Para exibir o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto em inglês em uma janela popup, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Novidades do BitLocker

 

Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para o usuário avançado e profissional de TI descreve a funcionalidade Criptografia de Unidade de Disco BitLocker que é nova ou alterada no Windows Server 2012 R2, Windows Server 2012, Windows 8.1 e o Windows 8.

Neste tópico:

No Windows Server 2012 R2 e no Windows 8.1, o BitLocker dá suporte aprimorado para as seguintes áreas:

O BitLocker dá suporte para a criptografia do dispositivo em computadores x86 e x64 com um TPM que dá suporte ao modo de espera conectado. Anteriormente, essa forma de criptografia estava disponível apenas em dispositivos Windows RT.

A criptografia do dispositivo ajuda a proteger dados em seu PC com Windows. Ele ajuda a impedir que usuários mal-intencionados acessem os arquivos de sistema que utilizam para descobrir sua senha ou acessem a unidade removendo-a fisicamente do seu computador e instalando-a em um diferente. Você ainda pode entrar no Windows e usar seus arquivos como faria normalmente. A criptografia do dispositivo protege a unidade do sistema operacional e quaisquer unidades de dados fixas no sistema usando a criptografia AES de 128 bits. A criptografia do dispositivo pode ser usada com uma conta da Microsoft ou uma conta de domínio. Para dar suporte à criptografia do dispositivo, o sistema deve dar suporte ao modo de espera conectado e atender aos requisitos de HCK (Kit de Certificação de Hardware) do Windows para TPM e SecureBoot em sistemas ConnectedStandby. Os pré-requisitos estão listados nas seções a seguir:

  • System.Fundamentals.Security.DeviceEncryption: requisitos gerais de criptografia do dispositivo.

  • System.Fundamentals: requisitos de sistemas do modo de espera conectado.

  • System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby: requisitos para TPM 2.0 e Inicialização Segura para conectar sistemas de modo de espera.

Diferente de uma implementação padrão do BitLocker, a criptografia do dispositivo é habilitada automaticamente para que o dispositivo esteja sempre protegido. A lista a seguir descreve a maneira como isso é feito:

  • Quando uma instalação limpa do Windows 8.1 é concluída, o computador está preparado para o primeiro uso. Como parte dessa preparação, a criptografia de dispositivo é inicializada na unidade do sistema operacional e unidades de dados fixas no computador com uma chave não criptografada (isso é o equivalente do estado suspenso do BitLocker padrão).

  • Se o dispositivo não estiver adicionado a um domínio, uma conta da Microsoft que tenha privilégios administrativos no dispositivo é necessária. Quando o administrador usa uma conta da Microsoft para entrar, a chave não criptografada é removida, uma chave de recuperação é carregada para a conta da Microsoft online e o protetor do TPM é criado. Caso um dispositivo exija a chave de recuperação, o usuário será orientado a usar um dispositivo alternativo e navegar até uma URL de acesso à chave de recuperação para recuperá-la usando suas credenciais da conta da Microsoft.

  • Se o usuário fizer logon usando uma conta de domínio, a chave não criptografada não será removida até que o usuário adicione o dispositivo a um domínio (em plataformas x86/x64) e a chave de recuperação tenha o backup realizado com êxito nos Serviços de Domínio do Active Directory A configuração de Política de Grupo Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional deve estar habilitada e a opção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional deve ser selecionada. Com essa configuração, a senha de recuperação será criada automaticamente quando o computador for adicionado ao domínio e o backup da chave de recuperação será feito no AD DS, o protetor do TPM será criado e a chave não criptografada será removida.

Para obter mais informações sobre a chave de recuperação e como acessá-la, consulte Chaves de recuperação: perguntas frequentes.

Para ativar ou desativar a criptografia de dispositivo

  1. Se você tiver executado uma instalação limpa do Windows 8.1, a criptografia de dispositivo estará ativada por padrão. Se você tiver atualizado uma instalação anterior do Windows para Windows 8.1, você pode ativar a criptografia de dispositivo usando Informações do PC.

  2. Para abrir Informações do PC, deslize o dedo da borda direita da tela, toque Configurações e toque Mudar configurações do PC. (Se você estiver usando um mouse, aponte para o canto superior direito da tela, mova o ponteiro do mouse para baixo, clique em Configurações e em Mudar configurações do PC.)

