Por que preciso implementar uma estratégia de recuperação da Criptografia de Unidade de Disco BitLocker?

Ter uma estratégia de recuperação ajuda a garantir que os usuários não percam seus dados. A recuperação nas unidades de dados é importante caso um usuário esqueça uma senha ou perca um cartão inteligente. Se as unidades de dados estão configuradas para o desbloqueio automático, a recuperação é necessária se a chave de desbloqueio automático armazenada no computador for perdida, por exemplo, no caso de uma falha no disco rígido ou de uma reinstalação do sistema operacional.

Quando usada para proteger uma unidade do sistema operacional de um computador com o hardware de segurança TPM (Trusted Platform Module), a Criptografia de Unidade de Disco BitLocker não permitirá que o sistema operacional inicialize se o TPM detectar que os principais componentes de inicialização foram violados. No entanto, ainda assim é importante que usuários autorizados possam descriptografar os dados. Para tanto, o BitLocker fornece diferentes métodos de recuperação que podem ser usados para obter novamente acesso a unidades de discos do sistema operacional protegido pelo BitLocker.

Além de um ataque mal-intencionado, há outros cenários que podem requerer a recuperação de uma unidade de disco do sistema operacional protegido pelo BitLocker. Eles incluem:

  • Mover a unidade de disco protegida com BitLocker para um novo computador.

  • Atualizar a placa-mãe para uma nova com um novo TPM.

  • Atualizar a memória somente leitura opcional (opção ROM).

  • Desligar, desabilitar ou desativar o TPM.

  • Atualizar componentes de inicialização crítica, como um BIOS, que cause falha na validação do TPM.

  • Esquecer o PIN (número de identificação pessoal) quando a autenticação de PIN tiver sido habilitada.

  • Perder a unidade flash USB contendo a chave de inicialização quando a autenticação da chave de inicialização tiver sido habilitada.

Ao criar um plano para controlar os métodos de recuperação disponíveis para cada computador, você consegue recuperar dados, se necessário. Controlando administrativamente o uso de métodos de recuperação, você ajuda a impedir que pessoas não autorizadas obtenham acesso a dados protegidos.

Usando a Diretiva de Grupo, um administrador pode escolher os métodos de recuperação a serem requisitados, desabilitar ou tornar opcional a habilitação do BitLocker para usuários que utilizam o Assistente para Configuração do BitLocker. Por exemplo, os administradores podem requerer que a senha de recuperação para a unidade do sistema operacional seja armazenada nos Serviços de Domínio Active Directory (AD DS). Usando a Diretiva de Grupo, o administrador também pode determinar se a senha de recuperação também pode ser salva em um arquivo no disco, impressa, exibida como texto ou se ela pode ser gravada em uma unidade flash USB. O BitLocker pode ler facilmente as informações em uma unidade flash USB durante a recuperação, ou a senha de recuperação pode ser digitada por um usuário, ambos habilitam o usuário a recuperar o acesso à unidade protegida sem assistência do administrador.

Referências adicionais