• Artigo

Segurança

Avanços na Criptografia de Unidade de Disco BitLocker

Byron Hynes

 

À primeira vista:

  • Melhorias feitas no BitLocker
  • Obtendo e instalando o BitLocker
  • Usando o BitLocker em um servidor
  • Considerações quanto à proteção completa dos dados

Na última edição sobre segurança da TechNet Magazine, fizemos um pequeno tour em alguns dos recursos da Criptografia de Unidade de Disco BitLocker do Windows e vimos como ela foi implementada na versão inicial do Windows Vista. Agora com o lançamento do Service Pack 1 para o

Windows Vista® e o novo sistema operacional Windows Server® 2008, chegou o momento de revisitarmos o BitLocker®.

Neste artigo, abordarei algumas das alterações encontradas na versão mais recente, apresentarei uma visão geral de como instalar e usar o BitLocker em um servidor e chegarei a algumas considerações feitas recentemente a serem lembradas. (A propósito, para ler o artigo publicado no ano passado, "Chaves para a proteção de dados com a criptografia de unidade de disco BitLocker", vá até technet.microsoft.com/magazine/cc138009.aspx.)

Novidades

As alterações introduzidas com essa versão do BitLocker oferecem flexibilidade nova sem alterar nenhuma operação básica. As alterações que examinarei são o suporte a volume de dados – que permite a autenticação de três fatores no acesso à máquina –, o suporte à UEFI (Unified Extensible Firmware Interface) – o novo firmware padrão do setor para sistemas de 64 bits –, maior proteção contra ataques criptográficos em metadados de volume e maior uso do TPM (Trusted Platform Module).

Volumes de dados

Quando o Windows Vista foi originalmente lançado, o painel de controle do BitLocker só permitia ativar a criptografia para o volume do sistema operacional Windows® (normalmente a unidade C: ). Para muitos consumidores, isso era perfeitamente adequado, porque computadores domésticos costumam ser configurados com todos os dados e programas do usuário armazenados no mesmo volume do sistema operacional. Porém, nas empresas, e certamente em servidores, normalmente não é esse o caso. Dessa forma, uma das solicitações mais comuns que ouvíamos dos consumidores era a da possibilidade de criptografar volumes de dados – que não fossem o volume do sistema operacional instalado no computador (observe que o BitLocker não foi projetado para criptografar mídia removível).

Como se pode ver na Figura 1, tenho três volumes utilizáveis no computador. (Na verdade, tenho quatro, caso você inclua a pequena partição ativa usada na inicialização.) O meu sistema operacional está instalado na unidade C: (na verdade, isso é mostrado pela "bandeira" do Windows no ícone) e também estão presentes dois volumes de dados, E: e P:. O volume P: já foi criptografado com BitLocker, estando bloqueado no momento. Já o volume E: ainda não está criptografado. No Windows Vista SP1 e no Windows Server 2008, posso criptografar e desbloquear esses volumes de dados no miniaplicativo Painel de Controle do BitLocker.

Figura 1 A interface do Bitlocker

Figura 1** A interface do Bitlocker **(Clique na imagem para uma visão ampliada)

Caso o volume do sistema operacional esteja criptografado com BitLocker, o comportamento padrão é de que os volumes de dados criptografados sejam desbloqueados sempre que o volume do sistema operacional é desbloqueado. Caso você use o painel de controle para desbloquear um volume de dados, é possível ver essa opção apresentada como uma caixa de seleção, como mostrado na Figura 2.

Figura 2 Salvando chaves para desbloqueio automático

Figura 2** Salvando chaves para desbloqueio automático **(Clique na imagem para uma visão ampliada)

Para ativar ou desativar o "bloqueio automático" de um volume de dados, use a ferramenta de linha de comando manage-bde.wsf. Manage-bde.wsf é um script eficiente incluído no Windows que usa os provedores WMI (Instrumentação de Gerenciamento do Windows) subjacentes instalados com o BitLocker.

