Implantação básica do BitLocker
Este tópico para o profissional de TI explica como os recursos do BitLocker podem ser usados para proteger os dados por meio da criptografia de unidade.
As seguintes seções fornecem informações que ajudarão você a elaborar o plano de implantação básica para implementar o BitLocker na organização:
Como usar o BitLocker para criptografar volumes
Compatibilidade de nível inferior
Como usar manage-bde para criptografar volumes com o BitLocker
Como usar o PowerShell para criptografar volumes com o BitLocker
Como usar o BitLocker para criptografar volumes
O BitLocker oferece criptografia de volume completo (FVE) para volumes do sistema operacional, bem como volumes de dados fixos e removíveis. Para dar suporte a volumes do sistema operacional totalmente criptografados, o BitLocker usa um volume do sistema não criptografado para os arquivos necessários à inicialização, à descriptografia e ao carregamento do sistema operacional. Esse volume é criado automaticamente durante uma nova instalação de sistemas operacionais cliente e servidor.
Caso essa unidade tenha sido preparada como um único espaço contíguo, o BitLocker exige um novo volume para armazenar os arquivos de inicialização. BdeHdCfg.exe pode criar esses volumes.
Observação
Para obter mais informações sobre como usar essa ferramenta, consulte Bdehdcfg na Referência de linha de comando.
A criptografia do BitLocker pode ser feita usando-se os seguintes métodos:
Painel de controle do BitLocker
Windows Explorer
Interface de linha de comando manage-bde
Cmdlets do Windows PowerShell do BitLocker
Criptografia de volumes usando-se o painel de controle do BitLocker
Criptografar volumes com o painel de controle do BitLocker é a maneira como muitos usuários utilizarão o BitLocker. O nome do painel de controle do BitLocker é Criptografia de Unidade de Disco BitLocker. O painel de controle do BitLocker dá suporte à criptografia do sistema operacional, dos dados fixos e dos volumes de dados removíveis. O painel de controle do BitLocker organizará unidades disponíveis na categoria apropriada com base na maneira como o dispositivo se reporta ao Windows. Somente volumes formatados com letras de unidades atribuídas serão exibidas corretamente no miniaplicativo do painel de controle do BitLocker.
Para iniciar a criptografia de um volume, selecione Ativar BitLocker para a unidade apropriada a fim de inicializar o Assistente de Criptografia de Unidade de Disco BitLocker. As opções do Assistente de Criptografia de Unidade de Disco BitLocker variam de acordo com o tipo de volume (volume do sistema operacional ou volume de dados).
Volume do sistema operacional
Após a inicialização, o Assistente de Criptografia de Unidade de Disco BitLocker verifica se o computador atende aos requisitos de sistema do BitLocker para criptografar um volume do sistema operacional. Por padrão, os requisitos do sistema são:
| Requisito | Descrição |
|---|---|
Configuração do hardware |
O computador deve atender aos requisitos mínimos para as versões do Windows compatíveis. |
Sistema operacional |
BitLocker é um recurso opcional que pode ser instalado pelo Gerenciador de Servidores no Windows Server 2012 e em versões posteriores. |
TPM do hardware |
TPM versão 1.2 ou 2.0 Um TPM não é necessário para o BitLocker. No entanto, somente um computador com um TPM pode fornecer a segurança adicional da verificação de integridade do sistema de pré-inicialização e a autenticação multifator. |
Configuração do BIOS |
|
Sistema de arquivos |
Para computadores inicializados de maneira nativa com o firmware da UEFI, pelo menos uma partição FAT32 para a unidade do sistema e uma partição NTFS para a unidade do sistema operacional. Para computadores com o firmware do BIOS herdado, pelo menos duas partições de disco NTFS, uma para a unidade do sistema e uma para a unidade do sistema operacional. Para qualquer firmware, a partição da unidade do sistema deve ter pelo menos 350 megabytes (MB) e estar definida como a partição ativa. |
Pré-requisitos da unidade criptografada de hardware (opcional) |
Para usar uma unidade criptografada de hardware como a unidade de inicialização, ela deve estar no estado não inicializado e no estado inativo de segurança. Além disso, o sistema deve ser sempre inicializado com a UEFI versão 2.3.1 nativa ou superior e o CSM (se houver) desabilitado. |
Passando a configuração inicial, os usuários devem inserir uma senha para o volume. Caso o volume não passe a configuração inicial do BitLocker, o usuário é apresentado a uma caixa de diálogo de erro descrevendo as ações apropriadas a serem executadas.
