Guia passo a passo do BitLocker Drive Encryption do Windows Vista Beta 2

Este guia passo a passo fornece as instruções necessárias para usar o Microsoft® BitLocker™ Drive Encryption em um ambiente de teste. Recomendamos que você use as etapas fornecidas neste guia primeiro em um ambiente de laboratório de teste. Guias passo a passo não são necessariamente indicados para uso na implantação de recursos do sistema operacional Microsoft® Windows Vista™ sem a documentação associada (conforme listado na seção Recursos adicionais) e devem ser usados com critério como um documento autônomo.

Sobre o nome do produto

O BitLocker Drive Encryption é o nome final da versão do recurso para o projeto anteriormente chamado "Secure Startup – Full Volume Encryption". Algumas versões preliminares do Windows Vista ainda usam o nome antigo do projeto em cadeias de texto e títulos do Windows. Este guia passo a passo usa o nome antigo do projeto onde apropriado, como ao referir-se à interface do usuário em que ele é exibido. Caso contrário, o nome da versão do recurso é usado.

O que é o BitLocker Drive Encryption?

O BitLocker Drive Encryption é um novo recurso de segurança integral do sistema operacional Windows Vista que fornece dados off-line consideráveis e proteção ao sistema operacional de seu computador. O BitLocker garante que os dados armazenados em um computador que esteja executando o Windows Vista não serão revelados se o computador for violado quando o sistema operacional instalado estiver off-line. Opcionalmente, ele usa um TPM (Trusted Platform Module) para fornecer proteção avançada aos dados e para garantir a integridade do componente durante a primeira inicialização. Isso pode ajudar a proteger seus dados contra roubo ou exibição não autorizada por meio da criptografia de todo o volume do Windows.

O BitLocker Drive Encryption é projetado para oferecer uma experiência perfeita ao usuário final com sistemas que possuem um microchip do TPM e BIOS compatíveis. Um TPM compatível é definido como um TPM versão 1.2 com todas as modificações apropriadas do BIOS necessárias para suportar a Static Root of Trust Measurement, conforme definida pelo Trusted Computing Group. O TPM interage com o BitLocker Drive Encryption para ajudar a fornecer proteção contínua na inicialização do sistema.

O BitLocker Drive Encryption também pode ser usado em computadores sem um TPM compatível. O uso do BitLocker Drive Encryption dessa maneira fornece recursos de criptografia do volume, mas não a segurança adicional da validação precoce da integridade do arquivo de inicialização. Em vez disso, uma unidade flash USB valida a identidade do usuário na inicialização.

O BitLocker possui dois modos de TPM:

• Somente TPM. Esse modo é transparente para o usuário e a experiência de logon do usuário não é alterada. No entanto, se o TPM estiver ausente ou for alterado, o BitLocker entrará no modo de recuperação, e você precisará de uma chave de recuperação ou senha para recuperar o acesso aos dados.

• Chave de inicialização. O usuário precisará de uma chave de inicialização para fazer logon no computador. Uma chave de inicialização pode ser física (unidade flash USB com uma chave gravada legível por máquina) ou pessoal (um PIN definido pelo usuário).

O BitLocker também possui um modo para sistemas não-TPM:

• Chave da unidade flash USB. O usuário insere uma unidade flash USB no computador antes de ligá-lo. A chave armazenada na unidade flash desbloqueia o computador.

Quem deve usar o BitLocker Drive Encryption?

Este guia é destinado ao seguinte público:

• Planejadores e analistas de TI que estão avaliando o produto

• Pioneiros

• Arquitetos de segurança

Neste guia

O objetivo deste guia é ajudar os administradores a se familiarizarem com o recurso BitLocker Drive Encryption do Windows Vista. As seções a seguir fornecem informações e procedimentos básicos necessários aos administradores para iniciar a configuração e a implantação do BitLocker em suas redes.

O Cenário 1 fornece instruções para a criação de duas partições necessárias para o BitLocker Drive Encryption. O Cenário 2 fornece instruções para a ativação e inicialização do TPM. Os Cenários 3 e 4 explicam como criptografar uma unidade usando o BitLocker e o TPM. Se você não possuir um TPM, siga o Cenário 5. O Cenário 6 descreve como acessar dados criptografados após o bloqueio e como gerar um bloqueio. O Cenário 7 fornece instruções para a desativação do BitLocker Drive Encryption.