Por exemplo, para marcar o volume de dados P: de forma que ele deva ser desbloqueado manualmente, use o seguinte comando:

manage-bde.wsf –autounlock –disable P:

Para reativar o desbloqueio automático para P:, use:

manage-bde.wsf –autounlock –enable P:

Como o painel de controle do BitLocker não expõe tudo o que é possível fazer com o BitLocker e os volumes de dados, você deve usar a opção -? para explorar os comandos de manage-bde.wsf. A sintaxe de manage-bde.wsf também está incluída no "Guia de design da Criptografia de Unidade de Disco BitLocker do Windows" e no "Guia de implantação do BitLocker do Windows", disponíveis no Centro de Download da Microsoft em go.microsoft.com/fwlink/?LinkId=115215.

TPM+USB+PIN

Os clientes também queriam ser capazes de usar fatores de autenticação adicionais usando BitLocker. O BitLocker usa o chip TPM do computador para verificar a integridade da plataforma – em outras palavras, para determinar se os primeiros componentes de inicialização, inclusive o BIOS, não foram adulterados ou corrompidos. No entanto, desde a versão do Windows Vista, agora também é possível exigir um PIN ou a presença de uma unidade flash USB contendo uma chave criada durante a habilitação do BitLocker.

Com o Windows Server 2008 e o Windows Vista SP1, agora é possível combinar todos os três. O TPM continua verificando a integridade da plataforma, a chave USB representando "algo que só você tem" e o PIN, "algo que só você sabe". Essa configuração fornece uma ótima proteção em relação a usuários não autorizados capazes de iniciar o computador e desbloquear as unidades protegidas pelo BitLocker.

No entanto, assim como acontece com muitas coisas na segurança, isso representa uma desvantagem. É claro que, quando o BitLocker é configurado dessa forma, um computador não pode ser reiniciado automaticamente. No caso de um servidor, por exemplo, você deve decidir o que é mais importante: uma reinicialização direta ou níveis mais elevados de proteção.

Suporte à UEFI

Com o Windows Server 2008 e o Windows Vista SP1, o suporte também foi adicionado para computadores equipados com UEFI. A UEFI é uma especificação que representa uma modernização do BIOS tradicional usado pela maioria dos computadores durante a inicialização. Para obter mais informações sobre a especificação UEFI, visite www.uefi.org.

Proteção aprimorada

Quando o BitLocker detecta que houve uma alteração no sistema ou caso um PIN ou chave USB obrigatórios não estejam disponíveis durante a inicialização, o BitLocker entra no modo de recuperação. Na recuperação, os volumes habilitados para BitLocker permanecem bloqueados, e uma caixa de diálogo em modo de texto chamada Console de Recuperação é apresentada para o usuário.

Para desbloquear a unidade, o usuário deve digitar uma senha de recuperação (um número com 48 dígitos) no teclado ou na unidade flash USB. (Quando armazenada em uma unidade flash USB, a senha é, às vezes, chamada de senha de recuperação por estar em um formato binário, e não de texto.)

O BitLocker usa a senha de recuperação para descriptografar as chaves armazenadas nos metadados do volume – a VMK (chave mestra de volume) e, em seguida, a FVEK (chave de criptografia de volume completo) – para desbloquear a unidade. Para que haja êxito na recuperação, uma cópia da senha de recuperação deve estar disponível.

Por isso, além do armazenamento por parte do usuário (como, por exemplo, em uma unidade flash USB), é altamente recomendável que você também armazene a senha de recuperação de maneira centralizada. O sistema operacional inclui a funcionalidade para armazenar senhas de recuperação nos ADDS (Serviços de Domínio Active Directory®).

Os segredos armazenados nos metadados do volume como, por exemplo, a VMK, são criptografados e a integridade de todos os metadados do volume, protegida por criptografia. Se detectar que os metadados do volume foram adulterados, o BitLocker se recusará a usar qualquer um dos metadados e não desbloqueará nenhum dos volumes protegidos. Observe que, sozinha, a senha de recuperação não desbloqueará uma unidade nesse estado.

É importante ressaltar que essa situação só ocorre com um ataque de segurança deliberado contra o computador. Caso isso aconteça, existe uma boa chance do computador já estar nas mãos de alguém mal-intencionado e fora do seu controle. Isso não surgirá de uma simples alteração não planejada feita na plataforma ou caso você se esqueça do PIN.

