Configurações de Política de Grupo do BitLocker
Este tópico para profissionais de TI descreve a função, o local e o efeito de cada configuração de Política de Grupo usada para gerenciar a Criptografia de Unidade de Disco BitLocker.
Para controlar quais tarefas de criptografia de unidade que o usuário pode realizar no Painel de Controle do Windows ou modificar outras opções de configuração, você pode usar modelos administrativos de Política de Grupo ou configurações de política do computador local. A maneira como você define essas configurações de política depende de como implementa o BitLocker e qual nível de interação do usuário será permitido.
Observação
Um conjunto separado de configurações de Política de Grupo dá suporte ao uso do Trusted Platform Module (TPM). Para saber mais detalhes sobre essas configurações, consulte Configurações de Política de Grupo do Trusted Platform Module.
As configurações de Política de Grupo do BitLocker podem ser acessadas usando-se o Editor de Política de Grupo Local e o Console de Gerenciamento de políticas de Grupo (GPMC) em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker.
A maioria das configurações de Política de Grupo do BitLocker é aplicada quando o BitLocker é inicialmente ativado para uma unidade. Se um computador não for compatível com as configurações de Política de Grupo existentes, o BitLocker poderá não ser ativado ou modificado até o computador estar em um estado compatível. Quando uma unidade está fora de conformidade com as configurações de Política de Grupo (por exemplo, caso uma configuração de Política de Grupo tenha sido alterada após a implantação do BitLocker inicial na organização e, em seguida, a configuração foi aplicada a unidades criptografadas anteriormente), nenhuma alteração pode ser feita na configuração do BitLocker dessa unidade, exceto uma alteração que a colocará em conformidade.
Caso várias alterações sejam necessárias para colocar a unidade em conformidade, você deve suspender a proteção do BitLocker, fazer as alterações necessárias e retomar a proteção. Essa situação pode ocorrer, por exemplo, caso uma unidade removível tenha sido configurada inicialmente para ser desbloqueada com uma senha e, em seguida, as configurações de Política de Grupo tenham sido alteradas para desautorizar senhas e exigir cartões inteligentes. Nessa situação, você precisa suspender a proteção do BitLocker usando a ferramenta de linha de comando Manage-bde, excluir o método de desbloqueio da senha e adicionar o método de cartão inteligente. Depois que isso for concluído, o BitLocker será compatível com a configuração de Política de Grupo e a proteção do BitLocker na unidade poderá ser retomada.
Configurações de Política de Grupo do BitLocker
As seções a seguir fornecem uma lista abrangente das configurações de Política de Grupo do BitLocker organizadas por uso. Entre as configurações de Política de Grupo do BitLocker estão configurações para tipos de unidade específicos (unidades de sistema operacional, unidades de dados fixas e unidades de dados removíveis) e configurações aplicadas a todas as unidades.
As configurações de política a seguir podem ser usadas para determinar como uma unidade protegida pelo BitLocker pode ser desbloqueada.
Permitir desbloqueio de rede na inicialização
Exigir autenticação adicional na inicialização
Permitir PINs avançados para inicialização
Configurar tamanho mínimo do PIN para inicialização
Desautorizar que usuários padrão alterem o PIN ou a senha
Configurar uso de senhas para unidades do sistema operacional
Exigir autenticação adicional na inicialização (Windows Server 2008 e Windows Vista)
Configurar uso de cartões inteligentes em unidades de dados fixas
Configurar uso de senhas para unidades de dados fixas
Configurar uso de cartões inteligentes em unidades de dados removíveis
Configurar uso de senhas para unidades de dados removíveis
Validar conformidade com a regra de uso do certificado de cartão inteligente
Habilitar uso da autenticação do BitLocker que exige entrada de teclado pré-inicialização em slates
As configurações de política a seguir são usadas para controlar como os usuários podem acessar unidades e usar o BitLocker nos computadores.
Negar acesso de gravação a unidades fixas não protegidas por BitLocker
Negar acesso de gravação a unidades removíveis não protegidas por BitLocker
Controlar uso do BitLocker em unidades removíveis
As configurações de política a seguir determinam os métodos de criptografia e os tipos de criptografia usados com o BitLocker.
Escolher método de criptografia de unidade e nível de codificação
Configurar uso da criptografia com base em hardware para unidades de dados fixas
Configurar uso da criptografia com base em hardware para unidades do sistema operacional
Configurar uso da criptografia com base em hardware para unidades de dados removíveis
Aplicar tipo de criptografia de dados a unidades de dados fixas
Aplicar tipo de criptografia de dados a unidades do sistema operacional
Aplicar tipo de criptografia de dados a unidades de dados removíveis
As configurações de política a seguir definem os métodos de recuperação que podem ser usados para restaurar o acesso em uma unidade protegida pelo BitLocker caso um método de autenticação falhe ou não possa ser usado.
Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas
Escolher como os usuários podem recuperar as unidades protegidas por BitLocker (Windows Server 2008 e Windows Vista)
Armazenar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory (Windows Server 2008 e Windows Vista)
Escolher pasta padrão para a senha de recuperação
Escolher como as unidades fixas protegidas por BitLocker podem ser recuperadas
Escolher como as unidades removíveis protegidas por BitLocker podem ser recuperadas
Configurar a mensagem de recuperação de pré-inicialização e a URL
As políticas a seguir são usadas para dar suporte a cenários de implantação personalizados na organização.
Permitir Inicialização Segura para validação de integridade
Fornecer identificadores exclusivos para sua organização
Evitar substituição de memória ao reiniciar
Configurar perfil de validação de plataforma TPM para configurações de firmware com base em BIOS
Configurar perfil de validação de plataforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Configurar perfil de validação de plataforma TPM para configurações de firmware UEFI nativo
Redefinir dados de validação de plataforma após a recuperação do BitLocker
Usar o perfil de validação de Dados de Configuração da Inicialização avançado
Permitir acesso a unidades de dados fixas protegidas por BitLocker de versões anteriores do Windows
Permitir acesso a unidades de dados removíveis protegidas por BitLocker de versões anteriores do Windows
Permitir desbloqueio de rede na inicialização
Esta política controla uma parte do comportamento do recurso Desbloqueio pela Rede no BitLocker. Esta configuração é obrigatória para habilitar Desbloqueio pela rede do BitLocker em uma rede porque permite que os clientes executando o BitLocker criem o protetor de chave de rede necessário durante a criptografia. Esta política é usada além da política de segurança Certificado de Desbloqueio de Rede de Criptografia de Unidade de Disco BitLocker (localizada na pasta Políticas de Chave Pública de Política de Computador Local) para permitir que sistemas conectados a uma rede confiável utilizem o recurso Desbloqueio pela Rede corretamente.
Descrição da política |
Com essa configuração de política, você pode controlar se um computador protegido pelo BitLocker conectado a uma rede local confiável e que foi adicionado a um domínio pode criar e usar protetores de chave de rede em computadores habilitados para TPM a fim de desbloquear automaticamente a unidade do sistema operacional quando o computador é iniciado. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Os clientes configurados com um certificado Desbloqueio pela rede do BitLocker podem criar e usar protetores de chave de rede. |
Quando desabilitada ou não configurada |
Os clientes não podem criar e usar protetores de chave de rede |
Referência
Para usar um protetor de chave de rede a fim de desbloquear o computador, o computador e o servidor que hospedam Desbloqueio de Rede de Criptografia de Unidade de Disco BitLocker devem ser provisionados com um certificado de Desbloqueio pela rede. O certificado de Desbloqueio pela rede é usado para criar um protetor de chave de rede e proteger a troca de informações com o servidor para desbloquear o computador. Você pode usar a configuração de Política de Grupo Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública\Certificado de Desbloqueio de Rede de Criptografia de Unidade de Disco BitLocker no controlador de domínio a fim de distribuir esse certificado para computadores em sua organização. Esse método de desbloqueio usa o TPM no computador, logo, computadores que não tenham um TPM não podem criar protetores de chave de rede a serem desbloqueados automaticamente usando-se Desbloqueio pela Rede.
Observação
Por questões de confiabilidade e segurança, os computadores também devem ter um PIN de inicialização TPM que possa ser usado quando o computador for desconectado da rede com fio ou não conseguir se conectar ao controlador de domínio na inicialização.
Para obter mais informações sobre Desbloqueio pela rede, consulte BitLocker: Como habilitar o Desbloqueio pela rede.
Exigir autenticação adicional na inicialização
Esta configuração de política é usada para controlar quais opções de desbloqueio estão disponíveis para unidades do sistema operacional.
Descrição da política |
Com essa configuração de política, você pode configurar se o BitLocker exige autenticação adicional sempre que o computador é iniciado e se você está usando o BitLocker com um Trusted Platform Module (TPM). Essa configuração de política é aplicada quando você ativa o BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Caso um método de autenticação seja necessário, os outros métodos não podem ser permitidos. O uso do BitLocker com uma chave de inicialização do TPM ou com uma chave de inicialização do TPM e um PIN deve ser desautorizado caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada. |
Quando habilitada |
Os usuários podem configurar opções de inicialização avançadas no Assistente para Instalação do BitLocker. |
Quando desabilitada ou não configurada |
Os usuários podem configurar somente opções básicas em computadores com um TPM. Apenas uma das opções de autenticação adicionais pode ser necessária na inicialização; do contrário, ocorre um erro de política. |
Referência
Caso você queira usar o BitLocker em um computador sem um TPM, marque a caixa de seleção Permitir o BitLocker sem um TPM compatível. Nesse modo, uma unidade USB é necessária para a inicialização. As informações de chave usadas para criptografar a unidade são armazenadas na unidade USB, que cria uma chave USB. Quando a chave USB é inserida, o acesso à unidade é autenticado, e a unidade é acessível. Caso a chave USB seja perdida ou esteja indisponíveis, você precisa usar uma das opções de recuperação do BitLocker para acessar a unidade.
Em um computador com um TPM compatível, quatro tipos de métodos de autenticação podem ser usados na inicialização a fim de oferecer proteção adicional para dados criptografados. Ao ser iniciado, o computador pode usar:
somente o TPM para autenticação
inserção de uma unidade flash USB contendo a chave de inicialização
a entrada de um número de identificação pessoal (PIN) de 4 a 20 dígitos
uma combinação do PIN e da unidade flash USB
Existem quatro opções para computadores ou dispositivos habilitados para TPM:
Configurar inicialização do TPM
Permitir TPM
Exigir TPM
Não permitir TPM
Configurar PIN de inicialização de TPM
Permitir PIN de inicialização com TPM
Exigir PIN de inicialização com TPM
Não permitir PIN de inicialização com TPM
Configurar chave de inicialização do TPM
Permitir chave de inicialização com TPM
Exigir chave de inicialização com TPM
Não permitir chave de inicialização com TPM
Configurar chave e PIN de inicialização do TPM
Permitir chave de inicialização do TPM com PIN
Exigir chave de inicialização e PIN com TPM
Não permitir chave de inicialização do TPM com PIN
Permitir PINs avançados para inicialização
Esta configuração de política permite o uso de PINs avançados quando você usa um método de desbloqueio que inclui um PIN.
Descrição da política |
Com essa configuração de política, você pode configurar se PINs de inicialização avançados são usados ou não com o BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Todos os novos PINs de inicialização do BitLocker definidos serão PINs avançados. As unidades existentes que estavam protegidas pelo uso de PINs de inicialização padrão não são afetadas. |
Quando desabilitada ou não configurada |
Os PINs avançados não serão usados. |
Referência
Os PINs de inicialização avançados permitem o uso de caracteres (inclusive letras maiúsculas e minúsculas, símbolos, números e espaços). Essa configuração de política é aplicada quando você ativa o BitLocker.
