Saiba mais sobre Criptografia de Unidade de Disco BitLocker

A Criptografia da Unidade de Disco BitLocker fornece proteção para unidades de sistemas operacionais, unidades de dados fixas, e unidades de dados removíveis que foram perdidas ou roubadas. O BitLocker faz isso criptografando o conteúdo das unidades e pedindo que os usuários autentiquem suas credenciais para acessar as informações. Na unidade em que o Windows está instalado, o BitLocker usa o TPM (Trusted Platform Module) para detectar se o processo de inicialização crítica do computador foi violado. Além disso, um PIN ou uma chave de inicialização podem ser necessários para que os usuários tenham acesso aos dados da unidade. Nas unidades de dados fixas e removíveis, os usuários podem acessar uma unidade protegida pelo BitLocker usando uma senha, um cartão inteligente ou desbloqueando a unidade automaticamente.

O BitLocker para unidades do sistema operacional é desenvolvido para funcionar com sistemas com hardware de segurança do TPM e BIOS compatíveis. Para obter compatibilidade com o BitLocker, os fabricantes de computador devem seguir padrões definidos pelo TCG (Trusted Computing Group). Para obter mais informações sobre o TCG, visite o site do Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (pode estar em inglês)).

Habilitando o BitLocker

O assistente para configuração do BitLocker, que pode ser inicializado no Painel de Controle ou no Windows Explorer, é usado para habilitar o BitLocker em uma unidade de dados fixa ou removível instalada no computador ou na unidade do sistema operacional dos computadores com um TPM compatível. Se quiser habilitar o BitLocker em uma unidade do sistema operacional de um computador sem um TPM ou se quiser usar outros recursos e opções do BitLocker, você pode alterar as configurações da Diretiva de Grupo do BitLocker que controlam quais recursos estarão acessíveis pelo assistente para configuração do BitLocker.

Nos computadores com um TPM compatível, as unidades do sistema operacional que estão protegidas pelo BitLocker podem ser desbloqueadas de quatro maneiras:

  • Somente TPM. A validação somente TPM não requer qualquer interação com o usuário para descriptografar e fornecer acesso à unidade. Se a validação do TPM for bem-sucedida, a experiência de logon do usuário é a mesma que a de um logon padrão. Se o TPM não estiver presente, se ele for alterado ou se o TPM detectar alterações em arquivos de inicialização crítica do sistema operacional, o BitLocker entrará no modo de recuperação e você precisará de uma senha de recuperação para obter novamente acesso aos dados.

  • TPM com chave de inicialização. Além da proteção oferecida pelo TPM, uma parte da chave de criptografia é armazenada em uma unidade flash USB. Ela é chamada de chave de inicialização. Os dados armazenados no volume criptografado não podem ser acessados sem a chave de inicialização.

  • TPM com PIN. Além da proteção oferecida pelo TPM, o BitLocker requer que um número de identificação pessoal (PIN) seja digitado pelo usuário. Os dados armazenados no volume criptografado não podem ser acessados sem que o usuário digite o PIN.

  • TPM com chave de inicialização e PIN. Essa opção só pode ser configurada usando a ferramenta de linha de comando Manage-bde. Além da proteção dos componentes principais oferecida pelo TPM, uma parte da chave de criptografia é armazenada em uma unidade flash USB e é necessário um PIN para autenticar o usuário no TPM. Isso fornece autenticação multifator de forma que, se a chave USB for perdida ou roubada, ela não poderá ser usada para acessar a unidade porque o PIN correto também é necessário.

    Observação

    • Recomendamos sempre usar o driver padrão do TPM do Windows com o BitLocker. Se um driver não-Microsoft estiver instalado, ele pode evitar que o driver padrão do TPM seja carregado e fazer com que o BitLocker informe que um TPM não está presente no computador. Neste caso, o BitLocker não poderá usar o TPM. Se as configurações de Diretiva de Grupo forem configuradas para exigir que o BitLocker seja usado com um TPM, o BitLocker não poderá ser ativado até que o driver não-Microsoft seja removido.

Para usar o BitLocker para proteger uma unidade de sistema operacional em um computador sem um TPM, as seguintes opções estão disponíveis:

  • Somente chave de inicialização. Todas as informações necessárias sobre a chave de criptografia são armazenadas em uma unidade flash USB. O usuário deve inserir essa unidade no computador durante a inicialização. A chave armazenada na unidade flash USB desbloqueia o computador. Quando o computador não tiver um TPM, todas as informações necessárias para ler a unidade criptografada serão incluídas na chave de inicialização. Recomenda-se usar um TPM porque ele ajuda a proteger contra ataques feitos ao processo de inicialização crítica do computador.