Depois que uma senha forte tiver sido criada para o volume, uma chave de recuperação será gerada. O Assistente de Criptografia de Unidade de Disco BitLocker solicitará um local para salvar essa chave. Uma chave de recuperação do BitLocker é uma chave especial que você pode criar ao ativar a Criptografia de Unidade de Disco BitLocker pela primeira vez em cada unidade criptografada. Você pode usar a chave de recuperação para obter acesso ao computador caso a unidade na qual o Windows está instalado (a unidade do sistema operacional) esteja criptografada usando-se a Criptografia de Unidade de Disco BitLocker e o BitLocker detecte uma condição que o impeça de desbloquear a unidade quando o computador é iniciado. Uma chave de recuperação também pode ser usada para obter acesso aos arquivos e às pastas em uma unidade de dados removível (como uma unidade de disco rígido externa ou uma unidade flash USB) criptografada usando-se o BitLocker To Go, caso você esqueça a senha ou o computador não consiga acessar a unidade por algum motivo.
Você deve armazenar a chave de recuperação imprimindo e a salvando em uma mídia removível, ou a salvando como um arquivo em uma pasta de rede ou no OneDrive, ou em outra unidade do computador que não esteja criptografando. Você não pode salvar a chave de recuperação no diretório raiz de uma unidade não removível e não pode ser armazenada no volume criptografado. Você não pode salvar a chave de recuperação de uma unidade de dados removível (como uma unidade flash USB) em uma mídia removível. O ideal é que você armazene a chave de recuperação à parte do computador. Depois de criar uma chave de recuperação, você poderá usar o painel de controle do BitLocker para criar cópias adicionais.
Quando a chave de recuperação tiver sido armazenada corretamente, o Assistente de Criptografia de Unidade de Disco BitLocker pedirá para o usuário escolher como criptografar a unidade. Existem duas opções:
Criptografar apenas espaço em disco usado – Criptografa apenas espaço em disco contendo dados
Criptografar a unidade inteira – Criptografa todo o volume, inclusive o espaço livre
É recomendável que unidades com pouco ou nenhum dado utilizem a opção de criptografia used disk space only e que unidades com dados ou um sistema operacional utilizem a opção Criptografar a unidade inteira.
Observação
Arquivos excluídos são exibidos como espaço livre para o sistema de arquivos, que não está criptografado por used disk space only. Até serem apagados ou substituídos, arquivos excluídos mantêm informações que podem ser recuperadas com ferramentas forenses de dados comuns.
Selecionar um tipo de criptografia e escolher Avançar dará ao usuário a opção de executar uma verificação do sistema BitLocker (selecionada por padrão) que garantirá que o BitLocker possa acessar corretamente as chaves de recuperação e criptografia antes do início da criptografia de volume. É recomendável executar essa verificação de sistema antes de iniciar o processo de criptografia. Se a verificação do sistema não for executada e um problema for encontrado quando o sistema operacional tentar iniciar, o usuário precisará fornecer a chave de recuperação para iniciar o Windows.
Depois de concluir a verificação do sistema (se selecionada), o Assistente de Criptografia de Unidade de Disco BitLocker reiniciará o computador para iniciar a criptografia. Após a reinicialização, os usuários precisarão inserir a senha escolhida para inicializar o volume do sistema operacional. Os usuários podem verificar o status da criptografia analisando a área de notificação do sistema ou o painel de controle do BitLocker.
Até a criptografia ser concluída, as únicas opções disponíveis para gerenciar o BitLocker envolvem a manipulação da senha que protege o volume do sistema operacional, o backup da chave de recuperação e a desativação do BitLocker.
