BitLocker: Usar as Ferramentas de Criptografia de Unidade de Disco BitLocker para gerenciar o BitLocker
Aplicável ao
- Windows 10
- Windows 11
- Windows Server 2016 e mais recente
Este artigo para o profissional de TI descreve como usar ferramentas para gerenciar o BitLocker.
As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde e os cmdlets do BitLocker para Windows PowerShell.
Os cmdlets manage-bde e BitLocker podem ser usados para executar qualquer tarefa que possa ser realizada por meio do painel de controle do BitLocker e são apropriados para uso para implantações automatizadas e outros cenários de script.
Repair-bde é uma ferramenta de circunstância especial fornecida para cenários de recuperação de desastre em que uma unidade protegida pelo BitLocker não pode ser desbloqueada normalmente ou usar o console de recuperação.
Manage-bde
Manage-bde é uma ferramenta de linha de comando que pode ser usada para executar scripts de operações do BitLocker. Manage-bde oferece opções adicionais não exibidas no painel de controle do BitLocker. Para obter uma lista completa das opções manage-bde, consulte a referência de linha de comando Manage-bde .
Manage-bde inclui menos configurações padrão e requer maior personalização para configurar o BitLocker. Por exemplo, usar apenas o comando manage-bde -on em um volume de dados criptografa totalmente o volume sem protetores de autenticação. Um volume criptografado dessa maneira ainda requer interação do usuário para ativar a proteção do BitLocker, mesmo que o comando tenha sido concluído com êxito porque um método de autenticação precisa ser adicionado ao volume para que ele seja totalmente protegido. As seções a seguir fornecem exemplos de cenários de uso comuns para manage-bde.
Usando manage-bde com volumes do sistema operacional
Abaixo estão listados exemplos de comandos válidos básicos para volumes do sistema operacional. Em geral, usar apenas o comando manage-bde -on <drive letter> criptografa o volume do sistema operacional com um protetor somente TPM e nenhuma chave de recuperação. No entanto, muitos ambientes exigem protetores mais seguros, como senhas ou PIN, e esperam recuperar informações com uma chave de recuperação. Recomendamos que você adicione pelo menos um protetor primário e um protetor de recuperação a um volume do sistema operacional.
Uma boa prática ao usar manage-bde é determinar o status do volume no sistema de destino. Use o seguinte comando para determinar o status do volume:
manage-bde -status
Esse comando retorna os volumes no destino, o status de criptografia atual, o método de criptografia e o tipo de volume (sistema operacional ou dados) para cada volume:
O exemplo a seguir ilustra como habilitar o BitLocker em um computador sem um chip TPM. Antes de iniciar o processo de criptografia, você deve criar a chave de inicialização necessária para o BitLocker e salvá-la na unidade USB. Quando o BitLocker estiver habilitado para o volume do sistema operacional, o BitLocker precisará acessar a unidade flash USB para obter a chave de criptografia (neste exemplo, a letra da unidade E representa a unidade USB). Você será solicitado a reinicializar para concluir o processo de criptografia.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Observação
Depois que a criptografia for concluída, a chave de inicialização USB deverá ser inserida antes que o sistema operacional possa ser iniciado.
Uma alternativa ao protetor de chave de inicialização em hardware não TPM é usar uma senha e um protetor ADaccountorgroup para proteger o volume do sistema operacional. Nesse cenário, você adicionaria os protetores primeiro. Para adicioná-los, use este comando:
manage-bde -protectors -add C: -pw -sid <user or group>
Esse comando exigirá que você insira e confirme o protetor de senha antes de adicioná-lo ao volume. Com os protetores habilitados no volume, você pode ativar o BitLocker.
Em computadores com um TPM, é possível criptografar o volume do sistema operacional sem protetores definidos usando manage-bde. Use este comando:
manage-bde -on C:
Esse comando criptografa a unidade usando o TPM como o protetor padrão. Se você não tiver certeza se um protetor de TPM está disponível, para listar os protetores disponíveis para um volume, execute o seguinte comando:
manage-bde -protectors -get <volume>
Usando manage-bde com volumes de dados
Os volumes de dados usam a mesma sintaxe para criptografia que os volumes do sistema operacional, mas não exigem protetores para que a operação seja concluída. A criptografia de volumes de dados pode ser feita usando o comando base: manage-bde -on <drive letter> ou você pode optar por adicionar protetores adicionais ao volume primeiro. Recomendamos que você adicione pelo menos um protetor primário e um protetor de recuperação a um volume de dados.