Ao habilitar o BitLocker em unidades de dados fixas ou removíveis, o BitLocker pode usar os seguintes métodos de desbloqueio:

  • Senha. É possível usar uma senha para desbloquear unidades de dados fixas (como discos rígidos internos) e unidades de dados removíveis (como discos rígidos externos e unidades flash USB). As configurações de Diretiva de Grupo podem ser usadas para definir o comprimento mínimo da senha.

  • Cartão inteligente. Para usar um cartão inteligente com o BitLocker, você deve ter um certificado compatível no seu cartão inteligente. O BitLocker escolherá automaticamente o certificado a menos que você tenha vários certificados compatíveis, nesse caso é preciso escolher qual certificado usar.

    Observação de Segurança

    • Quando criptografar uma unidade usando um cartão inteligente, um protetor com certificado será criado na unidade. Esse protetor contém algumas informações não criptografadas necessárias para desbloquear a unidade. A chave pública e a impressão digital do certificado que foi usado para criptografar a unidade são armazenadas sem criptografia nos metadados do protetor na unidade. Essa informação poderia ser usada para identificar a autoridade de certificação (CA) que emitiu o certificado.

  • Desbloqueio automático. Unidades de dados fixas criptografadas com BitLocker podem ser configuradas para se desbloquearem automaticamente quando você fizer o logon no Windows. Desbloqueio automático para unidades de dados removíveis podem ser selecionadas depois que a unidade for criptografada. Para habilitar o desbloqueio automático das unidades de dados fixas, a unidade em que o Windows está instalado deve também estar criptografada pelo BitLocker.

Acessando conteúdo nas unidades de dados protegidas pelo BitLocker

Uma vez que uma unidade de dados estiver protegida com o BitLocker, o acesso ao drive será autenticado antes do conteúdo ser exibido. As unidades de dados podem ser desbloqueadas automaticamente depois que a unidade do sistema operacional tiver sido desbloqueada. Se a unidade não desbloquear automaticamente, você pode clicar em Computador para exibir as unidades no computador, clicar com o botão direito na unidade e clicar em Desbloquear, ou então usar o item Criptografia de Unidade de Disco BitLocker no Painel de Controle. Dependendo do método de autenticação configurado no computador, a unidade será desbloqueada automaticamente ou solicitará um cartão inteligente ou uma senha. Quando as unidades de dados removíveis forem inseridas no computador, depois que for detectado que a unidade está protegida pelo BitLocker, será solicitado que uma senha seja digitada ou que um cartão inteligente seja inserido.

Opções de recuperação

Para evitar a perda do acesso às unidades protegidas pelo BitLocker no caso do TPM falhar, de ter esquecido a senha, ou perdido os cartões inteligentes ou as chaves USB, é importante ter meios que garantam o acesso dos administradores às unidades do BitLocker. O BitLocker tem suporte para os seguintes métodos de recuperação de acesso às unidades protegidas:

  • Chave de recuperação ou senha de recuperação. Você pode usar uma chave de recuperação ou uma senha de recuperação com o BitLocker. Se uma chave do BitLocker estiver indisponível, por exemplo, o cartão inteligente estar faltando ou a senha ter sido esquecida, uma senha de recuperação de 48 dígitos pode ser usada para desbloquear a unidade protegida. No lugar de uma senha, você também pode ser usar uma chave de recuperação que foi armazenada em um arquivo em mídia removível, como uma unidade flash USB, para desbloquear a unidade protegida.

  • Backup de chaves para os Serviços de Domínio Active Directory. As senhas de recuperação do BitLocker podem ser armazenadas nos Serviços de Domínio Active Directory. Isso permite que administradores, equipes de suporte técnico, por exemplo, ajudem os usuários a recuperar as unidades protegidas pelo BitLocker quando estes tiverem perdido ou armazenado a senha de recuperação em local errado.

  • Agente de recuperação de dados. Um agente de recuperação de dados é uma pessoa designada, como um administrador do sistema, que pode usar suas credenciais administrativas para desbloquear as unidades protegidas pelo BitLocker. O BitLocker não está configurado com agentes de recuperação de dados padrão, nem os agentes de recuperação de dados são habilitados por padrão. Eles devem ser habilitados e configurados pela Diretiva de Grupo.

Referências adicionais