  3. Toque ou clique em PC e dispositivos e toque ou clique em Informações do PC. A seção Criptografia do Dispositivo aparece na parte inferior da página Informações do PC.

  4. Na seção Criptografia do Dispositivo, selecione Ativar.

  5. A criptografia de dispositivo não pode ser desativada em dispositivos que executam o Windows RT. Para outros dispositivos, na parte de configurações de Criptografia do Dispositivo de Informações do PC, você pode selecionar Desativar se desejar parar de usar a criptografia do dispositivo por qualquer motivo.

Se você não quiser que os dispositivos sendo implantados sejam automaticamente protegidos com a criptografia do dispositivo, é possível configurar o arquivo autônomo para impor a seguinte configuração do Registro:

  • Caminho: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Valor: PreventDeviceEncryption igual a True (1)

  • Tipo: REG_DWORD

A criptografia do dispositivo está sujeita às configurações de Política de Grupo do BitLocker, no entanto, sua configuração padrão entrará em conflito com algumas configurações da Política de Grupo. A lista a seguir descreve as configurações de política que devem ser definidas como "não configurado" ou, se configuradas, revisadas para garantir que elas dão suporte à criptografia do dispositivo.

  • Configurações Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional\Exigir autenticação adicional na inicialização:

    • Qualquer opção que exija um método de autenticação de inicialização que não seja o TPM.

      Os padrões de criptografia do dispositivo apenas permitem que o protetor de chave do TPM seja configurado quando o dispositivo é criptografado. Em computadores com Windows x84 e x86 é possível incluir um protetor adicional após o dispositivo ser criptografado por meio do Painel de Controle do BitLocker usando o item Alterar como a unidade é desbloqueada na inicialização.

  • Configurações Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional\Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas e Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas\Escolher como as unidades de dados fixas protegidas por BitLocker podem ser recuperadas

    • A criptografia do dispositivo usa apenas senhas de recuperação. Se você tiver definido essa configuração da Política de Grupo com a opção Não permitir senha de recuperação de 48 dígitos, a criptografia do dispositivo será impedida porque seu único método de recuperação é a senha de recuperação.

    • A criptografia de dispositivo requer que o backup das senhas seja feito em um local de armazenamento online. Se você tiver definido essa configuração da Política de Grupo com a opção Salvar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory desmarcada, a criptografia do dispositivo será impedida porque ela requer que o backup da senha de recuperação seja feito no AD DS se o dispositivo estiver adicionado a um domínio.

No Windows Server 2012 R2 e no Windows 8.1, os protetores de senha de recuperação usam um algoritmo compatível com FIPS, o que permite que o BitLocker seja mais gerenciáveis no modo FIPS.

System_CAPS_noteObservação

O padrão FIPS dos Estados Unidos define os requisitos de segurança e interoperabilidade de sistemas de computador que são usados pelo governo federal dos EUA. O padrão FIPS 140 define algoritmo de criptografia aprovados. O padrão FIPS 140 também estabelece requisitos para a geração de chaves e para o gerenciamento de chaves.

Para definir o modo compatível com FIPS para Windows, consulte Criptografia do sistema: Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.

As alterações na funcionalidade incluem:

  • Os protetores de senha de recuperação compatíveis com FIPS podem ser criados quando o Windows está no modo FIPS, que usa o algoritmo certificável do FIPS.

  • As senhas de recuperação criadas no modo FIPS no Windows 8.1 podem ser distinguidas de senhas de recuperação criadas em outros sistemas.

  • O desbloqueio de recuperação usando o protetor de senha de recuperação baseado no algoritmo certificável do FIPS funciona em todos os casos que atualmente funcionam para a senha de recuperação.

  • Quando as senhas de recuperação compatível com FIPS desbloqueiam volumes, o volume é desbloqueado para permitir o acesso de leitura/gravação mesmo no modo FIPS.

  • Os protetores de senha de recuperação compatível com FIPS podem ser exportados e armazenados no AD no modo FIPS.