Um protetor comum para um volume de dados é o protetor de senha. No exemplo a seguir, adicionamos um protetor de senha ao volume e ativamos o BitLocker.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Repair-bde
Você pode ter um problema que danificará uma área de um disco rígido no qual o BitLocker armazena informações críticas. Esse tipo de problema pode ser causado por uma falha no disco rígido ou se o Windows for encerrado inesperadamente.
A Ferramenta de Reparo do BitLocker (Repair-bde) pode ser usada para acessar dados criptografados em um disco rígido gravemente danificado se a unidade foi criptografada usando o BitLocker. Repair-bde pode reconstruir partes críticas da unidade e recuperar dados recuperáveis, desde que uma senha de recuperação ou chave de recuperação válida seja usada para descriptografar os dados. Se os dados de metadados do BitLocker na unidade forem corrompidos, você deverá ser capaz de fornecer um pacote de chave de backup, além da senha de recuperação ou da chave de recuperação. Esse pacote de chaves será submetido a backup Active Directory Domain Services (AD DS) se você tiver usado a configuração padrão para o backup do AD DS. Com esse pacote de chaves e a senha de recuperação ou a chave de recuperação, você pode descriptografar partes de uma unidade protegida pelo BitLocker se o disco estiver corrompido. Cada pacote de chaves funcionará apenas para uma unidade que tenha o identificador de unidade correspondente. Você pode usar o Visualizador de Senha de Recuperação do BitLocker para obter esse pacote de chaves do AD DS.
Dica
Se você não estiver fazendo backup de informações de recuperação no AD DS ou se quiser salvar pacotes de chaves como alternativa, manage-bde -KeyPackage poderá usar o comando para gerar um pacote de chaves para um volume.
A ferramenta de linha de comando Repair-bde destina-se a ser usada quando o sistema operacional não é iniciado ou quando você não pode iniciar o Console de Recuperação do BitLocker. Use Repair-bde se as seguintes condições forem verdadeiras:
- Você criptografou a unidade usando a Criptografia de Unidade de Disco BitLocker.
- O Windows não é iniciado ou você não pode iniciar o console de recuperação do BitLocker.
- Você não tem uma cópia dos dados contidos na unidade criptografada.
Observação
Os danos à unidade podem não estar relacionados ao BitLocker. Portanto, recomendamos que você tente outras ferramentas para ajudar a diagnosticar e resolver o problema com a unidade antes de usar a Ferramenta de Reparo do BitLocker. O Ambiente de Recuperação do Windows (Windows RE) fornece opções adicionais para reparar computadores.
As seguintes limitações existem para Repair-bde:
- A ferramenta de linha de comando Repair-bde não pode reparar uma unidade que falhou durante o processo de criptografia ou descriptografia.
- A ferramenta de linha de comando Repair-bde pressupõe que, se a unidade tiver qualquer criptografia, a unidade foi totalmente criptografada.
Para obter mais informações sobre como usar repair-bde, consulte Repair-bde.
Cmdlets do BitLocker para Windows PowerShell
Windows PowerShell cmdlets fornecem uma nova maneira para os administradores usarem ao trabalhar com o BitLocker. Usando Windows PowerShell recursos de script do Windows PowerShell, os administradores podem integrar opções do BitLocker em scripts existentes com facilidade. A lista abaixo exibe os cmdlets do BitLocker disponíveis.
| Nome | Parâmetros |
|---|---|
| Add-BitLockerKeyProtector | |
| Backup-BitLockerKeyProtector | |
| Disable-BitLocker | |
| Disable-BitLockerAutoUnlock | |
| Enable-BitLocker | |
| Enable-BitLockerAutoUnlock | |
| Get-BitLockerVolume | |
| Lock-BitLocker | |
| Remove-BitLockerKeyProtector | |
| Resume-BitLocker | |
| Suspend-BitLocker | |
| Unlock-BitLocker |
Semelhante ao manage-bde, os cmdlets Windows PowerShell permitem a configuração além das opções oferecidas no painel de controle. Assim como no manage-bde, os usuários precisam considerar as necessidades específicas do volume que estão criptografando antes de executar Windows PowerShell cmdlets.
Uma boa etapa inicial é determinar o estado atual dos volumes no computador. Você pode fazer isso usando o Get-BitLockerVolume cmdlet.
