TechNet
Exportar (0) Imprimir
Expandir Tudo
Para exibir o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto em inglês em uma janela popup, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Disco rígido criptografado

 

Aplica-se a: Windows Server 2012, Windows 8

O recurso de disco rígido criptografado no Windows 8 e Windows Server 2012 utiliza a criptografia rápida fornecida pela Criptografia de Unidade de Disco BitLocker para aprimorar o gerenciamento e a segurança de dados. Ao descarregar as operações de criptografia para o hardware, os discos rígidos criptografados aumentam o desempenho de disco BitLocker e reduzem o consumo de energia e de uso da CPU. Como os discos rígidos criptografados criptografam dados rapidamente, os clientes corporativos podem expandir a implantação de BitLocker com mínimo impacto na produtividade.

Os discos rígidos criptografados são uma nova classe de unidades de disco rígido com autocriptografia em um nível de hardware e permitem a criptografia de hardware do disco inteiro. O Windows 8 e Windows Server 2012 dão suporte à instalação para esses dispositivos sem modificações adicionais.

Alguns dos benefícios dos discos rígidos criptografados incluem:

  • Melhor desempenho: o hardware de criptografia, que é integrado ao controlador de unidade, permite que a unidade opere na taxa de dados total sem degradação do desempenho.

  • Alta segurança com base em hardware: a criptografia está sempre "ativada" e as chaves de criptografia nunca deixam o disco rígido. A autenticação do usuário é executada pela unidade antes de ela desbloquear, independentemente do sistema operacional

  • Facilidade de uso: a criptografia é transparente para o usuário porque está ativada por padrão. Não há nenhuma interação do usuário necessária para habilitar a criptografia. Os discos rígidos criptografados são apagados facilmente usando a chave de criptografia integrada, não é necessário criptografar novamente os dados na unidade.

  • Menor custo de propriedade: não há necessidade de uma nova infraestrutura para gerenciar chaves de criptografia, pois o BitLocker utiliza a infraestrutura dos Serviços de Domínio do Active Directory para armazenar informações de recuperação. Seu computador opera com mais eficiência porque os ciclos do processador não precisam ser usados para o processo de criptografia.

O Windows 8 e o Windows Server 2012 dão suporte para os discos rígidos criptografados nativamente no sistema operacional por meio dos seguintes mecanismos:

  • Identificação: o sistema operacional pode identificar que a unidade é um tipo de dispositivo de disco rígido criptografado

  • Ativação: o utilitário de gerenciamento de disco do sistema operacional pode ativar, criar e mapear volumes para intervalos/faixas conforme o necessário

  • Configuração: o sistema operacional pode criar e mapear volumes para intervalos/faixas conforme o necessário

  • API: o Windows 8 e Windows Server 2012 fornecem o suporte de API para que os aplicativos gerenciem discos rígidos criptografados independentemente da BDE (Criptografia de Unidade de Disco BitLocker)

  • Suporte ao BitLocker: a integração ao Painel de Controle do BitLocker fornece uma experiência de usuário final perfeita do BitLocker.

System_CAPS_warningAviso

Os discos rígidos com autocriptografia e os discos rígidos criptografados para Windows não são o mesmo tipo de dispositivo. Os discos rígidos criptografados para Windows requerem conformidade para protocolos de TCG específicos, bem como a conformidade para IEEE 1667. Os discos rígidos com autocriptografia não têm esses requisitos. É importante confirmar que o tipo de dispositivo é um disco rígido criptografado para Windows quando planejar a implantação.

Para usar um disco rígido criptografado no Windows 8 ou Windows Server 2012, os seguintes requisitos de sistema se aplicam:

Para discos rígidos criptografados usados como unidades de dados:

  • A unidade deve estar em um estado não inicializado.

  • A unidade deve estar em um estado inativo de segurança.

Para discos rígidos criptografados usados como unidades de inicialização:

  • A unidade deve estar em um estado não inicializado.

  • A unidade deve estar em um estado inativo de segurança.

  • O computador deve ser baseado em UEFI 2.3.1 e ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Esse protocolo é usado para permitir que os programas em execução no ambiente de serviços de inicialização EFI enviem comandos de protocolo de segurança para a unidade).

  • O computador deve ter o CSM (Módulo de Suporte de Compatibilidade) desabilitado na UEFI.

  • O computador deve sempre inicializar de forma nativa da UEFI.

System_CAPS_warningAviso

Todos os discos rígidos criptografados devem ser anexados a controladores não RAID para funcionarem corretamente no Windows 8 ou Windows Server 2012.