Para desbloquear o volume, você precisará destes três itens:

  • A senha de recuperação (como texto a ser digitado ou em uma unidade flash USB)
  • O pacote de chaves binárias que inclui versões criptografadas da FVEK e da VMK
  • A ferramenta de reparo do BitLocker

Em suma, você precisa verificar se a empresa tem acesso permanente a todas essas coisas.

É possível fazer o backup manual ou automático da senha de recuperação. Recomendo usar a configuração da Diretiva de Grupo para fazer o backup automático da senha de recuperação nos Serviços de Domínio Active Directory.

Ao configurar essa definição, como mostrado na Figura 3, inclua a opção para fazer o backup do pacote de chaves binárias. O pacote de chaves binárias inclui versões criptografadas da VMK e da FVEK, o que permite usar a ferramenta de reparo do BitLocker, se necessário.

Figura 3 Configurando a Diretiva de Grupo para incluir pacotes de chaves nas informações de recuperação

Figura 3** Configurando a Diretiva de Grupo para incluir pacotes de chaves nas informações de recuperação **(Clique na imagem para uma visão ampliada)

A ferramenta de reparo do BitLocker foi projetada para ajudar a recuperar dados de discos danificados habilitados para o BitLocker. Observe que se trata de uma ferramenta avançada, o que significa que deve ser usada por administradores experientes. Para obter mais informações sobre a ferramenta de reparo do BitLocker, leia o artigo da Base de Dados de Conhecimento Microsoft em support.microsoft.com/kb/928201 ou assista ao meu webcast, "Microsoft BitLocker na empresa: ferramentas do BitLocker para simplificar a vida" (que inclui uma demonstração ao vivo), em go.microsoft.com/fwlink/?LinkId=114985.

Esse é um bom momento para destacar que o BitLocker não substitui a necessidade de backup dos dados. Caso o disco seja danificado ou tenha sido atacado deliberadamente, não há certeza de que a ferramenta de reparo do BitLocker será capaz de recuperar algum, quanto mais todos os dados.

Maior uso do TPM

Tecnicamente, não se trata de uma alteração feita no BitLocker, mas interessante o suficiente para mencioná-la. Antes do SP1, a única parte do sistema operacional Windows que usava o TPM era o BitLocker, mas agora ele também é usado em outras funções. Em uma delas, quando o Windows vê que um TPM está disponível, ele usa o TPM como uma origem de maior entropia ao gerar números aleatórios. Isso aumenta a qualidade de todos os tipos de criptografia (e pode até mesmo melhorar seu jogo também).

No entanto, isso também significa que nem todos os eventos relacionados ao TPM mostrados no Visualizar eventos são necessariamente relacionados ao BitLocker. Como profissional de TI, você deseja reconhecer os demais componentes do sistema – e possivelmente o software de outros fornecedores – que podem e usarão o TPM e, assim, causarão o registro dos eventos em log.

BitLocker no Windows Server 2008

Por conta da codebase entre o Windows Vista e o Windows Server 2008, as alterações feitas no BitLocker que aparecem no SP1 fazem parte do Windows Server 2008. Mas por que o BitLocker é relevante em um servidor? Afinal de contas, o BitLocker, por projeto, protege um computador de ataques offline. Em outras palavras, o BitLocker não oferece nenhuma proteção para um sistema em execução, e os servidores, obviamente, devem estar em execução o tempo todo.

Acontece que há ocasiões em que um servidor ou um disco rígido de um servidor podem estar expostos a um ataque offline. Mesmo que isso aconteça, o BitLocker pode ajudar muito quando chegar o momento de descomissionar um servidor ou um disco rígido, como você verá. Primeiramente, vejamos como instalar e executar o BitLocker em um servidor.

