Perguntas frequentes do BitLocker

Sim, o BitLocker dá suporte à autenticação multifator para unidades de sistema operacional. Se o BitLocker estiver habilitado em um computador que tenha uma versão 1.2 ou posterior do TPM, outras formas de autenticação poderão ser usadas com a proteção TPM.

Duas partições são necessárias para executar o BitLocker porque a autenticação de pré-inicialização e a verificação de integridade do sistema devem ocorrer em uma partição separada da unidade do sistema operacional criptografada. Essa configuração ajuda a proteger o sistema operacional e as informações na unidade criptografada.

O status TPM pode ser verificado em Windows Defenderdetalhes do processador de segurança do dispositivo da Central > de Segurança> doDispositivo.

Sim, o BitLocker pode ser habilitado em uma unidade do sistema operacional sem um TPM, se o firmware BIOS ou UEFI tiver a capacidade de ler de uma unidade flash USB no ambiente de inicialização. O BitLocker não desbloqueará a unidade protegida até que a chave de master de volume do próprio BitLocker seja lançada pela primeira vez pelo TPM do computador ou por uma unidade flash USB que contém a chave de inicialização do BitLocker para esse computador. No entanto, computadores sem TPMs não poderão usar a verificação de integridade do sistema que o BitLocker também pode fornecer. Para ajudar a determinar se um computador pode ler em um dispositivo USB durante o processo de inicialização, use a verificação do sistema BitLocker como parte do processo de instalação do BitLocker. Essa verificação de sistema realiza testes para confirmar se o computador consegue ler corretamente nos dispositivos USB no momento apropriado e se o computador atende a outros requisitos do BitLocker.

Entre em contato com o fabricante do computador para solicitar um firmware de inicialização do BIOS ou da UEFI compatível com Trusted Computing Group (TCG) que atenda aos seguintes requisitos:

• Ele está em conformidade com os padrões TCG para um computador cliente
• Ele tem um mecanismo de atualização seguro para ajudar a impedir que um BIOS mal-intencionado ou firmware de inicialização seja instalado no computador

Para ativar, desativar ou alterar as configurações do BitLocker no sistema operacional e nas unidades de dados fixas, é necessário associação ao grupo administradores locais. Os usuários padrão podem ativar, desativar ou alterar configurações do BitLocker em unidades de dados removíveis.

As opções de inicialização do computador devem ser configuradas para ter a unidade de disco rígido primeiro na ordem de inicialização, antes de qualquer outra unidade, como unidades CD/DVD ou unidades USB. Se o disco rígido não for primeiro e o computador normalmente inicializar do disco rígido, uma alteração de ordem de inicialização poderá ser detectada ou assumida quando a mídia removível for encontrada durante a inicialização. A ordem de inicialização normalmente afeta a medida do sistema verificada pelo BitLocker e uma alteração na ordem de inicialização causará um prompt para a chave de recuperação do BitLocker. Pelo mesmo motivo, se um laptop for usado com uma estação de encaixe, verifique se a unidade de disco rígido é a primeira na ordem de inicialização quando o laptop estiver encaixado e desencaixado.

Sim.

Descriptografar remove completamente a proteção do BitLocker e descriptografa totalmente a unidade.

Suspender mantém os dados criptografados, mas criptografa a chave mestra de volume do BitLocker usando uma chave não criptografada. A chave não criptografada é uma chave criptográfica armazenada descriptografada e desprotegida na unidade de disco. Armazenando essa chave descriptografada, a opção Suspender permite alterações ou atualizações no computador sem o tempo e o custo de descriptografar e recriptografar toda a unidade. Depois que as alterações forem feitas e o BitLocker for reabilitado, o BitLocker selará novamente a chave de criptografia para os novos valores dos componentes avaliados que foram alterados como parte da atualização, a chave mestra de volume será alterada, os protetores serão atualizados de acordo e a chave não criptografada será apagada.