• Requisitos do BitLocker Drive Encryption

• Cenário 1: particionando um disco rígido para o BitLocker Drive Encryption

• Cenário 2: inicializando o TPM

• Cenário 3: ativando o BitLocker Drive Encryption básico

• Cenário 4: ativando o BitLocker Drive Encryption com um PIN

• Cenário 5: ativando o BitLocker Drive Encryption em um computador sem TPM

• Cenário 6: recuperando dados protegidos pelo BitLocker Drive Encryption

• Cenário 7: desativando o BitLocker Drive Encryption

• Registrando bugs e comentários em log

• Recursos adicionais

Requisitos do BitLocker Drive Encryption

Estas etapas são somente para teste. Este guia não deve ser o único recurso a ser usado para implantar o Microsoft Windows Server®, codinome "Longhorn", ou recursos do Windows Vista.

Note

É altamente recomendável não executar um depurador quando o BitLocker Drive Encryption estiver habilitado. A execução de um depurador no computador com o BitLocker Drive Encryption requer que você siga o processo de recuperação todas as vezes que reiniciar o computador.

Requisitos de hardware e de software

• Um computador que atenda aos requisitos mínimos do Windows Vista.

• Um microchip TPM, versão 1.2, ativado (Cenários 3 e 4).

• Um BIOS compatível com TCG (Trusted Computing Group) (Cenários 3 e 4).

• Duas partições de unidade NTFS, uma para o volume do sistema e uma para o volume do sistema operacional. A partição do volume do sistema deve ter, pelo menos, 1,5 GB e estar definida como partição ativa (Cenário 1).

• Uma unidade flash USB para teste usando uma unidade flash para armazenar uma chave de inicialização (Cenário 5).

• Uma configuração do BIOS para inicializar primeiro a partir do disco rígido, não das unidades USB ou de CD.

  Para qualquer teste que inclua a unidade flash USB, o BIOS deve ser configurado para ler e gravar em uma unidade flash USB durante a inicialização.

• Para teste em computadores não-TPM, não é necessário um microchip TPM compatível.

Cenário 1: particionando um disco rígido para o BitLocker Drive Encryption

Para que o BitLocker funcione, é necessário ter duas partições na unidade. A primeira partição, chamada de volume do sistema, contém as informações de inicialização em um espaço não criptografado. A segunda partição, chamada de volume do sistema operacional, é criptografada e contém o sistema operacional e os dados do usuário. É necessário criar essas partições antes de instalar o Windows Vista.

O Cenário 1 descreve como criar as duas partições necessárias para o BitLocker Drive Encryption. Este procedimento pressupõe que o backup de todos os dados da unidade tenha sido feito.

• Se você possuir uma unidade em branco com uma única partição, siga as etapas em Particionar uma unidade sem nenhum sistema operacional para o BitLocker.

Note

Verifique se foi feito backup de todos os dados e se você possui a chave do produto (Product Key) do Windows Vista.

Particionar uma unidade sem nenhum sistema operacional para o BitLocker

Neste procedimento, o computador é iniciado a partir do DVD do produto e, em seguida, uma série de comandos são inseridos para fazer o seguinte:

• Criar uma nova partição como a principal.

• Formatar um novo volume nessa nova partição.

• Criar uma segunda partição menor do que a principal.

• Definir a partição menor como ativa.

• Formatar um segundo volume na partição menor.

• Instalar o Windows Vista no volume maior (unidade C).

Note

É necessário criar uma segunda partição ativa para que o BitLocker funcione corretamente.

As letras das unidades podem não corresponder às deste exemplo. Neste exemplo, o volume do sistema operacional é rotulado como C e o volume do sistema é rotulado como S (para volume do sistema). Neste exemplo, pressupomos que o sistema possui somente uma unidade de disco rígido físico.

Para particionar uma unidade sem nenhum sistema operacional para o BitLocker

1. Inicie o computador a partir do DVD do produto Windows Vista.

2. Na tela inicial Install Windows, faça suas escolhas de InstaIlation language, Time and currency format e Keyboard layout e, em seguida, clique em Next.

3. Na próxima tela Install Windows, clique em System Recovery Options localizado na parte inferior esquerda da tela.

4. Na caixa de diálogo System Recovery Options, escolha o layout do teclado e clique em Next.

5. Na próxima caixa de diálogo System Recovery Options, verifique se nenhum sistema operacional está selecionado. Para fazer isso, clique na área vazia da lista Operating System abaixo de todas as entradas listadas. Em seguida, clique em Next.