Volume de dados
Criptografar volumes de dados usando a interface do painel de controle do BitLocker funciona de maneira semelhante à criptografia dos volumes do sistema operacional. Os usuários selecionam Ativar BitLocker dentro do painel de controle para iniciar o Assistente de Criptografia de Unidade de Disco BitLocker.
Diferentemente de volumes do sistema operacional, volumes de dados não precisam passar em testes de configuração para o assistente continuar. Após a inicialização do assistente, uma opção de métodos de autenticação para desbloquear a unidade é exibida. As opções disponíveis são senha e cartão inteligente e Desbloquear esta unidade automaticamente neste computador. Desabilitada por padrão, a última opção desbloqueará o volume de dados sem a entrada do usuário quando o volume do sistema operacional estiver desbloqueado.
Após a seleção do método de autenticação desejado e a escolha de Avançar, o assistente apresenta opções para armazenamento da chave de recuperação. Essas opções são as mesmas para volumes do sistema operacional.
Com a chave de recuperação salva, selecionar Avançar no assistente mostrará opções disponíveis para criptografia. Essas opções são as mesmas para volumes do sistema operacional; used disk space only e full drive encryption. Caso o volume criptografado seja novo ou vazio, é recomendável que used space only encryption seja selecionado.
Com um método de criptografia escolhido, uma tela de confirmação final é exibida antes de iniciar o processo de criptografia. Selecionar Iniciar criptografia começará a criptografia.
O status da criptografia é exibido na área de notificação ou dentro do painel de controle do BitLocker.
Opção do OneDrive
Existe uma nova opção para armazenar a chave de recuperação do BitLocker usando-se o OneDrive. Essa opção requer que os computadores não sejam membros de um domínio e que o usuário esteja usando uma conta da Microsoft. As contas locais não dão a opção de utilizar o OneDrive. Usar a opção OneDrive é o padrão, o método de armazenamento de chave de recuperação recomendado para computadores que não tenham ingressado em um domínio.
Os usuários podem analisar se a chave de recuperação foi salva corretamente verificando o OneDrive da pasta do BitLocker criado automaticamente durante o processo de gravação. A pasta conterá dois arquivos, um leiame.txt e a chave de recuperação. Para usuários que estejam armazenando mais de uma senha de recuperação no OneDrive, eles podem identificar a chave de recuperação necessária observando o nome do arquivo. A ID da chave de recuperação é acrescentada ao final do nome do arquivo.
Como usar o BitLocker dentro do Windows Explorer
O Windows Explorer permite que os usuários iniciem o Assistente de Criptografia de Unidade de Disco BitLocker clicando com o botão direito do mouse em um volume e selecionando Ativar BitLocker. Essa opção está disponível em computadores cliente por padrão. Em servidores, você deve primeiro instalar os recursos BitLocker e Experiência Desktop para essa opção estar disponível. Depois de selecionar Ativar BitLocker, o assistente funciona exatamente como funciona quando iniciado usando-se o painel de controle do BitLocker.
Compatibilidade de nível inferior
A tabela a seguir mostra a matriz de compatibilidade para sistemas com o BitLocker habilitado e apresentado para uma versão diferente do Windows.
Tabela 1: Compatibilidade cruzada para volumes criptografados de Windows 10, Windows 8.1, Windows 8 e Windows 7
Tipo de criptografia |
Windows 10 e Windows 8.1 |
Windows 8 |
Windows 7 |
Totalmente criptografado no Windows 8 |
Apresentado como totalmente criptografado |
N/D |
Apresentado como totalmente criptografado |
Criptografado somente espaço em disco usado no Windows 8 |
Apresentado como criptografado na gravação |
N/D |
Apresentado como totalmente criptografado |
Volume totalmente criptografado no Windows 7 |
Apresentado como totalmente criptografado |
Apresentado como totalmente criptografado |
N/D |
Volume parcialmente criptografado no Windows 7 |
Windows 10 e Windows 8.1 concluirão a criptografia, independentemente da política |
O Windows 8 concluirá a criptografia, independentemente da política |
N/D |
Criptografia de volumes usando-se a interface de linha de comando manage-bde
manage-bde é um utilitário de linha de comando que pode ser usado em operações de script do BitLocker. manage-bde oferece opções adicionais não exibidas no painel de controle do BitLocker. Para ver uma lista completa das opções, consulte Manage-bde.