Nenhuma ação do usuário é necessária ao BitLocker para aplicar as atualizações da Microsoft, incluindo atualizações de recursos e atualizações de qualidade do Windows. Os usuários precisam suspender o BitLocker para atualizações de software não Microsoft, como:

• Algumas atualizações de firmware do TPM se essas atualizações limparem o TPM fora da API do Windows. Nem todas as atualizações de firmware do TPM limparão o TPM. Os usuários não precisarão suspender o BitLocker se a atualização de firmware do TPM usar a API do Windows para limpar o TPM porque, nesse caso, o BitLocker será suspenso automaticamente. É recomendável que os usuários testem suas atualizações de firmware do TPM se não quiserem suspender a proteção do BitLocker
• Atualizações de aplicativos que não são da Microsoft que modificam a configuração UEFI\BIOS
• Atualizações manuais ou não da Microsoft para proteger bancos de dados de inicialização (somente se o BitLocker usar a Inicialização Segura para validação de integridade)
• Atualizações para firmware UEFI\BIOS, instalação de drivers UEFI adicionais ou aplicativos UEFI sem usar o mecanismo de atualização do Windows (somente se o BitLocker não usar a Inicialização Segura para validação de integridade durante as atualizações)
• O BitLocker pode ser verificado se ele usa a Inicialização Segura para validação de integridade com a linha manage-bde.exe -protectors -get C:de comando . Se a Inicialização Segura para validação de integridade estiver sendo usada, ela relatará Usar Inicialização Segura para validação de integridade

Sim, a implantação e a configuração do BitLocker podem ser automatizadas usando Windows PowerShell ou com o manage-bde.exe comando. Para obter mais informações sobre comandos comuns de gerenciamento do BitLocker, marcar guia de operações do BitLocker.

Normalmente, há uma pequena sobrecarga de desempenho, muitas vezes em percentuais de um dígito, que é relativa à taxa de transferência das operações de armazenamento nas quais ela precisa operar.

Embora a criptografia BitLocker ocorra em segundo plano enquanto um usuário continua trabalhando com o sistema que permanece utilizável, os tempos de criptografia variam dependendo do tipo de unidade que está sendo criptografada, o tamanho da unidade e a velocidade da unidade. Se criptografar unidades grandes, a criptografia poderá querer ser agendada durante os horários em que a unidade não está sendo usada.

Quando o BitLocker está habilitado, o BitLocker também pode ser definido para criptografar toda a unidade ou apenas o espaço usado na unidade. Em um novo disco rígido, criptografar apenas o espaço usado pode ser consideravelmente mais rápido do que criptografar toda a unidade. Quando essa opção de criptografia é selecionada, o BitLocker criptografa automaticamente os dados à medida que eles são salvos, garantindo que nenhum dado seja armazenado descriptografado.

Se o computador for desligado ou entrar em hibernação, o processo de criptografia e descriptografia do BitLocker será retomado de onde parou na próxima vez em que o Windows for iniciado. O BitLocker retomando a criptografia ou a descriptografia é verdadeiro mesmo que a energia de repente não esteja disponível.

Não, o BitLocker não criptografa e descriptografa toda a unidade ao ler e gravar dados. Os setores criptografados na unidade protegida pelo BitLocker são descriptografados apenas conforme são solicitados das operações de leitura do sistema. Blocos gravados na unidade são criptografados antes do sistema gravá-los no disco físico. Nenhum dado não criptografado é sequer armazenado em uma unidade protegida pelo BitLocker.

As configurações de política podem ser configuradas para exigir que as unidades de dados sejam protegidas pelo BitLocker antes que um computador protegido pelo BitLocker possa gravar dados neles. Para obter mais informações, confira Configurações de política do BitLocker. Quando essas configurações de política estiverem habilitadas, o sistema operacional protegido pelo BitLocker montará quaisquer unidades de dados que não sejam protegidas pelo BitLocker como somente leitura.

O BitLocker permite que os usuários escolham criptografar apenas seus dados. Embora não seja a maneira mais segura de criptografar uma unidade, essa opção pode reduzir o tempo de criptografia em mais de 99%, dependendo da quantidade de dados que precisam ser criptografados. Para obter mais informações, consulte Criptografia somente espaço em disco usado.

Os seguintes tipos de alterações feitas no sistema podem causar uma falha de verificação de integridade e impedir que o TPM libere a chave do BitLocker para descriptografar a unidade do sistema operacional protegida:

• Mover a unidade protegida pelo BitLocker para um novo computador
• Instalando uma nova placa-mãe com um novo TPM
• Desativar, desabilitar ou limpar o TPM
• Alterando as configurações de configuração de inicialização
• Alterando o firmware BIOS, UEFI, master registro de inicialização, setor de inicialização, gerenciador de inicialização, ROM de opção ou outros componentes de inicialização antecipada ou dados de configuração de inicialização

Como o BitLocker foi projetado para proteger computadores contra vários ataques, há várias razões pelas quais o BitLocker pode começar no modo de recuperação. Por exemplo:

• Alterar a ordem de inicialização do BIOS para inicializar outra unidade antes do disco rígido
• Adicionar ou remover hardware, como inserir um novo cartão no computador
• Remover, inserir ou esgotar completamente a carga em uma bateria inteligente em um computador portátil

No BitLocker, a recuperação consiste em descriptografar uma cópia da chave mestra de volume usando-se uma chave de recuperação armazenada em uma unidade flash USB ou uma chave criptográfica derivada de uma senha de recuperação. O TPM não está envolvido em nenhum cenário de recuperação, portanto, a recuperação ainda será possível se o TPM falhar na validação do componente de inicialização, falhar ou for removido.

