Exportar (0) Imprimir
Expandir Tudo
8 de 13 pessoas classificaram isso como útil - Avalie este tópico

Novidades do BitLocker

Publicado: fevereiro de 2012

Atualizado: fevereiro de 2012

Aplica-se a: Windows 8, Windows Server 2012

Veja a seguir uma lista de novos recursos do BitLocker para Windows 8 e Windows Server 2012:

  • Provisionamento do BitLocker

    O Windows 8 agora pode ser implantado em estado criptografado durante a instalação, antes de chamar a configuração.

  • Criptografia de somente o espaço em disco usado

    O BitLocker agora oferece dois métodos de criptografia, criptografia de Somente Espaço em Disco Usado e de Volume completo. Somente Espaço em Disco Usado permite uma experiência de criptografia muito mais rápida somente criptografando os blocos usados no volume de destino.

  • Alteração do PIN de Usuário e da senha padrão

    Permite que um usuário padrão altere o PIN ou a senha do BitLocker PIN em volumes de sistema operacional e a senha do BitLocker em volumes de dados, reduzindo o volume de chamada interno do suporte técnico.

  • Desbloqueio de rede

    Habilita um sistema BitLocker em uma rede com fio para desbloquear automaticamente o volume de sistema durante a inicialização (em redes Windows Server 2012 aptas), reduzindo os volumes de chamada do Suporte Técnico para PINs perdidos.

  • Suporte a discos rígidos criptografados para o Windows

    O Windows 8 inclui suporte de BitLocker para Discos Rígidos Criptografados.

No Windows Vista e no Windows 7, o BitLocker é provisionado após a instalação dos volumes de sistema e dados por meio da interface de linha de comando manage-bde ou da interface do usuário do Painel de Controle. No Windows 8, o BitLocker também pode ser facilmente provisionado antes da instalação do sistema operacional.

No Windows 8, os administradores podem habilitar o BitLocker antes da implantação do sistema operacional, no WinPE (Ambiente de Pré-Instalação do Windows). Isso é feito com um protetor transparente gerado aleatoriamente, aplicado ao volume formatado e criptografando o volume antes de executar o processo de instalação do Windows. Se a criptografia usar a opção Somente Espaço em Disco Usado, descrita na próxima seção, esta etapa levará apenas alguns segundos e também será bem incorporada nos processos de implantação regulares.

Para verificar o status do BitLocker de um volume específico, os administradores podem observar o status da unidade no miniaplicativo de painel de controle do BitLocker ou no Windows Explorer. Quando uma unidade é pré-provisionada para o BitLocker, um status de "Aguardando Ativação" é exibido com um ícone de exclamação amarelo no Painel de Controle do BitLocker. Esse status significa que somente um protetor transparente foi usado na criptografia desse volume. Nesse caso, o volume não é protegido e precisa ter uma chave segura adicionada ao volume antes da unidade ser considerada totalmente protegida. Você pode usar o painel de controle, a ferramenta manage-bde ou as APIs do WMI para adicionar um protetor de chave apropriado e o status do volume será atualizado. A seguinte tabela mostra os protetores de chave apropriados que podem ser adicionados às unidades que foram pré-provisionadas com a proteção do BitLocker:

 

Tipo de Unidade Protetor de chave

Sistema operacional

TPM

TPM+PIN

Chave de Inicialização (para os sistemas sem um TPM)

Senha (para os sistemas sem um TPM)

Unidade de dados fixa

Desbloqueio automático

Senha

Cartão inteligente

Unidade de dados removíveis

Senha

Cartão inteligente

No Windows 7, o BitLocker exige que todos os dados e o espaço livre em disco sejam criptografados. O processo de criptografia pode demorar muito em volumes maiores. No Windows 8, os administradores podem optar por criptografar todo o volume ou apenas o espaço usado. Quando você escolhe a opção de criptografia Somente Espaço em Disco Usado, apenas a parte da unidade que tem dados será criptografada. O espaço em disco livre não será criptografado. A criptografia Somente Espaço em Disco Usado permite que a criptografia seja concluída de forma muito mais rápida em unidades vazias ou parcialmente vazias, em comparação às implementações anteriores do BitLocker. Ao provisionar o BitLocker durante as implantações do Windows, a criptografia Somente Espaço em Disco Usado permite que o BitLocker criptografe uma unidade em um período curto de tempo antes de instalar o sistema operacional. A Criptografia Completa criptografa os dados e o espaço livre no volume, de forma semelhante à maneira pela qual o BitLocker funciona no Windows 7 e no Windows Vista.