manage-bde oferece inúmeras opções mais amplas para configurar o BitLocker. Isso significa que usar a sintaxe de comando pode exigir cuidado e possivelmente uma personalização posterior pelo usuário. Por exemplo, usar apenas o comando manage-bde -on em um volume de dados criptografará totalmente o volume sem protetores de autenticação. Um volume criptografado dessa maneira ainda requer a interação do usuário para ativar a proteção do BitLocker, mesmo que o comando tenha sido concluído com êxito porque um método de autenticação precisa ser adicionado ao volume para que ele seja totalmente protegido.
Os usuários de linha de comando precisam determinar a sintaxe apropriada para uma determinada situação. A seção a seguir aborda a criptografia geral para volumes do sistema operacional e volumes de dados.
Volume do sistema operacional
Estão listados abaixo exemplos de comandos válidos básicos para volumes de sistema operacional. Em geral, usar apenas o comando manage-bde -on <drive letter> criptografará o volume do sistema operacional com um protetor somente TPM e sem uma chave de recuperação. No entanto, muitos ambientes exigem protetores mais seguros, como senhas ou PINs e devem ser capazes de recuperar informações com uma chave de recuperação.
Determinação do status do volume
Uma prática recomendada ao se usar manage-bde é determinar o status do volume no sistema de destino. Use o seguinte comando para determinar o status do volume:
manage-bde -status
Esse comando retorna os volumes no destino, o status da criptografia atual e o tipo de volume (sistema operacional ou dados) para cada volume. Usando essas informações, os usuários podem determinar o melhor método de criptografia para o ambiente.
Habilitação do BitLocker sem um TPM
Por exemplo, suponhamos que você queira habilitar o BitLocker em um computador sem um chip do TPM. Para habilitar corretamente o BitLocker para o volume do sistema operacional, você precisará usar uma unidade flash USB como uma chave de inicialização (neste exemplo, a letra da unidade E). Você deve primeiro criar a chave de inicialização necessária para o BitLocker usando a opção –protectors, salvá-la na unidade USB em E: e começar o processo de criptografia. Você precisará reiniciar o computador quando solicitado para concluir o processo de criptografia.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Habilitação do BitLocker apenas com um TPM
É possível criptografar o volume do sistema operacional sem protetores definidos usando-se manage-bde. O comando para fazer isso é:
manage-bde -on C:
Isso criptografará a unidade usando-se o TPM como o protetor. Caso não tenha certeza do protetor de um volume, um usuário pode usar a opção -protectors em manage-bde para listar essas informações com o comando:
manage-bde -protectors -get <volume>
Provisionamento do BitLocker com dois protetores
Outro exemplo é um usuário em hardware que não seja TPM que queira adicionar uma senha e um protetor baseado em SID ao volume do sistema operacional. Neste exemplo, o usuário adiciona os protetores primeiro. Isso é feito com o comando:
manage-bde -protectors -add C: -pw -sid <user or group>
Esse comando exigirá que o usuário insira e confirme o protetor de senha antes de adicioná-los ao volume. Com os protetores habilitados no volume, o usuário só precisa ativar o BitLocker.
Volume de dados
Os volumes de dados usam a mesma sintaxe de criptografia dos volumes do sistema operacional, mas não exigem protetores para a operação ser concluída. A criptografia de volumes de dados pode ser feita usando-se o comando base: manage-bde -on <drive letter> ou os usuários podem optar por adicionar protetores ao volume. É recomendável que pelo menos um protetor primário e um protetor de recuperação sejam adicionados a um volume de dados.
Habilitação do BitLocker com uma senha
Um protetor comum para um volume de dados é o protetor de senha. No exemplo abaixo, adicionamos um protetor de senha ao volume e ativamos o BitLocker.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Como usar manage-bde para criptografar volumes com o BitLocker
Criptografia de volumes com os cmdlets do Windows PowerShell do BitLocker
Os cmdlets do Windows PowerShell oferecem uma maneira alternativa de trabalhar com o BitLocker. Usando recursos de script do Windows PowerShell, os administradores podem integrar opções do BitLocker a scripts existentes com facilidade. A lista abaixo exibe os cmdlets do BitLocker disponíveis.
