Por que preciso de implementar uma estratégia de recuperação para a Encriptação de Unidade BitLocker?

A existência de uma estratégia de recuperação ajuda os utilizadores a prevenirem-se contra a perda de dados. A recuperação é importante nas unidades de dados quando um utilizador se esquece de uma palavra-passe ou perde um smart card. Se as unidades de dados forem configuradas para desbloqueio automático, a recuperação será necessária se a chave de desbloqueio automático armazenada no computador for perdida como, por exemplo, em caso de falha do disco rígido ou de reinstalação do sistema operativo.

Quando utilizada para proteger uma unidade do sistema operativo de um computador com hardware de segurança TPM (Trusted Platform Module), a Encriptação de Unidade BitLocker não permite que o sistema operativo seja iniciado se o TPM detectar que componentes principais do arranque foram adulterados. No entanto, ainda é importante que utilizadores autorizados possam desencriptar os dados. Para fazer face a esta situação, o BitLocker fornece diferentes métodos de recuperação que podem ser utilizados para obter novamente acesso às unidades do sistema operativo protegidas pelo BitLocker.

Para além de um ataque malicioso, existem outros cenários que podem requerer a recuperação de uma unidade do sistema operativo protegida pelo BitLocker. Estes podem incluir:

  • Mover a unidade protegida pelo BitLocker para outro computador.

  • Actualizar a placa principal para uma nova com um novo TPM.

  • Actualizar a ROM (Read-Only Memory) opcional (ROM de opção).

  • Desligar, desactivar ou limpar o TPM.

  • Actualizar componentes de arranque iniciais críticos, tal como o BIOS, que podem impedir a validação de TPM.

  • Esquecer o número de identificação pessoal (PIN), quando o PIN de autenticação foi activado.

  • Perder a unidade flash USB que contém a chave de arranque, quando a autenticação por chave de arranque foi activada.

Ao criar um plano para manter um registo dos métodos de recuperação disponíveis para cada computador, terá a possibilidade de recuperar dados se for necessário. Ao controlar administrativamente a utilização de métodos de recuperação, ajudará a evitar que pessoas não autorizadas obtenham acesso a dados protegidos.

Utilizando a Política de Grupo, um administrador poderá escolher que métodos de recuperação devem ser obrigatórios, não permitidos ou opcionais para os utilizadores que utilizam o assistente de configuração do BitLocker para activar o BitLocker. Por exemplo, os administradores podem exigir que a palavra-passe de recuperação para a unidade do sistema operativo seja armazenada nos Serviços de Domínio do Active Directory (AD DS). A utilização da Política de Grupo permite ainda ao administrador determinar se a palavra-passe de recuperação também pode ser guardada num ficheiro em disco, impressa, visualizada como texto ou se a chave de recuperação pode ser escrita numa unidade Flash USB. O BitLocker pode facilmente ler as informações de uma unidade Flash USB durante a recuperação e um utilizador pode escrever a palavra-passe de recuperação. Ambos os métodos permitem aos utilizadores recuperar o acesso à unidade protegida sem a ajuda de um administrador.

Referências adicionais