Novas configurações de Política de Grupo para o tipo de criptografia

Você pode usar as configurações da Política de Grupo para impor que a Criptografia Completa ou a criptografia Somente Espaço em Disco Usado seja aplicada quando o BitLocker é habilitado em uma unidade. As configurações da Política de Grupo para Criptografia de Unidade de Disco BitLocker estão localizadas no caminho \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker, do Editor de Política de Grupo

Política de computador e política de computador de domínio.

As seguintes novas Políticas de Grupo estão disponíveis:

  • Unidades de Dados Fixas\Aplicar tipo de criptografia de unidade de disco em unidades de dados fixas

  • Unidades do Sistema Operacional\Aplicar tipo de criptografia de unidade de disco em unidades do sistema operacional

  • Unidades de Dados Removíveis\Aplicar tipo de criptografia de unidade de disco em unidades de dados removíveis

Para cada uma destas políticas, uma vez ativadas, você pode especificar que tipo de criptografia deve ser usado em que tipo de unidade. Se a política não estiver configurada, o usuário será capaz de escolher o método de criptografia quando ele ativa o BitLocker.

Os privilégios administrativos são necessários para configurar o BitLocker para as unidades do sistema operacional. Em uma organização onde os computadores são gerenciados por profissionais de TI e os usuários geralmente não recebem privilégios administrativos, a implantação da opção de proteção TPM + PIN em um grande número de computadores pode ser desafiadora. No Windows 8, os privilégios administrativos ainda são necessários para configurar o BitLocker, porém, usuários normais são autorizados, por padrão, a alterar o PIN ou a senha do BitLocker para o volume de sistema operacional ou a senha do BitLocker para volumes de dados fixos. Isso dá aos usuários a capacidade de escolher PINs e senhas que correspondam a um mnemônico pessoal, em vez de exigir que o usuário memorize um conjunto de caracteres gerados aleatoriamente, e permite que os profissionais de TI usem a mesma configuração inicial de PIN ou senha para todas as imagens do computador. Isso também possibilita que os usuários escolham senhas e PINs mais suscetíveis a adivinhação de senha, ataques de dicionário e ataques de engenharia social e dá aos usuários a capacidade de desbloquear qualquer computador que ainda utilize a atribuição original de PIN ou senha. É recomendável que a Política de Grupo inclua a exigência de complexidade em senhas e PINs, para ajudar a garantir que os usuários tomem o devido cuidado ao definir senhas e PINs.

Os usuários padrão são obrigados a digitar o PIN ou a senha atual da unidade para alterar o PIN ou a senha do BitLocker. Se o usuário digitar um PIN ou senha atual incorreto, a tolerância padrão para novas tentativas é definida como 5. Quando o limite de tentativas é atingido, um usuário padrão não é capaz de alterar o PIN ou a senha do BitLocker. O contador de repetições é definido como zero quando o computador é reiniciado ou quando um administrador redefine o PIN ou a senha do BitLocker.

Você pode desabilitar a opção para permitir que usuários padrão alterem PINs e senhas usando a configuração de Política de Grupo Não permitir que usuários alterem o PIN, localizada na seção \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional do Editor de Política de Grupo Local.