Nome |
Parâmetros |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
Semelhante a manage-bde, os cmdlets do Windows PowerShell permitem uma configuração além das opções oferecidas no painel de controle. Assim como acontece com manage-bde, os usuários precisam levar em consideração as necessidades específicas do volume que estão criptografando antes de executar cmdlets do Windows PowerShell.
Um bom passo inicial é determinar o estado atual dos volumes no computador. É possível fazer isso usando-se o cmdlet de volume Get-BitLocker. A saída desse cmdlet exibe informações sobre o tipo de volume, os protetores, o status da proteção e outras informações úteis.
Às vezes, nem todos os protetores podem ser mostrados quando se usa Get-BitLockerVolume por falta de espaço na exibição de saída. Caso não veja todos os protetores de um volume, você pode usar o comando de pipe do Windows PowerShell (|) para formatar uma listagem dos protetores.
Observação
Caso haja mais de quatro protetores para um volume, o comando de pipe pode ficar sem espaço de exibição. Para volumes com mais de quatro protetores, use o método descrito na seção abaixo para gerar uma listagem de todos os protetores com ID de protetor.
Get-BitLockerVolume C: | fl
Caso queira remover os protetores existentes antes do provisionamento do BitLocker no volume, você pode utilizar o cmdlet Remove-BitLockerKeyProtector. Realizar isso requer que o GUID associado ao protetor seja removido.
Um script simples pode redirecionar os valores de cada retorno de Get-BitLockerVolume para outra variável conforme visto abaixo:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
Usando-o, podemos exibir as informações na variável $keyprotectors para determinar o GUID de cada protetor.
Usando essas informações, podemos remover o protetor de chave de um volume específico usando o comando:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Observação
O cmdlet do BitLocker exige o GUID do protetor de chave entre aspas para ser executado. Certifique-se de que todo o GUID, com chaves, esteja incluído no comando.
Volume do sistema operacional
Usar os cmdlets do Windows PowerShell do BitLocker é semelhante a trabalhar com a ferramenta manage-bde para criptografar volumes do sistema operacional. O Windows PowerShell oferece aos usuários muita flexibilidade. Por exemplo, os usuários podem adicionar o protetor desejado como parte do comando para criptografar o volume. Abaixo estão exemplos de cenários de usuário e etapas comuns para realizá-los usando-se os cmdlets do BitLocker para Windows PowerShell.
Para habilitar o BitLocker com apenas o protetor de TPM. Isso pode ser feito usando-se o comando:
Enable-BitLocker C:
O exemplo abaixo adiciona um protetor adicional, os protetores StartupKey e opta por ignorar o teste de hardware do BitLocker. Neste exemplo, a criptografia começa imediatamente sem a necessidade de uma reinicialização.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Volume de dados
A criptografia do volume de dados usando-se o Windows PowerShell é a mesma para volumes do sistema operacional. Você deve adicionar os protetores desejados antes de criptografar o volume. O exemplo a seguir adiciona um protetor de senha para o volume E: usando a variável $pw como a senha. A variável $pw é mantida como um valor SecureString para armazenar a senha definida pelo usuário. Por fim, a criptografia começa.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Como usar um protetor baseado em SID no Windows PowerShell
O protetor ADAccountOrGroup é um protetor baseado em SID do Active Directory. Esse protetor pode ser adicionado ao sistema operacional e aos volumes de dados, embora não desbloqueie volumes do sistema operacional no ambiente de pré-inicialização. O protetor requer o SID da conta de domínio ou do grupo a ser vinculado ao protetor. O BitLocker pode proteger um disco com suporte a cluster adicionando um protetor baseado em SID para o Objeto de Nome do Cluster (CNO) que permite o failover correto do disco e o desbloqueio para qualquer computador membro do cluster.
Aviso
O protetor baseado em SID requer o uso de um protetor adicional (como TPM, PIN, chave de recuperação etc.) quando usado em volumes do sistema operacional.