6. Na próxima caixa de diálogo System Recovery Options, clique em Command Prompt.

7. Use Diskpart para criar a partição para o volume do sistema operacional. No prompt de comando, digite diskpart e, em seguida pressione ENTER.

8. Digite select disk 0.

9. Digite clean para apagar a tabela de partição existente.

10. Digite create partition primary para definir a partição que você está criando como a partição de tipo principal.

11. Digite assign letter=c para dar a essa partição o designador C:.

12. Digite shrink minimum=1500 para reduzir a partição em 1,5 gigabytes no final. Isso cria o espaço para o volume do sistema.

13. Digite create partition primary para criar outra partição de tipo principal no espaço à esquerda do comando shrink.

14. Digite active para definir a nova partição como ativa.

15. Digite assign letter=s para dar a essa partição o designador S.

16. Digite exit para sair do aplicativo diskpart.

17. Digite format c: /y /q /fs:NTFS para formatar corretamente o volume C.

18. Digite format s: /y /q /fs:NTFS para formatar corretamente o volume S.

19. Digite exit para sair do prompt de comando.

20. Na janela System Recovery Options, use o ícone de fechar janela na parte superior direita (ou pressione ALT+F4) para fechar a janela e retornar à tela de instalação principal. (Não clique em Shut Down ou Restart.)

21. Clique em Install now e continue com o processo de instalação do Windows Vista. Instale o Windows Vista no volume C (o volume do sistema operacional).

Cenário 2: inicializando o TPM

Este cenário descreve como inicializar o TPM no computador. Para inicializar o TPM, é necessário ativá-lo e, em seguida, definir a propriedade do TPM. Este cenário pode ser usado por administradores locais responsáveis por configurar computadores equipados com o TPM.

Para inicializar o TPM no computador, execute as etapas a seguir:

• Etapa 1: ativar o TPM

• Etapa 2: definir a propriedade do TPM

Etapa 1: ativar o TPM

O TPM deve estar ativado para que possa ajudar a manter a segurança de seu computador.

Os computadores fabricados para atender aos requisitos do Windows Vista incluem a funcionalidade do BIOS de pré-inicialização que facilita a ativação de um TPM do computador por meio do TPM Initialization Wizard. No início da inicialização, o TPM Initialization Wizard notifica o usuário sobre se o TPM do computador está ativado ou desativado.

O procedimento a seguir mostra as etapas do processo de inicialização do TPM Initialization Wizard e a ativação do TPM.

Note

Para executar o procedimento a seguir, é necessário estar conectado como um administrador em um computador equipado com o TPM.

Para iniciar o TPM Initialization Wizard e ativar o TPM

1. Clique em Start, All Programs, Accessories e, em seguida, em Run.

2. Digite tpm.msc na caixa Open e pressione Enter. O TPM Management Console é exibido.

3. Se uma caixa de diálogo User Account Control for exibida, verifique se a ação proposta é a que foi solicitada e, em seguida, clique em Continue. Para obter mais informações, consulte "Recursos adicionais" posteriormente neste documento.

4. Em Actions, clique em Initialize TPM para iniciar o TPM Initialization Wizard.

   • Se o TPM estiver desativado, o TPM Initialization Wizard exibirá a caixa de diálogo Turn on the TPM Security Hardware. Essa caixa de diálogo fornece instruções sobre como ativar o TPM. Será necessário reiniciar o sistema para ativar o TPM.

   • Se o TPM já estiver ativado, o TPM Initialization Wizard exibirá a caixa de diálogo Create the TPM owner password.

   • Se o TPM Initialization Wizard detectar que o BIOS do computador não atende aos requisitos do Windows Vista, não será possível continuar com o assistente e você será instruído a consultar a documentação do fabricante do computador para obter instruções sobre como ativar o TPM.

5. Clique em Shutdown (ou Restart) e, em seguida, siga os prompts da tela do BIOS.

   Note

   Os prompts e controles da tela do BIOS variam.

   Note

   Após reiniciar, um prompt de aceitação será exibido para garantir que um usuário presente, e não um software mal-intencionado, está ativando o TPM.

