Criptografia de Unidade de Disco BitLocker do Windows Vista: visão geral técnica

Publicado em: 4 de abril de 2006

Versão 1.02

Nesta página
  1. Resumo
  2. Visão geral
  3. Design do sistema
  4. Ciclo de vida do sistema
  5. Recuperação do sistema
    APÊNDICE

1. Resumo

Este documento oferece uma breve visão geral técnica da Criptografia de Unidade de Disco BitLocker™, um novo e fascinante recurso de proteção de dados do Microsoft Windows Vista™. Seu principal objetivo é revelar o ciclo de vida do recurso para usuários avançados e administradores de TI que desejam saber o que é a Criptografia de Unidade de Disco BitLocker e como ela lida com um problema de proteção de dados cada vez maior: a divulgação indesejada de informações confidenciais -- através, por exemplo, de perda física ou roubo do computador.

Este artigo pressupõe que os leitores conheçam a tecnologia TPM (Trusted Platform Module). Para obter informações gerais sobre a tecnologia TPM, consulte as especificações e os materiais disponíveis na Web, em http://www.trustedcomputinggroup.org/ (em inglês).

2. Visão geral

A Criptografia de Unidade de Disco BitLocker™ é um recurso de proteção de dados disponível no Windows Vista Enterprise e Ultimate para computadores cliente e no Windows Server "Longhorn". O BitLocker é a resposta da Microsoft a uma das principais solicitações dos nossos clientes: resolver ameaças reais de roubo ou divulgação de dados de hardware de PCs perdidos, roubados ou indevidamente descomissionados com uma solução altamente integrada ao Sistema Operacional Windows.

O BitLocker impede que um ladrão, que esteja inicializando outro sistema operacional ou executando uma ferramenta de violação de software, destrua as proteções de arquivo e sistema do Windows Vista ou consiga exibir offline arquivos armazenados na unidade de disco protegida.

O recurso utiliza, idealmente, um Trusted Platform Module (TPM 1.2) para proteger os dados do usuário e garantir que um PC executando o Windows Vista não tenha sido violado enquanto o sistema estava offline. O BitLocker fornece aos operadores de informações móveis e fixos uma proteção de dados avançada, para o caso de seus sistemas serem perdidos ou roubados, e a exclusão segura de dados para o descomissionamento desses ativos.

O BitLocker aprimora a proteção de dados unindo duas importantes subfunções: criptografia da unidade de disco inteira e verificação de integridade dos componentes de inicialização precoce (early boot).

A criptografia da unidade de disco protege os dados impedindo que usuários não autorizados violem a proteção de arquivos e de sistema do Windows em computadores perdidos ou roubados. Essa proteção é obtida criptografando-se todo o volume do Windows. Com o BitLocker, todos os arquivos de usuário e do sistema são criptografados, inclusive os arquivos de permuta e de hibernação.

A verificação da integridade e os componentes de inicialização precoce ajudam a garantir que a descriptografia dos dados seja executada apenas se esses componentes estiverem íntegros e se a unidade criptografada estiver no computador original.

O BitLocker é totalmente integrado ao Windows Vista e fornece uma solução de proteção de dados uniforme, segura e facilmente gerenciável para as empresas. Por exemplo, como opção o BitLocker usa a infra-estrutura existente de Serviços de Domínio do Active Directory de uma empresa para proteger as chaves de recuperação remotamente. O BitLocker também tem um console de recuperação de desastres integrado aos componentes de inicialização precoce que possibilita a recuperação de dados ‘em campo’.

O BitLocker oferece a opção de bloquear o processo normal de inicialização até que o usuário forneça um PIN, como um PIN de cartão eletrônico, ou insira uma unidade flash USB que contenha material de entrada de dados. Essas medidas adicionais de segurança fornecem uma autenticação de multifatores e a garantia de que o computador não será inicializado nem sairá da hibernação até que o PIN ou a unidade flash USB correta sejam fornecidos.

O BitLocker fornece um assistente para configuração e gerenciamento, além de extensibilidade e gerenciabilidade por meio de uma interface de WMI (instrumentação de gerenciamento do Windows) com suporte a scripts. Ele também simplifica a reciclagem do computador, acelerando a limpeza de dados confidenciais.

O uso diário de um computador com o Windows Vista protegido com o BitLocker pode ser totalmente transparente para o usuário. Além disso, no improvável evento de bloqueio do sistema — talvez devido a uma falha de hardware ou resultante de um ataque direto — o BitLocker oferece um processo de recuperação simples e eficiente. Esses cenários incluem eventos como a transferência para outro computador do disco rígido que contém o volume do sistema operacional, a substituição da placa-mãe contendo o TPM ou a corrupção de dados dos arquivos de inicialização precoce.

A Criptografia de Unidade de Disco BitLocker:

  • Protege dados enquanto o sistema está offline porque:

    • Criptografa todo o volume do Windows, incluindo arquivos de dados do usuário e do sistema, o arquivo de hibernação, o arquivo de paginação e arquivos temporários.

    • Oferece proteção integral para aplicativos de terceiros. Os aplicativos de terceiros se beneficiam automaticamente quando instalados em um volume criptografado.

  • Assegura a integridade do processo de inicialização porque:

    • Fornece um método para verificar se a integridade dos arquivos de inicialização precoce foi mantida e se não houve nenhuma modificação desses arquivos, como um vírus no setor de inicialização ou root kits.

    • Protege o sistema contra ataques offline baseados em software: qualquer software alternativo que possa inicializar o sistema não terá acesso às chaves raiz que protegem o volume do Windows.

    • Bloqueia o sistema quando violado: se algum dos arquivos monitorados for violado, o sistema não será inicializado. Essa prática alerta o usuário sobre a violação, uma vez que o sistema não inicializará como de costume.

  • Facilita a reciclagem do equipamento ao:

    • Reduzir o tempo necessário para excluir de modo permanente e seguro todos os dados da unidade de disco. Os dados no volume criptografado podem ser inutilizados; para isso, basta excluir as chaves necessárias para acessar a unidade de disco.

Este documento descreve o ciclo de vida da Criptografia de Unidade de Disco BitLocker em um computador usado em um ambiente empresarial, oferece diversos cenários de usuário e descreve a configuração, o gerenciamento e a recuperação do recurso e das chaves associadas. O desenvolvimento do Windows Vista ainda não terminou; capturas de tela, APIs, textos e fluxos podem ser alterados.

2.1 Requisitos de hardware, firmware e software do sistema

Para utilizar o BitLocker, o computador deve atender a um conjunto de requisitos especificados pelos requisitos de logotipo do sistema Windows Vista. Os testes relacionados a esses requisitos serão disponibilizados no WDK (Windows Development Kit):

  • O sistema deve ter um TPM v1.21. O TPM oferece avaliação e relatórios sobre a integridade do processo de inicialização do sistema.

    • O TPM oferece avaliação e relatórios sobre a integridade do processo de inicialização do sistema.
  • O BIOS do sistema deve ser compatível com a versão 1.2 da especificação do TCG (Trusted Computing Group)1.

    • O BIOS estabelece uma cadeia de confiança para a pré-inicialização do sistema operacional.

    • O sistema deve incluir suporte para a SRTM (Static Root Trust Measurement) especificada pelo TCG.

  • O BIOS do sistema deve dar suporte à classe de dispositivo de armazenamento em massa USB2, incluindo leitura e gravação de pequenos arquivos em uma unidade flash USB no ambiente pré-sistema operacional.

  • O computador deve ter pelo menos dois volumes3 para operar:

    • O "volume do sistema operacional", ou volume de inicialização, é o que contém o sistema operacional Windows e seus arquivos de suporte; ele deve ser formatado com NTFS. Os dados nesse volume são protegidos pelo BitLocker.

    • O "volume do sistema" é o que contém os arquivos específicos de hardware necessários para carregar os computadores com o Windows depois que o BIOS inicializa a plataforma. Para que o BitLocker funcione, o volume do sistema não deve estar criptografado, não deve ser o mesmo volume do sistema operacional e deve estar formatado com NTFS. O volume do sistema deve ter pelo menos 1,5 GB. Os dados, inclusive dados de usuário adicionais, gravados nesse volume não são protegidos pelo BitLocker.

As informações apresentadas neste artigo aplicam-se às versões do Windows com BitLocker. Informações específicas de servidor podem ser obtidas na Seção 3.5, BitLocker em servidores .

3. Design do sistema

O principal objetivo do BitLocker é proteger os dados no volume do sistema operacional do disco rígido. Para isso, ele usa o hardware de segurança TPM v1.2, que ajuda a proteger as chaves de criptografia e impedir ataques baseados em software contra a integridade do sistema ou a segurança de outros dados, aplicativos, arquivos de DLL e arquivos armazenados no volume do sistema operacional.