Para adicionar um protetor ADAccountOrGroup a um volume é preciso o SID do domínio real ou o nome do grupo precedido pelo domínio e por uma barra invertida. No exemplo abaixo, a conta CONTOSO\Administrador é adicionada como um protetor ao volume de dados G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Para usuários que queiram usar o SID para a conta ou o grupo, a primeira etapa é determinar o SID associada à conta. Para obter o SID específico de uma conta de usuário no Windows PowerShell, use o seguinte comando:
get-aduser -filter {samaccountname -eq "administrator"}
Observação
O uso desse comando requer o recurso RSAT-AD-PowerShell.
Dica
Além do comando do Windows PowerShell acima, informações sobre o usuário conectado localmente e a associação ao grupo podem ser encontradas usando-se: WHOAMI /ALL. Isso não requer o uso de recursos adicionais.
No exemplo abaixo, o usuário deseja adicionar um protetor baseado em SID de domínio ao volume do sistema operacional criptografado anteriormente. O usuário sabe o SID da conta de usuário ou do grupo que deseja adicionar e usa o seguinte comando:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
Observação
Os protetores baseados no Active Directory normalmente são usados para desbloquear volumes habilitados para Cluster de Failover.
Como usar o PowerShell para criptografar volumes com o BitLocker
Verificação do status do BitLocker
Para verificar o status do BitLocker de um determinado volume, os administradores podem examinar o status da unidade no miniaplicativo do painel de controle do BitLocker, no Windows Explorer, na ferramenta de linha de comando manage-bde ou nos cmdlets do Windows PowerShell. Cada opção oferece diferentes níveis de detalhe e facilidade de uso. Analisaremos todos os métodos disponíveis na seção a seguir.
Verificação do status do BitLocker com o painel de controle
Verificar o status do BitLocker com o painel de controle é o método mais comum usado pela maioria dos usuários. Quando aberto, o status de cada volume será exibido ao lado da descrição do volume e da letra da unidade. Entre os valores de retorno do status com o painel de controle estão:
Status |
Descrição |
Ativado |
O BitLocker está habilitado para o volume |
Desativado |
O BitLocker não está habilitado para o volume |
Suspenso |
O BitLocker está suspenso e não está protegendo ativamente o volume |
Como aguardar a ativação |
O BitLocker está habilitado com uma chave de protetor não criptografada e requer ação adicional para ser totalmente protegido |
Caso uma unidade seja previamente provisionada com o BitLocker, um status "Aguardando a ativação" é exibido com um ícone de ponto de exclamação amarelo no volume E. Esse status significa que havia apenas um protetor não criptografado usado durante a criptografia do volume. Nesse caso, o volume não está em um estado protegido e precisa ter uma chave segura adicionada ao volume para que a unidade esteja totalmente protegida. Os administradores podem usar o painel de controle, a ferramenta manage-bde ou APIs do WMI para adicionar um protetor de chave apropriado. Depois de concluído, o painel de controle será atualizado para refletir o novo status.
Usando o painel de controle, os administradores podem escolher Ativar BitLocker para iniciar o Assistente de Criptografia de Unidade de Disco BitLocker e adicionar um protetor, como um PIN para um volume do sistema operacional (ou senha caso não haja um TPM), ou uma senha ou um protetor de cartão inteligente a um volume de dados.
A janela de segurança da unidade é exibida antes da alteração do status do volume. Selecionar Ativar BitLocker concluirá o processo de criptografia.
Depois que a ativação do protetor do BitLocker é concluída, o aviso de conclusão é exibido.
Verificação do status do BitLocker com manage-bde
Os administradores que preferem uma interface de linha de comando podem utilizar manage-bde para verificar o status do volume. manage-bde é capaz de retornar mais informações sobre o volume do que as ferramentas de interface gráfica do usuário no painel de controle. Por exemplo, manage-bde pode exibir a versão do BitLocker em uso, o tipo de criptografia e os protetores associados a um volume.
Para verificar o status de um volume usando manage-bde, use o seguinte comando:
manage-bde -status <volume>
Observação
Caso nenhuma letra de volume esteja associada ao comando -status, todos os volumes no computador exibem o status.