Antes do Windows Server 2012 R2 e do Windows 8.1, quando você habilitava a conformidade do FIPS para a criptografia do sistema, o BitLocker impedia a criação ou o uso de senhas de recuperação e, em vez disso, forçava o usuário a usar chaves de recuperação. Agora, o usuário pode usar a senha de recuperação do BitLocker para desbloquear o sistema que executa o Windows Server 2012 R2 e o Windows 8.1. A lista a seguir descreve as duas aplicações:

  • Uma senha de recuperação pode ser criada no modo FIPS

    Para atender aos requisitos de FIPS, você pode habilitar a configuração de política local Criptografia do sistema: Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Para garantir que o BitLocker está ativado para computadores cliente em sua organização, você pode atualizar suas imagens de implantação do Windows para ter essa configuração de política. Você pode continuar a usar o AD para fazer backup de senhas de recuperação também. Você pode usar essas ferramentas de gerenciamento para verificar se as senhas de recuperação são criadas e armazenadas para computadores cliente do BitLocker no modo FIPS.

  • A senha de recuperação pode ser usada no modo FIPS

    Quando um usuário em sua organização precisa executar uma recuperação do BitLocker em seu computador executando o Windows 8.1, ele pode recuperar a senha de recuperação por meio de canais estabelecidos, como o suporte técnico ou seu administrador de TI, inseri-la na interface do BitLocker e continuar a trabalhar.

    O desbloqueio com a senha de recuperação é totalmente funcional no modo FIPS.

Para obter mais informações sobre como as senhas de recuperação do BitLocker compatíveis com FIPS se ajustam ao seu design, consulte Prepare your organization for BitLocker: Planning and Policies.

No Windows Server 2012 e no Windows 8, o BitLocker dá suporte aprimorado para os seguintes cenários:

  • Provisionamento do BitLocker

    O BitLocker pode ser usado para implantar unidades em um estado criptografado durante a instalação antes de chamar a configuração.

  • Criptografia de somente o espaço em disco usado

    O BitLocker agora oferece dois métodos de criptografia, criptografia de Somente Espaço em Disco Usado e de Volume completo. Somente Espaço em Disco Usado permite uma experiência de criptografia muito mais rápida somente criptografando os blocos usados no volume de destino.

  • Alteração do PIN de usuário e da senha padrão

    Permite que um usuário padrão altere o PIN ou a senha do BitLocker PIN em volumes de sistema operacional e a senha do BitLocker em volumes de dados, reduzindo o volume de chamada interno do suporte técnico.

  • Desbloqueio de rede

    Habilita um sistema BitLocker em uma rede com fio para desbloquear automaticamente o volume de sistema durante a inicialização (em redes Windows Server 2012 aptas), reduzindo os volumes de chamada do Suporte Técnico para PINs perdidos.

  • Suporte a discos rígidos criptografados para Windows

    O suporte do BitLocker para discos rígidos criptografadas fornece aos usuários um método familiar para gerenciar a criptografia da unidade juntamente com os benefícios do uso de criptografia baseada em hardware.

No Windows Vista e no Windows 7, o BitLocker é provisionado após a instalação dos volumes do sistema e de dados por meio da interface de linha de comando manage-bde ou da interface do usuário do Painel de Controle. No Windows 8 e no Windows 8.1, o BitLocker também pode ser facilmente provisionado antes da instalação do sistema operacional.

Com essa melhoria, os administradores podem habilitar o BitLocker do WinPE (Ambiente de Pré-Instalação do Windows) antes da implantação do sistema operacional. Para isso, um protetor de limpeza gerado aleatoriamente é aplicado ao volume formatado, e o volume é criptografado antes da execução do processo de instalação do Windows. Se a criptografia usa a opção Somente Espaço em Disco Usado descrita na próxima seção, esta etapa leva apenas alguns segundos e também é bem incorporada nos processos de implantação regulares.

Para verificar o status do BitLocker de um volume específico, os administradores podem observar o status da unidade no miniaplicativo de painel de controle do BitLocker ou no Windows Explorer. Quando uma unidade é pré-provisionada para o BitLocker, um status de "Aguardando Ativação" é exibido com um ícone de exclamação amarelo no Painel de Controle do BitLocker. Esse status significa que somente um protetor transparente foi usado na criptografia desse volume. Nesse caso, o volume não é protegido e precisa ter uma chave segura adicionada ao volume antes da unidade ser considerada totalmente protegida. Você pode usar o painel de controle, a ferramenta manage-bde ou as APIs do WMI para adicionar um protetor de chave apropriado e o status do volume será atualizado. A seguinte tabela mostra os protetores de chave apropriados que podem ser adicionados às unidades que foram pré-provisionadas com a proteção do BitLocker:

