Visão geral do BitLocker
Aplica-se a: Windows Server 2012, Windows 8
Este tópico oferece uma visão geral de alto nível do BitLocker, incluindo uma lista de recursos novos e modificados, requisitos de sistema, aplicações práticas e funcionalidades preteridas. Ele fornece links para o conteúdo adicional que irá ajudá-lo a aprender mais sobre como trabalhar com o BitLocker.
Você quis dizer…
Descrição do recurso
A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados do sistema operacional que foi disponibilizado pela primeira vez no Windows Vista. Versões do sistema operacional posteriores continuaram a melhorar a segurança oferecida pelo BitLocker para permitir que o sistema operacional forneça a proteção do BitLocker para mais unidades e dispositivos. A integração do BitLocker com o sistema operacional trata as ameaças de roubo ou exposição dos dados decorrentes de perda, roubo ou encerramento inadequado de computadores. Manage-bde é a ferramenta de linha de comando que também pode ser usada para executar tarefas no computador relacionado com o BitLocker. Ao instalar o componente opcional BitLocker em um servidor, você também precisará instalar o recurso de Armazenamento Avançado, que é usado para dar suporte a unidades criptografadas de hardware. Nos servidores, há também um recurso BitLocker adicional que pode ser instalado, o Desbloqueio pela Rede do BitLocker. Os computadores que executam o Windows RT, Windows RT 8.1 ou Windows 8.1 podem ser protegidos usando a Criptografia de Dispositivos, que é uma versão personalizada do BitLocker.
O BitLocker fornece a maior proteção quando usado com um Trusted Platform Module (TPM) versão 1.2 ou posterior. O TPM é um componente de hardware instalado em vários computadores mais recentes pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e garantir que um computador não tenha sido violado enquanto o sistema estava offline.
Em computadores que não têm um TPM versão 1.2 ou posterior, ainda é possível usar o BitLocker para criptografar a unidade do sistema operacional Windows. No entanto, essa implementação vai exigir que o usuário insira uma chave de inicialização USB para iniciar o computador ou retomar da hibernação. Em Windows 8, usar uma senha de volume do sistema operacional é outra opção para proteger o volume do sistema operacional em um computador sem TPM. Ambas as opções não fornecem verificação de integridade de pré-inicialização do sistema oferecido pelo BitLocker com um TPM.
Além do TPM, o BitLocker oferece a opção de bloquear o processo normal de inicialização até que o usuário forneça um número de identificação pessoal (PIN) ou insira um dispositivo removível como uma unidade flash USB, que contém uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não será iniciado ou nem sairá da hibernação sem que o número de identificação ou a chave de inicialização corretos sejam apresentados.
Aplicações práticas
Os dados de um computador perdido ou roubado estão vulneráveis ao acesso não autorizado, seja pela execução de uma ferramenta de ataque a software ou pela transferência do disco rígido do computador para outro computador. O BitLocker ajuda a reduzir o acesso não autorizado aos dados por meio do aperfeiçoamento das proteções de arquivo e sistema. O BitLocker também ajuda a processar dados inacessíveis quando computadores protegidos por BitLocker são descomissionados ou reciclados.
As Ferramentas de Administração de Servidor Remoto contam com mais duas ferramentas, que podem ser usadas para gerenciar o BitLocker.
Visualizador de Senha de Recuperação do BitLocker. O Visualizador de Senha de Recuperação do BitLocker permite localizar e visualizar as senhas de recuperação da Criptografia de Unidade de Disco BitLocker que foram armazenadas nos AD DS (Serviços de Domínio Active Directory). Você pode usar essa ferramenta para ajudar a recuperar os dados armazenados em uma unidade que foi criptografada usando o BitLocker. O Visualizador de Senha de Recuperação do BitLocker é uma extensão do snap-in Usuários e Computadores do Active Directory do MMC (Console de Gerenciamento Microsoft).
Usando essa ferramenta, é possível examinar a caixa de diálogo Propriedades de um objeto do computador para visualizar as senhas de recuperação do BitLocker correspondentes. Além disso, você pode clicar com o botão direito do mouse em um controlador de domínio e então procurar uma senha de recuperação do BitLocker em todos os domínios na floresta do Active Directory. Para exibir senhas de recuperação, é necessário ser administrador de domínio, ou você deve ter recebido permissões de um administrador de domínio.
Ferramentas de Criptografia de Unidade de Disco BitLocker. As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde, além dos cmdlets de BitLocker do Windows PowerShell. Tanto manage-bde quando os cmdlets do BitLocker podem ser usados para realizar qualquer tarefa que pode ser concretizada pelo painel de controle do BitLocker, além de serem adequados para utilização em implantações automatizadas e outros cenários de script. Repair-bde é fornecido para cenários de recuperação de desastres nos quais uma unidade de disco protegida por BitLocker não possa ser desbloqueada normalmente ou usando o console de recuperação.
Funcionalidade nova e alterada
A tabela a seguir identifica as funcionalidades novas e alteradas do BitLocker em Windows 8 e Windows Server 2012. Confira Novidades do BitLocker.
