Preparar a organização para o BitLocker: planejamento e políticas
Este tópico para o profissional de TI explica como você deve planejar a implantação do BitLocker.
Ao projetar sua estratégia de implantação do BitLocker, defina as políticas apropriadas e os requisitos de configuração com base nos requisitos de negócios da sua organização. Os tópicos a seguir o ajudarão a coletar informações que você pode usar para estruturar seu processo de tomada de decisão sobre a implantação e o gerenciamento de sistemas BitLocker.
Faça uma auditora em seu ambiente
Autenticação e chaves de criptografia
Configurações de hardware TPM
Configurações de hardware que não sejam TPM
Considerações sobre configuração de discos
Provisionamento do BitLocker
Criptografia somente em espaço de disco usado
Considerações sobre os Serviços de Domínio do Active Directory
Suporte ao padrão FIPS para o protetor de senha de recuperação
Faça uma auditora em seu ambiente
Para planejar sua implantação corporativa do BitLocker, você deve primeiro entender seu ambiente atual. Conduza uma auditoria informal para definir seu ambiente de políticas, procedimentos e hardware atual. Começar analisando as políticas de segurança corporativa existentes, já que elas se relacionam ao software de criptografia de disco. Se sua organização não está usando software de criptografia de disco, não existirá nenhuma dessas políticas. Se você estiver usando o software de criptografia de disco, talvez seja necessário modificar as políticas da organização para lidar com os recursos do BitLocker.
Use as seguintes perguntas para ajudá-lo a documentar as políticas de segurança de criptografia de disco atuais da sua organização:
Há políticas para definir quais computadores usarão o BitLocker e quais computadores não?
Há políticas para controlar a senha de recuperação e o armazenamento da chave de recuperação?
Quais são as políticas para validar a identidade dos usuários que precisam executar a recuperação do BitLocker?
Há políticas para controlar quem tem acesso aos dados de recuperação na organização?
Há políticas para controlar a aposentadoria ou o encerramento do computador?
Autenticação e chaves de criptografia
O BitLocker ajuda a impedir o acesso não autorizado a dados em computadores perdidos ou roubados por:
Criptografia de todo o volume do sistema operacional Windows no disco rígido.
Verificação da integridade do processo de inicialização.
O TPM (Trusted Platform Module) é um componente de hardware instalado em vários computadores mais recentes pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e assegurar que um computador não tenha sido violado enquanto o sistema estava offline.
Além disso, o BitLocker oferece a opção de bloquear o processo normal de inicialização até que o usuário forneça um número de identificação pessoal (PIN) ou insira um dispositivo USB removível, como uma unidade flash, que contenha uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não iniciará ou retornará da hibernação até que o PIN correto ou a chave de inicialização adequada seja apresentada.
Em computadores que não têm um TPM versão 1.2 ou posterior, você ainda poderá usar o BitLocker para criptografar o volume do sistema operacional Windows. No entanto, essa implementação exigirá que o usuário insira uma chave de inicialização USB para iniciar o computador ou retornar da hibernação, mas não fornece a verificação de integridade do sistema na pré-inicialização oferecida pelo BitLocker em conjunto com um TPM.