O BitLocker inclui verificações de integridade em componentes críticos de inicialização precoce. Ele usa o TPM para coletar e armazenar medições de várias fontes4 no processo de inicialização para criar uma espécie de "impressão digital" do sistema. Essa "impressão digital" permanece inalterada, a menos que o sistema de inicialização seja violado. O BitLocker usa o TPM para restringir o acesso aos segredos de raiz, com base nessas medições. Uma vez comprovada a integridade do processo de inicialização, o BitLocker usa o TPM para desbloquear o restante dos dados. O sistema então dá continuidade à inicialização, e a proteção do sistema passa a ser responsabilidade do sistema operacional em execução.

A Figura 1 mostra como o conteúdo do volume é criptografado com uma FVEK (chave de criptografia do volume inteiro), que, por sua vez, é criptografada com uma VMK (chave mestra do volume). Proteger a VMK é uma forma indireta de proteger os dados no volume de disco: a adição da chave mestra do volume permite que o sistema seja rechaveado facilmente quando as chaves no início da cadeia de confiança são perdidas ou comprometidas. Isso elimina os gastos com a descriptografia e a recriptografia do volume de disco inteiro.

Cc668449.29082_figure1_sm(pt-br,TechNet.10).jpg

Figura 1: Relacionamento entre diferentes chaves de criptografia no BitLocker.

Uma vez que o BitLocker autentica o acesso ao volume protegido do sistema operacional, um driver de filtro na pilha do sistema de arquivos do Windows Vista criptografa e descriptografa setores do disco com transparência, à medida que dados são gravados e lidos no volume protegido. Quando o computador hiberna, o arquivo de hibernação é salvo criptografado no volume protegido. A saída do modo de hibernação é tratada quase que da mesma forma que o processo de inicialização: esse arquivo salvo é descriptografado quando o computador sai da hibernação. A queda no desempenho deve ser mínima para criptografia e descriptografia e deve ser transparente na maioria das circunstâncias.

Os administradores de TI podem configurar o BitLocker local e remotamente através do assistente ou com as interfaces expostas pelo provedor de WMI Win32_EncryptableVolume do Windows Vista. As interfaces incluem funcionalidade de gerenciamento para iniciar, pausar e retomar a criptografia do volume de disco, e para configurar a proteção da chave de criptografia do volume de disco (FVEK).

Um script de gerenciamento (manage-bde.wsf), disponível com o Windows Vista e o Windows Server "Longhorn", propicia aos administradores de TI uma forma simples de gerenciar e verificar o status de discos. Esse script é criado com base nos provedores de WMI disponíveis e pode ser facilmente modificado para ajudar a desenvolver soluções personalizadas para as diferentes necessidades administrativas de uma empresa.

3.1 Diagrama arquitetônico

A Figura 2 mostra a arquitetura geral do BitLocker, incluindo seus vários subcomponentes. Ela exibe os componentes dos modos kernel e de usuário do BitLocker e a maneira como se integram às diferentes camadas do sistema operacional. Especificamente, a figura mostra os módulos que controlam o TPM, incluindo o snap-in MMC (Console de Gerenciamento Microsoft), o driver do TPM e os módulos de criptografia de disco.

Cc668449.29082_figure2_sm(pt-br,TechNet.10).jpg

Figura 2: A arquitetura geral do BitLocker.

3.2 Modos de autenticação na seqüência de inicialização

Você pode escolher um dos diversos modos de autenticação quando configura o BitLocker pela primeira vez. Sempre que um volume do sistema operacional protegido pelo BitLocker é inicializado, o código de inicialização do Windows Vista executa uma seqüência de etapas com base no conjunto de proteções do volume. Essas etapas incluem verificações da integridade do código e outras etapas de autenticação que devem ser verificadas antes do desbloqueio do volume protegido. Para proteção extra dos dados, o BitLocker pode usar um PIN (número de identificação pessoal) ou uma chave de inicialização (chave armazenada em uma unidade flash USB, que deve ser inserida sempre que o computador inicia).

Para fins de recuperação, o BitLocker utiliza a chave de recuperação (usada para recuperar dados criptografados em um volume com o BitLocker) ou a senha de recuperação (senha numérica), conforme mostrado na Figura 1, para que um usuário autorizado possa continuar acessando o sistema no caso de uma falha de segurança, de hardware ou de outra natureza.

O Windows Vista procura chaves nesta seqüência:

  1. Chave de liberação (consulte o Glossário no Apêndice) - A proteção da verificação de integridade foi desabilitada, e a chave mestra do volume pode ser acessada livremente. Não é necessária autenticação (consulte a subseção 4.3.4.3 , sobre como desabilitar o modo de proteção, para obter mais detalhes).

  2. Autenticação que não requer ação do usuário:

    a. TPM - O TPM valida corretamente os componentes de inicialização precoce para retirar o lacre da VMK.

    b. TPM e chave de inicialização - O TPM valida corretamente os componentes de inicialização precoce, e uma unidade flash USB contendo a chave de inicialização foi inserida.

  3. Autenticação que requer ação do usuário (interface no modo texto apresentada ao usuário):

    a. TPM e PIN - O TPM verifica se os componentes de inicialização precoce estão corretos e, além disso, o usuário deve digitar o PIN correto para que o processo de inicialização possa continuar e a unidade de disco ser desbloqueada. O PIN é protegido contra ataques de “hammering” por um TPM compatível com TCG.

    b. Chave de recuperação e/ou chave de inicialização - O usuário é solicitado a inserir a unidade flash USB que contém a chave de recuperação e/ou a chave de inicialização.

    c. Senha de recuperação - O usuário deve digitar a senha de recuperação correta.

3.3 Volumes externos

Volumes externos são volumes de sistema operacional que normalmente foram habilitados para BitLocker em outro computador e "importados" para o Windows atual no computador atual. A importação de um volume externo é um procedimento rápido e simples para recuperar informações de um disco criptografado em um computador que agora está com defeito, por exemplo. A única operação de autenticação disponível em um volume nessa condição é a de recuperação (consulte a Seção 5 Recuperação para obter detalhes). Essa operação requer uma chave de recuperação ou uma senha de recuperação.

3.4 Criptografia de Unidade de Disco BitLocker em servidores

Para os servidores armazenados em um ambiente não seguro ou compartilhado, como uma filial, o BitLocker assegura o mesmo nível de proteção de dados que oferece a computadores cliente. Esse recurso adicional disponível em servidores criptografa o volume do sistema operacional e também pode ser habilitado via WMI para quaisquer volumes de dados que o administrador de TI queira proteger com o BitLocker.

Por padrão, a Criptografia de Unidade de Disco BitLocker não é instalada com o Windows Server "Longhorn". Para adicionar o BitLocker a partir do menu InitialConfigurationTasks, selecione Adicionar Recursos e escolha Criptografia de Unidade de Disco BitLocker na lista de opções. Após a instalação do recurso BitLocker, são executadas a configuração e a manutenção, conforme descrito mais adiante neste documento. Você deve reinicializar o servidor depois de instalar a Criptografia de Unidade de Disco BitLocker nele. Utilizando a WMI, é possível habilitar o BitLocker remotamente.

Suporte a PIN
Geralmente não é uma prática recomendada habilitar o recurso PIN em um servidor no qual a velocidade de reinicialização é um fator a ser considerado ou no qual não seja possível a intervenção humana no caso de uma reinicialização. Em muitos ambientes de servidor, o tempo de atividade e o gerenciamento remoto são aspectos críticos.

Um cenário de implantação viável é habilitar o BitLocker e o recurso PIN em filiais onde um funcionário deve ativar o servidor no início de cada turno de trabalho. Nesse cenário, o responsável saberia qual é o PIN e o digitaria na inicialização.

Suporte à chave de inicialização
Há suporte para chaves de inicialização USB em servidores, mas elas só aumentam a proteção dos dados quando não são deixadas no computador após a inicialização. Portanto, a intervenção humana é necessária em cada reinicialização do servidor, para melhor proteger os dados.

3.4.1 Volumes de dados

Os volumes que não são do sistema operacional nem do sistema são chamados de "volumes de dados". A criptografia BitLocker de volumes de dados só tem suporte no Windows Server "Longhorn" v1.

O BitLocker protege volumes de dados do Windows Server "Longhorn" criptografando-os da mesma forma que o volume do sistema operacional é criptografado. O sistema operacional monta um volume de dados protegido pelo BitLocker como de costume.