O BitLocker pode ser impedido de associação ao PCR 7 se um sistema operacional não Windows inicializado antes do Windows ou se a Inicialização Segura não estiver disponível para o dispositivo, seja porque ele está desabilitado ou o hardware não dá suporte a ele.

Sim, vários discos rígidos podem ser trocados no mesmo computador se o BitLocker estiver habilitado, mas somente se os discos rígidos estiverem protegidos pelo BitLocker no mesmo computador. As chaves BitLocker são exclusivas do TPM e da unidade do sistema operacional. Se um sistema operacional de backup ou uma unidade de dados precisar ser preparado em caso de falha no disco, verifique se eles foram compatíveis com o TPM correto. Os discos rígidos diferentes também podem ser configurados para sistemas operacionais diferentes e habilitar o BitLocker em cada um deles com métodos de autenticação diferentes (como um com somente TPM e outro com TPM+PIN) sem conflitos.

Sim, se a unidade for uma unidade de dados, ela poderá ser desbloqueada do item Painel de Controle de Criptografia de Unidade do BitLocker usando uma senha ou cartão inteligente. Se a unidade de dados foi configurada apenas para desbloqueio automático, ela precisará ser desbloqueada usando a chave de recuperação. O disco rígido criptografado pode ser desbloqueado por um agente de recuperação de dados (caso um tenha sido configurado) ou pode ser desbloqueado usando-se a chave de recuperação.

Algumas unidades não podem ser criptografadas com o BitLocker. Os motivos pelos quais uma unidade não pode ser criptografada incluem o tamanho insuficiente do disco, um sistema de arquivos incompatível, se a unidade for um disco dinâmico ou uma unidade for designada como partição do sistema. Por padrão, a unidade do sistema (ou a partição do sistema) permanece oculta na exibição. No entanto, se ele não for criado como uma unidade oculta quando o sistema operacional foi instalado devido a um processo de instalação personalizado, essa unidade poderá ser exibida, mas não poderá ser criptografada.

Várias unidades de dados internas, fixas, podem ser protegidas pelo BitLocker. Algumas versões baseadas em ATA e SATA também oferecem suporte a dispositivos de armazenamento anexado direto.

Unidades de dados removíveis podem ser desbloqueadas usando uma senha ou uma cartão inteligente. Um protetor SID também pode ser configurado para desbloquear uma unidade usando credenciais de domínio do usuário. Depois que a criptografia for iniciada, a unidade também pode ser desbloqueada automaticamente em um computador específico para uma conta de usuário específica. Os administradores do sistema podem configurar quais opções estão disponíveis para usuários, incluindo complexidade de senha e requisitos mínimos de comprimento. Para desbloquear usando um protetor SID, use manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

Há várias chaves que podem ser geradas e usadas pelo BitLocker. Algumas chaves são necessárias e algumas são protetores opcionais que você pode optar por usar dependendo do nível de segurança necessário.

Senha do proprietário do TPM

Antes de habilitar o BitLocker em um computador com uma versão 1.2 do TPM, você deve inicializar o TPM. O processo de inicialização gera uma senha do proprietário do TPM, que é uma senha definida no TPM. Você deve ser capaz de fornecer a senha do proprietário do TPM para alterar o estado do TPM, como ao habilitar ou desabilitar o TPM ou redefinir o bloqueio do TPM.

