Obter mais informações sobre a Encriptação de Unidade BitLocker

A Encriptação de Unidade BitLocker fornece protecção para unidades do sistema operativo, unidades de dados fixas e unidades de dados amovíveis perdidas ou roubadas. O BitLocker fornece essa protecção encriptando o conteúdo das unidades e exigindo aos utilizadores a autenticação das suas credenciais para poderem aceder às informações. Na unidade de instalação do Windows, o BitLocker utiliza o TPM (Trusted Platform Module) para detectar se o processo de arranque crítico do computador foi adulterado. Além disso, pode ser exigida aos utilizadores a introdução de um PIN ou de uma chave de arranque para acesso aos dados da unidade. Nas unidades de dados fixas e amovíveis, os utilizadores podem aceder a uma unidade protegida pelo BitLocker utilizando uma palavra-passe, um smart card ou desbloqueando a unidade automaticamente.

O BitLocker para unidades do sistema operativo foi concebido para funcionar com sistemas que utilizam hardware de segurança TPM e BIOS compatíveis. Para serem compatíveis com BitLocker, os fabricantes de computadores têm de seguir normas definidas pelo TCG (Trusted Computing Group). Para obter mais informações sobre o TCG, visite o Web site do Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (pode estar em inglês)).

Activar o BitLocker

O assistente de configuração do BitLocker, que pode ser iniciado a partir do Painel de Controlo ou do Explorador do Windows, é utilizado para activar o BitLocker numa unidade de dados fixa ou amovível instalada no computador ou na unidade do sistema operativo de computadores com um TPM compatível. Se pretender activar o BitLocker numa unidade do sistema operativo de um computador sem um TPM ou utilizar outras funcionalidades e opções do BitLocker, pode modificar as definições de Política de Grupo do BitLocker que controlam as funcionalidades acessíveis através do assistente de configuração do BitLocker.

Nos computadores com um TPM compatível, as unidades do sistema operativo protegidas pelo BitLocker podem ser desbloqueadas de quatro formas:

  • Apenas TPM. A utilização da validação de apenas TPM não requer qualquer interacção com o utilizador para desencriptar e fornecer acesso à unidade. Se a validação de TPM for efectuada com êxito, a experiência de início de sessão do utilizador será a mesma de um início de sessão normal. Se faltar o TPM ou tiver sido alterado ou se detectar alterações a ficheiros de arranque críticos do sistema operativo, o BitLocker entra no modo de recuperação e o utilizador precisará de uma palavra-passe de recuperação para ganhar novamente o acesso aos dados.

  • TPM com chave de arranque. Para além da protecção fornecida pelo TPM, uma parte da chave de encriptação é armazenada numa unidade Flash USB. Esta também é conhecida como chave de arranque. Os dados no volume encriptado não podem ser acedidos sem a chave de arranque.

  • TPM com PIN. Para além da protecção fornecida pelo TPM, o BitLocker requer a introdução de um número de identificação pessoal (PIN) por parte do utilizador. Os dados no volume encriptado não podem ser acedidos sem a introdução do PIN.

  • TPM com chave de arranque e PIN. Esta opção só pode ser configurada utilizando a ferramenta de linha de comandos Manage-bde. Para além da protecção de componente principal fornecida pelo TPM, uma parte da chave de encriptação é armazenada numa unidade Flash USB e é necessário um PIN para autenticar o utilizador no TPM. Isto fornece uma autenticação multifactor, o que significa que se a chave de USB for perdida ou roubada, não poderá ser utilizada para acesso à unidade uma vez que também precisará do PIN correcto para funcionar.

    Nota

    • Recomendamos sempre a utilização do controlador de TPM do Windows predefinido com o BitLocker. Se tiver um controlador de TPM que não seja da Microsoft instalado, isto poderá impedir que o controlador de TPM predefinido seja carregado e fazer com que o BitLocker reporte que não existe um TPM no computador. Neste caso, o BitLocker não conseguirá utilizar o TPM. Se as definições de Política de Grupo forem configuradas de modo a exigir que o BitLocker seja utilizado com um TPM, o BitLocker não poderá ser activado enquanto o controlador que não é da Microsoft não for removido.

Para utilizar o BitLocker com vista a proteger uma unidade do sistema operativo num computador sem um TPM, está disponível a seguinte opção:

  • Só de chave de arranque. Todas as informações da chave de encriptação necessárias são armazenadas numa unidade Flash USB. O utilizador tem de inserir a unidade Flash USB no computador durante o arranque. A chave armazenada na unidade Flash USB desbloqueia o computador. Quando o computador não tem um TPM, todas as informações necessárias para ler a unidade encriptada são incluídas na chave de arranque. A utilização de um TPM é recomendada já que ajuda a proteger contra ataques ao processo de arranque crítico do computador.