Recurso/funcionalidade |
Windows 7 |
Windows 8 e Windows Server 2012 |
|---|---|---|
Redefinir o PIN ou a senha do BitLocker |
São necessários privilégios de administrador para redefinir o PIN do BitLocker em uma unidade de disco do sistema operacional e a senha em uma unidade de disco de dados fixa ou removível. |
Os usuários padrão podem redefinir o PIN do BitLocker e senha em unidades de disco do sistema operacional, discos de dados fixos e unidades removíveis de dados. |
Criptografia de disco |
O disco inteiro é criptografado quando o BitLocker está ativado. |
Você pode optar por criptografar o disco inteiro ou apenas o espaço usado no disco quando o BitLocker está ativado. À medida que o espaço em disco for consumido, o disco será criptografado. |
Suporte de unidade de disco de hardware criptografada |
Sem suporte original pelo BitLocker. |
O BitLocker oferece suporte a discos rígidos com o logotipo do Windows que já vêm criptografados pelo fabricante. |
Desbloqueio usando uma rede baseada em chave para fornecer autenticação com dois fatores |
Não está disponível. Era preciso uma presença física no computador para ter autenticação com dois fatores. |
Um novo tipo de protetor de chave permite a utilização de uma chave de rede especial para desbloquear e ignorar o prompt de inserção de PIN quando os computadores são reiniciados em redes com fio seguras. Isso permite a manutenção remota em computadores protegidos por meio da utilização de um PIN durante as horas ociosas, além de possibilitar autenticação com dois fatores sem exigir a presença física no computador, mas sem deixar de assegurar a obrigatoriedade da autenticação quando o computador não está conectado a uma rede segura. |
Proteção para clusters |
Não está disponível. |
O Windows Server 2012 inclui suporte do BitLocker para Volumes Compartilhados Clusterizados do Windows e Clusters de Failover do Windows que estão em execução em um domínio estabelecido por um controlador de domínio do Windows Server 2012 que habilitou o Serviço de Centro de Distribuição de Chaves do Kerberos. |
Conectando um protetor de código do BitLocker a uma conta do Active Directory |
Não está disponível. |
Permite que um protetor de código do BitLocker seja vinculado a uma conta de usuário, grupo ou computador no Active Directory. Esse protetor de código pode ser usado para desbloquear volumes de dados protegidos pelo BitLocker quando um usuário estiver conectado com as credenciais corretas ou conectado em um computador com as credenciais corretas. |
Funcionalidades removidas ou reprovadas
A opção Difusor não está mais disponível para ser adicionada ao algoritmo de criptografia AES (Padrão Avançado de Criptografia).
A configuração da Política de Grupo “Configurar perfil de validação do TPM” é preterida no Windows 8 e Windows Server 2012. Ela foi substituída por políticas específicas do sistema para computadores baseados em BIOS e UEFI.
A opção –tpm não tem mais suporte da manage-bde.
Requisitos de sistema
O BitLocker possui os seguintes requisitos de sistema:
Para que o BitLocker use a verificação de integridade do sistema fornecida por um TPM (Trusted Platform Module), o computador deve ter um TPM 1.2 ou 2.0. Se o computador não tiver um TPM, a habilitação do BitLocker exigirá que você salve uma chave de inicialização em um dispositivo removível como uma unidade flash USB.
Um computador com TPM deve ter também um BIOS compatível com TCG (Trusted Computing Group) ou firmware UEFI. O BIOS o firmware UEFI estabelece uma cadeia de confiança antes da inicialização do sistema operacional e deve incluir suporte para a Raiz Estática de Medida de Confiança especificada pelo TCG. Um computador sem TPM não requer firwmare compatível com TCG.
O BIOS ou firmware UEFI do sistema (para computadores com e sem TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB, incluindo a leitura de pequenos arquivos em uma unidade flash USB no ambiente pré-sistema operacional. Para obter mais informações sobre USB, consulte as especificações de armazenamento em massa em USB e especificações do comando UFI para armazenamento em massa no site de USB.
O disco rígido deve ser particionado com pelo menos duas unidades:
A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e seus arquivos de suporte. Ela deve ser formatada com o sistema de arquivos NTFS.
A unidade do sistema contém os arquivos necessários para carregar o Windows depois que o firmware preparar o hardware do sistema. O BitLocker não é habilitado nessa unidade. Para que o BitLocker funcione, a unidade do sistema não pode ser criptografada, deve ser diferente da unidade do sistema operacional e deve ser formatada com o sistema de arquivos FAT32, em computadores que usam firmware com base em UEFI, ou com o sistema de arquivos NTFS em computadores que utilizam firmware BIOS. Recomendamos que unidade do sistema tenha um tamanho de aproximadamente 350 MB. Após o BitLocker ser ativado ele deve ter aproximadamente 250 MB de espaço livre.
Quando for instalado em um novo computador, o Windows criará automaticamente as partições necessárias para o BitLocker.
Nesta biblioteca
Novidades do BitLocker para Windows 8 e Windows Server 2012 [redirecionado]
BitLocker: BitLocker Drive Encryption ferramentas usar para gerenciar o BitLocker
O BitLocker: Usar o Visualizador de senha de recuperação do BitLocker
Proteção de cluster compartilhado volumes e redes de armazenamento com o BitLocker