Etapa 2: definir a propriedade do TPM

O TPM precisa de um proprietário para que possa ajudar a manter a segurança do computador. Ao definir o proprietário do TPM, você atribui uma senha para que somente o proprietário autorizado do TPM possa acessá-lo e gerenciá-lo. Use a senha do TPM para desativá-lo ou para limpá-lo, se o computador precisar ser reciclado. Siga o procedimento a seguir para definir a propriedade do TPM por meio do TPM Initialization Wizard.

Note

É necessário estar conectado como um administrador para definir a propriedade do TPM.

Para definir a propriedade do TPM

1. Inicie o TPM Initialization Wizard. Consulte a Etapa 1: ativar o TPM anteriormente neste guia.

2. Na caixa de diálogo Create the TPM owner password, selecione Automatically create the password (recommended).

3. Na caixa de diálogo Save your TPM owner password , clique em Save the password e selecione um local para salvar a senha.

4. Clique em Save novamente. O arquivo da senha é salvo como nome_do_computador.tpm.

5. Clique em Print the password se desejar imprimir uma cópia impressa da senha.

   Important

   É altamente recomendável salvar a senha do proprietário do TPM em mídia removível e imprimir uma cópia da senha da chave de recuperação e armazená-la em um local seguro.

6. Clique em Initialize.

   Note

   O processo de inicialização do TPM pode levar alguns minutos para ser concluído.

7. Clique em Close.

   Caution

   Não perca essa senha. Se perder, não será possível fazer alterações administrativas até que o TPM seja limpo. Se o TPM for limpo, você forçará o BitLocker Drive Encryption a entrar no modo bloqueado.

Cenário 3: ativando o BitLocker Drive Encryption básico

O Cenário 3 descreve os procedimentos para ativar a proteção básica em um sistema com um TPM. A configuração básica é o BitLocker Drive Encryption. Depois que o volume é criptografado, o usuário faz logon no computador normalmente.

Use o procedimento a seguir para ativar o BitLocker Drive Encryption básico.

Antes de começar

• É necessário ter um TPM compatível ativado, inicializado e com um proprietário para que seja possível ativar o BitLocker.

• É necessário estar conectado como o administrador.

• É possível configurar uma impressora para imprimir as senhas de recuperação.

Para ativar o BitLocker Drive Encryption básico

1. Clique em Start, Control Panel, Security e, em seguida, em BitLocker Drive Encryption.

2. Se a caixa de diálogo User Account Control for exibida, verifique se a ação proposta é a que foi solicitada e, em seguida, clique em Continue. Para obter mais informações, consulte "Recursos adicionais" posteriormente neste documento.

3. Na tela BitLocker Drive Encryption, clique em Turn On BitLocker no volume do sistema.

4. Clique em Don't Use a Startup Key or PIN.

5. Na caixa de diálogo Create recovery password, clique em Create a recovery password.

6. Na caixa de diálogo Save the recovery password, você verá as seguintes opções:

   • Save the password on a USB drive. Salva a senha em uma unidade removível.

   • Save the password in a folder. Salva a senha em uma unidade de rede ou em outro local.

   • Show the password. Exibe a senha no monitor.

   • Print the password. Imprime a senha.

   Você precisa da senha da chave de recuperação para desbloquear os dados criptografados no volume, se o BitLocker Drive Encryption entrar em um estado bloqueado (consulte o Cenário 6: recuperando dados protegidos pelo BitLocker Drive Encryption). Essa chave de recuperação é exclusiva para essa criptografia específica do BitLocker. Não é possível usá-la para recuperar dados criptografados de qualquer outra sessão de criptografia do BitLocker.

   Escolha qualquer uma dessas opções para preservar a senha de recuperação. Armazene as senhas de recuperação separadas do computador para obter segurança máxima. Para escolher mais de um método de armazenamento da senha da chave de recuperação, selecione um, siga o assistente para determinar o local onde salvar ou imprimir e, em seguida, clique em Back para retornar à caixa de diálogo Save the recovery key as a password para escolher outro método.

7. Leia as informações apresentadas sobre criptografia de disco.

8. Na caixa de diálogo Encrypt the selected disk volume, clique em Encrypt. A barra de status Encryption in Progress é exibida. É possível monitorar o status contínuo de conclusão da criptografia do volume do disco, arrastando o cursor do mouse sobre o ícone do BitLocker Drive Encryption na barra de ferramentas na parte inferior da tela. A criptografia do volume leva aproximadamente um minuto por gigabyte para ser concluída.