Cadeia de chaves
As chaves usadas para proteger um volume de dados são dependentes das que protegem o volume do sistema operacional. Para permitir que o sistema monte esses volumes automaticamente, a cadeia de chaves que protege o volume de dados também é armazenada criptografada no volume que está inicializado. Especificamente, no Registro do volume inicializado existe uma EWK (External Wrapping Key), que consiste em uma chave AES de 256 bits que protege a VMK do volume de dados. Como a EWK fica armazenada no volume criptografado do sistema operacional, ela é protegida pelo BitLocker e pelo próprio sistema operacional Windows Server "Longhorn". Se o sistema operacional entra no modo de recuperação, os volumes de dados ficam protegidos até que o sistema operacional saia dele.

Desbloqueio automático
Permite desbloquear os volumes de dados automaticamente durante a inicialização, sem intervenção humana. Quando o desbloqueio automático está habilitado, uma cópia em texto sem formatação da EWK do volume de dados é enviada ao Registro do sistema operacional inicializado. Não é possível acessar os dados do volume de dados sem acessar o volume do sistema operacional criptografado. A primeira tentativa de ler ou consultar o volume de dados no Windows faz com que sua VMK seja descriptografada mediante a leitura da EWK no Registro. O BitLocker também elimina qualquer material de chave existente no Registro do volume do sistema operacional se ele está desativado no volume. Nessas circunstâncias, os usuários devem fornecer uma chave para acessar o volume de dados.

O administrador do sistema pode habilitar ou desabilitar o desbloqueio automático para cada sistema utilizando uma interface WMI programável. Para manter um alto nível de proteção do volume de dados, ninguém pode habilitar o desbloqueio automático, a menos que o volume do sistema operacional esteja habilitado para BitLocker e criptografado.

Configurações de cluster
O BitLocker não dá suporte a volumes de dados associados a configurações de cluster na v1.

Recuperação
A recuperação de um volume de dados é semelhante à de um volume do sistema operacional. Uma cópia da EWK deve ser armazenada em outra mídia antes de ocorrer uma falha (de preferência, durante a configuração). Se o volume de dados for corrompido, será transferido para uma nova plataforma, caso contrário o volume do sistema operacional não conseguirá recuperar a EWK para desbloqueio automático, e o usuário deverá inserir a mídia contendo a cópia da EWK.

A recuperação de um volume de dados é suportada pela interface e o Provedor de WMI. Os volumes de dados são tratados como volumes externos na versão cliente do BitLocker. A religação do volume de dados à plataforma só deve ser necessária se a EWK foi perdida ou corrompida no Registro do volume do sistema operacional.

3.5 Ameaças ao sistema

De uma perspectiva de alto nível, as ameaças ao BitLocker são divididas em duas áreas: ameaças à plataforma e ameaças causadas pelas maneiras como o sistema é usado. É possível atenuar cada classe de ameaça com medidas específicas que um usuário pode tomar para proteger o sistema.

A primeira classe refere-se a ameaças à plataforma na qual o BitLocker opera. O BitLocker tem requisitos de hardware específicos entre os diferentes modos de autenticação. Para diminuir as ameaças dessa categoria, e para que se aproveitem os benefícios de segurança avançada, esses requisitos devem ser atendidos para os modos de autenticação selecionados. Por exemplo, se for usado o modo de autenticação TPM + PIN, o usuário deverá verificar se a plataforma utilizada emprega a versão 1.2 de um TPM totalmente compatível com os requisitos do TCG.

As possíveis ameaças decorrentes do uso do sistema podem ser diminuídas adotando-se práticas recomendadas que descrevem como o sistema deve ser configurado e as práticas de usuário corretas. O usuário deve assegurar que atualizações periódicas de software sejam baixadas regularmente e que um software de segurança que ofereça proteção contra ataques seja instalado (como firewall, antivírus, anti-spyware, etc.). Além disso, no uso diário do produto, a utilização apropriada dos mecanismos de autenticação e de recuperação selecionados atenuará essa classe de ameaças. Por exemplo, assegurar o tratamento adequado da chave de inicialização (isto é, não deixá-la sempre na máquina) para impedir a perda de dados ou o acesso de usuários não autorizados é uma medida que reduzirá as ameaças à confidencialidade dos dados.

4. Ciclo de vida do sistema

Há quatro elementos principais no ciclo de vida do sistema BitLocker, como mostra a Figura 3.

Ciclo de vida da Criptografia de Unidade de Disco BitLocker

Figura 3: Ciclo de vida da Criptografia de Unidade de Disco BitLocker.

  1. Instalação: o BitLocker é instalado como parte do Windows Vista.

  2. Inicialização: o recurso BitLocker é inicializado e ativado.

  3. Uso diário: casos de uso diário com níveis potencialmente diferentes de proteção, dependendo das opções selecionadas no estágio 2.

  4. Baixa do computador: um computador habilitado para BitLocker precisa ser recolhido/atualizado/reimplantado.

As próximas seções descreverão cada um desses elementos, e casos de uso ilustram os cenários mais comuns em que o BitLocker agrega valor. Um diagrama arquitetônico detalhado é mostrado na Seção 3.2.

4.1 Instalação

Como parte do Windows Vista, o BitLocker é instalado automaticamente durante a instalação do sistema operacional com as edições Enterprise e Ultimate5. (O recurso não é ativado automaticamente.) No caso do Windows Server "Longhorn", você deve optar por instalar o recurso Criptografia de Unidade de Disco BitLocker. Durante a instalação do sistema operacional, são executadas as seguintes etapas do BitLocker (no cliente ou no servidor):

  1. Instalação dos arquivos apropriados do BitLocker.

  2. Verificação da versão correta do TPM/BIOS.

  3. Instalação dos drivers do TPM e do BitLocker.

4.2 Inicialização

A qualquer momento após a instalação e a configuração inicial do sistema operacional, o administrador do sistema pode utilizar o Painel de Controle do Windows Vista para inicializar e ativar o recurso BitLocker. Há duas etapas na configuração:

  1. Configurar o TPM (uma única vez por computador).

  2. Configurar o BitLocker (uma única vez para cada sistema operacional).

Ambas etapas requerem privilégios administrativos locais. O usuário que não tem privilégios de administrador é beneficiado pela proteção de dados do BitLocker, mas não pode ativá-lo ou desativá-lo.

A implantação em empresas, incluindo a configuração do Active Directory, a diretiva BitLocker e a instalação via script, é abordada na Seção 4.2.3.

4.2.1 Inicialização do TPM

Para inicializar o TPM, use o Assistente de Inicialização do TPM ou execute um script designado para tal. O Assistente de Inicialização do TPM pode ser acessado através do assistente do Console Administração do TPM, que é iniciado seguindo-se um link no componente Segurança do Painel de Controle.

Seja qual for o método escolhido, a inicialização do TPM6 consiste nas seguintes etapas:

  1. Se o TPM ainda não está ativado, ative-o. Os métodos de ativação variam conforme o fabricante do computador.

  2. Verifique a presença física (o administrador precisa estar fisicamente presente no console).

    a. A menos que o OEM forneça uma solução alternativa de implantação remota

  3. Efetue logon no Windows Vista.

  4. Verifique se há uma chave de endosso no interior do TPM (a chave é fornecida pelo OEM).

  5. Defina o proprietário do TPM criando uma senha de administração do TPM.

  6. Repasse a senha de administração do TPM em caução para o AD (Active Directory) e/ou salve-a em um arquivo.

    a. Observe que a publicação do AD é realizada automaticamente pelo sistema se o administrador definiu a GP (Diretiva de Grupo) para fazer isso.

Também há suporte para inicialização remota do TPM7. O componente de serviços de TPM do BitLocker expõe uma API de gerenciamento que permite programar os procedimentos de inicialização, incluindo a definição de um proprietário e a criação da senha de administração do TPM.

A inicialização do TPM é concluída. Uma vez inicializado o TPM, o administrador local pode inicializar o BitLocker.

4.2.2 Ativando a Criptografia de Unidade de Disco BitLocker

Para ativar a Criptografia de Unidade de Disco BitLocker do Windows Vista, use o assistente do recurso ou um script.

Inicie o Assistente para Configuração do BitLocker no painel Central de Segurança do Windows Vista, que orienta o usuário nas seguintes etapas:

  1. Habilitar o BitLocker para o volume do Windows Vista6.

  2. Selecionar o método de recuperação.

  3. Dar continuidade à criptografia do volume clicando no link "Ativar BitLocker™". Durante a criptografia, o BitLocker exibirá uma barra de andamento da criptografia em segundo plano e um ícone na bandeja.

O Assistente para Configuração do BitLocker permite que os administradores locais habilitem o BitLocker. Os administradores podem usar o assistente para especificar como a chave de criptografia é protegida e para dar início à criptografia do volume de disco que contém o Windows Vista.

O fluxo geral do Assistente para Configuração do BitLocker é mostrado na Figura 4 abaixo. A finalidade desse diagrama é mostrar a seqüência de telas, e não cada captura de tela. Cada captura de tela é descrita individualmente a seguir.