O Windows Server 2012 adicionou uma nova opção de protetor BitLocker para Volumes do Sistema Operacional, chamada Desbloqueio de Rede. O Desbloqueio de Rede permitirá um gerenciamento mais fácil para áreas de trabalho e servidores habilitados para BitLocker em um ambiente de domínio, fornecendo desbloqueio automático dos volumes do sistema operacional na reinicialização do sistema, quando conectado a uma rede corporativa com fio confiável. Esse recurso exige que o hardware do cliente tenha um driver DHCP implementado no firmware UEFI.

Os volumes do sistema operacional protegidos pelos protetores TPM+PIN exigem a entrada de um PIN quando um computador é reinicializado ou desperta da hibernação (por exemplo, quando está configurado para Wake on LAN). O requisito de entrada de PIN pode dificultar, para as empresas, a instalação de patches de software em áreas de trabalho e servidores autônomos. O Desbloqueio de Rede fornece um método pelo qual os computadores configurados para usar um protetor de chave TPM+PIN podem iniciar o Windows sem intervenção do usuário. O Desbloqueio de Rede funciona de forma semelhante ao TPM+StartupKey. Em vez de precisar ler a StartupKey na mídia USB, a chave do Desbloqueio de Rede é composta de uma chave armazenada no TPM e de uma chave de rede criptografada que é enviada para o servidor, descriptografada e retornada ao cliente em uma sessão segura. A chave de rede fica armazenada na unidade do sistema, juntamente com uma chave de sessão AES 256, e é criptografada com a chave pública RSA de 2048 bits do certificado do servidor de desbloqueio. A chave de rede é descriptografada com a ajuda de um provedor, em um servidor WDS do Windows Server 2012, e retornada criptografada com a correspondente chave de sessão. Nas instâncias onde o provedor de Desbloqueio de Rede está indisponível, a tela de desbloqueio padrão de TPM+PIN é exibida para desbloquear a unidade. A configuração do servidor para habilitar o Desbloqueio de Rede também exige o provisionamento de um par de chaves pública/privada do RSA de 2048 bits, no formato de um certificado X.509, e exige que o certificado de chave pública seja distribuído aos clientes. Esse certificado deve ser gerenciado e implantado pelo Editor de Política de Grupo diretamente no Controlador de Domínio do Windows Server 2012. Saiba mais sobre como configurar o Desbloqueio de Rede do BitLocker no Guia de Noções Básicas e Solução de Problemas do BitLocker.

O BitLocker fornece FVE (Criptografia de Volume Completo) do sistema operacional Windows e dos volumes de dados usando a criptografia baseada em software. No Windows 8, o BitLocker também dá suporte para um novo tipo de dispositivo de armazenamento melhorado, o Disco Rígido Criptografado, que está se tornando uma opção mais comum nos novos servidores e computadores. Os Discos Rígidos Criptografados oferecem FDE (Criptografia de Disco Completo), o que significa que a criptografia ocorre em cada bloco da unidade física. As operações de criptografia são mais eficientes em Discos Rígidos Criptografados porque o processo de criptografia é descarregado no controlador de armazenamento da unidade (também conhecida como criptografia baseada em hardware).

O Windows 8 dá suporte para Discos Rígidos Criptografados nativamente no sistema operacional, por meio destes mecanismos:

  • Identificação: o Windows 8 poderá identificar que a unidade é um tipo de dispositivo Disco Rígido Criptografado

  • Ativação: o gerenciamento de disco do Windows 8 ativará, criará e mapeará volumes para intervalos/faixas, conforme o necessário

  • Configuração: o Windows 8 criará e mapeará volumes para intervalos/faixas, conforme o necessário

  • API: o Windows 8 dá suporte de API para que os aplicativos gerenciem Discos Rígidos Criptografados independentemente da Criptografia de Unidade de Disco BitLocker

  • BitLocker: o Painel de Controle do BitLocker permitirá que os usuários gerenciem os Discos Rígidos Criptografados na mesma maneira que as unidades de disco com criptografia de volume completo.

Saiba mais sobre os requisitos de sistema e o uso de Discos Rígidos Criptografados no Guia de Noções Básicas e Solução de Problemas do BitLocker.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.