Chave de recuperação e senha de recuperação

Ao configurar o BitLocker, você deve escolher como o acesso a unidades protegidas pelo BitLocker pode ser recuperado caso o método de desbloqueio especificado não possa ser usado (como se o TPM não puder validar os componentes de inicialização, o PIN (número de identificação pessoal) for esquecido ou a senha for esquecida). Nessas situações, você deve ser capaz de fornecer a chave de recuperação ou a senha de recuperação para desbloquear os dados criptografados na unidade. Ao fornecer as informações de recuperação, você pode usar um dos seguintes formatos:

• Uma senha de recuperação que consiste em 48 dígitos divididos em oito grupos. Durante a recuperação, você precisa digitar essa senha no console de recuperação do BitLocker usando as teclas de função no teclado
• Um arquivo de chave em uma unidade flash USB que é lida diretamente pelo console de recuperação do BitLocker. Durante a recuperação, você precisa inserir esse dispositivo USB

PIN e PIN aprimorado

Para um nível mais alto de segurança com o TPM, você pode configurar o BitLocker com um PIN (número de identificação pessoal). O PIN é um valor criado pelo usuário que deve ser inserido sempre que o computador inicia ou retoma da hibernação. O PIN pode consistir de 4 a 20 dígitos conforme especificado pela configuração do comprimento mínimo do PIN para a configuração da política de inicialização e é armazenado internamente como um hash de 256 bits dos caracteres Unicode inseridos. Esse valor nunca é exibido para o usuário. O PIN é usado para fornecer outro fator de autenticação em conjunto com a autenticação TPM.
Para um nível ainda mais alto de segurança com o TPM, você pode configurar o BitLocker para usar PINs aprimorados. PINs aprimorados são PINs que usam o conjunto completo de caracteres de teclado, além do conjunto numérico para permitir mais combinações de PIN possíveis e têm entre 4 e 20 caracteres de comprimento. Para usar PINs aprimorados, você deve habilitar a configuração Permitir PINs avançados para a política de inicialização antes de adicionar o PIN à unidade. Ao habilitar essa política, todos os PINs criados podem utilizar caracteres de teclado completos.

Chave de inicialização

Configurar uma chave de inicialização é outro método para habilitar um nível mais alto de segurança com o TPM. A chave de inicialização é uma chave armazenada em uma unidade flash USB e a unidade flash USB deve ser inserida sempre que o computador for iniciado. A chave de inicialização é usada para fornecer outro fator de autenticação em conjunto com a autenticação TPM. Para usar uma unidade flash USB como uma chave de inicialização, a unidade flash USB deve ser formatada usando o sistema de arquivos NTFS, FAT ou FAT32.

A senha de recuperação e a chave de recuperação de uma unidade do sistema operacional ou uma unidade de dados fixa podem ser salvas em uma pasta, salvas em um ou mais dispositivos USB, salvas em uma Conta Microsoft ou impressas.

Para unidades de dados removíveis, a senha de recuperação e a chave de recuperação podem ser salvas em uma pasta, salvas em uma conta da Microsoft ou impressas. Por padrão, uma chave de recuperação para uma unidade removível não pode ser armazenada em uma unidade removível.

Um administrador de domínio também pode configurar configurações de política para gerar automaticamente senhas de recuperação e armazená-las em Active Directory Domain Services (AD DS) ou Microsoft Entra ID para qualquer unidade protegida pelo BitLocker.

A Manage-bde.exe ferramenta de linha de comando pode ser usada para substituir o modo de autenticação somente TPM por um modo de autenticação multifator. Por exemplo, se o BitLocker estiver habilitado apenas com autenticação TPM e a autenticação PIN precisar ser adicionada, use os seguintes comandos de um Prompt de Comando elevado, substituindo PIN numérico de 4 a 20 dígitos pelo PIN numérico desejado:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Um novo hardware que atenda aos requisitos do Programa de Compatibilidade de Hardware do Windows torna um PIN menos crítico como uma mitigação, e ter um protetor somente TPM provavelmente será suficiente quando combinado com políticas como bloqueio do dispositivo. Por exemplo, Surface Pro e Surface Book não têm portas DMA externas para atacar. Para hardware mais antigo, onde um PIN pode ser necessário, é recomendável habilitar PINs aprimorados que permitem caracteres não numéricos, como letras e marcas de pontuação, e definir o comprimento PIN com base na tolerância ao risco e nas funcionalidades anti-martelada de hardware disponíveis para os TPMs nos computadores.

O BitLocker foi projetado para tornar a unidade criptografada irrecuperável sem a autenticação necessária. No modo de recuperação, o usuário precisa da senha de recuperação ou da chave de recuperação para desbloquear a unidade criptografada.

Embora usar uma unidade flash USB como a chave de inicialização e para armazenamento da chave de recuperação seja tecnicamente possível, não é uma prática recomendada usar uma unidade flash USB para armazenar ambas as chaves. Se a unidade flash USB que contém a chave de inicialização for perdida ou roubada, a chave de recuperação também será perdida. Além disso, inserir essa chave faria com que o computador inicializasse automaticamente da chave de recuperação mesmo que os arquivos medidos pelo TPM tenham sido alterados, o que contorna a integridade do sistema do TPM marcar.