Cc668449.29082_figure4_sm(pt-br,TechNet.10).jpg

Figura 4: Fluxo da interface do usuário do Assistente para Configuração do BitLocker.

Opções de inicialização

As opções de autenticação da inicialização incluem:

  • Somente TPM (ignorando as telas 2a e 2b);

  • TPM + PIN (usando a tela 2a, mas não a 2b);

  • TPM + chave de inicialização (usando a tela 2b, mas não a 2a) ou

  • Em computadores não habilitados para TPM, somente chave de inicialização (usando a tela 2b).

Observe que não é possível combinar o PIN e a chave de inicialização.

Criar um PIN de inicialização
A Tela 2a oferece a opção de informar um PIN de 4 a 20 dígitos; o PIN deve ser digitado em cada reinicialização; isso adiciona um fator extra de proteção de autenticação para o volume criptografado. Consulte a Seção 4.3.2 para obter mais informações. Os administradores de domínio podem usar a Diretiva de Grupo para exigir ou desativar a criação de um PIN.

Criar e salvar uma chave de inicialização
A tela 2b oferece a opção de criar uma chave de inicialização e salvá-la em uma unidade flash USB; a chave de inicialização deve ser apresentada na porta em cada reinicialização; isso adiciona uma camada extra de proteção de autenticação para o volume do sistema operacional. Consulte a Seção 4.3.2 para obter mais informações. Os administradores de domínio podem usar a Diretiva de Grupo para exigir ou desativar uma chave de inicialização.

Opções de recuperação

O administrador local pode configurar mecanismos de recuperação para facilitar ao máximo o uso, na improvável hipótese de ocorrer um problema (consulte a Seção 5, Recuperação do sistema, para obter detalhes ).

Usar uma senha de recuperação
A tela 3 oferece a opção de criar uma senha de recuperação. Consulte a Seção 5, Recuperação do sistema , para obter mais informações sobre como a senha de recuperação pode ser utilizada em cenários de recuperação de dados. Os administradores de domínio podem usar a Diretiva de Grupo para exigir ou desativar a criação de uma senha de recuperação. O padrão é exigir uma senha de recuperação.

Salvar a senha de recuperação
A tela 4 oferece várias opções para salvar a senha de recuperação, inclusive a capacidade de exibi-la, salvá-la em um arquivo e/ou imprimi-la. Consulte a Seção 5, Recuperação do sistema , para obter mais informações sobre como a senha de recuperação pode ser utilizada em cenários de recuperação de dados. Os administradores de domínio podem usar a Diretiva de Grupo para exigir ou desativar a criação de uma senha de recuperação. O padrão é exigir uma senha de recuperação.

Opção de salvar a senha de recuperação em uma unidade USB
A tela 4a oferece a opção de salvar a senha de recuperação como um arquivo de texto em uma unidade flash USB. Além disso, se permitido pela Diretiva de Grupo, uma chave de recuperação (um equivalente legível por máquina da senha de recuperação entendida pelo usuário) é criada e salva na unidade flash USB. Consulte a Seção 5, Recuperação do sistema , para obter mais informações sobre como essa chave de recuperação pode ser utilizada em cenários de recuperação de dados. Os administradores de domínio podem usar a Diretiva de Grupo para exigir ou desativar a criação de uma chave de recuperação.

Opção de mostrar a senha de recuperação
A tela 4b oferece aos usuários a opção de mostrar a senha de recuperação.

Opção de imprimir a senha de recuperação
A tela 4c oferece aos usuários a opção de imprimir a senha de recuperação.

Opção de salvar a senha de recuperação em uma pasta
A tela 4d oferece a opção de salvar a senha de recuperação (e a chave de recuperação associada) na forma de um arquivo em uma pasta (em uma pasta de um compartilhamento de rede, por exemplo). Os administradores do domínio podem utilizar a Diretiva de Grupo para exigir ou desativar o salvamento de uma chave de recuperação em um pasta ou configurar o caminho de pasta padrão usado.

Aviso de ausência de um mecanismo de recuperação
A tela 5 mostra um aviso, lembrando o usuário que a falta de um mecanismo de recuperação pode levar à perda permanente de dados se nenhum mecanismo desse tipo foi escolhido. Essa caixa de diálogo pode ser desabilitada pelo administrador do domínio através da Diretiva de Grupo.

Notificação de que a criptografia está pronta para começar
A tela 6 avisa que a criptografia do volume pode ser iniciada. O tempo necessário para a criptografia inicial do volume está diretamente relacionado ao tamanho do volume. Porém, a criptografia é executada em segundo plano para que o computador possa continuar sendo usado durante a criptografia do volume. Além disso, o administrador pode pausar e reiniciar a operação a qualquer momento. A criptografia é pausada automaticamente quando o computador é desligado ou entra na hibernação e pode ser retomada quando o computador é reativado.

O administrador local não precisa usar a tela 6 para dar início à criptografia nesse momento -- ele pode ativar o recurso posteriormente, e a criptografia do volume iniciará depois da próxima reinicialização. O BitLocker também pode ser desativado a qualquer momento pelo administrador local.

Suporte à interface de usuário

  1. Navegue até o item BitLocker na área Segurança do Painel de Controle para ativar o BitLocker™.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker.

    • Crie uma chave de recuperação e/ou uma senha de recuperação como parte do processo de configuração, ignorando todas as outras opções.

  2. Se necessário, você pode navegar até o mesmo item do Painel de Controle para desativar o BitLocker™.

Suporte a script 8

  1. Use ProtectKeyWithTPM para proteger a chave de criptografia do volume para o TPM.

  2. Crie blobs de recuperação.

    • Use ProtectKeyWithExternalKey para criar uma chave de recuperação.

    • Use ProtectKeyWithNumericalPassword para criar uma senha de recuperação.

  3. Use Encrypt para criptografar o volume.

  4. Use GetConversionStatus para indicar quando o volume está totalmente criptografado.

  5. Use GetProtectionStatus para assegurar que a proteção do BitLocker está ativada.

  6. [Use Decrypt para descriptografar o volume e desativar a proteção do BitLocker].

4.2.3 Implantação em empresas

O BitLocker dá suporte a script e tem fácil integração com as tecnologias Active Directory e Diretiva de Grupo. Nas implantações em empresas, o administrador de TI segue estas etapas:

  1. Preparar o Active Directory para chaves do BitLocker (TPM e recuperação) executando o seguinte procedimento:

    • As chaves usadas pelo BitLocker podem ser armazenadas no Active Directory (chaves do TPM e/ou chaves de recuperação).

    • Estender o esquema com atributos e objetos do TPM e do BitLocker. (não se aplica ao Windows Server "Longhorn").

    • Definir permissões nos objetos do esquema de informações de recuperação do TPM e do BitLocker.

      • Localizar o script que contém a extensão do esquema, denominado Add-WriteACEs.vbs.

      • O script presume que a herança de permissões do objeto de domínio de nível superior para o objeto do computador de destino esteja definida. Se algum contêiner da hierarquia não permitir a aplicação das permissões herdadas do pai, elas não serão definidas como necessário.

      • Executar o script Add-WriteACEs.vbs no prompt de comando.

  2. Configurar a Diretiva de Grupo relacionada ao BitLocker.

    • Definir a Diretiva de Grupo para habilitar o backup das informações de recuperação do BitLocker e do TPM no Active Directory.

      • Configurar diretivas para:

        • estabelecer quais cenários de segurança devem ser habilitados/desabilitados/opcionais.

        • definir quais mecanismos de recuperação devem ser habilitados/desabilitados/opcionais, etc.

        • modificar as configurações padrão, que são: tudo opcional, menos a senha de recuperação, que é obrigatória. Não há suporte a script para o assistente de configuração da Diretiva de Grupo.

    • Configurar diretivas de criptografia e validação (por exemplo, o método de criptografia do volume de disco).

  3. Instalar o Windows Vista em computadores cliente.

  4. Configuração do BitLocker:

    • Inicialização do TPM via script.

    • Senha de proprietário do TPM salva no Active Directory.

    • Script executado remotamente a fim de definir a diretiva do BitLocker para salvar a senha de recuperação no AD.

  5. O uso de ferramentas de gerenciamento do sistema inspeciona os logs de auditoria para uma criptografia bem-sucedida.

4.3 Uso diário

Os sistemas habilitados para BitLocker que utilizam a autenticação somente TPM podem ser usados assim como qualquer outro sistema. Os usuários iniciam o Windows e informam o nome de usuário e a senha, o que é uma experiência normal de logon. A menos que sejam informados sobre o recurso, eles não sabem que existe um nível de proteção extra no computador.