Verificação do status do BitLocker com o Windows PowerShell
Os comandos do Windows PowerShell oferecem outra maneira de consultar o status do BitLocker em relação a volumes. Assim como manage-bde, o Windows PowerShell inclui a vantagem de ser capaz de verificar o status de um volume em um computador remoto.
Usando o cmdlet Get-BitLockerVolume, cada volume no sistema exibirá o status do BitLocker atual. Para obter informações mais detalhadas sobre um volume específico, use o seguinte comando:
Get-BitLockerVolume <volume> -Verbose | fl
Esse comando exibirá informações sobre o método de criptografia, o tipo de volume, os protetores de chave etc.
Provisionamento do BitLocker durante a implantação do sistema operacional
Os administradores podem habilitar o BitLocker antes da implantação do sistema operacional no Ambiente de Pré-instalação do Windows. Isso é feito com um protetor de chave não criptografada gerado aleatoriamente aplicado ao volume formatado e criptografando-se o volume antes da execução do processo de instalação do Windows. Caso a criptografia use a opção Used Disk Space Only descrita posteriormente neste documento, esta etapa leva apenas alguns segundos e é bem incorporada a processos de implantação regulares.
Descriptografia de volumes do BitLocker
Descriptografar volumes remove o BitLocker e todos os protetores associados dos volumes. A descriptografia deverá ocorrer quando proteção não for mais necessária. A descriptografia do BitLocker não deve ocorrer como uma etapa da solução de problemas. O BitLocker pode ser removido de um volume usando-se o miniaplicativo do painel de controle do BitLocker, manage-bde ou os cmdlets do Windows PowerShell. Abordaremos cada método mais detalhadamente abaixo.
Descriptografia de volumes usando-se o miniaplicativo do painel de controle do BitLocker
A descriptografia do BitLocker usando-se o painel de controle é feita com um assistente. O painel de controle pode ser chamado no Windows Explorer ou sendo aberto diretamente. Depois de abrir o painel de controle do BitLocker, os usuários selecionarão a opção Desativar BitLocker para iniciar o processo.
Uma vez selecionada, o usuário opta por continuar clicando na caixa de diálogo de confirmação. Com Desativar BitLocker confirmado, o processo de descriptografia da unidade irá começar e relatar o status para o painel de controle.
O painel de controle não relata o progresso de descriptografia, mas o exibe na área de notificação da barra de tarefas. Selecionar o ícone da área de notificação abrirá uma caixa de diálogo modal com o progresso.
Depois que a descriptografia for concluída, a unidade atualizará o status no painel de controle e ela estará disponível para criptografia.
Descriptografia de volumes usando-se a interface de linha de comando manage-bde
Descriptografar volumes usando-se manage-bde é bastante simples. A descriptografia com manage-bde oferece a vantagem de não exigir a confirmação do usuário para iniciar o processo. manage-bde usa o comando -off para iniciar o processo de descriptografia. Um comando de exemplo para descriptografia é:
manage-bde -off C:
Esse comando desabilita protetores enquanto descriptografa o volume e remove todos os protetores quando descriptografia é concluída. Caso queira verificar o status da descriptografia, um usuário pode usar o seguinte comando:
manage-bde -status C:
Descriptografia de volumes com os cmdlets do Windows PowerShell do BitLocker
A descriptografia com os cmdlets do Windows PowerShell é simples, semelhante a manage-bde. A vantagem adicional que o Windows PowerShell oferece é a capacidade de descriptografar várias unidades em um passo. No exemplo abaixo, o usuário tem três volumes criptografados, que desejam descriptografar.
Usando o comando Disable-BitLocker, ele podem remover todos os protetores e a criptografia ao mesmo tempo sem a necessidade de comandos adicionais. Um exemplo desse comando é:
DisableBitLocker
Se um usuário não quisesse inserir cada ponto de montagem individualmente, usar o parâmetro -MountPoint em uma matriz pode sequenciar o mesmo comando em uma única linha sem exigir uma entrada de usuário adicional. Um comando de exemplo é:
Disable-BitLocker -MountPoint E:,F:,G:
Consulte também
Preparar a organização para o BitLocker: planejamento e políticas
Guia de recuperação do BitLocker