Obtendo e instalando o BitLocker

O BitLocker está presente em todas as edições do Windows Server 2008, embora seja um componente opcional, ou recurso, que deve ser instalado no Gerenciador de Servidores ou na linha de comando. O BitLocker é implementado, em parte, como um driver do filtro NTFS. Como instalar esse driver de filtro exige a reinicialização do computador, saiba que ativar o BitLocker em um servidor exigirá uma reinicialização. Além disso, assim como acontece com o Windows Vista, o BitLocker exige uma configuração com carga dividida, em que a partição é usada para iniciar o computador que permanece descriptografado. A ferramenta de preparação da unidade do BitLocker está disponível para ajudar a configurar corretamente os discos rígidos a fim de dar suporte ao BitLocker caso o servidor não tenha sido previamente configurado pelo fabricante. No entanto, caso você se sinta à vontade com o particionamento do disco rígido, é possível configurar os discos rígidos manualmente.

Para instalar o BitLocker no Windows Server 2008, é possível usar a interface gráfica do Gerenciador de Servidores para selecionar BitLocker na lista de recursos, como mostrado na Figura 4, ou usar a interface da linha de comando do Gerenciador de Servidores, emitindo o comando:

Figura 4 Selecionando BitLocker no Gerenciador de Servidores

Figura 4** Selecionando BitLocker no Gerenciador de Servidores **(Clique na imagem para uma visão ampliada)

ServerManagerCmd –install BitLocker –restart

Quando você usa o Gerenciador de Servidores, ele instala o BitLocker e as ferramentas de gerenciamento do BitLocker. Também é possível instalar os componentes de gerenciamento sem instalar o próprio BitLocker. Isso evita a necessidade de reinicialização porque o driver de filtro não está incluído. O nome desse componente é "RSAT-BitLocker".

O BitLocker funciona bem em computadores que estejam executando a opção de instalação Núcleo do Servidor, mas não é possível usar o Gerenciador de Servidores para instalar o BitLocker no Núcleo do Servidor ou usar a interface gráfica do usuário para gerenciar o BitLocker no Núcleo do Servidor . Na verdade, para instalar os componentes, use as ferramentas de linha de comando pkgmgr ou ocsetup.

Após a instalação dos binários do BitLocker e da configuração dos discos usando a divisão de carga, é possível habilitar o BitLocker no volume do sistema operacional. No Windows Server 2008, o miniaplicativo do painel de controle do BitLocker tem os mesmos ícones e opções do Windows Vista SP1. Para habilitar os modos avançados do BitLocker, você precisará ajustar as configurações padrão usando o Editor de Diretiva Local ou um Objeto de Diretiva de Grupo que se aplique ao servidor.

No Núcleo do Servidor, ou caso simplesmente não queira usar o painel de controle, é possível usar manage-bde.wsf para habilitar o BitLocker. Para habilitar o BitLocker na unidade C:, digite

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

em que C: é o volume a ser criptografado e F:\, uma chave USB ou outro volume no qual uma cópia da chave de recuperação será armazenada (em formato binário). Também é possível usar um caminho UNC para armazenar a chave de recuperação em uma unidade de rede. Também será gerada e exibida uma senha de recuperação (em formato de texto numérico). Você talvez queira adicionar o parâmetro –skiphardwaretest caso tenha a certeza de que a plataforma do hardware atenda a todos os requisitos do BitLocker. Isso evitará uma reinicialização.

Cenários de servidor

Agora, abordemos alguns cenários específicos em que o BitLocker é útil para os servidores. Lembre-se de que, como mencionei, o BitLocker foi projetado para ajudar a protegê-lo de ataques offline – o tipo de ataque realizado quando o Windows não está em execução.

Filiais Um dos primeiros e mais importantes usos do BitLocker em um servidor é como parte da estratégia de filial do Windows Server 2008. Entre um quarto e um terço dos servidores são instalados em filiais, ou seja, escritórios que podem apresentar menor segurança física, menos acesso ao suporte a TI e talvez menos conectividade com data centers. As filiais também são um alvo atraente para ataques. Com recursos como, por exemplo, RODCs (controladores de domínio somente leitura), o BitLocker pode ajudar a proteger dados confidenciais que devem ser armazenados em uma filial para que permaneçam úteis, mas que não seriam tão facilmente protegidos em termos físicos como se estivessem, talvez, em um data center.