Importante
Nem todos os computadores dão suporte a caracteres de PIN avançado no ambiente de pré-inicialização. É altamente recomendável que os usuários façam uma verificação do sistema durante a instalação do BitLocker para verificar se caracteres de PIN avançado podem ser usados.
Configurar tamanho mínimo do PIN para inicialização
Esta configuração de política é usada para definir um tamanho de PIN mínimo quando você usa um método de desbloqueio que inclui um PIN.
Descrição da política |
Com essa configuração de política, você pode definir um tamanho mínimo para um PIN de inicialização do TPM. Essa configuração de política é aplicada quando você ativa o BitLocker. O PIN de inicialização deve ter um tamanho mínimo de 4 dígitos e pode ter um tamanho máximo de 20 dígitos. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Você pode exigir que usuários insiram um número mínimo de dígitos ao definir os PINs de inicialização. |
Quando desabilitada ou não configurada |
Os usuários podem configurar um PIN de inicialização de qualquer tamanho entre 4 e 20 dígitos. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker. O PIN de inicialização deve ter um tamanho mínimo de 4 dígitos e pode ter um tamanho máximo de 20 dígitos.
Desautorizar que usuários padrão alterem o PIN ou a senha
Essa configuração de política permite definir se usuários padrão têm permissão ou não para alterar o PIN ou a senha usada para proteger a unidade do sistema operacional.
Descrição da política |
Com essa configuração de política, você pode definir se usuários padrão têm permissão ou não para alterar o PIN ou a senha usada para proteger a unidade do sistema operacional. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Os usuários padrão não têm permissão para alterar PINs ou senhas do BitLocker. |
Quando desabilitada ou não configurada |
Os usuários padrão não têm permissão para alterar PINs ou senhas do BitLocker. |
Referência
Para alterar o PIN ou a senha, o usuário deve ser capaz de fornecer o PIN ou a senha atual. Essa configuração de política é aplicada quando você ativa o BitLocker.
Configurar uso de senhas para unidades do sistema operacional
Essa política controla como sistemas não baseados no TPM utilizam o protetor de senha. Usada com a política A senha deve satisfazer a requisitos de complexidade, essa política permite que os administradores exijam tamanho de senha e complexidade para usar o protetor de senha. Por padrão, as senhas devem ter oito caracteres. As opções de configuração de complexidade determinam a importância da conectividade de domínio para o cliente. Para obter a segurança de senha mais forte, os administradores devem escolher Exigir complexidade de senha porque isso requer conectividade de domínio, além de exigir que a senha do BitLocker atenda aos mesmos requisitos de complexidade de senha das senhas de entrada no domínio.
Descrição da política |
Com essa configuração de política, você pode especificar as restrições para senhas que são usadas para desbloquear unidades de sistema operacional protegidas com o BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
As senhas não podem ser usadas caso a conformidade com FIPS esteja habilitada. ObservaçãoA configuração de política Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura, localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança, especifica se a conformidade com FIPS está habilitada. |
Quando habilitada |
Os usuários podem configurar uma senha que atenda aos requisitos definidos por você. Para impor os requisitos de complexidade para a senha, selecione Exigir complexidade. |
Quando desabilitada ou não configurada |
A restrição de tamanho padrão de 8 caracteres será aplicada a senhas de unidade do sistema operacional e nenhuma verificação de complexidade ocorrerá. |
Referência
Caso protetores não TPM tenham permissão em unidades do sistema operacional, você pode provisionar uma senha, aplicar requisitos de complexidade à senha e configurar um tamanho mínimo para a senha. Para que a configuração do requisito de complexidade seja efetiva, a configuração de Política de Grupo A senha deve satisfazer a requisitos de complexidade, localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\, também deve estar habilitada.
Observação
Essas configurações são impostas durante a ativação do BitLocker, e não durante o desbloqueio de um volume. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.
Quando definida como Exigir complexidade, uma conexão com um controlador de domínio é necessária quando o BitLocker está habilitado para validar a complexidade da senha. Quando definida como Permitir complexidade, uma conexão com um controlador de domínio é tentada para validar se a complexidade respeita as regras definidas pela política. Se nenhum controlador de domínio for encontrado, a senha será aceita, independentemente da complexidade da senha real, e a unidade será criptografada usando-se essa senha como um protetor. Quando definida como Não permitir complexidade, não há validação de complexidade da senha.
As senhas devem ter pelo menos 8 caracteres. Para configurar um tamanho mínimo maior para a senha, insira o número desejado de caracteres na caixa Tamanho mínimo da senha.
Quando essa configuração de política está habilitada, você pode definir a opção Configurar complexidade de senha para unidades do sistema operacional como:
Permitir complexidade de senha
Não permitir complexidade de senha
Exigir complexidade de senha
Exigir autenticação adicional na inicialização (Windows Server 2008 e Windows Vista)
Esta configuração de política é usada para controlar quais opções de desbloqueio estão disponíveis para computadores nos quais o Windows Server 2008 ou o Windows Vista esteja em execução.
Descrição da política |
Com essa configuração de política, você pode controlar se o Assistente para Instalação do BitLocker em computadores nos quais o Windows Vista ou o Windows Server 2008 esteja em execução pode configurar um método de autenticação adicional necessário sempre que o computador é iniciado. |
Introduzida |
Windows Server 2008 e Windows Vista |
Tipo de unidade |
Unidades de sistema operacional (Windows Server 2008 e Windows Vista) |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Caso você opte por exigir um método de autenticação adicional, outros métodos de autenticação não podem ser permitidos. |
Quando habilitada |
O Assistente para Instalação do BitLocker exibe a página que permite ao usuário configurar opções de inicialização avançada para o BitLocker. É possível definir ainda mais opções de configuração para computadores com ou sem um TPM. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker exibe etapas básicas que permitem aos usuários habilitarem o BitLocker em computadores com um TPM. Nesse assistente básico, nenhuma chave de inicialização ou PIN de inicialização adicional pode ser configurado. |
Referência
Em um computador com um TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização a fim de oferecer proteção adicional para dados criptografados. Ao ser iniciado, o computador pode exigir que os usuários insiram uma unidade USB contendo uma chave de inicialização. Ele também pode exigir que os usuários insiram um PIN de inicialização de 4 a 20 dígitos.
Uma unidade USB contendo uma chave de inicialização é necessária em computadores sem um TPM compatível. Sem um TPM, os dados criptografados pelo BitLocker estão protegidos exclusivamente pelo material de chave presente nessa unidade USB.
Existem duas opções para computadores ou dispositivos habilitados para TPM:
Configurar PIN de inicialização de TPM
Permitir PIN de inicialização com TPM
Exigir PIN de inicialização com TPM
Não permitir PIN de inicialização com TPM
Configurar chave de inicialização do TPM
Permitir chave de inicialização com TPM
Exigir chave de inicialização com TPM
Não permitir chave de inicialização com TPM
Essas opções são mutuamente excludentes. Caso precise da chave de inicialização, você não deve permitir o PIN de inicialização. Caso precise do PIN de inicialização, você não deve permitir a chave de inicialização. Do contrário, ocorrerá um erro de política.
Para ocultar a página avançada em um computador ou dispositivo habilitado para TPM, defina essas opções como Não permitir para a chave de inicialização e o PIN de inicialização.
Configurar uso de cartões inteligentes em unidades de dados fixas
Esta configuração de política é usada para exigir, permitir ou negar o uso de cartões inteligentes com unidades de dados fixas.
Descrição da política |
Com essa configuração de política, você pode especificar se cartões inteligentes podem ser usados para autenticar o acesso de usuário às unidades de dados fixas protegidas pelo BitLocker em um computador. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Para usar cartões inteligentes com o BitLocker, você também pode precisar modificar a configuração do identificador de objeto na configuração de política Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Validar conformidade com a regra de uso do certificado de cartão inteligente de acordo com o identificador de objeto dos certificados de cartão inteligente. |
Quando habilitada |
Os cartões inteligentes podem ser usados para autenticar o acesso de usuário à unidade. Você pode exigir autenticação por cartão inteligente marcando a caixa de seleção Exigir o uso de cartões inteligentes em unidades de dados fixas. |
Quando desabilitada |
Os usuários não podem usar cartões inteligentes para autenticar o acesso a unidades de dados fixas protegidas pelo BitLocker. |
Quando não configurada |
Os cartões inteligentes podem ser usados para autenticar o acesso de usuário em uma unidade protegida pelo BitLocker. |
Referência
Observação
Essas configurações são impostas durante a ativação do BitLocker, e não durante o desbloqueio de uma unidade. O BitLocker permite desbloquear uma unidade usando-se qualquer um dos protetores disponíveis na unidade.
Configurar uso de senhas para unidades de dados fixas
Esta configuração de política é usada para exigir, permitir ou negar o uso de senhas com unidades de dados fixas.
Descrição da política |
Com essa configuração de política, você pode especificar se uma senha é necessária para desbloquear unidades de dados fixas protegidas pelo BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Para usar complexidade de senha, a configuração de política Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\A senha deve satisfazer a requisitos de complexidade também deve estar habilitada. |
Quando habilitada |
Os usuários podem configurar uma senha que atenda aos requisitos definidos por você. Para exigir o uso de uma senha, selecione Exigir senha para unidade de dados fixa. Para impor os requisitos de complexidade sobre a senha, selecione Exigir complexidade. |
Quando desabilitada |
O usuário não tem permissão para usar uma senha. |
Quando não configurada |
As senhas são compatíveis com as configurações padrão, que não incluem requisitos de complexidade de senha e exigem apenas 8 caracteres. |
Referência
Quando definida como Exigir complexidade, uma conexão com um controlador de domínio é necessária para validar a complexidade da senha quando o BitLocker está habilitado.
Quando definida como Permitir complexidade, uma conexão com um controlador de domínio é tentada para validar se a complexidade respeita as regras definidas pela política. Porém, se nenhum controlador de domínio for encontrado, a senha será aceita, independentemente da complexidade da senha real, e a unidade será criptografada usando-se essa senha como um protetor.
Quando definida como Não permitir complexidade, nenhuma validação de complexidade da senha é realizada.
As senhas devem ter pelo menos 8 caracteres. Para configurar um tamanho mínimo maior para a senha, insira o número desejado de caracteres na caixa Tamanho mínimo da senha.
Observação
Essas configurações são impostas durante a ativação do BitLocker, e não durante o desbloqueio de uma unidade. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.
Para que a configuração do requisito de complexidade seja efetiva, a configuração de Política de Grupo Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\A senha deve satisfazer a requisitos de complexidade também deve ser habilitada.
Esta configuração de política é definida por computador. Isso significa que ela se aplica a contas de usuário locais e contas de usuário de domínio. Como o filtro de senha usado para validar a complexidade de senha está localizado nos controladores de domínio, as contas de usuário local não podem acessar o filtro de senha porque não têm autenticação de acesso ao domínio. Quando essa configuração de política está habilitada, caso você faça logon usando uma conta de usuário local e tente criptografar uma unidade ou alterar uma senha em uma unidade protegida pelo BitLocker já existente, uma mensagem de erro "Acesso negado" é exibida. Nessa situação, o protetor de chave de senha não pode ser adicionado à unidade.
Habilitar essa configuração de política requer que a conectividade de um domínio seja estabelecida antes de adicionar um protetor de chave de senha a uma unidade protegida pelo BitLocker. Os usuários que trabalham remotamente e passam por períodos em que não conseguem se conectar ao domínio devem se conscientizar desse requisito de maneira que possam agendar um tempo quando serão conectados ao domínio para ativar o BitLocker ou alterar uma senha em uma unidade de dados protegida pelo BitLocker.
