BitLocker: Usar as Ferramentas de Criptografia de Unidade de Disco BitLocker para gerenciar o BitLocker

  • Artigo

Este tópico para o profissional de TI descreve como usar ferramentas para gerenciar o BitLocker.

As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde, além dos cmdlets do BitLocker do Windows PowerShell.

manage-bde e os cmdlets do BitLocker podem ser usados para realizar qualquer tarefa que possa ser feita por meio do painel de controle do BitLocker e são apropriados ao uso para implantações automatizadas e outros cenários de scripts.

Repair-bde é uma ferramenta de circunstância especial fornecida para cenários de recuperação de desastre nos quais uma unidade protegida pelo BitLocker não pode ser desbloqueada ou usando o console de recuperação.

  1. Manage-bde

  2. Repair-bde

  3. Cmdlets do BitLocker para Windows PowerShell

Manage-bde

manage-bde é uma ferramenta de linha de comando que pode ser usada em operações de script do BitLocker. manage-bde oferece opções adicionais não exibidas no painel de controle do BitLocker. Para obter uma lista completa das opções de manage-bde, consulte a referência de linha de comando Manage-bde.

Manage-bde inclui menos configurações padrão e requer mais personalizações para configurar o BitLocker. Por exemplo, usar apenas o comando manage-bde -on em um volume de dados criptografará totalmente o volume sem protetores de autenticação. Um volume criptografado dessa maneira ainda requer a interação do usuário para ativar a proteção do BitLocker, mesmo que o comando tenha sido concluído com êxito porque um método de autenticação precisa ser adicionado ao volume para que ele seja totalmente protegido. As seções a seguir fornecem exemplos de cenários de uso comuns para manage-bde.

Como usar manage-bde com volumes de sistema operacional

Estão listados abaixo exemplos de comandos válidos básicos para volumes de sistema operacional. Em geral, usar apenas o comando manage-bde -on <drive letter> criptografará o volume do sistema operacional com um protetor somente TPM e sem uma chave de recuperação. No entanto, muitos ambientes exigem protetores mais seguros, como senhas ou PINs e devem ser capazes de recuperar informações com uma chave de recuperação. É recomendável que pelo menos um protetor primário e um protetor de recuperação sejam adicionados a um volume do sistema operacional.

Uma prática recomendada ao se usar manage-bde é determinar o status do volume no sistema de destino. Use o seguinte comando para determinar o status do volume:

manage-bde -status

Esse comando retorna os volumes no destino, o status da criptografia atual e o tipo de volume (sistema operacional ou dados) para cada volume.

O exemplo a seguir ilustra a habilitação do BitLocker em um computador sem um chip TPM. Antes de iniciar o processo de criptografia, você deve criar a chave de inicialização necessária para o BitLocker e salvá-la na unidade USB. Quando estiver habilitado para o volume do sistema operacional, o BitLocker precisará acessar a unidade flash USB para obter a chave de criptografia (neste exemplo, a letra da unidade E representa a unidade USB). Você deverá reiniciar para concluir o processo de criptografia.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Observação  

Depois que a criptografia for concluída, a chave de inicialização USB deverá ser inserida para o sistema operacional ser iniciado.

 

Uma alternativa ao protetor de chave de inicialização em hardware não TPM é usar uma senha e um protetor ADaccountorgroup para resguardar o volume do sistema operacional. Nesse cenário, você adicionaria os protetores pela primeira vez. Isso é feito com o comando:

manage-bde -protectors -add C: -pw -sid <user or group>

Esse comando exigirá que você insira e confirme o protetor de senha antes de adicioná-los ao volume. Com os protetores habilitados no volume, é possível ativar o BitLocker.

Em computadores com um TPM é possível criptografar o volume do sistema operacional sem qualquer protetor definido usando-se manage-bde. O comando para fazer isso é:

manage-bde -on C:

Isso criptografará a unidade usando-se o TPM como o protetor padrão. Caso você não tenha certeza se um protetor TPM está disponível, para listar os protetores disponíveis para um volume, execute o seguinte comando:

 manage-bde -protectors -get <volume>

Como usar manage-bde com volumes de dados

Os volumes de dados usam a mesma sintaxe de criptografia dos volumes do sistema operacional, mas não exigem protetores para a operação ser concluída. A criptografia de volumes de dados pode ser feita usando-se o comando base: manage-bde -on <drive letter> ou você pode optar por adicionar protetores ao volume primeiro. É recomendável que pelo menos um protetor primário e um protetor de recuperação sejam adicionados a um volume de dados.