A criptografia rápida no BitLocker atende diretamente às necessidades de segurança das empresas enquanto oferece um desempenho significativamente melhorado. Nas versões anteriores do Windows, o BitLocker exigia um processo de duas etapas para concluir as solicitações de leitura/gravação, mas no Windows Server 2012, os discos rígidos criptografados descarregam as operações de criptografia para o controlador da unidade para muito mais eficiência. Quando o Windows Server 2012 inicializa um disco rígido criptografado, ele ativa o modo de segurança. Essa ativação permite que o controlador da unidade gere uma chave de mídia para cada volume que o computador host cria. Essa chave de mídia, que nunca é exposta fora do disco, é usada para criptografar ou descriptografar rapidamente cada byte de dados que é enviado ou recebido do disco.

A configuração dos discos rígidos criptografados como unidades de inicialização é feita usando os mesmos métodos que os discos rígidos padrão. Esses métodos incluem:

  • Implantar por meio de mídia: esse método de implantação envolve a instalação do Windows 8 ou do Windows Server 2012. da mídia de DVD. A configuração de discos rígidos criptografados ocorre automaticamente por meio do processo de instalação.

  • Implantar por meio da rede: esse método de implantação envolve a inicialização de um ambiente Windows PE e o uso de ferramentas de geração de imagens para aplicar uma imagem do Windows por meio de um compartilhamento de rede. Usando esse método, o componente opcional do Armazenamento Avançado deve ser incluído na imagem do Windows PE. Você pode habilitar esse componente usando o Gerenciador do Servidor, o Windows PowerShell ou a ferramenta de linha de comando DISM. Se esse componente não estiver presente, a configuração dos discos rígidos criptografados não funcionará.

  • Implantar por meio do servidor: esse método de implantação envolve a inicialização PXE de um cliente com discos rígidos criptografados presentes. A configuração de discos rígidos criptografados acontece automaticamente nesse ambiente quando o componente de Armazenamento Avançado é adicionado à imagem de inicialização PXE. Durante a implantação, a configuração TCGSecurityActivationDisabled em unattend.xml controla o comportamento de criptografia de discos rígidos criptografados. Para obter mais informações, consulte o ADK (Kit de Avaliação e Implantação) do Windows e as notas de versão relacionadas.

  • Duplicação de disco: esse método de implantação envolve o uso do Windows 8 ou do Windows Server 2012 configurado anteriormente. ferramentas de duplicação de imagem e disco para aplicar uma imagem do Windows em um disco rígido criptografado. Os discos devem ser particionados usando ferramentas de instalação do Windows 8 ou Windows Server 2012 para essa configuração funcionar. Imagens criadas usando duplicadores de disco não funcionarão.

Os discos rígidos criptografados utilizam duas chaves de criptografia no dispositivo para controlar o bloqueio e desbloqueio de dados na unidade. Elas são a DEK (Chave de Criptografia de Dados) e a AK (Chave de Autenticação).

A Chave de Criptografia de Dados é a chave usada para criptografar todos os dados na unidade. A unidade gera a DEK e ela nunca sai do dispositivo. Ela é armazenada em um formato criptografado em um local aleatório na unidade. Se a DEK for alterada ou apagada, os dados criptografados usando a DEK serão irrecuperáveis.

A Chave de Autenticação é a chave usada para desbloquear os dados na unidade. Um hash da chave é armazenado na unidade e requer a confirmação para descriptografar a DEK.

Quando um computador com um disco rígido criptografado está em um estado desligado, a unidade é bloqueada automaticamente. Conforme um computador liga, o dispositivo continua em um estado bloqueado e é desbloqueado apenas após a Chave de Autenticação descriptografar a Chave de Criptografia de Dados. Depois que a Chave de Autenticação descriptografa a Chave de Criptografia de Dados, as operações de leitura e gravação podem ocorrer no dispositivo.

Ao gravar dados na unidade, eles passam por meio de um mecanismo de criptografia antes da operação de gravação ser concluída. Da mesma forma, a leitura de dados da unidade requer que o mecanismo de criptografia descriptografe os dados antes de passar esses dados de volta para o usuário. Se a DEK precisar ser alterada ou apagada, os dados na unidade não precisam ser criptografados novamente. Uma nova chave de autenticação deve ser criada e ela criptografará novamente a DEK. Após a conclusão, a DEK agora pode ser desbloqueada usando a nova AK e as leituras e gravações no volume podem continuar.

Muitos dispositivos de disco rígido criptografado são pré-configurados para uso. Se houver necessidade de reconfiguração da unidade, use o procedimento a seguir após remover todos os volumes disponíveis e reverter a unidade para um estado não inicializado:

  1. Abra o Gerenciamento de Disco (diskmgmt.msc)

  2. Inicialize o disco e selecione o estilo de partição apropriado (MBR ou GPT)

  3. Crie um ou mais volumes no disco.

  4. Use o assistente de instalação do BitLocker para habilitar o BitLocker no volume.

Mostrar:
© 2016 Microsoft