Durante a activação do BitLocker nas unidades de dados fixas ou amovíveis, o BitLocker poderá utilizar os seguintes métodos de desbloqueio:

  • Palavra-passe. Pode utilizar uma palavra-passe para desbloquear unidades de dados fixas (tais como discos rígidos internos) e unidades de dados amovíveis (tais como discos rígidos externos e unidades Flash USB). As definições de Política de Grupo podem ser utilizadas para definir um comprimento mínimo de palavra-passe.

  • Smart card. Para utilizar um smart card com o BitLocker, tem de ter um certificado compatível no smart card. O BitLocker escolhe automaticamente o certificado a utilizar, a não ser que existam vários certificados compatíveis e, nesse caso, terá de ser o utilizador a escolher o certificado.

    Nota sobre Segurança

    • Durante a encriptação de uma unidade com um smart card, é criado um protector baseado em certificado na unidade. Este protector contém algumas informações não encriptadas que são necessárias para desbloquear a unidade. A chave pública e thumbprint do certificado utilizado para encriptar a unidade é armazenada desencriptada nos metadados do protector na unidade. Estas informações poderiam ser utilizadas para identificar a autoridade de certificação (AC) que emitiu o certificado.

  • Desbloqueio automático. As unidades de dados fixas encriptadas com o BitLocker podem ser configuradas para desbloquear automaticamente quando inicia sessão no Windows. O desbloqueio automático de unidades de dados amovíveis pode ser seleccionado após a encriptação da unidade. Para ser possível desbloquear automaticamente unidades de dados fixas, a unidade na qual o Windows está instalado também deve estar encriptada pelo BitLocker.

Aceder a conteúdo em unidades de dados protegidas pelo BitLocker

Assim que uma unidade de dados fica protegida com o BitLocker, o acesso à unidade é autenticado antes da apresentação do conteúdo. As unidades de dados fixas podem ser desbloqueadas automaticamente após o desbloqueio da unidade do sistema operativo. Se a unidade não desbloquear automaticamente, poderá clicar em Computador para apresentar as unidades no computador, clicar com o botão direito do rato na unidade e clicar em Desbloquear ou utilizar o item Encriptação de Unidade BitLocker no Painel de Controlo. Dependendo do método de autenticação configurado para o computador, a unidade desbloqueará automaticamente ou pedir-lhe-á um smart card ou uma palavra-passe. Quando são inseridas no computador unidades de dados amovíveis, depois de se detectar que a unidade está protegida pelo BitLocker, ser-lhe-á pedido que forneça uma palavra-passe ou um smart card.

Opções de recuperação

Para evitar perder o acesso a unidades protegidas pelo BitLocker, em caso de falha do TPM, palavras-passe esquecidas ou perda de smart cards ou chaves de USB, é importante providenciar uma forma de os administradores poderem aceder a essas unidades. O BitLocker suporta os seguintes métodos de recuperação do acesso a unidades protegidas:

  • Chave de recuperação ou palavra-passe de recuperação. Pode utilizar uma chave de recuperação ou palavra-passe de recuperação com o BitLocker. Se uma chave BitLocker não estiver disponível, por exemplo, por motivos de perda de smart card ou palavra-passe de utilizador esquecida, poderá ser utilizada uma palavra-passe de recuperação de 48 dígitos para desbloquear a unidade protegida. Em vez de uma palavra-passe, uma chave de recuperação armazenada num ficheiro de um suporte de dados amovível, tal como uma unidade Flash USB, também pode ser utilizada para desbloquear a unidade protegida.

  • Cópia de segurança de chaves para os Serviços de Domínio do Active Directory. As palavras-passe de recuperação BitLocker podem ser armazenadas nos Serviços de Domínio do Active Directory. Isto permite aos administradores como, por exemplo, o pessoal do suporte técnico, ajudar os utilizadores na recuperação de unidades protegidas pelo BitLocker quando estes introduzirem incorrectamente a palavra-passe de recuperação ou se esquecerem dela.

  • Agente de recuperação de dados. Um agente de recuperação de dados é uma pessoa designada como, por exemplo, um administrador de sistema que pode utilizar as credenciais administrativas para desbloquear unidades protegidas pelo BitLocker. O BitLocker não vem configurado com agentes de recuperação de dados predefinidos nem estes são activados por predefinição. Têm de ser activados e configurados utilizando a Política de Grupo.

Referências adicionais