Um protetor comum para um volume de dados é o protetor de senha. No exemplo abaixo, adicionamos um protetor de senha ao volume e ativamos o BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Você pode enfrentar um problema que prejudique uma área de um disco rígido no qual o BitLocker armazena informações críticas. Esse tipo de problema pode ser causado por uma falha no disco rígido ou caso o Windows seja encerrado inesperadamente.

A ferramenta Reparo do BitLocker (Repair-bde) pode ser usada para acessar dados criptografados em um disco rígido gravemente danificado caso a unidade tenha sido criptografada usando-se o BitLocker. Repair-bde pode reconstruir partes críticas da unidade e resgatar dados recuperáveis desde que uma senha de recuperação válida ou uma chave de recuperação seja usada para descriptografar os dados. Caso os dados de metadados do BitLocker na unidade tenham sido corrompidos, você deve ser capaz de fornecer um pacote de chaves de backup, além da senha de recuperação ou da chave de recuperação. O backup desse pacote de chaves é feito nos Serviços de Domínio do Active Directory (AD DS) caso você tenha usado a configuração padrão para o backup do AD DS. Com esse pacote de chaves e a senha de recuperação ou a chave de recuperação, é possível descriptografar partes de uma unidade protegida pelo BitLocker caso o disco esteja corrompido. Cada pacote de chaves só funcionará para uma unidade com o identificador de unidade correspondente. É possível usar o Visualizador de Senha de Recuperação do BitLocker para obter esse pacote de chaves do AD DS.

Dica  

Caso não esteja fazendo backup das informações de recuperação no AD DS ou queira salvar pacotes de chaves de maneira alternativa, você pode usar o comando manage-bde -KeyPackage para gerar um pacote de chaves para um volume.

 

A ferramenta de linha de comando Repair-bde deverá ser usada quando o sistema operacional não for iniciado ou quando você não conseguir iniciar o Console de Recuperação do BitLocker. Você deve usar Repair-bde caso as seguintes condições sejam verdadeiras:

  1. Você criptografou a unidade usando a Criptografia de Unidade de Disco BitLocker.

  2. O Windows não é iniciado, ou não é possível iniciar o console de recuperação do BitLocker.

  3. Você não tem uma cópia dos dados contidos na unidade criptografada.

Observação  

Danos causados na unidade podem não estar relacionados ao BitLocker. Por isso, recomendamos que você tente outras ferramentas para ajudar a diagnosticar e resolver o problema com a unidade para usar a ferramenta Reparo do BitLocker. O Ambiente de Recuperação do Windows (Windows RE) oferece opções adicionais para reparar computadores.

 

Existem as seguintes limitações para Repair-bde:

  • A ferramenta de linha de comando Repair-bde não pode reparar uma unidade que falhou durante o processo de criptografia ou descriptografia.

  • A ferramenta de linha de comando Repair-bde pressupõe que, caso a unidade tenha alguma criptografia, ela foi totalmente criptografada.

Para obter mais informações sobre como usar repair-bde, consulte Repair-bde

Cmdlets do BitLocker para Windows PowerShell

Os cmdlets do Windows PowerShell oferecem uma nova maneira de uso para os administradores no trabalho com o BitLocker. Usando recursos de script do Windows PowerShell, os administradores podem integrar opções do BitLocker a scripts existentes com facilidade. A lista abaixo exibe os cmdlets do BitLocker disponíveis.

Nome

Parâmetros

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

Semelhante a manage-bde, os cmdlets do Windows PowerShell permitem uma configuração além das opções oferecidas no painel de controle. Assim como acontece com manage-bde, os usuários precisam levar em consideração as necessidades específicas do volume que estão criptografando antes de executar cmdlets do Windows PowerShell.

Um bom passo inicial é determinar o estado atual dos volumes no computador. É possível fazer isso usando-se o cmdlet Get-BitLockerVolume.

A saída do cmdlet Get-BitLockerVolume fornece informações sobre o tipo de volume, os protetores, o status da proteção e outros detalhes.

Dica  

Às vezes, nem todos os protetores podem ser mostrados quando se usa Get-BitLockerVolume por falta de espaço na exibição de saída. Caso não veja todos os protetores de um volume, você pode usar o comando de pipe do Windows PowerShell (|) para formatar uma listagem completa dos protetores.