Protetores de chave do BitLocker
| Protetor de chave | Descrição |
|---|---|
TPM |
Um dispositivo de hardware usado para ajudar a estabelecer uma raiz de confiança segura. O BitLocker só dá suporte a TPM versão 1.2 ou posterior. |
PIN |
Um protetor de chave numérico inserido pelo usuário que só pode ser usado com o TPM. |
PIN Aperfeiçoado |
Um protetor de chave alfanumérico inserido pelo usuário que só pode ser usado com o TPM. |
Chave de inicialização |
Uma chave de criptografia que pode ser armazenada na maioria das mídias removíveis. O protetor de chave pode ser usado somente em computadores que não sejam TPM, ou em conjunto com um computador TPM para aumentar a segurança. |
Senha de recuperação |
Um número de 48 dígitos utilizado para desbloquear um volume quando ele está no modo de recuperação. Em geral, os números podem ser digitados em um teclado normal mas, se os números no teclado normal não estiverem respondendo, você pode usar as teclas de função (F1 a F10) para inserir os números. |
Chave de recuperação |
Uma chave de criptografia armazenada em uma mídia removível que pode ser usada para recuperar dados criptografados em um volume BitLocker. |
Métodos de autenticação do BitLocker
| Método de autenticação | Requer interação do usuário | Descrição |
|---|---|---|
Somente TPM |
Não |
O TPM valida os componentes de inicialização antecipada. |
TPM + PIN |
Sim |
O TPM valida os componentes de inicialização antecipada. O usuário deve inserir o PIN correto antes de continuar o processo de inicialização e antes que a unidade pode ser desbloqueada. O TPM entrará em modo de bloqueio se o PIN incorreto for inserido repetidamente para proteger o PIN contra ataques de força bruta. O número de tentativas repetidas que irá disparar um bloqueio é variável. |
TPM + chave de rede |
Não |
O TPM valida com êxito os componentes de inicialização antecipada, e uma chave de rede criptografada válida é fornecida no servidor WDS. Esse método de autenticação fornece desbloqueio automático de volumes do sistema operacional na reinicialização do sistema mas mantém a autenticação multifator. |
TPM + chave de inicialização |
Sim |
O TPM valida com êxito os componentes de inicialização antecipada, e uma unidade flash USB que contém a chave de inicialização é inserida. |
Somente chave de inicialização |
Sim |
O usuário recebe uma solicitação para inserir a unidade flash USB que contém a chave de recuperação e/ou chave de inicialização e para reiniciar o computador. |
Você dará suporte aos computadores sem TPM versão 1.2 ou posterior?
Determine se você dará suporte a computadores que não têm um TPM versão 1.2 ou posterior no seu ambiente. Se você optar por dar suporte ao BitLocker nesse tipo de computador, um usuário deve usar uma chave de inicialização USB para inicializar o sistema. Isso requer processos de suporte adicional semelhantes à autenticação multifator.
Quais áreas da sua organização necessitam de um nível básico de proteção de dados?
O método de autenticação somente TPM fornecerá a experiência do usuário mais transparente para organizações que precisam de um nível básico de proteção de dados a fim de atender às políticas de segurança. Ele tem o menor custo total de propriedade. O método somente TPM também pode ser mais apropriado para computadores autônomos ou que precisam ser reinicializados de forma autônoma.
No entanto, o método de autenticação somente TPM oferece o menor nível de proteção de dados. Esse método de autenticação protege contra ataques que modificam componentes de inicialização antecipada, mas o nível de proteção pode ser afetado por possíveis vulnerabilidades no hardware ou em componentes de inicialização antecipada. Os métodos de autenticação multifator do BitLocker aumentam significativamente o nível geral de proteção de dados.
Quais áreas da sua organização necessitam de um nível mais seguro de proteção de dados?
Se houver áreas da sua organização onde dados residentes nos computadores dos usuários sejam considerados altamente confidenciais, considere a prática recomendada de implantar o BitLocker com autenticação multifator nesses sistemas. Exigir que o usuário insira um PIN aumenta significativamente o nível de proteção do sistema. Você também pode usar o Desbloqueio pela rede do BitLocker para permitir que esses computadores sejam desbloqueados automaticamente quando forem conectados a uma rede com fio confiável que possa fornecer a chave de Desbloqueio pela rede.
Qual método de autenticação multifator sua organização prefere?
As diferenças de proteção fornecidas pelos métodos de autenticação multifator não podem ser facilmente quantificadas. Considere o impacto de cada método de autenticação sobre o suporte técnico, treinamento do usuário, produtividade do usuário e processos de gerenciamento de sistemas automatizados.