A Get-BitLockerVolume saída do cmdlet fornece informações sobre o tipo de volume, protetores, status de proteção e outros detalhes.
Dica
Ocasionalmente, todos os protetores podem não ser mostrados ao usar Get-BitLockerVolume devido à falta de espaço na exibição de saída. Se você não vir todos os protetores de um volume, poderá usar o comando Windows PowerShell pipe (|) para formatar uma listagem completa dos protetores.
Get-BitLockerVolume C: | fl
Se você quiser remover os protetores existentes antes de provisionar o BitLocker no volume, poderá usar o Remove-BitLockerKeyProtector cmdlet. Fazer isso requer que o GUID associado ao protetor seja removido.
Um script simples pode redirecionar os valores de cada Get-BitLockerVolume retornar para outra variável, conforme mostrado abaixo:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
Usando esse script, você pode exibir as informações na variável $keyprotectors para determinar o GUID de cada protetor.
Usando essas informações, você pode remover o protetor de chave para um volume específico usando o comando:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Observação
O cmdlet BitLocker requer que o GUID do protetor de chave entre aspas seja executado. Verifique se o GUID inteiro, com chaves, está incluído no comando.
Usando os cmdlets Windows PowerShell BitLocker com volumes do sistema operacional
Usar o bitLocker Windows PowerShell cmdlets é semelhante a trabalhar com a ferramenta manage-bde para criptografar volumes do sistema operacional. Windows PowerShell oferece aos usuários muita flexibilidade. Por exemplo, os usuários podem adicionar o protetor desejado como comando de parte para criptografar o volume. Abaixo estão exemplos de cenários de usuário comuns e etapas para realizá-los no BitLocker Windows PowerShell.
O exemplo a seguir mostra como habilitar o BitLocker em uma unidade do sistema operacional usando apenas o protetor de TPM:
Enable-BitLocker C:
No exemplo a seguir, adiciona um protetor adicional, o protetor StartupKey e opta por ignorar o teste de hardware do BitLocker. Neste exemplo, a criptografia começa imediatamente sem a necessidade de uma reinicialização.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Usando os cmdlets Windows PowerShell BitLocker com volumes de dados
A criptografia de volume de Windows PowerShell é a mesma que para volumes do sistema operacional. Adicione os protetores desejados antes de criptografar o volume. O exemplo a seguir adiciona um protetor de senha ao volume E: usando a variável $pw como senha. A $pw variável é mantida como um valor SecureString para armazenar a senha definida pelo usuário.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Usando uma conta do AD ou um protetor de grupo no Windows PowerShell
O protetor ADAccountOrGroup, introduzido no Windows 8 e Windows Server 2012, é um protetor baseado em SID do Active Directory. Esse protetor pode ser adicionado ao sistema operacional e aos volumes de dados, embora não desbloqueie volumes do sistema operacional no ambiente de pré-inicialização. O protetor requer que o SID para a conta de domínio ou grupo vincule com o protetor. O BitLocker pode proteger um disco com reconhecimento de cluster adicionando um protetor baseado em SID para o CNO (Objeto de Nome de Cluster) que permite que o disco faça failover corretamente e seja desbloqueado por qualquer computador membro do cluster.
Aviso
O protetor ADAccountOrGroup requer o uso de um protetor adicional para uso (como TPM, PIN ou chave de recuperação) quando usado em volumes do sistema operacional
Para adicionar um protetor ADAccountOrGroup a um volume, use o SID de domínio real ou o nome de grupo precedido pelo domínio e uma barra invertida. No exemplo a seguir, a conta CONTOSO\Administrator é adicionada como um protetor ao volume de dados G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Para usuários que desejam usar o SID para a conta ou grupo, a primeira etapa é determinar o SID associado à conta. Para obter o SID específico de uma conta de usuário no Windows PowerShell, use o seguinte comando:
Observação
O uso desse comando requer o recurso RSAT-AD-PowerShell.
get-aduser -filter {samaccountname -eq "administrator"}
Dica
Além do comando do PowerShell acima, informações sobre a associação de usuário e grupo conectada localmente podem ser encontradas usando: WHOAMI /ALL. Isso não requer o uso de recursos adicionais.
O exemplo a seguir adiciona um protetor ADAccountOrGroup ao volume do sistema operacional criptografado anteriormente usando o SID da conta:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500
Observação
Protetores baseados no Active Directory normalmente são usados para desbloquear volumes habilitados para Cluster de Failover.
Mais informações
Comentários
Submeter e ver comentários