Em sistemas configurados para cenários de segurança avançada, talvez o usuário precise digitar um PIN ou inserir uma unidade flash USB para inicializar o Windows Vista (para obter mais informações, consulte a Seção 4.3.2, Cenários de uso com proteção avançada ). Nesse caso, o fluxo normal de inicialização ou retomada é modificado para solicitar os requisitos de segurança adicionais.

4.3.1 Cenário básico da Criptografia de Unidade de Disco BitLocker

Este é o cenário básico descrito acima. Ele tem a vantagem de ser o modo de uso mais direto. O computador tem um TPM compatível (versão 1.2, com suporte ao BIOS) e dois volumes: (1) um volume do sistema e (2) um volume do sistema operacional com uma versão do Windows que dá suporte à Criptografia de Unidade de Disco BitLocker.

Cc668449.29082_figure5_sm(pt-br,TechNet.10).jpg

Figura 5: Acessando um volume habilitado para Criptografia de Unidade de Disco BitLocker com proteção do TPM.

A principal função da Criptografia de Unidade de Disco BitLocker, como mostrado na Figura 5, é proteger os dados do usuário no volume do sistema operacional do disco rígido. Para isso, os setores do disco são criptografados com uma FVEK, que sempre é criptografada com a VMK, que, por sua vez, é criptografada pelo TPM.

Esse cenário pode ser habilitado ou desabilitado pelo administrador local usando a tela Segurança do Painel de Controle do Windows Vista. Desativar o BitLocker descriptografa o volume e remove todas as chaves. Novas chaves serão criadas quando o BitLocker for posteriormente reativado.

Quando o administrador local ativa o BitLocker, é altamente recomendável criar uma senha de recuperação ou uma chave de recuperação. Sem uma chave ou uma senha de recuperação, todos os dados da unidade criptografada podem se tornar inacessíveis e irrecuperáveis se acontecer algo de errado!

4.3.2 Cenários de uso com proteção avançada

O proprietário de um computador quer proteger os dados armazenados em um sistema utilizando duas camadas de proteção.

Como mostrado na Figura 6, o BitLocker oferece dois tipos de opções de proteção multifatores: o TPM fornece o fator de integridade do sistema que é combinado com: (1) um PIN (o que o usuário sabe) ou (2) uma chave adicional armazenada em uma unidade flash USB (o que o usuário tem). Uma vantagem importante do uso de chaves armazenadas em uma unidade flash USB é que, em um cenário como esse, nem todo o material de chave está no computador local.

Cc668449.29082_figure6_sm(pt-br,TechNet.10).jpg

Figura 6: Acessando um volume habilitado para BitLocker com proteção avançada.

4.3.2.1 Autenticação do PIN
O cenário de autenticação do PIN9 tem a vantagem de oferecer a autenticação de dois fatores; a desvantagem é que o PIN é solicitado a cada inicialização. Nesse cenário de autenticação, o administrador configura um PIN quando o BitLocker é ativado. O BitLocker aplica hash no PIN especificado pelo usuário utilizando SHA-256, e os primeiros 160 bits do hash são usados como dados de autorização enviados ao TPM para lacrar a VMK. A VMK agora está protegida pelo TPM e o PIN. Para retirar o lacre da VMK, o usuário terá de digitar o PIN sempre que o computador for reinicializado ou sair da hibernação.

Suporte à interface de usuário

  1. Navegue até o item BitLocker da área Segurança do Painel de Controle para ativar o BitLocker e habilitar o suporte a PIN10.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker.

    • Crie uma chave de recuperação e/ou uma senha de recuperação como parte do processo de configuração.

    • Use a caixa de diálogo "Criar PIN?" para habilitar a autenticação do PIN (tela 2a na Figura 4) e criar o PIN.

  2. Redefina ou altere o PIN usando o link "Gerenciar Chaves" no item BitLocker do Painel de Controle.

Suporte a script

a) Para habilitar a autenticação do PIN

  1. Use ProtectKeyWithTPMAndPIN para proteger a chave de criptografia do volume para o TPM, reforçada com autenticação do PIN.

    • Esse método pode ser usado mesmo que já exista um blob de autenticação somente TPM ou que a proteção do BitLocker já tenha sido ativada.
  2. Crie blobs de recuperação:

    • Use ProtectKeyWithExternalKey para criar uma chave de recuperação.

    • Use ProtectKeyWithNumericalPassword para criar uma senha de recuperação.

  3. Use Encrypt para criptografar o volume.

  4. Use GetConversionStatus para indicar quando o volume está totalmente criptografado.

  5. Use GetProtectionStatus para assegurar que a proteção do BitLocker está ativada.

b) Para desabilitar a autenticação do PIN

  1. Use Decrypt para descriptografar o volume e desativar a proteção do BitLocker.

  2. Use DeleteKeyProtector para remover o TPM e o blob de autenticação do PIN.

  3. [Use ProtectKeyWithTPMAndPIN mais uma vez para recriar o TPM e o blob do PIN (possivelmente com outro PIN)].

Não é uma prática comum habilitar o recurso PIN em um servidor no qual a velocidade de reinicialização é um fator a ser considerado ou no qual não seja possível a intervenção humana no caso de uma reinicialização. Um cenário de implantação viável é habilitar o BitLocker e o recurso PIN em filiais onde um funcionário deve ativar o servidor no início de cada turno de trabalho. Nesse cenário, o responsável saberia qual é o PIN e o digitaria na inicialização.

4.3.2.2 Autenticação da chave de inicialização

O cenário de proteção de chave com dois fatores oferece dois fatores de autenticação. O cenário pode ser habilitado ou desabilitado começando com a tela Segurança do Painel de Controle do Windows Vista e usando a tela seguinte, da tarefa 'Criar Chave de Inicialização' (veja a tela 2b na Seção 4.2.2 ). Nesse cenário, uma chave de inicialização é armazenada em qualquer dispositivo de armazenamento enumerado pelo BIOS (como uma unidade flash USB conectável), e o usuário deve inserir esse dispositivo no computador todas as vezes em que este é inicializado11. Embora a unidade flash USB que armazena a chave de inicialização deva ficar conectada ao computador da ativação até a inicialização, ela deve ser removida após a conclusão do logon no Windows.

Suporte à interface de usuário

  1. Navegue até o item BitLocker na área Segurança do Painel de Controle para ativar o BitLocker e habilitar o suporte à chave de inicialização.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker.

    • Crie uma chave de recuperação e/ou uma senha de recuperação como parte do processo de configuração.

    • Use a caixa de diálogo "Criar chave de inicialização para mais segurança" para adicionar a chave de inicialização.

    • Veja a tela 2b na Seção 4.2.2 para obter mais informações.

  2. Duplique a chave de inicialização usando o link "Gerenciar Chaves" no item BitLocker do Painel de Controle.

Suporte a script

a) Para habilitar a autenticação da chave de inicialização

  1. Use ProtectKeyWithTPMAndStartupKey para proteger a chave de criptografia do volume para o TPM, reforçada com autenticação da chave de inicialização.

    • Esse método pode ser usado mesmo que já exista um blob de autenticação somente TPM ou que a proteção do BitLocker já tenha sido ativada.
  2. Crie blobs de recuperação.

    • Use ProtectKeyWithExternalKey para criar uma chave de recuperação.

    • Use ProtectKeyWithNumericalPassword para criar uma senha de recuperação.

  3. Use Encrypt para criptografar o volume.

  4. Use GetConversionStatus para indicar quando o volume está totalmente criptografado.

  5. Use GetProtectionStatus para assegurar que a proteção do BitLocker está ativada.

b) Para desabilitar a autenticação da chave de inicialização

  1. Use Decrypt para descriptografar o volume e desativar a proteção do BitLocker.

  2. Use DeleteKeyProtector para remover o TPM e o blob de autenticação da chave de inicialização.

  3. [Use ProtectKeyWithTPMAndStartupKey mais uma vez para recriar o TPM e o blob da chave de inicialização (possivelmente com outra chave de inicialização)].

4.3.3 Cenário de uso somente da chave de inicialização

Os proprietários de computador desejam proteger os dados em computadores que não contêm um TPM v1.2. Nesse cenário, os proprietários querem exigir que os usuários insiram uma unidade flash USB contendo uma chave de inicialização sempre que o computador é iniciado ou sai da hibernação. O perfil de segurança de um sistema que utiliza um cenário Somente de chave de inicialização será diferente da proteção de um sistema que usa um TPM, pois a integridade dos componentes de inicialização precoce não será validada em um sistema sem TPM.

Esse cenário é ativado ou desativado através do item BitLocker no Painel de Controle do Windows. O administrador local deve criar uma chave de inicialização utilizando o assistente quando ativa o BitLocker™. Esse cenário também pode ser habilitado por script. A desativação desse cenário força a descriptografia do volume e a remoção de todas as chaves, que terão de ser recriadas se o cenário for reabilitado posteriormente.