Get-BitLockerVolume C: | fl

 

Caso queira remover os protetores existentes antes do provisionamento do BitLocker no volume, você pode usar o cmdlet Remove-BitLockerKeyProtector. Realizar isso requer que o GUID associado ao protetor seja removido.

Um script simples pode redirecionar os valores de cada retorno de Get-BitLockerVolume para outra variável conforme visto abaixo:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Usando-o, você pode exibir as informações na variável $keyprotectors para determinar o GUID de cada protetor.

Usando essas informações, você pode remover o protetor de chave de um volume específico usando o comando:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Observação  

O cmdlet do BitLocker exige o GUID do protetor de chave entre aspas para ser executado. Certifique-se de que todo o GUID, com chaves, esteja incluído no comando.

 

Como usar os cmdlets do Windows PowerShell do BitLocker com volumes do sistema operacional

Usar os cmdlets do Windows PowerShell do BitLocker é semelhante a trabalhar com a ferramenta manage-bde para criptografar volumes do sistema operacional. O Windows PowerShell oferece aos usuários muita flexibilidade. Por exemplo, os usuários podem adicionar o protetor desejado como parte do comando para criptografar o volume. Abaixo estão exemplos de cenários de usuário comuns e as etapas para realizá-los no Windows PowerShell do BitLocker.

O exemplo a seguir mostra como habilitar o BitLocker em uma unidade de sistema operacional usando-se apenas o protetor TPM:

Enable-BitLocker C:

No exemplo abaixo, adiciona um protetor adicional, o protetor StartupKey, e opta por ignorar o teste de hardware do BitLocker. Neste exemplo, a criptografia começa imediatamente sem a necessidade de uma reinicialização.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Como usar os cmdlets do Windows PowerShell do BitLocker com volumes de dados

A criptografia do volume de dados usando-se o Windows PowerShell é a mesma para volumes do sistema operacional. Você deve adicionar os protetores desejados antes de criptografar o volume. O exemplo a seguir adiciona um protetor de senha para o volume E: usando a variável $pw como a senha. A variável $pw é mantida como um valor SecureString para armazenar a senha definida pelo usuário.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Como usar um protetor de conta AD ou de grupo no Windows PowerShell

O protetor ADAccountOrGroup, introduzido no Windows 8 e no Windows Server 2012, é um protetor baseado em SID do Active Directory. Esse protetor pode ser adicionado ao sistema operacional e aos volumes de dados, embora não desbloqueie volumes do sistema operacional no ambiente de pré-inicialização. O protetor requer o SID da conta de domínio ou do grupo a ser vinculado ao protetor. O BitLocker pode proteger um disco com suporte a cluster adicionando um protetor baseado em SID para o Objeto de Nome do Cluster (CNO) que permite o failover correto do disco e o desbloqueio para qualquer computador membro do cluster.

Aviso  

O protetor ADAccountOrGroup requer o uso de um protetor adicional a ser usado (como TPM, PIN ou chave de recuperação) quando usado em volumes do sistema operacional

 

Para adicionar um protetor ADAccountOrGroup a um volume é preciso o SID do domínio real ou o nome do grupo precedido pelo domínio e por uma barra invertida. No exemplo abaixo, a conta CONTOSO\Administrador é adicionada como um protetor ao volume de dados G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para usuários que queiram usar o SID para a conta ou o grupo, a primeira etapa é determinar o SID associada à conta. Para obter o SID específico de uma conta de usuário no Windows PowerShell, use o seguinte comando:

Observação  

O uso desse comando requer o recurso RSAT-AD-PowerShell.

 

get-aduser -filter {samaccountname -eq "administrator"}

Dica  

Além do comando do PowerShell acima, informações sobre o usuário conectado localmente e a associação ao grupo podem ser encontradas usando-se: WHOAMI /ALL. Isso não requer o uso de recursos adicionais.

 

O seguinte exemplo adiciona um protetor ADAccountOrGroup ao volume do sistema operacional criptografado anteriormente usando o SID da conta:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Observação  

Os protetores baseados no Active Directory normalmente são usados para desbloquear volumes habilitados para Cluster de Failover.

 

Mais informações

Visão geral do BitLocker

Perguntas frequentes sobre o BitLocker

Preparar a organização para o BitLocker: planejamento e políticas

BitLocker: Como habilitar o desbloqueio pela rede

BitLocker: Como implantar no Windows Server 2012