Sim, a chave de inicialização do computador pode ser salva em várias unidades flash USB. Clicar com o botão direito do mouse em uma unidade protegida pelo BitLocker e selecionar Gerenciar BitLocker fornecerá as opções para salvar as chaves de recuperação em unidades flash USB adicionais, conforme necessário.

Sim, as chaves de inicialização do BitLocker para computadores diferentes podem ser salvas na mesma unidade flash USB.

A geração de chaves de inicialização diferentes para o mesmo computador pode ser feita por meio do script. No entanto, para computadores que tenham um TPM, criar chaves de inicialização diferentes evita que o BitLocker use a verificação de integridade do sistema do TPM.

A geração de várias combinações de PIN não pode ser feita.

Os dados brutos são criptografados com a chave de criptografia de volume completo, que é criptografada com a chave mestra de volume. O volume master chave, por sua vez, é criptografado por um dos vários métodos possíveis, dependendo da autenticação (ou seja, protetores de chave ou TPM) e cenários de recuperação.

A chave de criptografia de volume completo é criptografada pela chave mestra de volume e armazenada na unidade criptografada. A chave mestra de volume é criptografada pelo protetor de chave apropriado e armazenada na unidade criptografada. Caso o BitLocker tenha sido suspenso, a chave não criptografada usada para criptografar a chave mestra de volume também é armazenada na unidade criptografada, além da chave mestra de volume criptografada.

Esse processo de armazenamento garante que o volume master chave nunca seja armazenado não criptografado e seja protegido, a menos que o BitLocker seja desabilitado. As chaves também são salvas em dois locais adicionais na unidade para redundância. As chaves podem ser lidas e processadas pelo gerenciador de inicialização.

As teclas de F1 a F10 são códigos de leitura mapeados universalmente disponíveis no ambiente de pré-inicialização em todos os computadores e em todos os idiomas. As teclas numéricas de 0 a 9 não podem ser utilizáveis no ambiente de pré-inicialização em todos os teclados.

Usando um PIN avançado, os usuários devem executar a verificação de sistema opcional durante o processo de instalação do BitLocker para garantir que o PIN possa ser inserido corretamente no ambiente de pré-inicialização.

É possível que um PIN (número de identificação pessoal) possa ser descoberto por um invasor que executa um ataque de força bruta. Um ataque de força bruta ocorre quando um invasor usa uma ferramenta automatizada para tentar diferentes combinações de PIN até a correta ser descoberta. Para computadores protegidos pelo BitLocker, esse tipo de ataque, também conhecido como ataque de dicionário, exige que o invasor tenha acesso físico ao computador.

O TPM tem a capacidade interna de detectar e reagir a esses tipos de ataques. Como os TPMs de diferentes fabricantes podem dar suporte a diferentes mitigações de PIN e ataque, entre em contato com o fabricante do TPM para determinar como o TPM do computador atenua ataques de força bruta pin. Depois que o fabricante do TPM for determinado, entre em contato com o fabricante para coletar as informações específicas do fornecedor do TPM. A maioria dos fabricantes usa a contagem de falhas de autenticação de PIN para aumentar exponencialmente o tempo de bloqueio da interface do PIN. No entanto, cada fabricante tem políticas diferentes em relação a quando e como o contador de falhas é diminuído ou redefinido.

O fabricante do TPM pode ser determinado em Windows Defenderdetalhes do processador segurança do dispositivo da Central de Segurança do Dispositivo da Central> deSegurança>.

As perguntas a seguir podem ajudar ao perguntar a um fabricante do TPM sobre o design de um mecanismo de mitigação de ataque de dicionário:

• Quantas tentativas de autorização com falha podem ocorrer até o bloqueio?
• Qual é o algoritmo para determinar a duração de um bloqueio com base no número de tentativas com falha e quaisquer outros parâmetros relevantes?
• Quais ações podem fazer a contagem de falhas e a duração do bloqueio diminuir ou ser redefinida?

O comprimento mínimo do PIN (número de identificação pessoal) pode ser configurado usando o comprimento mínimo do PIN para inicialização Política de Grupo configuração e permitir o uso de PINs alfanuméricos, habilitando a configuração permitir PINs avançados para a política de inicialização. A complexidade pin não pode ser necessária por meio de configurações de política.

Para obter mais informações, confira Configurações de política do BitLocker.