Trata-se de uma boa oportunidade de apresentar algumas idéias sobre o nível certo de proteção. O que é mais importante: impedir o acesso não autorizado aos dados ou exigir que um servidor se levante imediatamente e sem nenhuma intervenção? A minha sugestão é de que, em muitas filiais, seria aceitável exigir a entrada de um PIN para reiniciar um servidor, mas essa é uma decisão que cada empresa deve tomar.

Discos na entrega Costuma ser necessário entregar dados em um disco rígido para um local distante. Isso pode incluir a entrega de um disco único ou pré-configurar e entregar um servidor inteiro. Durante a remessa, os dados nesses discos estão fora de controle, podendo ser copiados, perdidos ou roubados.

Para reduzir esse risco, habilite o BitLocker nos volumes do computador antes da entrega e, em seguida, remova todos os protetores de chave, exceto a chave ou a senha de recuperação. Essa chave ou senha pode ser transportada manualmente em separado do servidor ou até mesmo informada ao telefone ou criptografada em email para a equipe na extremidade receptora. Após o recebimento do computador ou do disco, a senha de recuperação é usada para desbloquear a unidade. A unidade pode permanecer descriptografada (adicione outros protetores de chave) ou o disco pode ser totalmente descriptografado após a entrega, se desejado.

Trata-se de uma forma especialmente efetiva de testar os controladores de domínio ou servidores destinados a filiais.

Roubo de um servidor Como observamos na seção anterior, existe um perigo bem real de roubo de um servidor (especialmente de um controlador de domínio). Os ladrões podem levar um laptop diante de uma oportunidade, mas um servidor talvez seja um alvo escolhido mais cuidadosamente. Se o BitLocker estivesse configurado para exigir apenas a verificação de integridade TPM, bastaria o servidor roubado ser ligado e inicializado. Por outro lado, caso as unidades de um servidor estejam protegidas pelo BitLocker e este esteja configurado em um modo avançado – exigindo uma chave USB, um PIN ou ambos –, é muito difícil para que os ladrões consigam obter qualquer informação útil em um período mínimo razoável.

Roubo de um disco No entanto, se apenas um disco for roubado, aí o TPM continuará fornecendo uma grande proteção. Apenas o TPM no servidor original pode ser usado para desbloquear a unidade protegida pelo BitLocker, logo, o disco não pode ser simplesmente inserido em outro computador e lido.

Exposição reduzida Ordenando o hardware do servidor que inclui um chip TPM e usando a verificação de integridade da plataforma do BitLocker, você aumenta a defesa contra algumas formas de malware. Em especial, o BitLocker detectará as alterações feitas enquanto o Windows permanece offline ou as alterações feitas nos primeiros componentes de inicialização, especialmente caso o malware como, por exemplo, um rootkit exija uma reinicialização para que seja instalado. Não se trata de uma solução completa, mas combinada com recursos como, por exemplo, a integridade do código do Windows e produtos como o Microsoft® ForefrontTM Client Security, é mais uma camada de defesa aprofundada efetiva.

Descomissionamento seguro Um dos cenários mais úteis para o BitLocker surge ao final do ciclo de vida de um servidor ou disco. Com que freqüência você ouve falar de servidores, ou seus discos, sendo descartados sem que sejam corretamente descomissionados? Você sabia que discos rígidos usados às vezes valem mais do que novos em sites de leilão, porque compradores inescrupulosos esperam conseguir informações importantes neles?

Felizmente, em vez de passar por um processo caro e demorado de limpeza dos dados úteis no disco, o BitLocker possibilita outra abordagem. Basicamente, nenhuma informação é sequer gravada no disco em um formato útil. Como os dados criptografados são inutilizáveis, trata-se de uma etapa rápida, simples, remover todas as informações principais. Depois disso, não importa o que acontece com o hardware do disco; ele pode ser vendido, reciclado, realocado ou qualquer coisa, sem que haja o medo de que os dados caiam em mãos erradas.

No Windows Vista e no Windows Server 2008, o comando format foi atualizado para limpar as chaves do BitLocker, inclusive várias substituições. Agora você conta com uma forma simples e efetiva de descomissionar uma unidade.

