Visão geral da Criptografia de Unidade de Disco BitLocker

O BitLocker pode usar o TPM para verificar a integridade de componentes da primeira inicialização e dados de configuração de inicialização. Isso ajuda a garantir que o BitLocker torne o a unidade criptografada acessível somente se esses componentes não tiverem sido violados e se a unidade criptografada estiver localizada no computador original.

O BitLocker ajuda a garantir a integridade do processo de inicialização com as seguintes ações:

• Fornecer um método de verificação da manutenção da integridade do arquivo da primeira inicialização e ajudar a garantir que não tenham ocorrido modificações adversas nesses arquivos, como vírus no setor de inicialização ou rootkits.
  
  
• Aperfeiçoar a proteção para minimizar ataques baseados a software offline. Qualquer software alternativo que possa iniciar o sistema não tem acesso às chaves de descriptografia da unidade do sistema operacional Windows.
  
  
• Bloquear o sistema quando ele for violado. Se qualquer arquivo monitorado for violado, o sistema não é iniciado. Isso alerta o usuário para a violação, uma vez que ocorre uma falha na inicialização do sistema. No caso de ocorrer um bloqueio do sistema, o BitLocker oferece um processo de recuperação simples.
  
  

Para usar o BitLocker, o computador deve atender a alguns requisitos:

• Para que o BitLocker use a verificação de integridade do sistema fornecida por um TPM, o computador deve ter um TMP versão 1.2. Se o computador não tiver um TPM, a habilitação do BitLocker exigirá que você salve uma chave de inicialização em um dispositivo removível como uma unidade flash USB.
  
  
• Um computador com TPM deve ter também uma BIOS compatível com TCG (Trusted Computing Group). O BIOS estabelece uma cadeia de confiança antes da iniciação do sistema operacional e deve incluir suporte para a Raiz Estática de Medida de Confiança especificada pelo TCG. Um computador sem TPM não requer BIOS compatível com TCG.
  
  
• O BIOS do sistema (para computadores com e sem TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB, incluindo a leitura de pequenos arquivos em uma unidade flash USB no ambiente pré-sistema operacional. Para obter mais informações sobre USB, armazenamento em massa em USB e especificações do comando UFI para armazenamento em massa, consulte o site de USB (https://go.microsoft.com/fwlink/?LinkId=83120). (Essa página pode estar em inglês)
  
  
• O disco rígido deve ser particionado com pelo menos duas unidades:
  
  
  • A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e seus arquivos de suporte; ela deve ser formatada com o sistema de arquivos NTFS.
    
    
  • A unidade do sistema contém os arquivos necessários para carregar o Windows depois que o BIOS preparar o hardware do sistema. O BitLocker não é habilitado nessa unidade. Para que o BitLocker funcione, a unidade do sistema não deve ser criptografada, deve ser diferente da unidade do sistema operacional e deve ser formatada com o sistema de arquivos NTFS. A unidade do sistema deve ter pelo menos 1.5 gigabytes (GBs).
    
    

O BitLocker é instalado automaticamente como parte da instalação do sistema operacional. No entanto, ele não é habilitado enquanto não for ligado com o uso do assistente de instalação do BitLocker, que pode ser acessado no Painel de Controle ou clicando com o botão direito do mouse na unidade no Windows Explorer.

A qualquer momento depois da instalação e da configuração inicial do sistema operacional, o administrador do sistema pode usar o assistente de instalação do BitLocker para inicializá-lo. Há duas etapas no processo de inicialização:

1. Em computadores com um TPM, inicialize o TPM usando o Assistente de Inicialização de TPM, o item Criptografia de Unidade de Disco BitLocker no Painel de Controle, ou executando um script desenvolvido para inicializá-lo.
   
   
2. Configurar o BitLocker. Acesse o assistente para instalação do BitLocker no Painel de Controle, que guiará você pela configuração e apresentará opções de autenticação avançadas.
   
   

Quando um administrador local inicializa o BitLocker, o administrador deve criar também uma senha de recuperação ou uma chave de recuperação. Sem uma chave de recuperação ou uma senha de recuperação, todos os dados na unidade criptografada podem se tornar inacessíveis e irrecuperáveis, caso haja um problema com a unidade protegida pelo BitLocker.

	Observação
	A inicialização do BitLocker e do TPM deve ser executada por um membro do grupo Administradores local no computador.

Para obter informações detalhadas sobre como configurar e implantar o BitLocker, consulte o Guia passo a passo da criptografia de unidade de disco BitLocker do Windows https://go.microsoft.com/fwlink/?LinkID=140225).

O BitLocker pode usar uma infraestrutura de Serviços de Domínio Active Directory (AD DS) para armazenar remotamente as chaves de recuperação. O BitLocker fornece um assistente para configuração e gerenciamento, assim como extensibilidade e gerenciabilidade por meio da interface WMI (Windows Management Instrumentation) com suporte a script. O BitLocker também tem um console de recuperação integrado no processo da primeira inicialização para permitir que o usuário ou o pessoal de suporte obtenha novamente acesso a um computador bloqueado.

Para obter mais informações sobre BitLocker, consulte (https://go.microsoft.com/fwlink/?LinkId=85983). (essa página pode estar em inglês)

Muitos computadores pessoais atualmente são reutilizados por pessoas que não são as proprietárias inicias do computador. Em cenários corporativos, os computadores podem ser reimplantados em outros departamentos ou podem ser reciclados como parte de um ciclo de atualização de hardware de computador padrão.

Em unidades sem criptografia, os dados podem permanecer legíveis mesmo depois da formatação da unidade. As empresas sempre fazem várias sobregravações ou destruições físicas para reduzir o risco de expor dados em unidades sem criptografia.

O BitLocker pode ajudar a criar um processo de descomissionamento simples e econômico. Ao deixar os dados criptografados pelo BitLocker e remover as chaves, uma empresa pode reduzir permanentemente o risco de expor esses dados. Fica quase impossível acessar os dados criptografados pelo BitLocker depois da remoção de todas as chaves do BitLocker, pois isso exigiria a quebra de criptografia AES de 128 bits ou 256 bits.

O BitLocker não pode proteger um computador contra todos os ataques possíveis. Por exemplo, se usuários maliciosos ou programas como vírus ou kits de raiz tiverem acesso ao computador antes de ele ser perdido ou roubado, podem conseguir introduzir pontos fracos pelos quais poderão, posteriormente, acessar dados criptografados. E a proteção do BitLocker poderá ser comprometida se a chave de inicialização USB for deixada no computador ou se o PIN ou a senha de logon no Windows não forem mantidos secretos.

O modo de autenticação somente TMP é o mais fácil de implantar, gerenciar e usar. Pode ser apropriado também para computadores autônomos ou que devem ser reiniciados quando autônomos. Entretanto, o modo somente TPM oferece a menor proteção de dados. Se partes da sua organização tiver dados considerados altamente confidenciais em computadores móveis, considere implantar o BitLocker com autenticação multifator nesses componentes.

Para obter mais informações sobre considerações de segurança do BitLocker, consulte (https://go.microsoft.com/fwlink/?LinkId=85982). (essa página pode estar em inglês).

Para servidores em um ambiente compartilhado ou potencialmente inseguros, como uma filial, o BitLocker pode ser usado para criptografar a unidade do sistema operacional e as unidades de dados adicionais no mesmo servidor.

Por padrão, o BitLocker não é instalado com o Windows Server 2008 R2. Adicione o BitLocker na página Gerenciador de Servidores do Windows Server 2008 R2. É necessário reiniciar depois de instalar o BitLocker em um servidor. Usando WMI, é possível habilitar o BitLocker remotamente.

O BitLocker tem suporte em servidores padrão EFI que utilizam uma arquitetura de processador de 64 bits.

	Observação
	O BitLocker não tem suporte a configurações de cluster.

Após a unidade ter sido criptografada e protegida com o BitLocker, os administradores local e de domínio poderão usar a página Gerenciar o BitLocker no item Criptografia de Unidade de Disco BitLocker no Painel de Controle para alterar a senha para desbloquear a unidade, remover a senha da unidade, adicionar um cartão inteligente para desbloquear a unidade, salvar ou imprimir a chave de recuperação novamente, desbloquear automaticamente a unidade, duplicar chaves e redefinir o PIN.

	Observação
	Os tipos de chave que podem ser usados em um computador podem ser controlados com o uso da Diretiva de Grupo. Para obter mais informações sobre como usar a Diretiva de Grupo com o BitLocker, consulte o Guia de Implantação do BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 [a página pode estar em inglês]).

Um administrador pode desejar desabilitar temporariamente o BitLocker em certos cenários, como:

• Reinício do computador para manutenção sem exigir entrada do usuário (por exemplo, um número de identificação ou uma chave de inicialização).
  
  
• Atualização do BIOS.
  
  
• Instalação de um componente de hardware que possui uma memória somente leitura opcional (ROM opcional).
  
  
• Atualização componentes críticos da primeira inicialização sem disparar a recuperação do BitLocker. Por exemplo:
  
  
  • A instalação de uma versão diferente do sistema operacional ou outro sistema operacional, o que pode alterar o MBR (registro mestre de inicialização).
    
    
  • Reparticionamento do disco, o que pode alterar a tabela de partição.
    
    
  • Realização de outras tarefas do sistema que alterem os componentes de inicialização validados pelo TPM.
    
    
• Atualização da placa mãe para substituir ou remover o TPM sem disparar a recuperação do BitLocker.
  
  
• Desligamento (desabilitação) ou limpeza do TPM sem disparar a recuperação do BitLocker.
  
  
• Movimentação de uma unidade protegida pelo BitLocker para outro computador sem disparar a recuperação do BitLocker.
  
  

Esses cenários são coletivamente chamados de cenário de atualização do computador. O BitLocker pode ser habilitado ou desabilitado por meio do item Criptografia de Unidade de Disco BitLocker no Painel de Controle.

As etapas a seguir são necessárias para atualizar um computador protegido pelo BitLocker.

1. Desligue temporariamente o BitLocker colocando-o no modo desabilitado.
   
   
2. Atualize o sistema ou a BIOS
   
   
3. Ligue novamente o BitLocker.
   
   

Forçar o BitLocker no modo desabilitado manterá a unidade criptografada, mas a chave mestra da unidade será criptografada com uma chave simétrica armazenada sem criptografia no disco rígido. A disponibilidade dessa chave sem criptografia desabilita a proteção dos dados oferecida pelo BitLocker, mas garante que as inicializações subsequentes do computador ocorram sem mais entradas do usuário. Quando o BitLocker é habilitado novamente, a chave sem criptografia é removida do disco e a proteção do BitLocker é ativada novamente. Além disso, a chave mestra da unidade é codificada e criptografada novamente.

Mover o volume criptografado (isto é, o disco físico) para outro computador protegido pelo BitLocker não requer outras etapas, pois a chave que protege a chave mestra da unidade é armazenada sem criptografia no disco.

	Cuidado
	A exposição da chave master da unidade mesmo por um breve período é um risco de segurança, pois é possível que um invasor tenha acessado a chave mestra da unidade e a chave de criptografia da unidade total quando elas estavam expostas pela chave não criptografada.

Para obter informações detalhadas sobre como desabilitar o BitLocker, consulte o Guia passo a passo da criptografia de unidade de disco BitLocker do Windows (https://go.microsoft.com/fwlink/?LinkID=140225).

Vários cenários podem disparar um processo de recuperação, como:

• Mover a unidade de disco protegida com BitLocker para um novo computador.
  
  
• instalação de uma nova placa mãe com um novo TPM.
  
  
• Desligar, desabilitar ou desativar o TPM.
  
  
• Atualização do BIOS.
  
  
• Atualizando a ROM opcional.
  
  
• Atualização de componentes críticos da primeira inicialização que causam falha na validação da integridade do sistema.
  
  
• Esquecimento do número de identificação quando a autenticação por número de identificação estiver habilitada.
  
  
• Perder a unidade flash USB contendo a chave de inicialização quando a autenticação da chave de inicialização tiver sido habilitada.
  
  

Um administrador também pode disparar a recuperação como um mecanismo de controle de acesso (por exemplo, durante a reimplementação do computador). Um administrador pode decidir bloquear uma unidade criptografada e exigir que os usuários obtenham informações de recuperação do BitLocker para desbloquear a unidade.