Uma vez que o sistema gerou uma chave de inicialização, o usuário insere uma unidade flash USB, e o sistema armazena a chave de inicialização nesse dispositivo. O disco rígido do computador deve ter um volume do sistema e um volume do sistema operacional (para obter mais informações sobre esse requisito, consulte a Seção 2.1, Requisitos de hardware, firmware e software do sistema ). Agora o dispositivo será solicitado no computador sempre que este for inicializado a partir do volume protegido pelo BitLocker. O usuário insere a unidade flash USB e liga o computador. O computador inicializa o sistema operacional, e o usuário pode começar a usar o sistema normalmente.

Através do item BitLocker no Painel de Controle, o usuário pode criar uma cópia de backup da chave de inicialização. No caso de um dispositivo externo que foi perdido, é necessário recuperar o volume usando a chave de recuperação ou a senha de recuperação, e uma nova chave de inicialização deve ser gerada. Todos os outros volumes que também usam a chave de inicialização perdida devem ser submetidos a um procedimento semelhante, para assegurar que a chave não seja utilizada por um usuário não autorizado.

Suporte à interface de usuário

  1. Navegue até o item BitLocker na área Segurança do Painel de Controle para ativar o BitLocker e habilitar o suporte à chave de inicialização.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker.

    • Crie uma chave de recuperação e/ou uma senha de recuperação como parte do processo de configuração.

  2. Crie e salve uma chave de inicialização como parte do Assistente para Configuração do BitLocker.

    • Veja a tela 2b na Seção 4.2.2 para obter mais informações.
  3. Salve a chave de inicialização criada como parte do Assistente para Gerenciamento de Chaves.

  4. Digite a chave de inicialização como parte do processo de inicialização.

Suporte a script

a) Para habilitar a autenticação somente da chave de inicialização

  1. Use ProtectKeyWithExternalKey para criar uma chave de inicialização usada para um computador sem um TPM compatível.

    • Esse método pode ser usado mesmo que já exista um blob de chave de inicialização ou que a proteção do BitLocker já tenha sido ativada.
  2. Use SaveExternalKeyToFile para gravar um arquivo contendo a chave de inicialização na unidade flash USB ou em outro local.

  3. Use blobs de recuperação.

    • Use ProtectKeyWithExternalKey para criar uma chave de recuperação.

    • Use ProtectKeyWithNumericalPassword para criar uma senha de recuperação.

  4. Use Encrypt para criptografar o volume.

  5. Use GetConversionStatus para indicar quando o volume está totalmente criptografado.

  6. Use GetProtectionStatus para assegurar que a proteção do BitLocker está ativada.

  7. Use UnlockWithExternalKey para desbloquear um volume com uma chave de inicialização.

b) Para desabilitar a autenticação somente da chave de inicialização

  1. Use Decrypt para descriptografar o volume e desativar a proteção do BitLocker.

  2. Use GetKeyProtectors para listar as chaves de inicialização criadas para um volume de disco.

  3. Use DeleteKeyProtector para remover o blob de autenticação da chave de inicialização associado a uma chave de inicialização criada.

  4. [Use ProtectKeyWithExternalKey mais uma vez para criar uma nova chave de inicialização].

4.3.4 Administração

O administrador local controla todos os aspectos da Criptografia de Unidade de Disco BitLocker. Ele pode habilitar ou desabilitar esse recurso diretamente na Central de Segurança do Windows.

4.3.4.1 Experiência do usuário no gerenciamento de chaves

Uma vez que o volume tenha sido criptografado e protegido com o BitLocker, a interface de usuário Gerenciar Chaves permite que os administradores local e do domínio dupliquem chaves e redefinam o PIN. Os links na interface só são exibidos para as chaves que foram criadas durante a configuração do BitLocker.

O fluxo do gerenciamento de chaves permite que o administrador acesse as seguintes opções de gerenciamento de chaves:

  • Duplicar a Senha de Recuperação

    • Mostra a senha de recuperação e permite aos usuários imprimi-la.

    • Salva (duplica) a senha de recuperação e a chave de recuperação em uma unidade flash USB.

    • Salva (duplica) a senha de recuperação e a chave de recuperação em uma pasta.

  • Duplicar a Chave de Inicialização

    • Salva a chave de inicialização em uma unidade flash USB conectável.
  • Redefinir o PIN.

4.3.4.2 Configuração e gerenciamento

A Central de Segurança do Windows mostra o status do BitLocker e permite habilitar ou desabilitar o recurso. Ela também oferece funcionalidade de configuração, como visto na Seção 4.2 . Se o BitLocker estiver ativamente criptografando ou descriptografando dados devido a uma solicitação recente de instalação ou desinstalação, será exibido o status do andamento.

Na Central de Segurança, o administrador também pode acessar o console Administração do TPM para gerenciar o TPM.

Uma ferramenta de gerenciamento por linha de comando (manage-bde.wsf) está disponível para que os administradores de TI executem a funcionalidade de script remotamente.

4.3.4.3 Atualização do computador: desabilitando o cenário de uso com proteção

O administrador pode precisar desabilitar o BitLocker temporariamente em alguns cenários, tais como:

  1. Reinicialização do computador para manutenção sem exigir entrada do usuário (por exemplo, um PIN ou uma chave de inicialização).

  2. Atualização de componentes críticos de inicialização precoce sem iniciar a recuperação do BitLocker.

    • A instalação de outro sistema operacional pode alterar o gerenciador de inicialização.

    • O reparticionamento do disco pode alterar a tabela de partição.

    • Outras tarefas do sistema que alteram os componentes de inicialização validados pelo TPM.

  3. Atualização da placa-mãe para substituir ou remover o TPM sem iniciar a recuperação do BitLocker.

  4. Desativação/desabilitação ou remoção do TPM sem iniciar a recuperação do BitLocker.

  5. Transferência de um volume de disco protegido pelo BitLocker para outro computador sem iniciar a recuperação do BitLocker.

  6. Perda de todos os blobs de recuperação e necessidade de criar novos de um modo seguro antes de iniciar a recuperação do BitLocker.

Coletivamente, chamamos esses cenários de "cenário de atualização do computador". Ele pode ser habilitado/desabilitado através do item BitLocker no Painel de Controle do Windows. São necessárias apenas algumas etapas para a atualização de um computador habilitado para BitLocker:

  1. Desativar o BitLocker temporariamente entrando no modo desativado.

  2. Atualizar o sistema.

    • Atualizar o BIOS ou instalar um Service Pack.
  3. Ativar o BitLocker - não é necessária criptografia, conforme descrito abaixo.

Forçar a entrada do BitLocker no modo desativado manterá o volume criptografado, mas a chave mestra do volume ficará livremente disponível no disco, criptografada com uma chave de liberação simétrica armazenada no disco rígido. A disponibilidade da chave de liberação desativa a proteção de dados oferecida pelo BitLocker, mas assegura que todas as próximas inicializações do computador ocorram sob quaisquer circunstâncias sem entrada do usuário. Quando o BitLocker é novamente habilitado, a chave de liberação é removida do volume de disco e a proteção do BitLocker volta a ser ativada. Além disso, a VMK é rechaveada e recriptografada.

Mover o volume protegido (disco físico) para outro computador habilitado para TPM não requer etapas adicionais, pois a chave que protege a chave mestra do volume fica armazenada localmente no disco, de modo transparente.

A exposição da chave mestra do volume, ainda que por um breve período, constitui um risco de segurança, pois é possível que um invasor tenha acessado a chave e a FVEK quando elas foram expostas pela chave de liberação.

4.4 Baixa do computador

Muitos computadores pessoais hoje são reutilizados por pessoas que não o primeiro proprietário ou usuário da máquina. Em cenários corporativos, os computadores podem ser reimplantados em outros departamentos ou removidos da empresa como parte do ciclo padrão de renovação do hardware.

Os departamentos de TI podem executar um ou mais protocolos de segurança para proteger ou excluir os dados armazenados nas máquinas antes que elas sejam transferidas ou removidas da empresa. O BitLocker pode aumentar consideravelmente a segurança das máquinas antes de elas serem reimplantadas.

A equipe de TI pode desativar o BitLocker, para que o computador (e talvez parte dos dados) ainda possa ser utilizado para outras finalidades, ou economizar tempo executando um “descomissionamento seguro”, deixando os dados permanentemente criptografados sem qualquer possibilidade de acessá-los.

4.4.1 Desativando a Criptografia de Unidade de Disco BitLocker

O administrador local pode desativar o recurso na Central de Segurança do Windows. O BitLocker oferece dois modos de desinstalação:

  • Desabilitar BitLocker - Manter criptografia. Esta opção mantém os dados criptografados no disco rígido, mas remove a dependência do hardware TPM (entrando no modo desativado; consulte a Subseção 4.3.4.3 ).

