A Encriptação de Unidade BitLocker é uma funcionalidade de protecção de dados disponível no Windows Server 2008 R2 e em algumas edições do Windows 7. Ter o BitLocker integrado no sistema operativo permite enfrentar as ameaças de roubo de dados ou exposição por perda, furto ou desactivação inapropriada de computadores.
Os dados num computador perdido ou furtado estão vulneráveis a acesso não autorizado, seja através da execução de uma ferramenta de ataque de software contra o computador ou através da transferência do disco rígido do computador para um computador diferente. O BitLocker ajuda a mitigar o acesso não autorizado a dados, pois melhora as protecções dos ficheiros e do sistema. O BitLocker também ajuda a tornar os dados inacessíveis quando os computadores protegidos pelo BitLocker são desactivados ou reciclados.
O BitLocker oferece protecção máxima quando utilizado com o Trusted Platform Module (TPM) versão 1.2. O TPM é um componente de hardware instalado pelos fabricantes em muitos computadores novos. Trabalha em conjunto com o BitLocker para ajudar a proteger os dados do utilizador e para assegurar que um computador não foi adulterado enquanto o sistema esteve desligado.
Em computadores que não tenham TPM versão 1.2, pode mesmo assim utilizar o BitLocker para encriptar a unidade do sistema operativo Windows. No entanto, esta implementação requer que o utilizador insira uma chave de arranque USB para iniciar o computador ou reiniciar da hibernação e não fornece a verificação de integridade pré-arranque do sistema proporcionada pelo BitLocker com um TPM.
Além do TPM, o BitLocker oferece a opção de bloquear o processo de arranque normal até que o utilizador forneça um número de identificação pessoal (PIN) ou insira um dispositivo amovível, tal como uma unidade Flash USB, que contenha uma chave de arranque. Estas medidas de segurança adicionais fornecem autenticação multifactor e asseguram que o computador não iniciará ou reiniciará da hibernação até que seja apresentado o PIN correcto ou a chave correcta.
Verificação de integridade do sistema
O BitLocker pode utilizar um TPM para verificar a integridade dos primeiros componentes de arranque e dos dados de configuração do arranque. Isto ajuda a assegurar que o BitLocker torna a unidade encriptada acessível apenas se esses componentes não tiverem sido adulterados e que a unidade encriptada está localizada no computador original.
O BitLocker ajuda a assegurar a integridade do processo de arranque através das seguintes acções:
-
Fornecer um método para verificar se a integridade dos primeiros ficheiros de arranque se manteve e ajudar a assegurar que não houve modificações adversas desses ficheiros, tais como vírus no sector de arranque ou rootkits.
-
Melhorar a protecção para mitigar ataques baseados em software offline. Qualquer software alternativo que possa iniciar o sistema não tem acesso às chaves de desencriptação da unidade do sistema operativo Windows.
-
Bloquear o sistema quando este é adulterado. Se foram adulterados quaisquer ficheiros monitorizados, o sistema não arranca. Isto alerta o utilizador para a adulteração, dado que o sistema não inicia como habitualmente. Caso ocorra esse bloqueio do sistema, o BitLocker fornece um processo de recuperação simples.
Requisitos de hardware, firmware e software
Para utilizar o BitLocker, um computador tem de preencher determinados requisitos:
-
Para que o BitLocker utilize a verificação de integridade do sistema fornecida por um TPM, o computador tem que ter um TPM versão 1.2. Se o computador não tiver um TPM, para activar o BitLocker terá de guardar uma chave de arranque num dispositivo amovível, tal como uma unidade Flash USB.
-
Um computador com um TPM também tem de ter um BIOS compatível com TCG (Trusted Computing Group). O BIOS estabelece uma cadeia de certificação para o arranque pré-sistema operativo e tem de incluir suporte para a Raiz Estática de Medição de Certificação especificada pelo TCG. Um computador sem um TPM não necessita de um BIOS compatível com o TCG.
-
O BIOS do sistema (para computadores com e sem TPM) tem de suportar a classe de dispositivos de armazenamento em massa USB, incluindo a leitura de pequenos ficheiros numa unidade Flash USB no ambiente pré-sistema operativo. Para obter mais informações sobre USB, consulte as especificações apenas de armazenamento USB em massa e do comando UFI de armazenamento no Web site de USB (
https://go.microsoft.com/fwlink/?LinkId=83120 ) (esta página poderá estar em Inglês).
