recuperação e o pacote de recuperação, o site apresenta a senha de recuperação.
Para copiar a palavra-passe, selecione Copy Key. Para guardar a palavra-passe de recuperação num ficheiro, selecione Guardar.
Para desbloquear a unidade, introduza a palavra-passe de recuperação ou utilize o pacote de recuperação.
Recuperar uma unidade movida
Quando se move uma unidade para um computador novo, porque o TPM é diferente, o BitLocker não aceita o PIN anterior. Para recuperar a unidade em marcha, obtenha a chave de recuperação para recuperar a senha de recuperação.
Para recuperar uma unidade movida, utilize a área de recuperação drive da administração e do site de monitorização.
No computador com a unidade movida, inicie o computador no modo Windows Recovery Environment (WinRE).
No WinRE, o BitLocker trata a unidade de SO movida como uma unidade de dados fixa. O BitLocker exibe o ID da palavra-passe de recuperação da unidade e solicita a palavra-passe de recuperação.
Nota
Em algumas situações, durante o processo de arranque, esqueci-me do PIN se a opção estiver disponível. Em seguida, introduza o modo de recuperação para visualizar o ID da chave de recuperação.
Utilize o ID da chave de recuperação para obter a senha de recuperação do site de administração e monitorização. Para obter mais informações, consulte Recuperar uma unidade no modo de recuperação.
Se configurar a unidade movida para utilizar um chip TPM no computador original, complete os seguintes passos. Caso contrário, o processo de recuperação está concluído.
Depois de desbloquear a unidade, inicie o computador no modo WinRE. Abra um pedido de comando em WinRE e use o
manage-bdecomando para desencriptar a unidade. Esta ferramenta é a única forma de remover o protetor TPM + PIN sem o chip TPM original. Para obter mais informações sobre este comando, consulte Manage-bde.Quando estiver completo, ligue o computador normalmente. O Gestor de Configuração irá impor a política bitLocker para encriptar a unidade com o TPM plus PIN do novo computador.
Recuperar uma unidade corrompida
Use o ID da chave de recuperação para obter um pacote chave de recuperação do site de administração e monitorização. Para obter mais informações, consulte Recuperar uma unidade no modo de recuperação.
Guarde o pacote da chave de recuperação no computador e, em seguida, copie-o para o computador com a unidade corrompida.
Abra um pedido de comando como administrador e digite o seguinte comando:
repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>Substitua os seguintes valores:
<corrupted drive>: A letra de unidade da unidade corrompida, por exemploD:<fixed drive>: A letra de acionamento de um disco rígido disponível de tamanho semelhante ou maior do que a unidade corrompida. O BitLocker recupera e move os dados da unidade corrompida para a unidade especificada. Todos os dados desta unidade estão substituídos.<key package>: A localização do pacote chave de recuperação<recovery password>: A senha de recuperação associada
Por exemplo:
repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888
Para obter mais informações sobre este comando, consulte Repair-bde.
Relatórios
O site de administração e monitorização inclui o Relatório de Auditoria de Recuperação. Outros relatórios estão disponíveis no ponto de serviços de reporte do Gestor de Configuração. Para mais informações, consulte os relatórios do BitLocker.
Vá ao site de administração e monitorização no navegador web, por
https://webserver.contoso.com/HelpDeskexemplo.No painel esquerdo, selecione a área 'Relatórios'.
A partir da barra de menu superior, selecione o Relatório de Auditoria de Recuperação.
Para obter mais informações sobre este relatório, consulte o Relatório de Auditoria de Recuperação
Dica
Para guardar os resultados do relatório, selecione Export on the Reports menu bar.