  • Desativar BitLocker - Remover criptografia. Esta opção remove toda a proteção da partição do Windows e descriptografa os dados (desativando o BitLocker).

Suporte à interface de usuário

  1. Navegue até o item BitLocker na área Segurança do Painel de Controle para ativar o BitLocker e habilitar o suporte à chave de inicialização.

  2. Clique em "Desativar BitLocker™" para desativar o BitLocker™.

Suporte a script

  1. Use Decrypt para descriptografar o volume e desativar a proteção do BitLocker.

Uma vez que o BitLocker tenha sido desativado, muitos dos dados úteis podem ser transferidos antes da reformatação da unidade de disco.

4.4.2 Descomissionamento seguro

O termo descomissionamento seguro refere-se à exclusão de blobs de chaves em um dado volume. Sem os blobs de chaves, não é possível descriptografar os dados12.

Há duas etapas envolvidas nesse processo:

  1. Remover todos os blobs de chaves de não-recuperação do volume. Isso força o usuário a passar pelo processo de recuperação na próxima inicialização e fornecer uma chave de recuperação ou uma senha de recuperação. Esse é considerado um descomissionamento seguro recuperável. Ele pode ser usado para bloquear uma máquina para fins de transporte.

  2. Remova todos os blobs de chaves utilizáveis, incluindo dados de recuperação salvos no AD. Os dados serão criptografados permanentemente, e o volume poderá ser reformatado sem pôr em risco a segurança dos dados existentes no volume protegido pelo BitLocker. Esse é um descomissionamento seguro permanente. Só execute esse procedimento se você nunca mais quiser ou precisar dos dados. A unidade não poderá ser recuperada.

O descomissionamento seguro pode ser realizado executando-se um script no nível de administração que remova todos os blobs de chaves do disco (sem suporte para interface de usuário na v1).

Suporte a script

  1. Use GetKeyProtectors para obter os identificadores de todos os protetores de chaves do tipo "TPM", "TPM + PIN" e "TPM + chave de inicialização". [Para descomissionamento seguro permanente, obtenha todos os identificadores de protetores de chaves, inclusive os de recuperação.].

  2. [Para descomissionamento seguro permanente] Crie um blob de senha de recuperação que não deverá ser usado13 (descartando a senha de recuperação real) utilizando ProtectKeyWithNumericalPassword e uma seqüência de senha gerada aleatoriamente.

  3. Use DeleteKeyProtector para remover todos os protetores de chaves utilizáveis associados aos identificadores encontrados acima.

  4. [Para descomissionamento seguro permanente] Em máquinas com TPM, remova o TPM usando a função do provedor de WMI do TPM Win32_TPM.Clear.

Essa é uma forma rápida e eficiente de tornar os dados de um volume inacessíveis.

5. Recuperação do sistema

Se acontecer algo de errado (por exemplo, se a chave de um volume não puder ser obtida automaticamente pelo BitLocker), os dados no volume criptografado poderão ser recuperados através de um processo eficiente que requer configuração mínima. Diversos cenários podem iniciar a recuperação:

  1. Mover a unidade de disco protegida pelo BitLocker para um novo computador.

  2. Atualizar a placa-mãe para uma nova (com um novo TPM).

  3. Desativar/desabilitar ou remover o TPM.

  4. Atualizar componentes críticos de inicialização precoce que gera falha na validação do TPM.

  5. Esquecer o PIN quando sua autenticação está habilitada.

  6. Perder a unidade flash USB conectável contendo a chave de inicialização, quando a autenticação da chave de inicialização está habilitada.

  7. Reimplantação de desktops ou laptops em/para outros departamentos/funcionários da empresa (por exemplo, para usuários com diferentes autorizações de segurança ou com necessidades de uso de informação distintas), o que exige a recuperação de dados antes da eliminação para o novo nível de segurança.

  8. Reatribuição de tarefas dos desktops (por exemplo, a reinstalação do sistema operacional remotamente por um administrador de TI) sem perda dos dados protegidos.

5.1 Configuração de recuperação

Utilizando a Diretiva de Grupo, o administrador de TI pode escolher quais métodos de recuperação exigir, negar ou tornar opcional para os usuários que habilitam o BitLocker. A senha de recuperação pode ser armazenada no Active Directory, e o administrador pode tornar essa opção obrigatória, proibida ou opcional (separadamente, para cada usuário do computador). Consulte a Seção 4.2.3 , que descreve as etapas de configuração do Active Directory. Além disso, os dados de recuperação podem ser armazenados em uma unidade flash USB conectável.

5.2 Cenários de recuperação

No BitLocker, a recuperação consiste em descriptografar uma cópia do blob da chave mestra do volume que foi criptografado com uma chave de recuperação armazenada em uma unidade flash USB conectável ou com uma chave criptográfica derivada de uma senha de recuperação. O TPM não é envolvido em nenhum dos cenários de recuperação; por isso, a recuperação será possível se o TPM não passar na validação dos componentes de inicialização, não funcionar corretamente ou desaparecer.

Para recuperar um volume, o usuário poderá utilizar qualquer um dos mecanismos de recuperação configurados durante a inicialização. O usuário pode utilizar uma senha de recuperação ou uma chave de recuperação (um equivalente legível por máquina da senha de recuperação).

5.2.1 Senha de recuperação

A senha de recuperação é um número de 48 dígitos gerado aleatoriamente e criado durante a configuração do BitLocker. Ela pode ser gerenciada e copiada depois que o BitLocker é habilitado. Através da interface, a senha de recuperação pode ser impressa e/ou salva em um arquivo para uso posterior.

O administrador do domínio pode configurar a Diretiva de Grupo para gerar senhas de recuperação automaticamente e fazer seu backup no Active Directory tão logo o BitLocker é habilitado. O administrador do domínio também pode optar por impedir que o BitLocker criptografe uma unidade de disco, a menos que o computador esteja conectado à rede e o backup da senha de recuperação pelo Active Directory seja bem-sucedido.

Suporte à interface de usuário

  1. Navegue até o item BitLocker™ na área Segurança do Painel de Controle para ativar o BitLocker™ e habilitar a Senha de Recuperação.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker™.
  2. Salve, visualize e/ou imprima uma senha de recuperação como parte do Assistente para Configuração do BitLocker™14

    • Veja a tela 4 na Seção 4.2.2 para obter mais informações.
  3. Salve e/ou imprima uma cópia da senha de recuperação criada como parte da interface Gerenciamento de Chaves.

  4. Digite a senha de recuperação como parte da interface de recuperação em modo texto pré-Windows.

Suporte a script

a) Para habilitar a senha de recuperação

  1. Use ProtectKeyWithNumericalPassword para criar uma senha de recuperação.

    • Esse método pode ser usado mesmo que já exista um blob de senha de recuperação ou que a proteção do BitLocker já tenha sido ativada.

    • Se o backup do Active Directory for habilitado ou exigido pela Diretiva de Grupo, esse método também armazenará a senha de recuperação para o Active Directory.

  2. Use GetKeyProtectorNumericalPassword para recuperar o conteúdo da senha numérica de um blob de senha de recuperação criado.

  3. Use UnlockWithNumericalPassword para desbloquear um volume com uma senha de recuperação.

b) Para desabilitar a chave de recuperação

  1. Use GetKeyProtectors para listar as senhas de recuperação criadas para um volume de disco.

  2. Use DeleteKeyProtector para remover o blob de autenticação da senha numérica associado a uma senha de recuperação criada.

5.2.2 Chave de recuperação

A chave de recuperação pode ser criada e salva em uma unidade flash USB conectável15 durante a configuração do BitLocker; além disso, ela pode ser gerenciada e copiada depois que o BitLocker é habilitado. Ao inserir uma unidade flash USB contendo a chave de recuperação no computador quando ele inicia, o usuário recebe acesso ao volume do sistema operacional, independentemente do estado do TPM.

Suporte à interface de usuário

  1. Navegue até o item BitLocker™ na área Segurança do Painel de Controle para ativar o BitLocker™ e habilitar a chave de recuperação.

    • Clique em "Ativar BitLocker™" para executar o Assistente para Configuração do BitLocker™.
  2. Crie e salve uma chave de recuperação como parte do Assistente para Configuração do BitLocker™16

    • Veja a tela 4 na Seção 4.2.2 para obter mais informações.
  3. Faça uma cópia da chave de recuperação criada como parte do assistente para Gerenciamento de Chaves.

  4. Digite a chave de recuperação como parte da interface de recuperação em modo texto pré-Windows.

Suporte a script

a) Para habilitar a chave de recuperação

  1. Use ProtectKeyWithExternalKey para criar uma chave de recuperação.

  2. Use SaveExternalKeyToFile para gravar um arquivo contendo a chave de recuperação em uma unidade flash USB conectável ou em outro local.