-
O disco rígido tem de estar particionado em pelo menos duas unidades:
-
A unidade do sistema operativo (ou unidade de arranque) contém o sistema operativo e os respectivos ficheiros de suporte; tem de estar formatada com o sistema de ficheiros NTFS.
-
A unidade do sistema contém os ficheiros que são necessários para carregar o Windows após o BIOS ter preparado o hardware do sistema. O BitLocker não está activado nesta unidade. Para que o BitLocker funcione, a unidade do sistema não pode estar encriptada, tem de ser outra que não a unidade do sistema operativo e tem de estar formatada com o sistema de ficheiros NTFS. A unidade do sistema deve ter pelo menos 1,5 gigabytes (GB).
-
A unidade do sistema operativo (ou unidade de arranque) contém o sistema operativo e os respectivos ficheiros de suporte; tem de estar formatada com o sistema de ficheiros NTFS.
Instalação e inicialização
O BitLocker é instalado automaticamente como parte da instalação do sistema operativo. Contudo, o BitLocker só funcionará depois de activado com o assistente de configuração do BitLocker, acessível a partir do Painel de Controlo ou se clicar com o botão direito do rato na unidade no Explorador do Windows.
Em qualquer momento após a instalação e a configuração inicial do sistema operativo, o administrador de sistema pode utilizar o assistente de configuração do BitLocker para inicializar o BitLocker. O processo de inicialização é composto por dois passos:
-
Em computadores que tenham um TPM, inicialize o TPM utilizando o Assistente de Inicialização de TPM, o item Encriptação de Unidade BitLocker no Painel de Controlo ou executando um script concebido para o inicializar.
-
Configurar o BitLocker. Aceda ao assistente de configuração do BitLocker no Painel de Controlo, o qual o guia através da configuração e apresenta opções de autenticação avançadas.
Quando um administrador local inicializa o BitLocker, o administrador também deve criar uma palavra-passe de recuperação ou uma chave de recuperação. Sem uma chave de recuperação ou uma palavra-passe de recuperação, todos os dados na unidade encriptada poderão ficar inacessíveis e irrecuperáveis se houver um problema com a unidade protegida por BitLocker.
Nota | |
A inicialização do BitLocker e do TPM tem de ser executada por um membro do grupo Administradores local do computador. |
Para informações detalhadas sobre a configuração e implementação do BitLocker, consulte o guia passo a passo de encriptação de unidade BitLocker do Windows (
Implementação na empresa
O BitLocker pode utilizar a infra-estrutura de Serviços de Domínio do Active Directory (AD DS) já existente numa empresa para armazenar remotamente chaves de recuperação. O BitLocker fornece um assistente para configuração e gestão, bem como extensibilidade e capacidade de gestão através de uma interface WMI (Windows Management Instrumentation) com suporte para scripts. O BitLocker também tem uma consola de recuperação integrada no processo inicial de arranque para permitir que o utilizador ou pessoal de suporte técnico volte a obter acesso a um computador bloqueado.
Para mais informações sobre a escrita de scripts para o BitLocker, consulte Win32_EncryptableVolume (
Desactivação e reciclagem de computadores
Hoje em dia muitos dos computadores pessoais são reutilizados por outras pessoas que não o proprietário ou utilizador original. Em cenários empresariais, os computadores poderão ser reinstalados noutros departamentos ou poderão ser reciclados como parte de um ciclo padrão de actualização de hardware.
Nas unidades sem encriptação, os dados podem continuar legíveis após a formatação da unidade. Muitas vezes as empresas recorrem a múltiplas escritas ou à destruição física para reduzir o risco de exposição de dados em unidades desactivadas.
O BitLocker pode ajudar a criar um processo de desactivação simples, económico e eficiente. Ao deixar os dados encriptados pelo BitLocker, seguido da remoção das chaves, uma empresa pode reduzir o risco de exposição destes dados permanentemente. Torna-se praticamente impossível aceder ao dados encriptados pelo BitLocker após a remoção de todas as chaves do BitLocker, porque isto implica a quebra de encriptação de 128 bits ou de 256 bits AES.