O BitLocker hashes o PIN (número de identificação pessoal) especificado pelo usuário usando SHA-256 e os primeiros 160 bits do hash são usados como dados de autorização enviados ao TPM para selar o volume master chave. A chave de master de volume agora está protegida pelo TPM e pelo PIN. Para desafinar o volume master chave, você deve inserir o PIN sempre que o computador reiniciar ou retomar da hibernação.

BitLocker To Go é Criptografia de Unidade de Disco BitLocker em unidades de dados removíveis. Esse recurso inclui a criptografia de:

• Unidades flash USB
• Cartões SD
• Unidades de disco rígido externas
• Outras unidades formatadas usando o sistema de arquivos NTFS, FAT16, FAT32 ou exFAT.

A partição de unidade deve atender aos Requisitos de Partição de Criptografia de Unidade do BitLocker.

Assim como no BitLocker, as unidades criptografadas pelo BitLocker To Go podem ser abertas usando uma senha ou uma cartão inteligente em outro computador. Em Painel de Controle, use a Criptografia de Unidade do BitLocker.

Se o BitLocker estiver habilitado em uma unidade antes que as configurações de política sejam aplicadas para impor um backup, as informações de recuperação não serão automaticamente apoiadas no AD DS quando o computador ingressar no domínio ou quando as configurações de política forem aplicadas posteriormente. No entanto, as configurações de política Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas, escolha como unidades fixas protegidas pelo BitLocker podem ser recuperadas e Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas para exigir que o computador seja conectado a um domínio antes que o BitLocker possa ser habilitado para ajudar a garantir que as informações de recuperação das unidades protegidas pelo BitLocker na organização sejam apoiadas no AD DS.

Para obter mais informações sobre como fazer backup da senha de recuperação no AD DS ou Microsoft Entra ID, examine o guia de operações do BitLocker.

Sim, uma entrada de log de eventos que indica o sucesso ou a falha de um backup é registrada no computador cliente. No entanto, mesmo que uma entrada no log de eventos indique "Êxito", as informações poderiam ter sido removidas depois do AD DS, ou o BitLocker poderia ter sido reconfigurado de maneira que as informações do Active Directory não consigam mais desbloquear a unidade (como remover o protetor de chave de senha de recuperação). Além disso, também é possível que a entrada de log possa ser falsificada.

Por fim, determinar se um backup legítimo existe no AD DS exige consultar o AD DS com credenciais de administrador de domínio usando a ferramenta de visualização de senha do BitLocker.

Não. Por design, as entradas de senha de recuperação do BitLocker não são excluídas do AD DS. Portanto, várias senhas podem ser vistas para cada unidade. Para identificar a senha mais recente, verifique a data no objeto.

Se o backup falhar inicialmente, como quando um controlador de domínio é inacessível no momento em que o assistente de instalação do BitLocker é executado, o BitLocker não tentará novamente fazer backup das informações de recuperação para o AD DS.

Quando um administrador seleciona o Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para (sistema operacional | dados fixos | dados removíveis) unidades marcar caixa em qualquer uma das unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas, escolha como unidades de dados fixas protegidas pelo BitLocker podem ser recuperadas e Escolha como unidades de dados removíveis protegidas pelo BitLocker podem ser recuperadas configurações de política, os usuários não podem habilitar o BitLocker a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker para o AD DS seja bem-sucedido. Com essas configurações configuradas se o backup falhar, o BitLocker não poderá ser habilitado, garantindo que os administradores possam recuperar unidades protegidas pelo BitLocker na organização.

Para obter mais informações, confira Configurações de política do BitLocker.

Quando um administrador limpa essas caixas de marcar, o administrador está permitindo que uma unidade seja protegida pelo BitLocker sem ter as informações de recuperação com êxito no AD DS; no entanto, o BitLocker não repetirá automaticamente o backup se falhar. Em vez disso, os administradores podem criar um script de backup, conforme descrito anteriormente em E se o BitLocker estiver habilitado em um computador antes que o computador ingresse no domínio? para capturar as informações após a restauração da conectividade.

O BitLocker usa o AES (Advanced Encryption Standard) como seu algoritmo de criptografia com comprimentos de chave configuráveis de 128 bits ou 256 bits. A configuração de criptografia padrão é AES-128, mas as opções são configuráveis usando configurações de política.

A prática recomendada para a configuração do BitLocker em uma unidade do sistema operacional é implementar o BitLocker em um computador com uma versão TPM 1.2 ou superior.