Importante
As senhas não podem ser usadas caso a conformidade com FIPS esteja habilitada. A configuração de política Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança especifica se a conformidade com FIPS está habilitada.
Configurar uso de cartões inteligentes em unidades de dados removíveis
Esta configuração de política é usada para exigir, permitir ou negar o uso de cartões inteligentes com unidades de dados removíveis.
Descrição da política |
Com essa configuração de política, você pode especificar se cartões inteligentes podem ser usados para autenticar o acesso de usuário às unidades de dados removíveis protegidas pelo BitLocker em um computador. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Para usar cartões inteligentes com o BitLocker, você também pode precisar modificar a configuração do identificador de objeto na configuração de política Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Validar conformidade com a regra de uso do certificado de cartão inteligente de acordo com o identificador de objeto dos certificados de cartão inteligente. |
Quando habilitada |
Os cartões inteligentes podem ser usados para autenticar o acesso de usuário à unidade. Você pode exigir autenticação por cartão inteligente marcando a caixa de seleção Exigir o uso de cartões inteligentes em unidades de dados removíveis. |
Quando desabilitada ou não configurada |
Os usuários não têm permissão para usar cartões inteligentes a fim de autenticar o acesso a unidades de dados removíveis protegidas pelo BitLocker. |
Quando não configurada |
Os cartões inteligentes estão disponíveis para autenticar o acesso de usuário a uma unidade de dados removível protegida pelo BitLocker. |
Referência
Observação
Essas configurações são impostas durante a ativação do BitLocker, e não durante o desbloqueio de uma unidade. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.
Configurar uso de senhas para unidades de dados removíveis
Esta configuração de política é usada para exigir, permitir ou negar o uso de senhas com unidades de dados removíveis.
Descrição da política |
Com essa configuração de política, você pode especificar se uma senha é necessária para desbloquear unidades de dados removíveis protegidas pelo BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Para usar a complexidade de senha, a configuração de política A senha deve satisfazer a requisitos de complexidade, localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha, também deve ser habilitada. |
Quando habilitada |
Os usuários podem configurar uma senha que atenda aos requisitos definidos por você. Para exigir o uso de uma senha, selecione Exigir senha para unidade de dados removível. Para impor os requisitos de complexidade sobre a senha, selecione Exigir complexidade. |
Quando desabilitada |
O usuário não tem permissão para usar uma senha. |
Quando não configurada |
As senhas são compatíveis com as configurações padrão, que não incluem requisitos de complexidade de senha e exigem apenas 8 caracteres. |
Referência
Caso opte por permitir o uso de uma senha, você pode exigir que uma senha seja usada, impor requisitos de complexidade e configurar um tamanho mínimo. Para que a configuração do requisito de complexidade seja efetiva, a configuração de Política de Grupo A senha deve satisfazer a requisitos de complexidade, localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha, também deve estar habilitada.
Observação
Essas configurações são impostas durante a ativação do BitLocker, e não durante o desbloqueio de uma unidade. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.
As senhas devem ter pelo menos 8 caracteres. Para configurar um tamanho mínimo maior para a senha, insira o número desejado de caracteres na caixa Tamanho mínimo da senha.
Quando definida como Exigir complexidade, uma conexão com um controlador de domínio é necessária quando o BitLocker está habilitado para validar a complexidade da senha.
Quando definida como Permitir complexidade, uma conexão com um controlador de domínio será tentada para validar se a complexidade respeita as regras definidas pela política. Porém, se nenhum controlador de domínio for encontrado, a senha continuará sendo aceita, independentemente da complexidade da senha real, e a unidade será criptografada usando-se essa senha como um protetor.
Quando definida como Não permitir complexidade, nenhuma validação de complexidade será realizada.
Observação
As senhas não podem ser usadas caso a conformidade com FIPS esteja habilitada. A configuração de política Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança especifica se a conformidade com FIPS está habilitada.
Para obter informações sobre essa configuração, consulte Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura.
Validar conformidade com a regra de uso do certificado de cartão inteligente
Esta configuração de política é usada para determinar qual certificado deve ser usado com o BitLocker.
Descrição da política |
Com essa configuração de política, você pode associar um identificador de objeto de um certificado de cartão inteligente a uma unidade protegida pelo BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas e removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Nenhum |
Quando habilitada |
O identificador de objeto especificado na configuração Identificador de Objeto deve coincidir com o identificador de objeto no certificado de cartão inteligente. |
Quando desabilitada ou não configurada |
O identificador de objeto padrão é usado. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
O identificador de objeto é especificado no uso avançado de chave (EKU) de um certificado. O BitLocker pode identificar quais certificados podem ser usados para autenticar um certificado de usuário em uma unidade protegida pelo BitLocker comparando o identificador de objeto no certificado com o identificador de objeto definido por essa configuração de política.
O identificador de objeto padrão é 1.3.6.1.4.1.311.67.1.1.
Observação
O BitLocker não exige que um certificado tenha um atributo EKU; porém, caso um esteja configurado para o certificado, ele deve ser definido como um identificador de objeto correspondente ao identificador de objeto configurado para o BitLocker.
Habilitar uso da autenticação do BitLocker que exige entrada de teclado pré-inicialização em slates
Esta configuração de política permite que os usuários habilitem opções de autenticação que exijam a entrada do usuário no ambiente de pré-inicialização caso a plataforma indique uma falta de recurso de entrada de pré-inicialização.
Descrição da política |
Com essa configuração de política, você pode permitir que os usuários habilitem opções de autenticação que exijam a entrada do usuário no ambiente de pré-inicialização, mesmo que a plataforma indique uma falta de recurso de entrada de pré-inicialização. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidade do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidade do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Os dispositivos devem ter um meio alternativo de entrada de pré-inicialização (como um teclado USB conectado). |
Quando desabilitada ou não configurada |
O Ambiente de Recuperação do Windows deve estar habilitado em tablets para dar suporte à inserção da senha de recuperação do BitLocker. |
Referência
O teclado virtual do Windows (como o usado por tablets) não está disponível no ambiente de pré-inicialização em que o BitLocker exige informações adicionais, como um PIN ou uma senha.
É recomendável que os administradores só habilitem essa política para dispositivos que reconhecidamente tenham um meio alternativo de entrada de pré-inicialização, como conectar um teclado USB.
Quando o Ambiente de Recuperação do Windows não está habilitado e essa política não está habilitada, você não pode ativar o BitLocker em um dispositivo que use o teclado virtual do Windows.
Caso você não habilite essa configuração de política, as seguintes opções na política Exigir autenticação adicional na inicialização talvez não estejam disponíveis:
Configurar PIN de inicialização de TPM: obrigatório e permitido
Configurar chave e PIN de inicialização do TPM: obrigatório e permitido
Configurar uso de senhas para unidades do sistema operacional
Negar acesso de gravação a unidades fixas não protegidas por BitLocker
Esta configuração de política é usada para exigir criptografia de unidades fixas antes da concessão do acesso de gravação.
Descrição da política |
Com essa configuração de política, você pode definir se a proteção do BitLocker é necessária para unidades de dados fixas a serem graváveis em um computador. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Consulte a seção Referência para obter uma descrição de conflitos. |
Quando habilitada |
Todas as unidades de dados fixas que não sejam protegidas pelo BitLocker são montadas como somente leitura. Caso a unidade esteja protegida pelo BitLocker, ela é montada com acesso de leitura e gravação. |
Quando desabilitada ou não configurada |
Todas as unidades de dados fixas no computador são montadas com acesso de leitura e gravação. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
Entre as considerações sobre conflito estão:
Quando essa configuração de política está habilitada, os usuários recebem mensagens de erro "Acesso negado" ao tentar salvar dados em unidades de dados fixas não criptografadas. Consulte a seção Referência para saber mais sobre conflitos adicionais.
Caso BdeHdCfg.exe seja executado em um computador quando essa configuração de política está habilitada, você pode enfrentar os seguintes problemas:
Caso você tenha tentado reduzir a unidade e criar a unidade do sistema, o tamanho da unidade é reduzido com êxito e uma partição bruta é criada. No entanto, a partição bruta não está formatada. A seguinte mensagem de erro é exibida: "A nova unidade ativa não pode ser formatada. Pode ser necessário preparar manualmente a unidade para o BitLocker."
Se você tentar usar um espaço não alocado para criar a unidade do sistema, uma partição bruta será criada. No entanto, a partição bruta não será formatada. A seguinte mensagem de erro é exibida: "A nova unidade ativa não pode ser formatada. Pode ser necessário preparar manualmente a unidade para o BitLocker."
Caso você tente mesclar uma unidade existente à unidade do sistema, a ferramenta deixa de copiar o arquivo de inicialização necessário para a unidade de destino a fim de criar a unidade do sistema. A seguinte mensagem de erro é exibida: "Falha da Configuração do BitLocker ao copiar arquivos de inicialização. Pode ser necessário preparar manualmente a unidade para o BitLocker."
Caso essa configuração de política seja imposta, um disco rígido não pode ser reparticionado porque a unidade está protegida. Caso esteja atualizando computadores na organização de uma versão anterior do Windows, e esses computadores tenham sido configurados com uma única partição, você deve criar a partição do sistema BitLocker necessária antes de aplicar essa configuração de política aos computadores.
Negar acesso de gravação a unidades removíveis não protegidas por BitLocker
Esta configuração de política é usada para exigir que unidades removíveis sejam criptografadas antes de conceder acesso de gravação e controlar se unidades removíveis protegidas pelo BitLocker que foram configuradas em outra organização podem ser abertas com acesso de gravação.
Descrição da política |
Com essa configuração de política, é possível definir se a proteção do BitLocker é obrigatória para um computador ser capaz de gravar dados em uma unidade de dados removível. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Consulte a seção Referência para obter uma descrição de conflitos. |
Quando habilitada |
Todas as unidades de dados removíveis que não sejam protegidas pelo BitLocker são montadas como somente leitura. Caso a unidade esteja protegida pelo BitLocker, ela é montada com acesso de leitura e gravação. |
Quando desabilitada ou não configurada |
Todas as unidades de dados removíveis no computador são montadas com acesso de leitura e gravação. |
Referência
Caso a opção Negar acesso de gravação aos dispositivos configurados em outra organização seja selecionada, somente unidades com campos de identificação correspondentes aos campos de identificação do computador recebem acesso de gravação. Quando uma unidade de dados removível é acessada, verifica-se a validade de um campo de identificação e os campos de identificação permitidos. Esses campos são definidos pela configuração de política Fornecer identificadores exclusivos para sua organização.
Observação
É possível substituir essa configuração de política pelas configurações de política em Configuração do Usuário\Modelos Administrativos\Sistema\Acesso de armazenamento removível. Se a configuração de política Discos removíveis: negar acesso de gravação estiver habilitada, essa configuração de política será ignorada.
Entre as considerações sobre conflito estão:
O uso do BitLocker com o TPM mais uma chave de inicialização ou com o TPM mais um PIN e uma chave de inicialização deve ser desautorizado caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada.
O uso de chaves de recuperação deve ser desautorizado caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada.
Você deve habilitar a configuração de política Fornecer identificadores exclusivos para sua organização caso queira negar o acesso de gravação para unidades que tenham sido configuradas em outra organização.
Controlar uso do BitLocker em unidades removíveis
Essa configuração de política é usada para evitar que os usuários ativem ou desativem o BitLocker em unidades de dados removíveis.
Descrição da política |
Com essa configuração de política, você pode controlar o uso do BitLocker em unidades de dados removíveis. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Nenhum |
Quando habilitada |
É possível selecionar as configurações de propriedade que controlam como os usuários podem definir o BitLocker. |
Quando desabilitada |
Os usuários não podem usar o BitLocker em unidades de dados removíveis. |
Quando não configurada |
Os usuários podem usar o BitLocker em unidades de dados removíveis. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
Para obter informações sobre como suspender a proteção do BitLocker, consulte Implantação básica do BitLocker.
As opções para escolher as configurações de propriedade que controlam como os usuários podem definir o BitLocker são:
Permitir que os usuários apliquem a proteção do BitLocker a unidades de dados removíveis Permite que o usuário execute o Assistente para Instalação do BitLocker em uma unidade de dados removível.
Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis Permite que o usuário remova o BitLocker da unidade ou suspenda a criptografia durante a execução da manutenção.
Escolher método de criptografia de unidade e nível de codificação
Esta configuração de política é usada para controlar o método e a força de criptografia.
Descrição da política |
Com essa configuração de política, é possível controlar o método e a força de criptografia das unidades. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Todas as unidades |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Nenhum |
Quando habilitada |
Você pode escolher um algoritmo de criptografia e a força de criptografia da chave do BitLocker a serem usados para criptografar as unidades. |
Quando desabilitada ou não configurada |
O BitLocker usa o método de criptografia padrão AES 128-bit ou o método de criptografia especificado pelo script de instalação. |
Referência
Por padrão, o BitLocker usa a criptografia AES 128-bit. As opções disponíveis são AES-128 e AES-256.. Os valores dessa política determinam a força da criptografia que o BitLocker usa para criptografia. As empresas podem querer controlar o nível de criptografia para ter mais segurança (AES-256 é mais forte que AES-128).
Alterar o método de criptografia não tem efeito caso a unidade já está criptografada ou caso a criptografia esteja em andamento. Nesses casos, essa configuração de política é ignorada.
Aviso
Esta configuração de política não se aplica a unidades criptografadas. As unidades criptografadas utilizam o próprio algoritmo, que é definido pela unidade durante o particionamento.
Quando essa configuração de política está desabilitada, o BitLocker usa AES com a mesma força de bits (128 bits ou 256 bits) conforme especificado na configuração de política Escolher método de criptografia de unidade e nível de codificação (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2). Caso nenhuma política esteja definida, o BitLocker usa o método de criptografia padrão, AES-128, ou o método de criptografia especificado no script de instalação.
Configurar uso da criptografia com base em hardware para unidades de dados fixas
Esta política controla como o BitLocker reage a sistemas equipados com unidades criptografadas quando elas são usadas como volumes de dados fixos. Usar a criptografia baseada em hardware pode melhorar o desempenho das operações da unidade que envolvem leitura ou gravação frequente de dados na unidade.
Descrição da política |
Com essa configuração de política, é possível gerenciar o uso da criptografia baseada em hardware do BitLocker em unidades de dados fixas e especificar quais algoritmos de criptografia o BitLocker pode usar com a criptografia baseada em hardware. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Nenhum |
Quando habilitada |
É possível especificar opções adicionais que controlam se a criptografia baseada em software do BitLocker é usada em vez da criptografia baseada em hardware em computadores que não dão suporte à criptografia baseada em hardware. Também é possível especificar se você deseja restringir os algoritmos de criptografia e pacotes de criptografia usados com a criptografia baseada em hardware. |
Quando desabilitada |
O BitLocker não pode usar criptografia baseada em hardware com unidades de dados fixas, e a criptografia baseada em software do BitLocker é usada por padrão quando a unidade é criptografada. |
Quando não configurada |
O BitLocker usa criptografia baseada em hardware com o algoritmo de criptografia definido para a unidade. Caso a criptografia baseada em hardware não esteja disponível, a criptografia baseada em software do BitLocker é usada em seu lugar. |
Referência
Observação
A configuração de política Escolher método de criptografia de unidade e nível de codificação não se aplica à criptografia baseada em hardware.
O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade. A opção Restringir algoritmos de criptografia e pacotes de codificação permitidos para a criptografia com base em hardware dessa configuração permite restringir os algoritmos de criptografia que o BitLocker pode usar com a criptografia de hardware. Caso o algoritmo definido para a unidade não esteja disponível, o BitLocker desabilita o uso da criptografia baseada em hardware. Os algoritmos de criptografia são especificados por identificadores de objeto (OIDs), por exemplo:
Criptografia AES 128 em Encadeamento de Blocos de Criptografia (CBC) modo OID: 2.16.840.1.101.3.4.1.2
AES 256 em CBC modo OID: 2.16.840.1.101.3.4.1.42
Configurar uso da criptografia com base em hardware para unidades do sistema operacional
Esta configuração de política controla como o BitLocker reage quando unidades criptografadas são usadas como unidades do sistema operacional. Usar a criptografia baseada em hardware pode melhorar o desempenho das operações da unidade que envolvem leitura ou gravação frequente de dados na unidade.
Descrição da política |
Com essa configuração de política, é possível gerenciar o uso da criptografia baseada em hardware do BitLocker em unidades do sistema operacional e especificar quais algoritmos de criptografia ele pode usar com a criptografia baseada em hardware. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
É possível especificar opções adicionais que controlam se a criptografia baseada em software do BitLocker é usada em vez da criptografia baseada em hardware em computadores que não dão suporte à criptografia baseada em hardware. Também é possível especificar se você deseja restringir os algoritmos de criptografia e pacotes de criptografia usados com a criptografia baseada em hardware. |
Quando desabilitada |
O BitLocker não pode usar criptografia baseada em hardware com unidades do sistema operacional, e a criptografia baseada em software do BitLocker é usada por padrão quando a unidade é criptografada. |
Quando não configurada |
O BitLocker usa criptografia baseada em hardware com o algoritmo de criptografia definido para a unidade. Caso a criptografia baseada em hardware não esteja disponível, a criptografia baseada em software do BitLocker é usada em seu lugar. |
Referência
Caso a criptografia baseada em hardware não esteja disponível, a criptografia baseada em software do BitLocker é usada em seu lugar.
Observação
A configuração de política Escolher método de criptografia de unidade e nível de codificação não se aplica à criptografia baseada em hardware.
O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade. A opção Restringir algoritmos de criptografia e pacotes de codificação permitidos para a criptografia com base em hardware dessa configuração permite restringir os algoritmos de criptografia que o BitLocker pode usar com a criptografia de hardware. Caso o algoritmo definido para a unidade não esteja disponível, o BitLocker desabilita o uso da criptografia baseada em hardware. Os algoritmos de criptografia são especificados por identificadores de objeto (OIDs), por exemplo:
Criptografia AES 128 em Encadeamento de Blocos de Criptografia (CBC) modo OID: 2.16.840.1.101.3.4.1.2
AES 256 em CBC modo OID: 2.16.840.1.101.3.4.1.42
Configurar uso da criptografia com base em hardware para unidades de dados removíveis
Esta configuração de política controla como o BitLocker reage a unidades criptografadas quando elas são usadas como unidades de dados removíveis. Usar a criptografia baseada em hardware pode melhorar o desempenho das operações da unidade que envolvem leitura ou gravação frequente de dados na unidade.
Descrição da política |
Com essa configuração de política, é possível gerenciar o uso da criptografia baseada em hardware do BitLocker em unidades de dados removíveis e especificar quais algoritmos de criptografia ele pode usar com a criptografia baseada em hardware. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidade de dados removível |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Nenhum |
Quando habilitada |
É possível especificar opções adicionais que controlam se a criptografia baseada em software do BitLocker é usada em vez da criptografia baseada em hardware em computadores que não dão suporte à criptografia baseada em hardware. Também é possível especificar se você deseja restringir os algoritmos de criptografia e pacotes de criptografia usados com a criptografia baseada em hardware. |
Quando desabilitada |
O BitLocker não pode usar criptografia baseada em hardware com unidades de dados removíveis, e a criptografia baseada em software do BitLocker é usada por padrão quando a unidade é criptografada. |
Quando não configurada |
O BitLocker usa criptografia baseada em hardware com o algoritmo de criptografia definido para a unidade. Caso a criptografia baseada em hardware não esteja disponível, a criptografia baseada em software do BitLocker é usada em seu lugar. |
Referência
Caso a criptografia baseada em hardware não esteja disponível, a criptografia baseada em software do BitLocker é usada em seu lugar.
Observação
A configuração de política Escolher método de criptografia de unidade e nível de codificação não se aplica à criptografia baseada em hardware.
O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade. A opção Restringir algoritmos de criptografia e pacotes de codificação permitidos para a criptografia com base em hardware dessa configuração permite restringir os algoritmos de criptografia que o BitLocker pode usar com a criptografia de hardware. Caso o algoritmo definido para a unidade não esteja disponível, o BitLocker desabilita o uso da criptografia baseada em hardware. Os algoritmos de criptografia são especificados por identificadores de objeto (OIDs), por exemplo:
Criptografia AES 128 em Encadeamento de Blocos de Criptografia (CBC) modo OID: 2.16.840.1.101.3.4.1.2
AES 256 em CBC modo OID: 2.16.840.1.101.3.4.1.42
Aplicar tipo de criptografia de dados a unidades de dados fixas
Esta configuração de política controla se as unidades de dados fixas utilizam criptografia Used Space Only ou Completa. Definir essa política também faz o Assistente para Instalação do BitLocker ignorar a página de opções de criptografia, logo, não há exibições de seleção de criptografia para o usuário.
Descrição da política |
Com essa configuração de política, é possível definir o tipo de criptografia usado pelo BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidade de dados fixa |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Nenhum |
Quando habilitada |
Esta configuração de política define o tipo de criptografia que o BitLocker usa para criptografar unidades, e a opção do tipo de criptografia não é apresentada no Assistente para Instalação do BitLocker. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker pede para o usuário selecionar o tipo de criptografia antes de ativar o BitLocker. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker. Alterar o tipo de criptografia não tem efeito caso a unidade já está criptografada ou caso a criptografia esteja em andamento. Escolha a criptografia Completa para exigir que toda a unidade seja criptografada quando o BitLocker for ativado. Escolha a criptografia Used Space Only para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker for ativado.
Observação
Esta configuração de política é ignorada quando você reduz ou expande um volume e o driver do BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Used Space Only é expandida, o novo espaço livre não é apagado como seria para uma unidade que estivesse usando a criptografia Completa. O usuário pode limpar o espaço livre em uma unidade Used Space Only usando o seguinte comando: manage-bde -w. Caso o volume seja reduzido, nenhuma ação é tomada para o novo espaço livre.
Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte Manage-bde.
Aplicar tipo de criptografia de dados a unidades do sistema operacional
Esta configuração de política controla se unidades do sistema operacional utilizam a criptografia Completa ou Used Space Only. Definir essa política também faz o Assistente para Instalação do BitLocker ignorar a página de opções de criptografia, logo, não há exibições de seleção de criptografia para o usuário.
Descrição da política |
Com essa configuração de política, é possível definir o tipo de criptografia usado pelo BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidade do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
O tipo de criptografia que o BitLocker usa para criptografar unidades é definido por essa política, e a opção do tipo de criptografia não é apresentada no Assistente para Instalação do BitLocker. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker pede para o usuário selecionar o tipo de criptografia antes de ativar o BitLocker. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker. Alterar o tipo de criptografia não tem efeito caso a unidade já está criptografada ou caso a criptografia esteja em andamento. Escolha a criptografia Completa para exigir que toda a unidade seja criptografada quando o BitLocker for ativado. Escolha a criptografia Used Space Only para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker for ativado.
Observação
Esta configuração de política é ignorada quando se reduz ou expande um volume e o driver do BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Used Space Only é expandida, o novo espaço livre não é apagado como seria para uma unidade que estivesse usando a criptografia Completa. O usuário pode limpar o espaço livre em uma unidade Used Space Only usando o seguinte comando: manage-bde -w. Caso o volume seja reduzido, nenhuma ação é tomada para o novo espaço livre.
Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte Manage-bde.
Aplicar tipo de criptografia de dados a unidades de dados removíveis
Esta configuração de política controla se as unidades de dados fixas utilizam criptografia Completa ou Used Space Only. Definir essa política também faz o Assistente para Instalação do BitLocker ignorar a página de opções de criptografia, logo, não há exibições de seleção de criptografia para o usuário.
Descrição da política |
Com essa configuração de política, é possível definir o tipo de criptografia usado pelo BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidade de dados removível |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Nenhum |
Quando habilitada |
O tipo de criptografia que o BitLocker usa para criptografar unidades é definido por essa política, e a opção do tipo de criptografia não é apresentada no Assistente para Instalação do BitLocker. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker pede para o usuário selecionar o tipo de criptografia antes de ativar o BitLocker. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker. Alterar o tipo de criptografia não tem efeito caso a unidade já está criptografada ou caso a criptografia esteja em andamento. Escolha a criptografia Completa para exigir que toda a unidade seja criptografada quando o BitLocker for ativado. Escolha a criptografia Used Space Only para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker for ativado.
Observação
Esta configuração de política é ignorada quando se reduz ou expande um volume e o driver do BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Used Space Only é expandida, o novo espaço livre não é apagado como seria para uma unidade que estivesse usando a criptografia Completa. O usuário pode limpar o espaço livre em uma unidade Used Space Only usando o seguinte comando: manage-bde -w. Caso o volume seja reduzido, nenhuma ação é tomada para o novo espaço livre.
Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte Manage-bde.
Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas
Esta configuração de política é usada para configurar métodos de recuperação para unidades de sistema operacional.
Descrição da política |
Com essa configuração de política, é possível controlar como unidades de sistema operacional protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Você deve desautorizar o uso de chaves de recuperação caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada. Ao usar agentes de recuperação de dados, você deve habilitar a configuração de política Fornecer identificadores exclusivos para sua organização. |
Quando habilitada |
É possível controlar os métodos que estão disponíveis para os usuários recuperarem dados de unidades do sistema operacional protegidas pelo BitLocker. |
Quando desabilitada ou não configurada |
As opções de recuperação padrão são compatíveis para a recuperação do BitLocker. Por padrão, um agente de recuperação de dados é permitido, as opções de recuperação podem ser especificadas pelo usuário (inclusive a senha de recuperação e a chave de recuperação) e o backup das informações de recuperação não é feito no AD DS. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
A caixa de seleção Permitir agente de recuperação de dados é usada para especificar se um agente de recuperação de dados pode ser usado com unidades de sistema operacional protegidas pelo BitLocker. Para ser usado, um agente de recuperação de dados deve ser adicionado de Políticas de Chave Pública, que está localizado no Console de Gerenciamento de políticas de Grupo (GPMC) ou no Editor de Política de Grupo Local.
Para obter mais informações sobre como adicionar agentes de recuperação de dados, consulte Implantação básica do BitLocker.
Em Configurar armazenamento do usuário das informações de recuperação do BitLocker, determine se os usuários são permitidos, necessários ou não permitidos para gerar uma senha de recuperação de 48 dígitos.
Selecione Omitir opções de recuperação do Assistente para Instalação do BitLocker para evitar que os usuários especifiquem opções de recuperação quando habilitarem o BitLocker em uma unidade. Isso significa que você não poderá especificar qual opção de recuperação deverá ser usada ao habilitar o BitLocker. Em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração de política.
Em Salvar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory, escolha quais informações de recuperação do BitLocker devem ser armazenadas nos Serviços de Domínio do Active Directory (AD DS) para unidades de sistema operacional. Caso você selecione Store recovery password and key packages, a senha de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade corrompida fisicamente. Caso você selecione Store recovery password only, somente a senha de recuperação é armazenada no AD DS.
Marque a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional caso você queira evitar que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker da unidade no AD DS seja bem-sucedido.
Observação
Caso a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional esteja marcada, uma senha de recuperação é gerada automaticamente.
Escolher como os usuários podem recuperar as unidades protegidas por BitLocker (Windows Server 2008 e Windows Vista)
Esta configuração de política é usada para definir métodos de recuperação para unidades protegidas pelo BitLocker em computadores nos quais o Windows Server 2008 ou o Windows Vista esteja em execução.
Descrição da política |
Com essa configuração de política, é possível controlar se o Assistente para Instalação do BitLocker pode exibir e especificar opções de recuperação do BitLocker. |
Introduzida |
Windows Server 2008 e Windows Vista |
Tipo de unidade |
Unidades de sistema operacional e de dados fixas em computadores nos quais o Windows Server 2008 e o Windows Vista estejam em execução |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Esta configuração de política oferece um método administrativo de recuperação de dados criptografado pelo BitLocker para evitar a perda de dados por causa da falta de informações importantes. Caso escolha a opção Não permitir para ambas as opções de recuperação do usuário, você deve habilitar a configuração de política Armazenar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory (Windows Server 2008 e Windows Vista) para evitar um erro de política. |
Quando habilitada |
É possível configurar as opções que o Assistente para Instalação do BitLocker exibe a usuários para recuperar dados criptografados do BitLocker. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker apresenta aos usuários formas de armazenar opções de recuperação. |
Referência
Esta configuração de política só se aplica a computadores nos quais o Windows Server 2008 ou o Windows Vista esteja em execução. Essa configuração de política é aplicada quando você ativa o BitLocker.
Duas opções de recuperação podem ser usadas para desbloquear dados criptografados pelo BitLocker na ausência das informações de chave de inicialização necessárias. Os usuários podem digitar uma senha de recuperação numérica de 48 dígitos ou podem inserir uma unidade USB que contém uma chave de recuperação de 256 bits.
Salvar a senha de recuperação em uma unidade USB armazena a senha de recuperação de 48 dígitos como um arquivo de texto e a chave de recuperação de 256 bits como um arquivo oculto. Salvá-la em uma pasta armazena a senha de recuperação de 48 dígitos como um arquivo de texto. Imprimi-la envia a senha de recuperação de 48 dígitos para a impressora padrão. Por exemplo, não permitir a senha de recuperação de 48 dígitos evita que os usuários imprimam ou salvem informações de recuperação em uma pasta.
Importante
Caso a inicialização do TPM seja realizada durante a instalação do BitLocker, as informações de proprietário do TPM são salvas ou impressas com as informações de recuperação do BitLocker.
A senha de recuperação de 48 dígitos não está disponível no modo de conformidade com FIPS.
Importante
Para evitar a perda de dados, você deve ter uma maneira de recuperar as chaves de criptografia do BitLocker. Caso não permita ambas as opções de recuperação, você deve habilitar o backup das informações de recuperação do BitLocker no AD DS. Do contrário, ocorre um erro de política.
Armazenar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory (Windows Server 2008 e Windows Vista)
Esta configuração de política é usada para definir o armazenamento de informações de recuperação do BitLocker no AD DS. Isso oferece um método administrativo de recuperação de dados criptografado pelo BitLocker para evitar a perda de dados por causa da falta de informações importantes.
Descrição da política |
Com essa configuração de política, você pode gerenciar o backup do AD DS das informações de recuperação de Criptografia de Unidade de Disco BitLocker. |
Introduzida |
Windows Server 2008 e Windows Vista |
Tipo de unidade |
Unidades de sistema operacional e de dados fixas em computadores nos quais o Windows Server 2008 e o Windows Vista estejam em execução. |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Nenhum |
Quando habilitada |
É feito o backup das informações de recuperação do BitLocker de maneira automática e silenciosa no AD DS quando o BitLocker é ativado para um computador. |
Quando desabilitada ou não configurada |
Não é feito o backup de informações de recuperação do BitLocker no AD DS. |
Referência
Esta configuração de política só se aplica a computadores nos quais o Windows Server 2008 ou o Windows Vista esteja em execução.
Essa configuração de política é aplicada quando você ativa o BitLocker.
Entre as informações de recuperação do BitLocker estão a senha de recuperação e os dados de identificador exclusivo. Também é possível incluir um pacote contendo uma chave de criptografia para uma unidade protegida pelo BitLocker. Esse pacote de chaves é protegido por uma ou mais senhas de recuperação e pode ajudar a realizar uma recuperação especializada quando o disco está danificado ou corrompido.
Caso você selecione Exigir backup do BitLocker no AD DS, o BitLocker não pode ser ativado, a menos que o computador esteja conectado ao domínio e o backup de informações de recuperação do BitLocker no AD DS seja bem-sucedido. Essa opção é selecionada por padrão para ajudar a garantir que a recuperação do BitLocker seja possível.
Uma senha de recuperação é um número de 48 dígitos que desbloqueia o acesso a uma unidade protegida pelo BitLocker. Um pacote de chaves contém a chave de criptografia do BitLocker de uma unidade, protegida por uma ou mais senhas de recuperação. Os pacotes de chaves podem ajudar a realizar uma recuperação especializada quando o disco está danificado ou corrompido.
Caso a opção Exigir backup do BitLocker no AD DS não esteja selecionada, o backup do AD DS é tentado, mas falhas de rede ou outras de backup não impedem a instalação do BitLocker. O processo de backup não é repetido automaticamente, e a senha de recuperação não pode ser armazenada no AD DS durante a instalação do BitLocker.
A inicialização do TPM pode ser necessária durante a instalação do BitLocker. Habilite a configuração de política Ativar backup TPM nos Serviços de Domínio Active Directory em Configuração do Computador\Modelos Administrativos\Sistema\Serviços do Trusted Platform Module para garantir o backup também das informações do TPM.
Para obter mais informações sobre essa configuração, consulte Configurações da Política de Grupo do TPM.
Caso esteja usando controladores de domínio nos quais o Windows Server 2003 com Service Pack 1 esteja em execução, você deve primeiro configurar extensões de esquema apropriadas e acessar configurações de controle no domínio para um backup no AD DS ser bem-sucedido. Para obter mais informações, consulte Fazer backup das informações de recuperação do TPM no AD DS.
Escolher pasta padrão para a senha de recuperação
Esta configuração de política é usada para configurar a pasta padrão para senhas de recuperação.
Descrição da política |
Com essa configuração de política, é possível especificar o caminho padrão exibido quando o Assistente para Instalação do BitLocker pede ao usuário para inserir o local de uma pasta na qual salvar a senha de recuperação. |
Introduzida |
Windows Vista |
Tipo de unidade |
Todas as unidades |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Nenhum |
Quando habilitada |
É possível especificar o caminho que será usado como o local da pasta padrão quando o usuário escolhe a opção de salvar a senha de recuperação em uma pasta. É possível especificar um caminho totalmente qualificado ou incluir as variáveis de ambiente do computador de destino no caminho. Caso o caminho não seja válido, o Assistente para Instalação do BitLocker exibe o modo de exibição de pasta de nível superior do computador. |
Quando desabilitada ou não configurada |
O Assistente para Instalação do BitLocker exibe o modo de exibição de pasta de nível superior do computador quando o usuário escolhe a opção de salvar a senha de recuperação em uma pasta. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
Observação
Esta configuração de política não impede o usuário de salvar a senha de recuperação em outra pasta.
Escolher como as unidades fixas protegidas por BitLocker podem ser recuperadas
Esta configuração de política é usada para configurar métodos de recuperação para unidades de dados fixas.
Descrição da política |
Com essa configuração de política, é possível controlar como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das credenciais necessárias. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Você deve desautorizar o uso de chaves de recuperação caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada. Ao usar agentes de recuperação de dados, você deve habilitar e definir a configuração de política Fornecer identificadores exclusivos para sua organização. |
Quando habilitada |
É possível controlar os métodos que estão disponíveis para os usuários recuperarem dados de unidades de dados fixas protegidas pelo BitLocker. |
Quando desabilitada ou não configurada |
As opções de recuperação padrão são compatíveis para a recuperação do BitLocker. Por padrão, um agente de recuperação de dados é permitido, as opções de recuperação podem ser especificadas pelo usuário (inclusive a senha de recuperação e a chave de recuperação) e o backup das informações de recuperação não é feito no AD DS. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
A caixa de seleção Permitir agente de recuperação de dados é usada para especificar se um agente de recuperação de dados pode ser usado com unidades de dados fixas protegidas pelo BitLocker. Para ser usado, um agente de recuperação de dados deve ser adicionado de Políticas de Chave Pública, que está localizado no Console de Gerenciamento de políticas de Grupo (GPMC) ou no Editor de Política de Grupo Local.
Em Configurar armazenamento do usuário das informações de recuperação do BitLocker, selecione se os usuários são permitidos, necessários ou não permitidos para gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits.
Selecione Omitir opções de recuperação do Assistente para Instalação do BitLocker para evitar que os usuários especifiquem opções de recuperação quando habilitarem o BitLocker em uma unidade. Isso significa que não é possível especificar qual opção de recuperação usar quando você habilita o BitLocker. Em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração de política.
Em Salvar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory, escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades de dados fixas. Caso você selecione Fazer backup da senha de recuperação e do pacote da chave, a senha de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi corrompida fisicamente. Para recuperar esses dados, é possível usar a ferramenta de linha de comando Repair-bde. Caso você selecione Fazer backup da senha de recuperação apenas, somente a senha de recuperação é armazenada no AD DS.
Para obter mais informações sobre a ferramenta de reparo do BitLocker, consulte Repair-bde.
Marque a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas caso você queira evitar que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker da unidade no AD DS seja bem-sucedido.
Observação
Caso a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas esteja marcada, uma senha de recuperação é gerada automaticamente.
Escolher como as unidades removíveis protegidas por BitLocker podem ser recuperadas
Esta configuração de política é usada para configurar métodos de recuperação para unidades de dados removíveis.
Descrição da política |
Com essa configuração de política, é possível controlar como as unidades de dados removíveis protegidas pelo BitLocker são recuperadas na ausência das credenciais necessárias. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Você deve desautorizar o uso de chaves de recuperação caso a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker esteja habilitada. Ao usar agentes de recuperação de dados, você deve habilitar e definir a configuração de política Fornecer identificadores exclusivos para sua organização. |
Quando habilitada |
É possível controlar os métodos que estão disponíveis para os usuários recuperarem dados de unidades de dados removíveis protegidas pelo BitLocker. |
Quando desabilitada ou não configurada |
As opções de recuperação padrão são compatíveis para a recuperação do BitLocker. Por padrão, um agente de recuperação de dados é permitido, as opções de recuperação podem ser especificadas pelo usuário (inclusive a senha de recuperação e a chave de recuperação) e o backup das informações de recuperação não é feito no AD DS. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker.
A caixa de seleção Permitir agente de recuperação de dados é usada para especificar se um agente de recuperação de dados pode ser usado com unidades de dados removíveis protegidas pelo BitLocker. Para um agente de recuperação de dados poder ser usado, ele deve ser adicionado em Políticas de Chave Pública, acessada usando-se o GPMC ou o Editor de Política de Grupo Local.
Em Configurar armazenamento do usuário das informações de recuperação do BitLocker, determine se os usuários são permitidos, necessários ou não permitidos para gerar uma senha de recuperação de 48 dígitos.
Selecione Omitir opções de recuperação do Assistente para Instalação do BitLocker para evitar que os usuários especifiquem opções de recuperação quando habilitarem o BitLocker em uma unidade. Isso significa que não é possível especificar qual opção de recuperação usar quando você habilita o BitLocker. Em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração de política.
Em Salvar informações de recuperação do BitLocker no Serviços de Domínio do Active Directory, escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades de dados removíveis. Caso você selecione Fazer backup da senha de recuperação e do pacote da chave, a senha de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Caso você selecione Fazer backup da senha de recuperação apenas, somente a senha de recuperação é armazenada no AD DS.
Marque a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados removíveis caso você queira evitar que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker da unidade no AD DS seja bem-sucedido.
Observação
Caso a caixa de seleção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas esteja marcada, uma senha de recuperação é gerada automaticamente.
Configurar a mensagem de recuperação de pré-inicialização e a URL
Esta configuração de política é usada para definir toda a mensagem de recuperação e substituir a URL existente exibida na tela de recuperação de pré-inicialização quando a unidade do sistema operacional está bloqueada.
Descrição da política |
Com essa configuração de política, você pode definir a tela de recuperação do BitLocker para exibir uma mensagem personalizada e uma URL. |
Introduzida |
Windows 10 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional\Configurar URL e mensagem de recuperação pré-inicialização |
Conflitos |
Nenhum |
Quando habilitada |
A mensagem personalizada e a URL são exibidas na tela de recuperação de pré-inicialização. Caso tenha habilitado anteriormente uma mensagem de recuperação personalizada e a URL e queira reverter para a mensagem padrão e a URL, você deve manter a configuração de política habilitada e selecionar a opção Usar a mensagem de recuperação e o URL padrão. |
Quando desabilitada ou não configurada |
Caso a configuração não tenha sido habilitada anteriormente, a tela de recuperação de pré-inicialização padrão é exibida para a recuperação do BitLocker. Caso a configuração tenha sido habilitada anteriormente e seja desabilitada depois, a última mensagem em Dados de Configuração da Inicialização (BCD) é exibida, independentemente da mensagem ter sido de recuperação padrão ou personalizada. |
Referência
Habilitar a configuração de política Configurar a mensagem de recuperação de pré-inicialização e a URL permite personalizar a mensagem da tela de recuperação padrão e a URL para ajudar os clientes na recuperação da chave.
Depois de habilitar a configuração, você terá três opções:
Se você selecionar a opção Usar a mensagem de recuperação e o URL padrão, a mensagem de recuperação do BitLocker padrão e a URL serão exibidas na tela de recuperação de pré-inicialização.
Caso você selecione a opção Usar mensagem de recuperação personalizada, digite a mensagem personalizada na caixa de texto Opção de mensagem de recuperação personalizada. A mensagem que você digitar na caixa de texto Opção de mensagem de recuperação personalizada será exibida na tela de recuperação de pré-inicialização. Caso uma URL de recuperação esteja disponível, inclua-a na mensagem.
Caso você selecione a opção Usar URL de recuperação personalizada, digite a URL da mensagem personalizada na caixa de texto Opção de URL de recuperação personalizada. A URL que você digita na caixa de texto Opção de URL de recuperação personalizada substitui a URL padrão na mensagem de recuperação padrão, que será exibida na tela de recuperação de pré-inicialização.
Importante
Nem todos os caracteres e idiomas são compatíveis no ambiente de pré-inicialização. É altamente recomendável verificar a aparência correta dos caracteres que você usa para a mensagem personalizada e a URL na tela de recuperação de pré-inicialização.
Importante
Como pode alterar os comandos de BCDEdit manualmente antes de definir as configurações de Política de Grupo, você não pode retornar a configuração de política para a padrão selecionando a opção Não configurado depois de definir essa configuração de política. Para retornar à tela de recuperação de pré-inicialização padrão, deixe a configuração de política habilitada e selecione as opções Use default message da caixa de lista suspensa Choose an option for the pre-boot recovery message.
Permitir Inicialização Segura para validação de integridade
Esta política controla como volumes de sistema habilitados pelo BitLocker são manipulados com o recurso Inicialização Segura. Habilitar esse recurso força a validação de Inicialização Segura durante o processo de inicialização e verifica as configurações de Dados de Configuração da Inicialização (BCD) de acordo com a política de Inicialização Segura.
Descrição da política |
Com essa configuração de política, é possível definir se a Inicialização Segura terá permissão como o provedor de integridade da plataforma para unidades de sistema operacional do BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Todas as unidades |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Caso a configuração de Política de Grupo Configurar perfil de validação de plataforma TPM para configurações de firmware UEFI nativo esteja habilitada e PCR 7 seja omitido, o BitLocker é impedido de usar a Inicialização Segura para plataforma ou validação de integridade do BCD. Para obter mais informações sobre PCR 7, consulte Registro de configuração de plataforma (PCR) neste tópico. |
Quando habilitada ou não configurada |
O BitLocker use a Inicialização Segura para integridade da plataforma caso esta seja compatível com a validação de integridade de Inicialização Segura. |
Quando desabilitada |
O BitLocker usa validação de integridade da plataforma herdada, mesmo em sistemas compatíveis com a validação de integridade baseada em Inicialização Segura. |
Referência
Inicialização Segura garante que o ambiente de pré-inicialização do computador carregue apenas firmware assinado digitalmente por fornecedores de software autorizados. Inicialização Segura também oferece mais flexibilidade para gerenciar configurações de pré-inicialização do que verificações de integridade do BitLocker antes do Windows Server 2012 e do Windows 8.
Quando essa política está habilitada e o hardware é capaz de usar a Inicialização Segura para cenários do BitLocker, a configuração de Política de Grupo Usar o perfil de validação de Dados de Configuração da Inicialização avançado é ignorada, e a Inicialização Segura verifica as configurações de BCD de acordo com a configuração de política de Inicialização Segura, definida separadamente do BitLocker.
Aviso
Habilitar essa política pode resultar na recuperação do BitLocker quando um firmware específico do fabricante é atualizado. Caso você desabilite essa política, suspenda o BitLocker antes de aplicar atualizações de firmware.
Fornecer identificadores exclusivos para sua organização
Esta configuração de política é usada para estabelecer um identificador aplicado a todas as unidades criptografadas na organização.
Descrição da política |
Com essa configuração de política, você pode associar identificadores organizacionais exclusivos a uma nova unidade habilitada com o BitLocker. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Todas as unidades |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Os campos de identificação são necessários para gerenciar agentes de recuperação de dados baseados em certificado em unidades protegidas pelo BitLocker. O BitLocker só gerencia e atualiza agentes de recuperação de dados baseados em certificado quando o campo de identificação está presente em uma unidade e é idêntico ao valor configurado no computador. |
Quando habilitada |
É possível configurar o campo de identificação na unidade protegida pelo BitLocker e qualquer campo de identificação permitido é usado pela organização. |
Quando desabilitada ou não configurada |
O campo de identificação não é necessário. |
Referência
Esses identificadores são armazenados como o campo de identificação e o campo de identificação permitido. O campo de identificação permite associar um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Esse identificador é adicionado automaticamente às novas unidades protegidas pelo BitLocker, e ele pode ser atualizado em unidades protegidas pelo BitLocker existentes usando-se a ferramenta de linha de comando Manage-bde.
Um campo de identificação é necessário para gerenciar agentes de recuperação de dados baseados em certificado em unidades protegidas pelo BitLocker e para atualizações em potencial para o Leitor BitLocker To Go. O BitLocker só gerencia e atualiza agentes de recuperação de dados quando o campo de identificação na unidade corresponde ao valor configurado no campo de identificação. De maneira semelhante, o BitLocker só atualiza o Leitor BitLocker To Go quando o campo de identificação na unidade corresponde ao valor configurado para o campo de identificação.
Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte Manage-bde.
O campo de identificação permitido é usado em combinação com a configuração de política Negar acesso de gravação a unidades removíveis não protegidas por BitLocker para ajudar a controlar o uso de unidades removíveis na organização. Trata-se de uma lista separada por vírgulas de campos de identificação da organização ou de organizações externas.
É possível configurar os campos de identificação em unidades existentes usando-se a ferramenta de linha de comando Manage-bde.
Quando uma unidade protegida pelo BitLocker é montada em outro computador com o BitLocker habilitado, o campo de identificação e o campo de identificação permitido são usados para determinar se a unidade é de uma organização externa.
Vários valores separados por vírgulas podem ser inseridos nos campos de identificação e de identificação permitida. O campo de identificação pode ser qualquer valor até 260 caracteres.
Evitar substituição de memória ao reiniciar
Esta configuração de política é usada para controlar se a memória do computador será substituída na próxima vez em que o computador for reiniciado.
Descrição da política |
Com essa configuração de política, é possível controlar o desempenho da reinicialização do computador sob o risco de expor segredos do BitLocker. |
Introduzida |
Windows Vista |
Tipo de unidade |
Todas as unidades |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker |
Conflitos |
Nenhum |
Quando habilitada |
O computador não substituirá a memória quando for reiniciado. Substituir a memória pode melhorar o desempenho de reinicialização, mas aumenta o risco de expor segredos do BitLocker. |
Quando desabilitada ou não configurada |
Os segredos do BitLocker são removidos da memória quando o computador é reiniciado. |
Referência
Essa configuração de política é aplicada quando você ativa o BitLocker. Entre os segredos do BitLocker incluem material de chave usado para criptografar dados. Essa configuração de política só se aplica quando uma proteção do BitLocker está habilitada.
Configurar perfil de validação de plataforma TPM para configurações de firmware com base em BIOS
Esta configuração de política determina quais valores o TPM avalia ao validar componentes de inicialização com antecedência antes de desbloquear uma unidade do sistema operacional em um computador com uma configuração de BIOS ou firmware da UEFI com o Compatibility Support Module (CSM) habilitado.
Descrição da política |
Com essa configuração de política, é possível configurar como o hardware de segurança do TPM do computador protege a chave de criptografia do BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
É possível configurar os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Caso qualquer um desses componentes seja alterado com a proteção do BitLocker em vigor, o TPM não libera a chave de criptografia para desbloquear a unidade. Em vez disso, o computador exibe o console de recuperação do BitLocker e exige que a senha de recuperação ou a chave de recuperação seja fornecida para desbloquear a unidade. |
Quando desabilitada ou não configurada |
O TPM usa o perfil de validação da plataforma padrão ou o perfil de validação da plataforma especificado pelo script de instalação. |
Referência
Esta configuração de política não se aplica caso o computador não tenha um TPM compatível ou caso o BitLocker já tenha sido ativado com a proteção do TPM.
Importante
Esta configuração de política de grupo só se aplica a computadores com configurações de BIOS ou a computadores com firmware da UEFI com o CSM habilitado. Os computadores que usam uma configuração de firmware da UEFI nativa armazenam valores diferentes nos registros de configuração de plataforma (PCRs). Use a configuração de Política de Grupo Configurar perfil de validação de plataforma TPM para configurações de firmware UEFI nativo para definir o perfil de PCR do TPM para computadores que usam firmware da UEFI nativo.
Um perfil de validação da plataforma consiste em um conjunto de índices PCR que vão de 0 a 23. O perfil de validação da plataforma padrão protege a chave de criptografia de alterações feitas no seguinte:
CRTM (Core Root of Trust of Measurement), BIOS e extensões de plataforma (PCR 0)
Código do Option ROM (PCR 2)
Código MBR (Master Boot Record) (PCR 4)
Setor de Inicialização do NTFS (PCR 8)
Bloco de Inicialização do NTFS (PCR 9)
Gerenciador de Inicialização (PCR 10)
Controle de Acesso do BitLocker (PCR 11)
Observação
Alterar o perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker a modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui dependendo da inclusão ou da exclusão do PCRs.
A seguinte lista identifica todos o PCRs disponíveis:
PCR 0: CRTM (Core Root of Trust of Measurement), BIOS e extensões de plataforma
PCR 1: Dados e configuração da plataforma e da placa-mãe.
PCR 2: Código do Option ROM
PCR 3: Dados e configuração do Option ROM
PCR 4: Código MBR (Master Boot Record)
PCR 5: Tabela de Partição do MBR
PCR 6: Transição de Estado e Eventos de Ativação
PCR 7: Específico do Fabricante do Computador
PCR 8: Setor de Inicialização do NTFS
PCR 9: Bloco de Inicialização do NTFS
PCR 10: Gerenciador de Inicialização
PCR 11: Controle de Acesso do BitLocker
PCR 12-23: Reservado para uso futuro
Configurar perfil de validação de plataforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Esta configuração de política determina quais valores o TPM avalia ao validar componentes de inicialização antecipada antes de desbloquear uma unidade em um computador no qual o Windows Vista, o Windows Server 2008 ou o Windows 7 esteja em execução.
Descrição da política |
Com essa configuração de política, é possível configurar como o hardware de segurança do TPM do computador protege a chave de criptografia do BitLocker. |
Introduzida |
Windows Server 2008 e Windows Vista |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
É possível configurar os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Caso qualquer um desses componentes seja alterado com a proteção do BitLocker em vigor, o TPM não libera a chave de criptografia para desbloquear a unidade. Em vez disso, o computador exibe o console de recuperação do BitLocker e exige que a senha de recuperação ou a chave de recuperação seja fornecida para desbloquear a unidade. |
Quando desabilitada ou não configurada |
O TPM usa o perfil de validação da plataforma padrão ou o perfil de validação da plataforma especificado pelo script de instalação. |
Referência
Esta configuração de política não se aplica caso o computador não tenha um TPM compatível ou caso o BitLocker já esteja ativado com a proteção do TPM.
Um perfil de validação da plataforma consiste em um conjunto de índices PCR que vão de 0 a 23. O perfil de validação da plataforma padrão protege a chave de criptografia de alterações feitas no seguinte:
CRTM (Core Root of Trust of Measurement), BIOS e extensões de plataforma (PCR 0)
Código do Option ROM (PCR 2)
Código MBR (Master Boot Record) (PCR 4)
Setor de Inicialização do NTFS (PCR 8)
Bloco de Inicialização do NTFS (PCR 9)
Gerenciador de Inicialização (PCR 10)
Controle de Acesso do BitLocker (PCR 11)
Observação
As configurações do PCR de validação do TPM padrão para computadores que usam uma Extensible Firmware Interface (EFI) são PCRs 0, 2, 4 e 11 apenas.
A seguinte lista identifica todos o PCRs disponíveis:
PCR 0: raiz de confiança básica para avaliação, inicialização EFI e serviços de tempo de execução, drivers EFI inseridos na ROM do sistema, tabelas estáticas ACPI, código SMM incorporado e código do BIOS
PCR 1: Dados e configuração da plataforma e da placa-mãe. Tabelas de distribuição e variáveis EFI que afetam a configuração do sistema
PCR 2: Código do Option ROM
PCR 3: Dados e configuração do Option ROM
PCR 4: código de registro mestre de inicialização (MBR) ou código de outros dispositivos de inicialização
PCR 5: Tabela de Partição do MBR. Diversas variáveis EFI e a tabela GPT
PCR 6: Transição de Estado e Eventos de Ativação
PCR 7: Específico do Fabricante do Computador
PCR 8: Setor de Inicialização do NTFS
PCR 9: Bloco de Inicialização do NTFS
PCR 10: Gerenciador de Inicialização
PCR 11: Controle de Acesso do BitLocker
PCR 12-23: Reservado para uso futuro
Aviso
Alterar o perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker a modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui dependendo da inclusão ou da exclusão do PCRs.
Configurar perfil de validação de plataforma TPM para configurações de firmware UEFI nativo
Esta configuração de política determina quais valores o TPM avalia ao validar componentes de inicialização antecipada antes de desbloquear uma unidade do sistema operacional em um computador com configurações de firmware da UEFI nativa.
Descrição da política |
Com essa configuração de política, é possível configurar como o hardware de segurança do Trusted Platform Module (TPM) do computador protege a chave de criptografia do BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Definir essa política com PCR 7 omitido substitui a configuração de Política de Grupo Permitir Inicialização Segura para validação de integridade e impede que o BitLocker use a Inicialização Segura para plataforma ou a validação de integridade de Dados de Configuração da Inicialização (BCD). Caso os ambientes usem TPM e Inicialização Segura para verificações de integridade da plataforma, essa política não deve ser configurada. Para obter mais informações sobre PCR 7, consulte Registro de configuração de plataforma (PCR) neste tópico. |
Quando habilitada |
Antes de ativar o BitLocker, você pode configurar os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Caso qualquer um desses componentes seja alterado com a proteção do BitLocker em vigor, o TPM não libera a chave de criptografia para desbloquear a unidade. Em vez disso, o computador exibe o console de recuperação do BitLocker e exige que a senha de recuperação ou a chave de recuperação seja fornecida para desbloquear a unidade. |
Quando desabilitada ou não configurada |
O BitLocker usa o perfil de validação da plataforma padrão ou o perfil de validação da plataforma especificado pelo script de instalação. |
Referência
Esta configuração de política não se aplica caso o computador não tenha um TPM compatível ou caso o BitLocker já esteja ativado com a proteção do TPM.
Importante
Esta configuração de Política de Grupo só se aplica a computadores com uma configuração de firmware da UEFI nativa. Computadores com BIOS ou firmware da UEFI com um Compatibility Support Module (CSM) habilitado armazenam valores diferentes nos registros de configuração de plataforma (PCRs). Use a configuração de Política de Grupo Configurar perfil de validação de plataforma TPM para configurações de firmware com base em BIOS para definir o perfil PCR do TPM para computadores com configurações de BIOS ou para computadores com firmware da UEFI e um CSM habilitado.
Um perfil de validação de plataforma consiste em um conjunto de índices de registro de configuração de plataforma (PCR) que vão de 0 a 23. O perfil de validação da plataforma padrão protege a chave de criptografia de alterações feitas no código executável do firmware do sistema básico (PCR 0), código executável estendido ou conectável (PCR 2), gerenciador de inicialização (PCR 4) e controle de acesso do BitLocker (PCR 11).
A seguinte lista identifica todos o PCRs disponíveis:
PCR 0: Código executável do Firmware de Sistema Principal
PCR 1: Dados do Firmware de Sistema Principal
PCR 2: Código executável estendido ou conectável
PCR 3: Dados de firmware estendidos ou conectáveis
PCR 4: Gerenciador de Inicialização
PCR 5: GPT/Tabela de Partição
PCR 6: Retomar a partir de Eventos de Estado de Energia S4 e S5
PCR 7: Estado de Inicialização Segura
Para obter mais informações sobre esse PCR, consulte Registro de configuração de plataforma (PCR) neste tópico.
PCR 8: Inicializado em 0 sem Extensões (reservado para uso futuro)
PCR 9: Inicializado em 0 sem Extensões (reservado para uso futuro)
PCR 10: Inicializado em 0 sem Extensões (reservado para uso futuro)
PCR 11: Controle de Acesso do BitLocker
PCR 12: Eventos de dados e eventos altamente voláteis
PCR 13: Detalhes do Módulo de Inicialização
PCR 14: Autoridades de Inicialização
PCR 15-23: Reservado para uso futuro
Aviso
Alterar o perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker a modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui dependendo da inclusão ou da exclusão do PCRs.
Redefinir dados de validação de plataforma após a recuperação do BitLocker
Esta configuração de política determina se você deseja que os dados de validação da plataforma sejam atualizados quando o Windows é iniciado após uma recuperação do BitLocker. Um perfil de dados de validação de plataforma consiste em valores em um conjunto de índices de registro de configuração de plataforma (PCR) que variam de 0 a 23.
Descrição da política |
Com essa configuração de política, é possível controlar se os dados de validação da plataforma são atualizados quando o Windows é iniciado após uma recuperação do BitLocker. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Nenhum |
Quando habilitada |
Os dados de validação da plataforma são atualizados quando o Windows é iniciado após uma recuperação do BitLocker. |
Quando desabilitada |
Os dados de validação da plataforma não são atualizados quando o Windows é iniciado após uma recuperação do BitLocker. |
Quando não configurada |
Os dados de validação da plataforma são atualizados quando o Windows é iniciado após uma recuperação do BitLocker. |
Referência
Para obter mais informações sobre o processo de recuperação, consulte o Guia de recuperação do BitLocker.
Usar o perfil de validação de Dados de Configuração da Inicialização avançado
Esta configuração de política determina configurações de Dados de Configuração da Inicialização (BCD) específicas a serem verificadas durante a validação da plataforma. Uma validação de plataforma usa os dados no perfil de validação da plataforma, que consiste em um conjunto de índices de registro de configuração de plataforma (PCR) que vão de 0 a 23.
Descrição da política |
Com essa configuração de política, é possível especificar configurações de Dados de Configuração da Inicialização (BCD) específicas a serem verificadas durante a validação da plataforma. |
Introduzida |
Windows Server 2012 e Windows 8 |
Tipo de unidade |
Unidades do sistema operacional |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade BitLocker\Unidades do Sistema Operacional |
Conflitos |
Quando o BitLocker está usando a Inicialização Segura para a plataforma e a validação de integridade de Dados de Configuração da Inicialização, a configuração de Política de Grupo Usar o perfil de validação de Dados de Configuração da Inicialização avançado é ignorada (conforme definido pela configuração de Política de Grupo Permitir Inicialização Segura para validação de integridade). |
Quando habilitada |
É possível adicionar configurações de BCD, excluir as configurações de BCD que você especificar ou combinar listas de inclusão e exclusão para criar um perfil de validação personalizado do BCD, que oferece a possibilidade de verificar essas configurações de BCD. |
Quando desabilitada |
O computador é revertido para uma validação de perfil do BCD semelhante ao perfil do BCD padrão usado pelo Windows 7. |
Quando não configurada |
O computador verifica as configurações de BCD padrão no Windows. |
Referência
Observação
A configuração que controla a depuração de inicialização (0x16000010) sempre é validada e não tem nenhum efeito caso seja incluída na lista de inclusão ou exclusão.
Permitir acesso a unidades de dados fixas protegidas por BitLocker de versões anteriores do Windows
Esta configuração de política é usada para controlar se o acesso às unidades é permitido usando-se o Leitor BitLocker To Go, e se o aplicativo está instalado na unidade.
Descrição da política |
Com essa configuração de política, é possível configurar se unidades de dados fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas e exibidas em computadores nos quais o Windows Vista, o Windows XP com Service Pack 3 (SP3) ou o Windows XP com Service Pack 2 (SP2) esteja em execução. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados fixas |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Fixas |
Conflitos |
Nenhum |
Quando habilitada e Quando não configurada |
As unidades de dados fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores nos quais o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução e o conteúdo possa ser exibido. Esses sistemas operacionais têm acesso somente leitura em unidades protegidas pelo BitLocker. |
Quando desabilitada |
As unidades de dados fixas formatadas com o sistema de arquivos FAT e protegidas pelo BitLocker não podem ser desbloqueadas em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução. Leitor BitLocker To Go (bitlockertogo.exe) não está instalado. |
Referência
Observação
Esta configuração de política não se aplica a unidades formatadas com o sistema de arquivos NTFS.
Quando essa configuração de política estiver habilitada, marque a caixa de seleção Não instalar o Leitor BitLocker To Go em unidades fixas formatadas por FAT para ajudar a evitar que os usuários executem o Leitor BitLocker To Go nas unidades fixas. Caso o Leitor BitLocker To Go (bitlockertogo.exe) esteja presente em uma unidade que não tenha um campo de identificação especificado, ou caso a unidade tenha o mesmo campo de identificação especificado na configuração de política Fornecer identificadores exclusivos para sua organização, o usuário é solicitado a atualizar o BitLocker, e o Leitor BitLocker To Go é excluído da unidade. Nessa situação, para a unidade fixa ser desbloqueada em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução, o Leitor BitLocker To Go deve ser instalado no computador. Se essa caixa de seleção não for marcada, o Leitor BitLocker To Go será instalado na unidade fixa para permitir que os usuários desbloqueiem a unidade em computadores que executam o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2.
Permitir acesso a unidades de dados removíveis protegidas por BitLocker de versões anteriores do Windows
Esta configuração de política controla o acesso a unidades de dados removíveis que estejam usando o Leitor BitLocker To Go e se o Leitor BitLocker To Go pode ser instalado na unidade.
Descrição da política |
Com essa configuração de política, é possível configurar se unidades de dados removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas e exibidas em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução. |
Introduzida |
Windows Server 2008 R2 e Windows 7 |
Tipo de unidade |
Unidades de dados removíveis |
Caminho da política |
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Unidades de Dados Removíveis |
Conflitos |
Nenhum |
Quando habilitada e Quando não configurada |
As unidades de dados removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução e o conteúdo possa ser exibido. Esses sistemas operacionais têm acesso somente leitura em unidades protegidas pelo BitLocker. |
Quando desabilitada |
As unidades de dados removíveis formatadas com o sistema de arquivos FAT e protegidas pelo BitLocker não podem ser desbloqueadas em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução. Leitor BitLocker To Go (bitlockertogo.exe) não está instalado. |
Referência
Observação
Esta configuração de política não se aplica a unidades formatadas com o sistema de arquivos NTFS.
Quando essa configuração de política estiver habilitada, marque a caixa de seleção Não instalar o Leitor BitLocker To Go em unidades removíveis formatadas por FAT para ajudar a evitar que os usuários executem o Leitor BitLocker To Go nas unidades removíveis. Se o Leitor BitLocker To Go (bitlockertogo.exe) estiver presente em uma unidade que não tenha um campo de identificação especificado, ou se a unidade tiver o mesmo campo de identificação especificado na configuração de política Fornecer identificadores exclusivos para sua organização, o usuário será solicitado a atualizar o BitLocker, e o Leitor BitLocker To Go será excluído da unidade. Nessa situação, para a unidade removível ser desbloqueada em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução, o Leitor BitLocker To Go deve ser instalado no computador. Se essa caixa de seleção não estiver selecionada, o Leitor BitLocker To Go será instalado na unidade removível para permitir que os usuários desbloqueiem a unidade em computadores nos quais o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 esteja em execução que não tenham o Leitor BitLocker To Go instalado.
Configuração da FIPS
É possível definir a configuração padrão FIPS para conformidade com FIPS. Por causa da conformidade com FIPS, os usuários não podem criar ou salvar uma senha do BitLocker para recuperação ou como um protetor de chave. O uso de uma chave de recuperação é permitido.
Descrição da política |
Observações |
Introduzida |
Windows Server 2003 com SP1 |
Tipo de unidade |
Todo o sistema |
Caminho da política |
Políticas Locais\Opções de Segurança\Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura |
Conflitos |
Alguns aplicativos, como os Serviços de Terminal, não dão suporte a FIPS-140 em todos os sistemas operacionais. |
Quando habilitada |
Os usuários não poderão salvar uma senha de recuperação em qualquer local. Isso inclui pastas do AD DS e da rede. Além disso, não é possível usar o WMI ou o Assistente para Instalação da Criptografia de Unidade de Disco BitLocker para criar uma senha de recuperação. |
Quando desabilitada ou não configurada |
Nenhuma chave de criptografia do BitLocker é gerada |
Referência
Esta política precisa estar habilitada para qualquer chave de criptografia ser gerada para o BitLocker. Observe que, quando essa política é habilitada, o BitLocker evita a criação ou o uso de senhas de recuperação, de maneira que as chaves de recuperação devem ser usadas em seu lugar.
É possível salvar a chave de recuperação opcional em uma unidade USB. Como as senhas de recuperação não podem ser salvas no AD DS quando FIPS está habilitado, um erro é causado caso o backup do AD DS seja exigido por Política de Grupo.
É possível editar a configuração de FIPS usando-se o Editor de Política de Segurança (secpol.msc) ou editando-se o Registro do Windows. Você deve ser um administrador para realizar esses procedimentos.
Para obter mais informações sobre como definir essa política, consulte Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura.
Configurações de Política de Grupo de gerenciamento de energia: modos de suspensão e hibernação
Configurações de energia de padrão de computadores para um computador farão o computador entrar no modo de suspensão com frequência para economizar energia quando ocioso e ajudar a prolongar a duração da bateria do sistema. Quando um computador entra em suspensão, programas e documentos abertos permanecem na memória. Quando um computador sai do estado de suspensão, os usuários não são obrigados a se reautenticar usando um PIN ou uma chave de inicialização USB para acessar dados criptografados. Isso pode levar a condições em que a segurança de dados está comprometida.
No entanto, quando um computador hiberna, a unidade permanece bloqueada, e quando sai da hibernação, a unidade é desbloqueada, o que significa que os usuários precisarão fornecer um PIN ou uma chave de inicialização caso estejam usando uma autenticação multifator com o BitLocker. Por isso, organizações que usam o BitLocker podem optar por usar a hibernação em vez da suspensão para mais segurança. Essa configuração não afeta o modo somente TPM, porque ele oferece uma experiência de usuário transparente na inicialização e quando sai dos estados de hibernação.
É possível desabilitar as seguintes configurações de Política de Grupo, localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Gerenciamento de Energia para desabilitar todos os estados de suspensão disponíveis:
Permitir estados de espera (S1-S3) quando em suspensão (conectado)
Permitir estados de espera (S1-S3) quando em suspensão (conectado)
Sobre o registro de configuração de plataforma (PCR)
Um perfil de validação da plataforma consiste em um conjunto de índices PCR que vão de 0 a 23. O escopo dos valores pode ser específico da versão do sistema operacional.
Alterar o perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker a modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui dependendo da inclusão ou da exclusão do PCRs.
Sobre PCR 7
PCR 7 avalia o estado de Inicialização Segura. Com PCR 7, o BitLocker pode aproveitar a Inicialização Segura para validação de integridade. Inicialização Segura garante que o ambiente de pré-inicialização do computador carregue apenas firmware assinado digitalmente por fornecedores de software autorizados. As avaliações de PCR 7 indicam se a Inicialização Segura está ativada e quais teclas são confiáveis na plataforma. Caso a Inicialização Segura esteja ativada e o firmware avalie PCR 7 corretamente segundo a especificação da UEFI, o BitLocker pode ser associado a essas informações, e não a PCRs 0, 2 e 4, que têm as avaliações do firmware exato e as imagens de Bootmgr carregadas. Isso reduz a probabilidade do BitLocker ser iniciado no modo de recuperação por causa de atualizações feitas em firmware e imagens, além de oferecer mais flexibilidade para gerenciar a configuração de pré-inicialização.
As avaliações de PCR 7 devem seguir as diretrizes descritas em Apêndice A Protocolo EFI de ambiente de execução confiável.
As avaliações de PCR 7 são um requisito de logotipo obrigatório para sistemas compatíveis com InstantGo (também conhecidos como computadores Sempre ativos/conectados), como o Microsoft Surface RT. Nesses sistemas, caso o TPM com avaliação PCR 7 e a Inicialização Segura estejam configurados corretamente, o BitLocker é associado a PCR 7 e PCR 11 por padrão.
Consulte também
Configurações da Política de Grupo do TPM
Perguntas frequentes sobre o BitLocker
Preparar a organização para o BitLocker: planejamento e políticas