Últimas notícias

Enquanto escrevo isso, provavelmente muitas semanas antes desta publicação chegar às suas mãos, vários artigos, documentos e relatos já abordaram algumas características interessantes de hardware e como elas afetam o BitLocker, os demais recursos de segurança do Windows e os outros produtos de criptografia de vários fornecedores. Gostaria de reservar um momento para abordar algumas das descobertas.

Um desses itens foi publicado por pesquisadores da Universidade de Princeton que demonstraram (com muita eficiência!) uma característica da memória de computador moderna chamada "remanência de DRAM" (disponível em citp.princeton.edu/pub/coldboot.pdf). Em termos simples, o conteúdo da memória do computador pode ser acessado durante um determinado período após a remoção da energia da memória. O BitLocker, obviamente, mantém as chaves para descriptografar os dados na memória durante a execução do Windows, e a preocupação é de que as chaves pudessem ser obtidas por usuários não autorizados.

Outra demonstração de Adam Boileau (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) mostrou que o IEEE 1394 (muitas vezes chamado de FireWire) permite o DMA (acesso direto à memória), que pode ser usado para conhecer os segredos do Windows como, por exemplo, senhas ou chaves de descriptografia. O que é interessante a respeito disso é que o DMA é praticamente 1394; não se trata de uma falha, mas do propósito do Firewire.

Mas o que ambos os ataques têm em comum é que exigem o acesso físico a um computador em execução (ou pelo menos em execução até recentemente). O BitLocker não foi projetado para oferecer proteção contra ataques, e isso não elimina a necessidade de alguma segurança física. A defesa aprofundada apropriada exige o uso de várias ferramentas e recursos, criando um ambiente de segurança física, indicando as diretivas corporativas essenciais e instruindo continuamente os usuários.

Bem, essas descobertas não são novas. Elas já são conhecidas há algum tempo e, na verdade, abordadas no DET (Microsoft® Data Encryption Toolkit). A análise de risco fornecida no DET se destina a ajudar os clientes a equilibrar a segurança com a usabilidade, além do custo da implementação e do gerenciamento. E isso não é pouco. Achamos que os clientes instruídos são os mais indicados para tomar decisões quanto às desvantagens da segurança, da usabilidade e do custo.

Além do DET, alguns dos meus colegas fizeram comentários excelentes e apresentaram boas diretrizes. Primeiro, Russ Humphries abordou desvantagens de segurança no contexto da remanência DRAM na entrada no blog go.microsoft.com/fwlink/?LinkId=115217. Depois, Douglas MacIver escreveu sobre as etapas de configuração específicas adicionais e contramedidas que é possível tomar atualmente no blog da equipe da SI (Integridade do Sistema) em go.microsoft.com/fwlink/?LinkId=115218. É altamente recomendável a leitura de ambas essas entradas em blog muito úteis. Você também deve ler o DET.

A chave dentre essas recomendações é usar um modo avançado (ou seja, um que exija uma chave USB ou PIN) e não deixar um computador autônomo no modo de suspensão (use a hibernação em seu lugar).

Conclusão

O BitLocker permanece sendo um dos recursos mais úteis do Windows Vista. Com o lançamento do SP1, ele foi aprimorado diante dos comentários feitos por clientes tendo em vista a habilitação de mais cenários e o atendimento a mais necessidades quanto à proteção de dados. Expandir essa proteção de dados até o Windows Server 2008 oferece mais formas de proteger dados e manter a conformidade, independentemente do armazenamento dos dados em servidores ou estações de trabalho do cliente, no data center, na filial ou com um trabalho móvel.

Byron Hynes é estrategista em tecnologia corporativa do EPG (Microsoft Enterprise and Partner Group), voltado para recursos e produtos de segurança. Antes de ingressar no EPG, ele trabalhou na divisão do Windows Server e está muito ligado ao BitLocker (integridade do sistema) desde 2005. Comentários e dúvidas são bem-vindos. Entre em contato com ele durante a Tech•Ed 2008 ou envie um email para bhynes@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados; é proibida a reprodução parcial ou completa sem autorização..