   Ao concluir esse procedimento, você terá criptografado o volume do sistema operacional e criado uma chave de recuperação exclusiva para esse volume. Na próxima vez em que fizer logon, você não verá nenhuma alteração. Se o TPM for alterado ou não puder ser acessado ou se alguém tentar reiniciar a partir de um disco para driblar o sistema operacional, o computador será alternado para o modo bloqueado até que a chave de recuperação seja fornecida.

Cenário 4: ativando o BitLocker Drive Encryption com um PIN

Use o procedimento a seguir para ativar o BitLocker Drive Encryption com um PIN.

Antes de começar

• É necessário ter um TPM compatível ativado, inicializado e com um proprietário para que seja possível ativar o BitLocker.

• É necessário estar conectado como o administrador.

• É possível configurar uma impressora para imprimir as senhas de recuperação.

• Você pode usar uma unidade flash USB para salvar a chave de inicialização.

Para ativar o BitLocker Drive Encryption com um PIN

1. Clique em Start, Control Panel, Security e, em seguida, em BitLocker Drive Encryption.

2. Se a caixa de diálogo User Account Control for exibida, verifique se a ação proposta é a que foi solicitada e, em seguida, clique em Continue. Para obter mais informações, consulte "Recursos adicionais" posteriormente neste documento.

3. Na tela BitLocker Drive Encryption, clique em Turn On BitLocker no volume do sistema.

4. Leia as informações exibidas sobre o BitLocker Drive Encryption e, em seguida, clique em Next.

5. Clique em Set a Startup PIN.

6. Na caixa de diálogo Set a startup PIN, digite e confirme seu PIN.

7. Clique em Set PIN.

8. Na caixa de diálogo Create recovery password, clique em Create a recovery password.

9. Na caixa de diálogo Save the recovery password, você verá as seguintes opções:

   • Save the password on a USB drive. Salva a senha em uma unidade removível.

   • Save the password in a folder. Salva a senha em uma unidade de rede ou em outro local.

   • Show the password. Exibe a senha no monitor.

   • Print the password. Imprime a senha.

   Você precisa da senha da chave de recuperação para desbloquear os dados criptografados no volume, se o BitLocker Drive Encryption entrar em um estado bloqueado (consulte o Cenário 6: recuperando dados protegidos pelo BitLocker Drive Encryption). Essa chave de recuperação é exclusiva para essa criptografia específica do BitLocker. Não é possível usá-la para recuperar dados criptografados de qualquer outra sessão de criptografia do BitLocker.

   Escolha qualquer uma dessas opções para preservar a senha de recuperação. Armazene as senhas de recuperação separadas do computador para obter segurança máxima. Para escolher mais de um método de armazenamento da senha da chave de recuperação, selecione um, siga o assistente e, em seguida, retorne à esta tela para escolher outro método.

10. Clique em Next.

11. Na caixa de diálogo Encrypt the selected disk volume, clique em Encrypt. A barra de status Encryption in Progress é exibida. É possível monitorar o status contínuo de conclusão da criptografia do volume do disco, arrastando o cursor do mouse sobre o ícone do BitLocker Drive Encryption na barra de ferramentas na parte inferior da tela. A criptografia do volume leva aproximadamente um minuto por gigabyte para ser concluída.

    Ao concluir esse procedimento, você terá criptografado o volume do sistema operacional e criado uma chave de recuperação exclusiva para esse volume. Na próxima vez em que você fizer logon, será solicitado a digitar seu PIN. Se o TPM associado ao BitLocker Drive Encryption for alterado ou se alguém tentar iniciar o computador a partir de um disco para driblar o sistema operacional, o computador será alternado para o modo de recuperação até que a chave de recuperação seja fornecida. Se você esquecer o PIN ou não possuir a unidade flash USB com a chave de inicialização, alterne para o modo de recuperação para iniciar o computador e digitar a senha de recuperação.

    Note

    Em vez de um PIN, é possível configurar uma unidade flash USB para funcionar como uma chave de inicialização. Para obter mais informações, consulte o Cenário 5: ativando o BitLocker Drive Encryption em um computador sem TPM.

Cenário 5: ativando o BitLocker Drive Encryption em um computador sem TPM

Use o procedimento a seguir para ativar o BitLocker Drive Encryption sem um TPM.