O BitLocker em unidades do sistema operacional em sua configuração básica fornece segurança extra para o modo de hibernação. No modo de sono, o computador é vulnerável a ataques diretos de acesso à memória, já que os dados desprotegidos permanecem na RAM. Portanto, para melhorar a segurança, é recomendável desabilitar o modo de sono. A autenticação de inicialização pode ser configurada usando uma configuração de política.

A maioria dos sistemas operacionais usa um espaço de memória compartilhado e depende do sistema operacional para gerenciar a memória física. TPM é um componente de hardware que o próprio firmware interno e os circuitos de lógica para processar instruções, protegendo-o, assim, de vulnerabilidades de softwares externas. Atacar o TPM requer acesso físico ao computador. Além disso, as ferramentas e as habilidades necessárias para atacar hardware geralmente são mais caras e geralmente não são tão disponíveis quanto as usadas para atacar o software. E como cada TPM é exclusivo do computador que o contém, atacar o TPM de vários computadores seria difícil e demorado.

O Desbloqueio de Rede do BitLocker permite um gerenciamento mais fácil para clientes e servidores habilitados para BitLocker que usam o método de proteção TPM+PIN em um ambiente de domínio. Quando um computador conectado a uma rede corporativa com fio é reiniciado, o Desbloqueio pela Rede permite que o prompt de entrada PIN seja ignorado. Ele desbloqueia automaticamente volumes de sistema operacional protegidos pelo BitLocker usando uma chave confiável fornecida pelo servidor dos Serviços de Implantação do Windows como o método de autenticação secundário.

Para usar o Desbloqueio de Rede, um PIN deve ser configurado para o computador. Quando o computador não estiver conectado à rede, um PIN precisará ser fornecido para desbloqueá-lo.

O Desbloqueio de Rede do BitLocker tem requisitos de software e hardware para computadores cliente, serviços de implantação do Windows e controladores de domínio que devem ser atendidos antes que ele possa ser usado.

O Desbloqueio de Rede usa dois protetores : o protetor TPM e o protetor fornecido pela rede ou pelo PIN. O desbloqueio automático usa um único protetor – aquele armazenado no TPM. Se o computador for ingressado em uma rede sem o protetor de chave, ele solicitará a inserção de um PIN. Se o PIN não estiver disponível, a chave de recuperação precisará ser usada para desbloquear o computador se ele não puder ser conectado à rede.

Para obter mais informações, consulte BitLocker: Como habilitar o desbloqueio pela rede.

Sim, o EFS (Encrypting File System) pode ser usado para criptografar arquivos em uma unidade protegida pelo BitLocker. O BitLocker ajuda a proteger toda a unidade do sistema operacional contra ataques offline, enquanto o EFS pode fornecer criptografia adicional de nível de arquivo baseada no usuário para separação de segurança entre vários usuários do mesmo computador. O EFS também pode ser usado no Windows para criptografar arquivos em outras unidades que não são criptografadas pelo BitLocker. Os segredos raiz do EFS são armazenados por padrão na unidade do sistema operacional; Portanto, se o BitLocker estiver habilitado para a unidade do sistema operacional, os dados criptografados pelo EFS em outras unidades também serão protegidos indiretamente pelo BitLocker.

Sim. No entanto, o depurador deve ser ativado antes do BitLocker. Ativar o depurador garante que as medidas corretas sejam calculadas durante a selagem para o TPM, permitindo que o computador seja iniciado corretamente. Se a depuração precisar ser ativada ou desativada ao usar o BitLocker, suspenda o BitLocker primeiro para evitar colocar o computador no modo de recuperação.

O BitLocker tem uma pilha de drivers de armazenamento que garante que despejos de memória sejam criptografados quando o BitLocker está habilitado.

O BitLocker não dá suporte a cartões inteligentes para autenticação pré-inicialização. Não há um único padrão do setor para suporte a cartão inteligentes no firmware, e a maioria dos computadores não implementa suporte de firmware para cartões inteligentes ou dá suporte apenas a cartões inteligentes e leitores específicos. Essa falta de padronização dificulta o suporte a elas.

A Microsoft não dá suporte a drivers não Microsoft TPM e recomenda fortemente usá-los com o BitLocker. A tentativa de usar um driver TPM não Microsoft com BitLocker pode fazer com que o BitLocker informe que um TPM não está presente no computador e não permitir que o TPM seja usado com BitLocker.