Configurações de hardware TPM
No seu plano de implantação, identifique quais plataformas de hardware baseadas no TPM terão suporte. Documente os modelos de hardware de um OEM de sua preferência, para que suas configurações obtenham suporte e possam ser testadas. O hardware TPM requer atenção especial durante todos os aspectos de planejamento e implantação.
Estados de existência do TPM
Em cada um desses estados de existência do TPM, o TPM pode fazer a transição para outro estado (por exemplo, mudando de desabilitado para habilitado). Os estados não são exclusivos.
| Estado | Descrição |
|---|---|
Habilitado |
A maioria dos recursos do TPM está disponível. O TPM poderá ser habilitado e desabilitado várias vezes dentro de um período de inicialização, se a propriedade for tomada. |
Desabilitado |
O TPM restringe a maioria das operações. As exceções incluem a capacidade de informar recursos do TPM, estender e redefinir funções de Registro de Configuração de Plataforma (PCR) e para executar a inicialização básica e hash. O TPM pode ser habilitado e desabilitado várias vezes dentro de um período de inicialização. |
Ativado |
A maioria dos recursos do TPM está disponível. O TPM poderá ser habilitado e desabilitado apenas por meio da presença física, o que requer uma reinicialização. |
Desativado |
Semelhante ao desabilitado, salvo que a propriedade pode ser retirada enquanto estiver desabilitada e habilitada. O TPM poderá ser habilitado e desabilitado apenas por meio da presença física, o que requer uma reinicialização. |
Adquirido |
A maioria dos recursos do TPM está disponível. O TPM tem uma chave de endosso e a chave raiz de armazenamento, e o proprietário conhece as informações sobre os dados de autorização do proprietário. |
Não adquirido |
O TPM não tem uma chave raiz de armazenamento e pode ou não ter uma chave de endosso. |
Importante
O BitLocker não pode usar o TPM até que ele esteja em um dos estados a seguir: habilitado, ativado e atribuído. Quando o TPM está nesse estado, e somente quando ele estiver nesse estado, todas as operações estarão disponíveis.
O estado do TPM existe independentemente do sistema operacional do computador. Depois que o TPM estiver habilitado, ativado e adquirido, o estado do TPM será preservado se o sistema operacional for reinstalado.
Chaves de endosso
Para um TPM ser usado pelo BitLocker, ele deve conter uma chave de endosso, que é um par de chaves RSA. A metade privada do par de chaves é mantida dentro do TPM e nunca é revelada ou acessível fora do TPM. Se o TPM não contiver uma chave de endosso, o BitLocker forçará o TPM a gerar um automaticamente como parte da instalação do BitLocker.
Uma chave de endosso pode ser criada em vários pontos no ciclo de vida do TPM, mas apenas uma vez durante o tempo de vida do TPM. Se não existe uma chave de endosso para o TPM, ela deve ser criada antes que a propriedade do TPM possa ser retirada.
Para obter mais informações sobre o TPM e o TCG, consulte Trusted Computing Group: Especificações do Trusted Platform Module (TPM) (https://go.microsoft.com/fwlink/p/?linkid=69584) (em inglês).
Configurações de hardware que não sejam TPM
Os dispositivos que não incluem um TPM ainda podem ser protegidos pela criptografia de unidade. O espaços de trabalho do Windows To Go podem ser protegidos pelo BitLocker usando-se uma senha de inicialização e os computadores sem um TPM podem usar uma chave de inicialização.
Use as seguintes perguntas para identificar problemas que possam afetar a implantação em uma configuração de não TPM:
As regras de complexidade de senha estão habilitadas?
Você tem orçamento para unidades flash USB para cada um desses computadores?
Seus dispositivos não TPM dão suporte a dispositivos USB no momento da inicialização?
Teste suas plataformas de hardware individuais com a opção de seleção de sistema BitLocker enquanto você estiver habilitando o BitLocker. A verificação do sistema garantirá que o BitLocker possa ler as informações de recuperação em um dispositivo USB e em chaves de criptografia corretamente antes de ele criptografar o volume. As unidades de CD e DVD não podem atuar como um dispositivo de armazenamento em bloco e não podem ser usadas para armazenar o material de recuperação do BitLocker.