  3. Use GetKeyKeyProtector ExternalKey para recuperar o conteúdo da chave de um blob de chave de recuperação criado.

  4. Use UnlockWithExternalKey para desbloquear um volume usando uma chave de recuperação.

b) Para desabilitar a chave de recuperação

  1. Use GetKeyProtectors para listar as chaves de recuperação criadas para um volume de disco.

  2. Use DeleteKeyProtector para remover o blob de autenticação associado a uma chave de recuperação criada.

APÊNDICE

Glossário

BitLocker desabilitado
No "modo desativado", a proteção do BitLocker fica desabilitada em um volume de disco, o volume de disco é criptografado, mas a FVEK usada para criptografar o volume do sistema operacional fica livremente disponível através de uma Chave de liberação. Embora a criptografia esteja envolvida, a proteção de dados fica desabilitada.

BitLocker habilitado (ou ativado)
Quando a proteção do BitLocker está habilitada em um volume de disco, os dados presentes no volume são criptografados à medida que são gravados e descriptografados conforme vão sendo lidos. Quando o computador é iniciado, a validação bem-sucedida dos componentes críticos de inicialização precoce pelo TPM (junto com uma Chave de inicialização ou um PIN, se configurado), a entrada de uma Senha de recuperação ou a inserção de uma unidade flash USB contendo uma Chave de recuperação é necessária para descriptografar a VMK e acessar o volume.

BitLocker desativado
Nesse modo, a proteção fica desativada em um volume de disco, o volume de disco não é criptografado e a proteção do BitLocker não está em vigor. Trata-se de um volume de disco com formato de arquivo não criptografado padrão.

Blob
Objeto binário grande; qualquer dado protegido por criptografia. Por exemplo, a VMK é lacrada para o TPM, mas o blob resultante retornado pela operação TPM_Seal fica armazenado no disco. Da mesma forma, a VMK pode ser criptografada por uma Chave de liberação, Chave de inicialização ou Senha de recuperação e armazenada no disco como um blob.

Chave de liberação
Chave armazenada diretamente no volume de disco. É usada para acessar livremente a VMK e, por sua vez, a FVEK caso a proteção do BitLocker esteja desabilitada, mas o volume de disco permanece criptografado. Consulte BitLocker desabilitado .

FVEK
Chave de criptografia do volume inteiro; a chave específica de algoritmo utilizada para criptografar (e, opcionalmente, difundir) dados em setores do disco. No momento, essa chave pode ter de 128 bits a 512 bits. O algoritmo de criptografia padrão usado em volumes de disco é o AES de 128 bits com Difusor.

Volume do sistema operacional
Volume que contém um sistema operacional (como o Windows Vista, por exemplo) que pode ser carregado pelo gerenciador de inicialização do computador. Esse volume é protegido pelo BitLocker.

Descomissionamento seguro permanente
Procedimento que força a não-recuperação de um volume protegido pelo BitLocker, através da remoção de todo o material de chave necessário para descriptografar ou recuperar o disco.

PIN
Número de identificação pessoal; trata-se de um valor secreto especificado pelo administrador e que deve ser digitado sempre que o computador inicia (ou sai da hibernação). O PIN pode ter de 4 a 20 dígitos e internamente é armazenado como um hash de 256 bits dos caracteres Unicode digitados. Esse valor nunca é exibido para o usuário em nenhuma forma ou por nenhum motivo. O PIN é utilizado para fornecer outro fator de proteção junto com a autenticação do TPM.

Descomissionamento seguro recuperável
O procedimento que força o sistema a entrar no modo de recuperação removendo os blobs de chaves locais (menos os blobs de recuperação) necessários para descriptografar o disco.

Chave de recuperação
Chave usada para recuperar dados criptografados em um volume com o BitLocker. Em termos de criptografia, ela é equivalente a uma Chave de inicialização. Se disponível, a chave de recuperação descriptografa a VMK, que, por sua vez, descriptografa a FVEK.

Senha de recuperação
Senha numérica formada por 48 dígitos divididos em 8 grupos. Cada grupo de 6 dígitos é verificado por mod-11 antes de ser compactado nos 16 bits correspondentes de dados de senha. Uma cópia desses dados é armazenada no disco criptografado pela VMK e, assim, a senha de recuperação pode ser recuperada por um administrador depois que o Windows Vista é carregado.

Chave de inicialização
Chave armazenada em uma unidade flash USB que deve ser inserida todas as vezes que o computador é iniciado. A chave de inicialização é utilizada para fornecer outro fator de proteção junto com a autenticação do TPM.

Volume do sistema
O primeiro volume acessado quando um computador inicia. Esse volume contém os arquivos específicos de hardware necessários para carregar o Windows e inclui o gerenciador de inicialização do computador (para carregar vários sistemas operacionais). Em geral, o volume do sistema pode, mas não precisa, ser o mesmo volume que o do sistema operacional (de inicialização). No entanto, para que o BitLocker funcione, o volume do sistema deve estar separado do volume do sistema operacional e também não deve estar criptografado.

TPM
O Trusted Platform Module, se definido pelo Trusted Computing Group. TPM é um hardware de segurança que fornece uma raiz de confiança baseada em hardware e pode ser usado para oferecer uma variedade de serviços de criptografia. O TPM v1.2 com atualizações de BIOS compatíveis fornece criptografia de unidade de disco com recursos de verificação de integridade dos componentes de inicialização precoce para validar a integridade de componentes críticos de inicialização precoce e uma experiência de inicialização transparente.

VMK
Chave mestra do volume: chave usada para criptografar a FVEK.

*

  1. Exceto no cenário Somente chave de inicialização; consulte os detalhes na Seção 4.3.3
  2. Para obter mais informações, consulte as especificações sobre transporte somente em massa e sobre o comando UFI da classe de armazenamento em massa USB, que podem ser obtidas por download no endereço http://www.usb.org/developers/devclass\_docs\#approved (em inglês)
  3. Neste documento, "volume" significa uma área de armazenamento em um disco rígido. Um volume é formatado utilizando-se um sistema de arquivos, como NTFS, e recebe uma letra de unidade de disco. Um volume não é o mesmo que uma 'partição', que é uma parte de um disco físico que funciona como se fosse um disco separado fisicamente. Pode haver um volume para cada partição de um disco rígido, ou os volumes podem usar várias partições.
  4. O perfil de validação de plataforma TPM padrão protege a VMK contra alterações na CRTM (Core Root of Trust of Measurement), no BIOS e nas extensões de plataforma (PCR 0), no código do Option ROM (PCR 2), no código do MBR (PCR 4), no setor de inicialização NTFS (PCR 8), no bloco de inicialização NTFS (PCR 9) e no Gerenciador de Inicialização (PCR 10). O PCR 11 (controle de acesso do BitLocker) também é usado.
  5. A configuração de dois volumes mencionada na seção anterior é um pré-requisito.
  6. Instruções passo a passo detalhadas estão disponíveis aqui: https://www.microsoft.com/downloads/details.aspx?FamilyID=311f4be8-9983-4ab0-9685-f1bfec1e7d62\&DisplayLang=en (em inglês)
  7. A presença física geralmente é necessária para inicializar o TPM de um computador. No entanto, se um computador vem com um TPM já ativado, não é necessária a presença física
  8. Os nomes de método mencionados nesta seção são expostos pelo provedor de WMI do BitLocker, Win32_EncryptableVolume. Cada volume de disco que pode ser reconhecido pelo Windows Vista é uma instância da classe do provedor Win32_EncryptedVolume.
  9. A autenticação do PIN não pode ser combinada à autenticação da chave de inicialização.
  10. Os seguintes recursos de segurança estão disponíveis no Windows Vista: Uma vez que a proteção do BitLocker está ativada, o PIN não pode ser adicionado sem antes descriptografar o disco e desativar o BitLocker. Depois que o PIN é criado e a proteção do BitLocker é ativada, o PIN só pode ser removido mediante a descriptografia da unidade de disco
  11. Não é possível combinar a autenticação da chave de inicialização com a autenticação do PIN
  12. Os dados são criptografados permanentemente e são tão protegidos quanto o algoritmo criptográfico de base (AES com chaves de 128 ou 256 bits).
  13. Isso é necessário porque DeleteKeyProtector não removerá todos os protetores de chaves.
  14. Uma vez que a proteção do BitLocker está ativada, não é possível adicionar, alterar ou remover a senha de recuperação sem antes descriptografar o disco e desativar o BitLocker.
  15. Toda mídia enumerada pelo BIOS.
  16. Uma vez que a proteção do BitLocker está ativada, não é possível adicionar, alterar ou remover a chave de recuperação sem antes descriptografar o disco e desativar o BitLocker.