Antes de começar

• É necessário estar conectado como o administrador.

• Você pode ter uma impressora configurada para imprimir senhas de recuperação.

• É necessário ter uma unidade flash USB para salvar a chave de inicialização.

Para ativar o BitLocker Drive Encryption em um computador sem um TPM compatível

1. Clique em Start, Control Panel, Security e, em seguida, em BitLocker Drive Encryption.

2. Se a caixa de diálogo User Account Control for exibida, verifique se a ação proposta é a que foi solicitada e, em seguida, clique em Continue. Para obter mais informações, consulte "Recursos adicionais" posteriormente neste documento.

3. Na tela BitLocker Drive Encryption, clique em Turn On BitLocker no volume do sistema.

4. Na tela Use a startup key or PIN for added security, escolha Save a Startup Key on a USB drive. Essa é a única opção disponível para configurações não-TPM.

5. Na caixa de diálogo Save your Startup Key, escolha o local de sua unidade flash USB e, em seguida, clique em Save.

6. Na tela Create recovery password, clique em Create a recovery password.

7. Na caixa de diálogo Save the recovery password, você verá as seguintes opções:

   • Save the password on a USB drive. Salva a senha em uma unidade removível.

   • Save the password in a folder. Salva a senha em uma unidade de rede ou em outro local.

   • Show the password. Exibe a senha no monitor.

   • Print the password. Imprime a senha.

   Você precisa da senha da chave de recuperação para desbloquear os dados criptografados no volume, se o BitLocker Drive Encryption entrar em um estado bloqueado (consulte o Cenário 6: recuperando dados protegidos pelo BitLocker Drive Encryption). Essa chave de recuperação é exclusiva para essa criptografia específica do BitLocker. Não é possível usá-la para recuperar dados criptografados de qualquer outra sessão de criptografia do BitLocker.

   Escolha qualquer uma dessas opções para preservar a senha de recuperação. Armazene as senhas de recuperação separadas do computador para obter segurança máxima. Para escolher mais de um método de armazenamento da senha da chave de recuperação, selecione um, siga o assistente e, em seguida, retorne à esta tela para escolher outro método.

8. Clique em Next.

9. Na caixa de diálogo Encrypt the selected disk volume, clique em Encrypt. A barra de status Encryption in Progress é exibida. É possível monitorar o status contínuo de conclusão da criptografia do volume do disco, arrastando o cursor do mouse sobre o ícone do BitLocker Drive Encryption na barra de ferramentas na parte inferior da tela. A criptografia do volume leva aproximadamente um minuto por gigabyte para ser concluída.

   Ao concluir esse procedimento, você terá criptografado o volume do sistema operacional e criado uma chave de recuperação exclusiva para esse volume. Na próxima vez em que você ligar seu computador, a unidade flash USB deverá estar conectada a uma porta USB do computador. Se não estiver, não será possível acessar os dados no volume criptografado. Para acessar os dados, é necessário ir para o modo de recuperação e fornecer a chave de recuperação.

Cenário 6: recuperando dados protegidos pelo BitLocker Drive Encryption

O Cenário 6 descreve o processo para recuperar os dados após o bloqueio de uma partição que esteja executando o Windows Vista. A partição é bloqueada quando a chave de criptografia do disco não pode ser recriada automaticamente. As causas prováveis são listadas a seguir:

• O usuário perde ou esquece o PIN ou perde a chave de inicialização.

• Ocorre um erro relacionado ao TPM.

• Um dos arquivos da inicialização inicial é modificado.

• O TPM é desativado acidentalmente e o computador é desligado.

• O TPM é limpo acidentalmente e o computador é desligado.

Quando um computador está bloqueado, a inicialização termina muito cedo no processo, antes que o sistema operacional seja iniciado. Um computador bloqueado não pode aceitar números do teclado padrão; portanto, você deve usar as chaves de função para digitar a senha da chave de recuperação. F1 a F9 representam os dígitos de 1 a 9 e F10 representa 0.

Este cenário inclui duas etapas:

Para testar a recuperação de dados

1. Clique em Start, All Programs, Accessories e, em seguida, em Run.

2. Digite tpm.msc na caixa Open e pressione Enter. O TPM Management Console é exibido.

3. Em Actions, clique em Turn TPM Off.

4. Forneça a senha do proprietário do TPM, se necessário.

5. Quando o painel Status no painel de tarefas TPM Management on Local Computer mostrar "Your TPM is off and ownership of the TPM has been taken", feche esse painel de tarefas.