Considerações sobre configuração de discos
Para funcionar corretamente, o BitLocker exige uma configuração de disco específica. O BitLocker exige duas partições que atendem aos seguintes requisitos:
A partição do sistema operacional contém o sistema operacional e seus arquivos de suporte; ela deve ser formatada com o sistema de arquivos NTFS
A partição do sistema (ou a partição de inicialização) contém os arquivos que são necessários para carregar o Windows depois que o firmware UEFI ou BIOS tiver preparado o hardware do sistema. O BitLocker não está habilitado nessa partição. Para que o BitLocker funcione, a partição do sistema não deve ser criptografada e deve estar em uma partição diferente do sistema operacional. Em plataformas UEFI, a partição do sistema deve ser formatada com o sistema de arquivos FAT 32. Em plataformas BIOS, a partição do sistema deve ser formatada com o sistema de arquivos NTFS. Ela deve ter pelo menos 350 MB de tamanho
A instalação do Windows configurará automaticamente as unidades de disco do computador para dar suporte à criptografia BitLocker.
O Ambiente de Recuperação do Windows (Windows RE) é uma plataforma de recuperação extensível baseada no Ambiente de Pré-instalação do Windows (Windows PE). Se o computador não for iniciado, o Windows automaticamente faz a transição para esse ambiente, e a ferramenta Reparo de Inicialização do Windows RE automatiza o diagnóstico e o reparo de uma instalação do Windows não inicializável. O Windows RE também contém os drivers e as ferramentas que são necessárias para desbloquear um volume protegido pelo BitLocker, pois fornece uma chave de recuperação ou senha de recuperação. Para usar o Windows RE em conjunto com o BitLocker, a imagem de inicialização do Windows RE deve residir em um volume que não esteja protegido pelo BitLocker.
O Windows RE também pode ser usado na mídia de inicialização em vez de ser usada no disco rígido local. Se você optar por não instalar o Windows RE no disco rígido local de computadores com o BitLocker habilitado, poderá usar métodos de inicialização alternativos, como Serviços de Implantação do Windows, CD-ROM ou unidade flash USB para a recuperação.
Provisionamento do BitLocker
No Windows Vista e no Windows 7, o BitLocker era uma pós-instalação provisionada para volumes do sistema e dados por meio de interface de linha de comando manage-bde ou da interface do usuário do Painel de Controle. Com sistemas operacionais mais recentes, o BitLocker pode ser provisionado facilmente antes de o sistema operacional ser instalado. O pré-provisionamento requer que o computador tenha um TPM.
Para verificar o status do BitLocker de um determinado volume, os administradores podem examinar o status da unidade no miniaplicativo painel de controle do BitLocker ou no Windows Explorer. Um status "Aguardando ativação" com um ícone de ponto de exclamação amarelo significa que a unidade foi pré-provisionada para o BitLocker. Esse status significa que não havia apenas um protetor explícito usado ao criptografar o volume. Nesse caso, o volume não está protegido e precisa ter uma chave segura adicionada ao volume antes que a unidade seja considerada totalmente protegida. Os administradores podem usar as opções do painel de controle, a ferramenta manage-bde ou as APIs do WMI para adicionar um protetor de chave apropriado. Depois disso, o status do volume será atualizado.
Ao usar as opções do painel de controle, os administradores podem optar por Ativar o BitLocker e seguir as etapas no assistente para adicionar um protetor, como um PIN para um volume de sistema operacional (ou uma senha caso não haja um TPM), ou uma senha ou protetor de cartão inteligente a um volume de dados. Em seguida, a janela de segurança da unidade será apresentada antes da alteração do status do volume.