Tipo de Unidade

Protetor de chave

Sistema Operacional

TPM

TPM+PIN

Chave de Inicialização (para os sistemas sem um TPM)

Senha (para os sistemas sem um TPM)

Unidade de dados fixa

Desbloqueio automático

Senha

Cartão inteligente

Unidade de dados removíveis

Senha

Cartão inteligente

No Windows 7, o BitLocker exige que todos os dados e o espaço livre no disco sejam criptografados. O processo de criptografia pode levar muito tempo em volumes maiores. No Windows 8 e no Windows 8.1, os administradores podem optar por criptografar todo o volume ou apenas o espaço usado. Quando você escolhe a opção de criptografia Somente Espaço em Disco Usado, somente a parte da unidade que tem dados será criptografada. O espaço em disco livre não será criptografado. A criptografia de Somente Espaço em Disco Usado permite que a criptografia seja concluída de forma muito mais rápida em unidades vazias ou parcialmente vazias que as implementações anteriores do BitLocker. Ao provisionar o BitLocker durante as implantações do Windows, a criptografia de Somente Espaço em Disco Usado permite que o BitLocker criptografe uma unidade em um período curto de tempo antes de instalar o sistema operacional. A Criptografia Completa criptografa os dados e o espaço livre no volume, de forma semelhante à maneira pela qual o BitLocker funciona no Windows 7 e no Windows Vista.

Novas configurações de Política de Grupo para o tipo de criptografia

Você pode usar as configurações da Política de Grupo para impor que a Criptografia Completa ou de Somente Espaço em Disco Livre é usada quando o BitLocker é habilitado em uma unidade. As configurações da Política de Grupo para Criptografia de Unidade de Disco BitLocker estão localizadas no caminho \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker, do Editor de Política de Grupo Local

As seguintes novas Políticas de Grupo estão disponíveis:

  • Unidades de Dados Fixas\Aplicar tipo de criptografia de unidade de disco em unidades de dados fixas

  • Unidades do Sistema Operacional\Aplicar tipo de criptografia de unidade de disco em unidades do sistema operacional

  • Unidades de Dados Removíveis\Aplicar tipo de criptografia de unidade de disco em unidades de dados removíveis

Para cada uma destas políticas, uma vez ativadas, você pode especificar que tipo de criptografia deve ser usado em que tipo de unidade. Se a política não estiver configurada, o usuário será capaz de escolher o método de criptografia quando ele ativa o BitLocker.

Os privilégios administrativos são necessários para configurar o BitLocker para as unidades do sistema operacional. Em uma organização onde os computadores são gerenciados por profissionais de TI e os usuários geralmente não recebem privilégios administrativos, a implantação da opção de proteção TPM + PIN em um grande número de computadores pode ser desafiadora. No Windows 8, os privilégios administrativos ainda são necessários para configurar o BitLocker, porém, usuários normais são autorizados, por padrão, a alterar o PIN ou a senha do BitLocker para o volume de sistema operacional ou a senha do BitLocker para volumes de dados fixos. Isso dá aos usuários a capacidade de escolher PINs e senhas que correspondam a um mnemônico pessoal, em vez de exigir que o usuário memorize um conjunto de caracteres gerados aleatoriamente, e permite que os profissionais de TI usem a mesma configuração inicial de PIN ou senha para todas as imagens do computador. Isso também possibilita que os usuários escolham senhas e PINs mais suscetíveis a adivinhação de senha, ataques de dicionário e ataques de engenharia social e dá aos usuários a capacidade de desbloquear qualquer computador que ainda utilize a atribuição original de PIN ou senha. Exigir a complexidade de senha e a complexidade de PIN pela Política de Grupo é recomendado para ajudar a garantir que os usuários tomem cuidado apropriado na definição de senhas e PINs.

Os usuários padrão são obrigados a digitar o PIN ou a senha atual da unidade para alterar o PIN ou a senha do BitLocker. Se o usuário digitar um PIN ou senha atual incorreto, a tolerância padrão para novas tentativas é definida como 5. Quando o limite de tentativas é atingido, um usuário padrão não é capaz de alterar o PIN ou a senha do BitLocker. O contador de repetições é definido como zero quando o computador é reiniciado ou quando um administrador redefine o PIN ou a senha do BitLocker.