Considerações sobre segurança do BitLocker
O BitLocker não consegue proteger um computador contra todos os ataques possíveis. Por exemplo, se utilizadores mal intencionados ou programas tais como vírus ou rootkits, tiverem acesso ao computador antes de este ser perdido ou furtado, também poderão introduzir fraquezas através das quais poderão mais tarde aceder aos dados encriptados. E a protecção do BitLocker pode ser comprometida se a chave de arranque USB for deixada no computador ou se o PIN ou a palavra-passe de início de sessão do Windows não forem mantidos em segredo.
O modo de autenticação apenas com TPM é mais fácil de implementar, gerir e utilizar. Também pode ser o mais apropriado para computadores em modo automático ou que devam ser reiniciados em modo automático. No entanto, o modo apenas com TPM oferece a menor protecção de dados. Se partes da organização têm dados que são considerados altamente sensíveis em computadores portáteis, considere implementar o BitLocker com autenticação multifactor nesses computadores.
Para mais informações sobre considerações de segurança BitLocker, consulte as ferramentas de encriptação de dados para computadores portáteis em (
Implementar o BitLocker em servidores
Para servidores num ambiente partilhado ou potencialmente não seguro, tal como numa sucursal, o BitLocker pode ser utilizado para encriptar a unidade do sistema operativo e unidades de dados adicionais no mesmo servidor.
Por predefinição, o BitLocker não é instalado com o Windows Server 2008 R2. Adicione o BitLocker a partir da página Gestor de Servidor do Windows Server 2008 R2. Tem que reiniciar após instalar o BitLocker num servidor. Através do WMI, pode activar o BitLocker remotamente.
O BitLocker é suportado em servidores EFI (Extensible Firmware Interface) que utilizem uma arquitectura de processador de 64 bits.
Nota | |
O BitLocker não suporta as configurações de cluster. |
Gestão de chaves
Depois de a unidade ter sido encriptada e protegida com BitLocker, os administradores locais e de domínio podem utilizar a página Gerir o BitLocker no item Encriptação de Unidade BitLocker do Painel de Controlo para alterar a palavra-passe para desbloquear a unidade, remover a palavra-passe da unidade, adicionar um smart card para desbloquear a unidade, guardar ou imprimir novamente a chave de recuperação, desbloquear automaticamente a unidade, duplicar chaves e repor o PIN.
Nota | |
Os tipos de chave que podem ser utilizados num computador podem ser controlados com a Política de Grupo. Para mais informações sobre como utilizar a Política de Grupo com o BitLocker, consulte o Manual de Implementação do BitLocker ( |
Desactivar temporariamente a protecção do BitLocker
Um administrador pode pretender desactivar temporariamente o BitLocker em certos cenários, tais como:
-
Reiniciar o computador para manutenção sem necessitar de intervenção do utilizador (por exemplo, um PIN ou chave de arranque).
-
Actualizar o BIOS.
- Instalar um componente de hardware que tenha ROM (Read-Only Memory) opcional.
-
Actualizar alguns primeiros componentes de arranque críticos sem accionar a recuperação pelo BitLocker. Por exemplo:
-
Instalar uma versão diferente do sistema operativo ou outro sistema operativo, o qual pode alterar o MBR (registo de arranque principal).
-
Reparticionar o disco, o que pode alterar a tabela de partições.
-
Executar outras tarefas do sistema que possam alterar os componentes de arranque validados pelo TPM.
-
Instalar uma versão diferente do sistema operativo ou outro sistema operativo, o qual pode alterar o MBR (registo de arranque principal).
-
Actualizar a placa principal para substituir ou remover o TPM sem accionar a recuperação pelo BitLocker.
-
Desligar (desactivar) ou limpar o TPM sem accionar a recuperação pelo BitLocker.
-
Mover uma unidade protegida por BitLocker para outro computador sem accionar a recuperação BitLocker.
Estes cenários são no seu conjunto referidos como cenário de actualização do computador. O BitLocker pode ser activado ou desactivado no item Encriptação de Unidade BitLocker no Painel de Controlo.
Os seguintes passos são necessários para actualizar um computador protegido por BitLocker:
-
Desactivar o BitLocker temporariamente colocando-o em modo inactivo.
-
Actualizar o sistema ou o BIOS.
-
Voltar a activar o BitLocker.
Forçar o BitLocker a entrar em modo inactivo mantém a unidade encriptada, mas a chave mestra de unidade será encriptada com uma chave simétrica armazenada sem encriptação no disco rígido. A disponibilidade desta chave não encriptada desactiva a protecção de dados oferecida pelo BitLocker, mas assegura que os arranques subsequentes do computador têm êxito sem mais intervenções do utilizador. Quando o BitLocker é reactivado, a chave não encriptada é removida do disco e a protecção BitLocker volta a ser activada. Adicionalmente, a chave mestra de unidade é codificada e encriptada de novo.
Mover a unidade encriptada (isto é, o disco físico) para outro computador protegido por BitLocker não requer passos adicionais, porque a chave que protege a chave mestra de unidade está armazenada sem encriptação no disco.
Atenção | |
A exposição da chave mestra de unidade, mesmo que por um breve período, é um risco de segurança, porque é possível que um atacante tenha tido acesso à chave mestra de unidade e à chave de encriptação de unidade completa quando estas chaves foram expostas pela chave não encriptada. |
Para informações detalhadas sobre a desactivação do BitLocker, consulte o guia passo a passo de encriptação de unidade BitLocker do Windows (
Recuperação do sistema
Um conjunto de cenários pode accionar um processo de recuperação, por exemplo:
-
Mover a unidade protegida pelo BitLocker para outro computador.
-
Instalar uma nova placa principal com um novo TPM.
-
Desligar, desactivar ou limpar o TPM.
-
Actualizar o BIOS.
-
Actualizar a ROM de opção.
-
Actualizar alguns primeiros componentes críticos que provoquem a falha da validação da integridade do sistema.
-
Esquecer o PIN, quando a autenticação por PIN foi activada.
-
Perder a unidade flash USB que contém a chave de arranque, quando a autenticação por chave de arranque foi activada.
Um administrador também pode accionar uma recuperação como um mecanismo de controlo de acessos (por exemplo, durante a reactivação do computador). Um administrador pode decidir bloquear uma unidade encriptada e exigir que os utilizadores obtenham informação de recuperação BitLocker para desbloquear a unidade.
Configuração da recuperação
Utilizando a Política de Grupo, um administrador de TI pode escolher quais o métodos de recuperação a exigir, negar ou apresentar como opção aos utilizadores que activam o BitLocker. A palavra-passe de recuperação pode ser armazenada no AD DS e o administrador pode tornar esta opção obrigatória, proibida ou opcional para cada utilizador do computador. Adicionalmente, os dados de recuperação podem ser armazenados numa unidade flash USB.
Palavra-passe de recuperação
A palavra-passe de recuperação é um número de 48 dígitos gerado aleatoriamente que pode ser criado durante a configuração do BitLocker. Se o computador entrar em modo de recuperação, será pedido ao utilizador que escreva esta palavra-passe com as teclas de função (F0 a F9). A palavra-passe de recuperação pode ser gerida e copiada após a activação do BitLocker. Utilizando a página Gerir o BitLocker no item Encriptação de Unidade BitLocker do Painel de Controlo, é possível imprimir ou guardar a palavra-passe de recuperação num ficheiro para utilização futura.
Assim que o BitLocker estiver activado, um administrador de domínio pode configurar a Política de Grupo para gerar automaticamente palavras-passe de recuperação e criar cópias de segurança das mesmas no AD DS. O administrador do domínio também pode optar por impedir o BitLocker de encriptar uma unidade, a menos que o computador esteja ligado a uma rede e que a cópia de segurança da palavra-passe de recuperação para o ADDS tenha sucesso.
Chave de recuperação
A chave de recuperação pode ser criada e guardada numa unidade flash USB durante a configuração do BitLocker; também pode ser gerida e copiada após a activação do BitLocker. Se o computador entrar em modo de recuperação, será pedido ao utilizador que insira a chave de recuperação no computador.