Os administradores podem ativar o BitLocker antes da implantação do sistema operacional no Ambiente de Pré-instalação do Windows (WinPE). Isso é feito com um protetor de chave não criptografada gerado aleatoriamente aplicado ao volume formatado e criptografando-se o volume antes da execução do processo de instalação do Windows. Se a criptografia usar a opção Somente Espaço em Disco Usado, essa etapa levará apenas alguns segundos e, portanto, será bem incorporada aos processos de implantação regulares.
Criptografia somente em espaço de disco usado
O Assistente para Instalação do BitLocker fornece aos administradores a capacidade de escolher o método de criptografia Total ou Somente Espaço em Disco Usado ao habilitar o BitLocker para um volume. Os administradores podem usar a nova configuração de Política de Grupo do BitLocker para impor o método de criptografia de disco Total ou Somente Espaço em Disco Usado.
Quando o Assistente para Instalação do BitLocker é iniciado, é gerada uma solicitação para que o método de autenticação seja usado (senha e cartão inteligente estão disponíveis para volumes de dados). Depois que o método for escolhido e a chave de recuperação for salva, você receberá uma solicitação para escolher o tipo de criptografia de unidade entre criptografia de disco Total ou Somente Espaço em Disco Usado.
A criptografia Somente Espaço em Disco Usado criptografa somente a parte da unidade que contém dados. O espaço sem uso permanecerá sem criptografia. Isso agiliza o processo de criptografia, especialmente no caso de computadores e unidades de dados novos. Quando o BitLocker é habilitado com esse método, conforme os dados são adicionados à unidade, a parte da unidade usada é criptografada. Portanto, nunca há dados armazenados na unidade que não estejam criptografados.
A criptografia Total criptografa toda a unidade, independentemente de os dados estarem ou não armazenados nela. Isso é útil para unidades que foram realocadas e podem conter remanescentes de dados de sua utilização anterior.
Considerações sobre os Serviços de Domínio do Active Directory
O BitLocker integra-se aos Serviços de Domínio do Active Directory (AD DS) para fornecer gerenciamento de chaves centralizado. Por padrão, nenhuma não é feito nenhum backup de informações de recuperação no Active Directory. Os administradores podem definir as configurações de Política de Grupo para habilitar o backup de informações de recuperação do BitLocker ou TPM. Antes de definir essas configurações, verifique se as permissões de acesso foram concedidas para realizar o backup.
Por padrão, os administradores de domínio são os únicos usuários que terão acesso às informações de recuperação do BitLocker. Quando você planejar o processo de suporte, defina quais partes de sua organização precisarão de acesso às informações de recuperação do BitLocker. Use essas informações para definir como os direitos apropriados serão delegados em seu ambiente AD DS.
É uma prática recomendada para exigir backup de informações de recuperação para o TPM e o BitLocker no AD DS. Para implementar essa prática, defina as configurações de Política de Grupo abaixo para os computadores protegidos pelo BitLocker.
| Configuração da Política de Grupo do BitLocker | Configuração |
|---|---|
Criptografia de Unidade de Disco BitLocker: Ativar o backup do BitLocker nos Serviços de Domínio do Active Directory |
Exigir backup do BitLocker no AD DS (senhas e pacotes de chaves) |
Serviços Trusted Platform Module: Ativar o backup do TPM nos Serviços de Domínio do Active Directory |
Exigir o backup do TPM no AD DS |
Os dados de recuperação a seguir serão salvos para cada objeto de computador:
Senha de recuperação
Uma senha de recuperação de 48 dígitos usada para recuperar um volume protegido pelo BitLocker. Os usuários inserem essa senha para desbloquear um volume quando o BitLocker entra no modo de recuperação.
Dados do pacote de chaves
Com esse pacote de chaves e a senha de recuperação, você será capaz de descriptografar partes de um volume protegido pelo BitLocker se o disco estiver danificado seriamente. Cada pacote de chaves só funcionará com o volume que foi criado, o qual pode ser identificado pela ID de volume correspondente.
Hash de senha de autorização de proprietário do TPM
Quando a propriedade do TPM é retirada, um hash da senha de propriedade pode ser retirado e armazenado no AD DS. Em seguida, essas informações podem ser usadas para redefinir a propriedade do TPM.