6. Feche o painel de tarefas BitLocker Drive Encryption.

7. Se a unidade flash USB que contém a senha da chave de recuperação estiver conectada no sistema, use o ícone Safely Remove Hardware na área de notificação para removê-la do sistema.

8. Clique no botão Start e, em seguida, no botão Shutdown para desligar o computador.

Quando você reiniciar o computador, a senha da chave de recuperação será solicitada, porque a configuração da inicialização foi alterada desde a última vez em que você criptografou o volume.

Para recuperar dados usando o BitLocker Drive Encryption

1. Ligue o computador.

2. No BitLocker Drive Encryption Recovery Console, será solicitado que você insira a unidade de memória USB portátil que contém a chave de inicialização ou de recuperação.

   • Se você possuir o dispositivo, insira-o e pressione ENTER. Seu computador será reiniciado automaticamente. Não é necessário digitar a chave de recuperação manualmente.

   • Se você não possuir o dispositivo, pressione ESC.

3. No BitLocker Drive Encryption Recovery Console, será solicitado que você digite a senha da chave de recuperação. Se você souber a senha, digite-a e, em seguida, pressione ENTER. Se você não souber a senha, pressione ESC duas vezes e desligue o computador. Neste ponto, um administrador de rede é necessário para fornecer a senha da chave de recuperação.

Cenário 7: desativando o BitLocker Drive Encryption

O Cenário 7 descreve como desativar o BitLocker Drive Encryption e descriptografar o volume. O procedimento é o mesmo para todas as configurações do BitLocker Drive Encryption em computadores equipados com o TPM e em computadores sem um TPM compatível.

Quando você desativa o BitLocker, pode optar por desabilitar o BitLocker temporariamente ou descriptografar a unidade. A desabilitação do BitLocker permite alterações no TPM e atualizações no sistema operacional. Descriptografar a unidade significa que o volume ficará legível novamente e que a chave de recuperação será descartada. Quando um volume é descriptografado, é necessário gerar uma nova chave de recuperação, executando o processo de criptografia novamente.

Antes de começar

• É necessário estar conectado como o administrador.

• A unidade deve estar criptografada.

Para desativar o BitLocker Drive Encryption

1. Clique em Start, Control Panel, Security e, em seguida, em BitLocker Drive Encryption.

2. Na tela BitLocker Drive Encryption, localize o volume no qual deseja que o BitLocker Drive Encryption seja desativado e clique em Turn Off BitLocker Drive Encryption.

3. Na caixa de diálogo What level of decryption do you want, clique em Disable BitLocker Drive Encryption ou em Decrypt the volume, conforme necessário.

   A descriptografia do volume leva aproximadamente um minuto por gigabyte para ser concluída.

   Ao concluir esse procedimento, você descriptografou o volume do sistema operacional.

Registrando bugs e comentários em log

Como o BitLocker Drive Encryption é um novo recurso do Windows Vista, estamos muito interessados em seus comentários sobre suas experiências com o BitLocker Drive Encryption, os problemas encontrados e a utilidade da documentação.

Ao registrar bugs, use as instruções que podem ser encontradas no site do Microsoft Connect, em inglês (https://go.microsoft.com/fwlink/?LinkId=49779). Também estamos interessados em solicitações e em comentários gerais sobre o BitLocker Drive Encryption. Comentários gerais e solicitações referentes ao BitLocker Drive Encryption podem ser enviados para sstartup@microsoft.com.

Recursos adicionais

Os recursos a seguir fornecem informações adicionais sobre o BitLocker Drive Encryption:

• Para obter suporte ao produto, consulte o site do Microsoft Connect, em inglês (https://go.microsoft.com/fwlink/?LinkId=49779).

• Para acessar grupos de notícias sobre o BitLocker Drive Encryption, siga as instruções fornecidas no site do Microsoft Connect, em inglês (https://go.microsoft.com/fwlink/?LinkId=50067).

Para obter mais informações sobre o recurso User Account Control, consulte User Account Control (em inglês) no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=66018).

Suporte ao TAP (Technology Adoption Program)

Se você for um testador beta e fizer parte do programa TAP (Technology Adoption Program) beta especial, poderá enviar um e-mail para vistafb@microsoft.com para obter assistência.