Não recomendamos modificar o registro de inicialização master em computadores cujas unidades do sistema operacional são protegidas pelo BitLocker por vários motivos de segurança, confiabilidade e suporte ao produto. Alterações no MBR (registro de inicialização) master podem alterar o ambiente de segurança e impedir que o computador comece normalmente e complicar todos os esforços para se recuperar de um MBR corrompido. As alterações feitas no MBR por outro que não seja o Windows podem forçar o computador no modo de recuperação ou impedir que ele seja inicializado por completo.

O sistema marcar foi projetado para garantir que o firmware BIOS ou UEFI do computador seja compatível com o BitLocker e que o TPM esteja funcionando corretamente. A verificação do sistema pode falhar por vários motivos:

• O firmware BIOS ou UEFI do computador não pode ler unidades flash USB
• O menu BIOS, firmware uEFI ou inicialização do computador não tem unidades flash USB de leitura habilitadas
• Há várias unidades flash USB inseridas no computador
• O PIN não foi inserido corretamente
• O firmware BIOS ou UEFI do computador só dá suporte ao uso das chaves de função (F1-F10) para inserir numerais no ambiente de pré-inicialização
• A chave de inicialização foi removida antes do computador concluir a reinicialização
• O TPM falhou e não consegue desmarque as chaves

Alguns computadores não podem ler unidades flash USB no ambiente de pré-inicialização. Primeiro, marcar as configurações de firmware e inicialização do BIOS ou UEFI para garantir que o uso de unidades USB esteja habilitado. Se ele não estiver habilitado, habilite o uso de unidades USB nas configurações de firmware e inicialização do BIOS ou UEFI e tente ler a chave de recuperação da unidade flash USB novamente. Se a unidade flash USB ainda não puder ser lida, o disco rígido precisará ser montado como uma unidade de dados em outro computador para que haja um sistema operacional para tentar ler a chave de recuperação da unidade flash USB. Se a unidade flash USB tiver sido corrompida ou danificada, uma senha de recuperação poderá precisar ser fornecida ou usar as informações de recuperação que foram apoiadas no AD DS. Além disso, se a chave de recuperação estiver sendo usada no ambiente de pré-inicialização, verifique se a unidade é formatada usando o sistema de arquivos NTFS, FAT16 ou FAT32.

A opção Salvar para USB não é mostrada por padrão para unidades removíveis. Caso a opção esteja disponível, isso significa que um administrador do sistema desautorizou o uso de chaves de recuperação.

O desbloqueio automático para unidades de dados fixas requer que a unidade do sistema operacional também seja protegida pelo BitLocker. Se um computador estiver sendo usado que não tenha uma unidade do sistema operacional protegida pelo BitLocker, a unidade fixa não poderá ser desbloqueada automaticamente. Para unidades de dados removíveis, o desbloqueio automático pode ser adicionado clicando com o botão direito do mouse na unidade no Windows Explorer e selecionando Gerenciar BitLocker. Senha ou credenciais de cartão inteligentes fornecidas quando o BitLocker foi ativado ainda podem ser usadas para desbloquear a unidade removível em outros computadores.

Há funcionalidade limitada do BitLocker disponível em modo de segurança. As unidades protegidas pelo BitLocker podem ser desbloqueadas e descriptografadas usando-se o item do Painel de Controle Criptografia de Unidade de Disco BitLocker . O clique com o botão direito do mouse para acessar opções do BitLocker do Windows Explorer não está disponível no Modo de Segurança.

As unidades de dados fixas e removíveis podem ser bloqueadas usando a ferramenta Gerenciar-bde de linha de comando e o comando -lock.

A sintaxe desse comando é:

manage-bde.exe <driveletter> -lock

Além de usar esse comando, as unidades de dados serão bloqueadas no desligamento e na reinicialização do sistema operacional. Uma unidade de dados removível também será bloqueada automaticamente quando a unidade for removida do computador.

Sim. No entanto, as cópias de sombra feitas antes da habilitação do BitLocker serão excluídas automaticamente quando o BitLocker estiver habilitado em unidades criptografadas pelo software. Se uma unidade criptografada de hardware estiver sendo usada, as cópias de sombra serão retidas.

O BitLocker deve funcionar como qualquer máquina física específica dentro de suas limitações de hardware, desde que o ambiente (físico ou virtual) atenda aos requisitos do Sistema Operacional Windows a serem executados.

• Com o TPM: Sim, é compatível.
• Sem TPM: Sim, ele tem suporte (com protetor de senha).

O BitLocker também tem suporte em VHDs de volume de dados, como os usados por clusters.

Sim, o BitLocker pode ser usado com máquinas virtuais (VMs) se o ambiente atender aos requisitos de hardware e software do BitLocker.