Você pode desabilitar a opção para permitir que usuários padrão alterem PINs e senhas usando a configuração de Política de Grupo Não permitir que usuários alterem o PIN, localizada na seção \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades do Sistema Operacional do Editor de Política de Grupo Local.

O Windows Server 2012 adicionou uma nova opção de protetor BitLocker para Volumes do Sistema Operacional, chamada Desbloqueio de Rede. O Desbloqueio de Rede permitirá um gerenciamento mais fácil para áreas de trabalho e servidores habilitados para BitLocker em um ambiente de domínio, fornecendo desbloqueio automático dos volumes do sistema operacional na reinicialização do sistema quando conectado a uma rede corporativa com fio confiável. Este recurso exige que o hardware do cliente tenha um driver DHCP implementado no firmware UEFI.

Os volumes do sistema operacional protegidos pelos protetores TPM+PIN exigem que um PIN seja inserido quando um computador é reinicializado ou desperta da hibernação (por exemplo, quando está configurado para Wake on LAN). O requisito para inserir um PIN pode tornar difícil para as empresas instalarem patches de software em áreas de trabalho e servidores não monitorados. O Desbloqueio de Rede fornece um método pelo qual os computadores que estão configurados para usar um protetor de chave TPM+PIN podem iniciar o Windows sem intervenção do usuário. O Desbloqueio de Rede funciona de forma semelhante ao TPM+StartupKey. Em vez de precisar ler a StartupKey da mídia USB, a chave do Desbloqueio de Rede é composta de uma chave armazenada no TPM e de uma chave de rede criptografada que é enviada para o servidor, descriptografada e retornada ao cliente em uma sessão segura. A chave da rede é armazenada na unidade do sistema, juntamente com uma chave de sessão AES 256, e criptografada com a chave pública RSA de 2048 bits RSA do certificado do servidor de desbloqueio. A chave de rede é descriptografada com a ajuda de um provedor, em um servidor WDS do Windows Server 2012, e retornada criptografada com a correspondente chave de sessão. Nas instâncias onde o provedor de Desbloqueio de Rede está indisponível, a tela de desbloqueio padrão de TPM+PIN é exibida para desbloquear a unidade. A configuração do servidor para habilitar o Desbloqueio de Rede também exige o provisionamento de um par de chaves pública/privada do RSA de 2048 bits no formato de um certificado X.509, que o certificado de chave pública seja distribuído aos clientes. Esse certificado deve ser gerenciado e implantado pelo Console de Gerenciamento de Política de Grupo diretamente no Controlador de Domínio do Windows Server 2012. Para obter mais informações, consulte BitLocker: Como habilitar o desbloqueio de rede.

O BitLocker fornece a FVE (Criptografia de Volume Completo) do sistema operacional Windows e dos volumes de dados usando a criptografia baseada em software. No Windows 8, o BitLocker também dá suporte para um novo tipo de dispositivo de armazenamento melhorado, o disco rígido criptografado, que está se tornando uma opção mais comum nos novos servidores e computadores. Os discos rígidos criptografados oferecem a FDE (Criptografia de Disco Completo), o que significa que a criptografia ocorre em cada bloco da unidade física. As operações de criptografia são mais eficientes em discos rígidos criptografados porque o processo de criptografia é descarregado para o controlador de armazenamento no disco (também conhecida como criptografia baseada em hardware).

O Windows 8 dá suporte a discos rígidos criptografados nativamente no sistema operacional, por meio destes mecanismos:

  • Identificação: o Windows 8 poderá identificar que a unidade é um tipo de dispositivo de disco rígido criptografado

  • Ativação: o gerenciamento de disco do Windows 8 ativará, criará e mapeará volumes para intervalos/faixas, conforme o necessário

  • Configuração: o Windows 8 criará e mapeará volumes para intervalos/faixas, conforme o necessário

  • API: o Windows 8 dá suporte de API para que os aplicativos gerenciem os discos rígidos criptografados independentemente da Criptografia de Unidade de Disco BitLocker

  • BitLocker: o Painel de Controle do BitLocker permitirá que os usuários gerenciem os discos rígidos criptografados da mesma maneira que as unidades de disco com criptografia de volume completo.

Para obter mais informações sobre requisitos de sistema para e uso, consulte Disco rígido criptografado.

Mostrar: