BitLocker
Este tópico apresenta uma visão geral do BitLocker, inclusive uma lista de requisitos do sistema, aplicativos práticos e recursos substituídos.
A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra ao sistema operacional e enfrenta as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou incorretamente descomissionados.
O BitLocker oferece o máximo em proteção quando usado com um Trusted Platform Module (TPM) versão 1.2 ou posterior. TPM é um componente de hardware instalado em muitos computadores mais novos pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e assegurar que um computador não tenha sido violado enquanto o sistema estava offline.
Em computadores que não tenham um TPM versão 1.2 ou posterior, você ainda pode usar o BitLocker para criptografar a unidade do sistema operacional Windows. No entanto, essa implementação exigirá que o usuário insira uma chave de inicialização USB para iniciar o computador tirá-lo da hibernação. Desde o Windows 8, é possível usar uma senha de volume do sistema operacional para proteger o volume do sistema operacional em um computador sem TPM. Ambas as opções não fornecem a verificação de integridade do sistema de pré-inicialização oferecida pelo BitLocker com um TPM.
Além do TPM, o BitLocker oferece a opção de bloquear o processo de inicialização normal até que o usuário forneça um número de identificação pessoal (PIN) ou insira um dispositivo USB removível, como uma unidade flash USB, que contenha uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não iniciará ou retornará da hibernação até que o PIN correto ou a chave de inicialização adequada seja apresentada.
Aplicações práticas
Dados em um computador perdido ou roubado são vulneráveis a acesso não autorizado, executando-se uma ferramenta de ataque a software ou transferindo-se o disco rígido do computador para um computador diferente. O BitLocker ajuda a atenuar o acesso a dados não autorizado aprimorando as proteções de arquivo e sistema. O BitLocker também ajuda a renderizar dados inacessíveis quando computadores protegidos pelo BitLocker são desativados ou reciclados.
Existem duas ferramentas adicionais nas Ferramentas de Administração de Servidor Remoto, que é possível usar para gerenciar o BitLocker.
Visualizador de Senha de Recuperação do BitLocker. O Visualizador de Senha de Recuperação do BitLocker permite localizar e exibir senhas de recuperação de Criptografia de Unidade de Disco BitLocker cujo backup foi feito nos Serviços de Domínio do Active Directory (AD DS). É possível usar essa ferramenta para ajudar a recuperar dados armazenados em uma unidade que foi criptografada usando-se o BitLocker. A ferramenta Visualizador de Senha de Recuperação do BitLocker é uma extensão do snap-in Console de Gerenciamento Microsoft (MMC) Usuários e Computadores do Active Directory.
Usando essa ferramenta, você pode examinar a caixa de diálogo Propriedades do objeto de um computador para exibir as senhas de recuperação do BitLocker correspondentes. Além disso, é possível clicar com o botão direito do mouse em um contêiner de domínio e procurar uma senha de recuperação do BitLocker em todos os domínios na floresta do Active Directory. Para exibir as senhas de recuperação, você deve ser um administrador de domínio ou ter recebido permissões de um administrador de domínio.
Ferramentas de Criptografia de Unidade de Disco BitLocker. As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde, além dos cmdlets do BitLocker do Windows PowerShell. manage-bde e os cmdlets do BitLocker podem ser usados para realizar qualquer tarefa que possa ser feita por meio do painel de controle do BitLocker e são apropriados ao uso para implantações automatizadas e outros cenários de scripts. Repair-bde é fornecido para cenários de recuperação de desastre nos quais uma unidade protegida pelo BitLocker não pode ser desbloqueada normalmente ou usando-se o console de recuperação.
Funcionalidades novas e alteradas
Para saber as novidades no BitLocker para Windows 10, consulte Novidades do BitLocker?
Requisitos do sistema
O BitLocker tem os seguintes requisitos de hardware:
Para o BitLocker usar a verificação de integridade do sistema fornecida por um Trusted Platform Module (TPM), o computador deve ter o TPM 1.2 ou posterior. Caso o computador não tenha um TPM, habilitar o BitLocker exige que você salve uma chave de inicialização em um dispositivo removível, como uma unidade flash USB.
Um computador com um TPM também deve ter um BIOS ou um firmware da UEFI compatível com Trusted Computing Group (TCG). O BIOS ou o firmware da UEFI estabelece uma cadeia de confiança para a inicialização do sistema pré-operacional, e ele deva incluir suporte para a raiz de confiança básica para avaliação especificada pelo TCG. Um computador sem um TPM não requer firmware compatível com TCG.
O BIOS ou o firmware da UEFI do sistema (para computadores TPM e não TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB, inclusive leitura de pequenos arquivos em uma unidade flash USB no ambiente do sistema pré-operacional.
O disco rígido deve ser particionado com pelo menos duas unidades:
A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e os arquivos de suporte. Ela deve ser formatada com o sistema de arquivos NTFS.
A unidade do sistema contém os arquivos que são necessários para carregar o Windows após a preparação do hardware do sistema pelo firmware. O BitLocker não está habilitado nessa unidade. Para o BitLocker funcionar, a unidade do sistema não deve estar criptografada, deve ser diferente da unidade do sistema operacional e ser formatada com o sistema de arquivos FAT32 em computadores que usem o firmware baseado em UEFI ou com o sistema de arquivos NTFS em computadores que usem o firmware do BIOS. Recomendamos que a unidade do sistema tenha aproximadamente 350 MB. Depois que é ativado, o BitLocker deve ter aproximadamente 250 MB de espaço livre.
Quando instalado em um novo computador, o Windows criará automaticamente as partições que são necessárias para o BitLocker.
Ao instalar o componente opcional do BitLocker em um servidor, você também precisará instalar o recurso Armazenamento Avançado, usado para dar suporte a unidades criptografadas de hardware.
Nesta seção
| Tópico | Descrição |
|---|---|
Este tópico para o profissional de TI responde perguntas frequentes sobre os requisitos de uso, atualização, implantação e administração, além de políticas de gerenciamento de chaves para o BitLocker. |
|
Preparar a organização para o BitLocker: planejamento e políticas |
Este tópico para o profissional de TI explica como você deve planejar a implantação do BitLocker. |
Este tópico para o profissional de TI explica como os recursos do BitLocker podem ser usados para proteger os dados por meio da criptografia de unidade. |
|
BitLocker: Como implantar no Windows Server 2012 e versões posteriores |
Este tópico para o profissional de TI explica como implantar o BitLocker e o Windows Server 2012 e versões posteriores. |
Este tópico para o profissional de TI descreve como funciona o Desbloqueio pela rede do BitLocker e como configurá-lo. |
|
Este tópico para o profissional de TI descreve como usar ferramentas para gerenciar o BitLocker. |
|
BitLocker: Usar o Visualizador de Senha de Recuperação do BitLocker |
Este tópico para o profissional de TI descreve como usar o Visualizador de Senha de Recuperação do BitLocker. |
Este tópico para profissionais de TI descreve a função, o local e o efeito de cada configuração de Política de Grupo usada para gerenciar a Criptografia de Unidade de Disco BitLocker. |
|
Este tópico para profissionais de TI descreve as configurações do BCD que são usadas pelo BitLocker. |
|
Este tópico para profissionais de TI descreve como recuperar chaves do BitLocker do AD DS. |
|
Este guia detalhado ajudará você a entender as circunstâncias em que o uso de autenticação de pré-inicialização é recomendado para dispositivos que executam os sistemas Windows 10, Windows 8.1, Windows 8 ou Windows 7; e quando ela pode ser omitida com segurança da configuração do dispositivo. |
|
Protegendo volumes compartilhados do cluster e redes de área de armazenamento com o BitLocker |
Este tópico para profissionais de TI descreve como proteger CSVs e SANs com o BitLocker. |