No Windows 8, uma alteração no modo de armazenamento do valor de autorização do proprietário do TPM no AD DS foi implementada no esquema do AD DS. O valor de autorização de proprietário do TPM agora é armazenado em um objeto separado, que é vinculado ao objeto de computador. Esse valor foi armazenado como uma propriedade no próprio objeto de computador para o Windows Server 2008 R2 padrão e para esquemas posteriores.
Para tirar proveito dessa integração, você deve atualizar os controladores de domínio para o Windows Server 2012 ou estender o esquema do Active Directory e configurar os objetos de Política de Grupo específicos do BitLocker.
Observação
A conta que você usa para atualizar o esquema do Active Directory deve ser um membro do grupo Administradores de Esquemas.
Os controladores de domínio do Windows Server 2012 têm o esquema padrão para fazer backup das informações de autorização de proprietário do TPM no objeto separado. Se você não estiver atualizando seu controlador de domínio para o Windows Server 2012, precisará estender o esquema para dar suporte a essa alteração.
Dar suporte a computadores Windows 8 ou posteriores que sejam gerenciados por um controlador de domínio do Windows Server 2003 ou do Windows 2008
Há duas extensões de esquema que você pode copiar abaixo e adicionar ao seu esquema do AD DS:
TpmSchemaExtension.ldf
Essa extensão de esquema traz paridade com o esquema do Windows Server 2012. Com essa alteração, as informações de autorização do proprietário do TPM são armazenadas em um objeto separado do TPM vinculado ao objeto de computador correspondente. Somente o objeto de computador que criou o objeto do TPM pode atualizá-lo. Isso significa que as atualizações posteriores aos objetos do TPM não serão bem-sucedidas em cenários de inicialização dupla ou cenários em que o computador é recriado, resultando em um novo objeto de computador do AD sendo criado. Para dar suporte a esses cenários, foi criada uma atualização para o esquema.
TpmSchemaExtensionACLChanges.ldf
Esta atualização de esquema modifica as ACLs no objeto do TPM para serem menos restritivas de forma que qualquer sistema operacional subsequente que assuma a propriedade do objeto de computador possa atualizar o valor de autorização de proprietário no AD DS. No entanto, isso é menos seguro, pois qualquer computador no domínio agora poderá atualizar o OwnerAuth do objeto do TPM (embora ele não possa ler o OwnerAuth) e ataques de negação de serviço (DoS) poderão ser feitos a partir da empresa. A mitigação recomendada em tal um cenário é fazer backup regular dos objetos do TPM e habilitar a auditoria para controlar as alterações nesses objetos.
Para baixar as extensões de esquema, consulte Extensões de esquema do AD DS para dar suporte a backup do TPM.
Se você tiver um controlador de domínio do Windows Server 2012 em seu ambiente, as extensões de esquema já estarão no lugar e não precisam ser atualizadas.
Cuidado
Para configurar os objetos de Política de Grupo para fazer backup de informações do TPM e do BitLocker no AD DS, pelo menos um dos controladores de domínio na floresta deve executar no mínimo o Windows Server 2008 R2.
Se o backup do Active Directory do valor de autorização do proprietário do TPM estiver habilitado em um ambiente sem as extensões de esquema necessários, o provisionamento do TPM falhará e o TPM permanecerá em um estado Não Pronto para computadores que executam o Windows 8 e versões posteriores.
Definindo as permissões corretas no AD DS
Para inicializar o TPM com êxito de forma que você possa ativar o BitLocker, é necessário que as permissões corretas para a conta SELF sejam definidas no AD DS para o atributo ms-TPMOwnerInformation. As etapas a seguir detalham essas permissões conforme exigidas pelo BitLocker:
Abra Usuários e Computadores do Active Directory.
Selecione a unidade organizacional (OU) que contém as contas de computador nas quais o BitLocker será ativado.
Clique com botão direito do mouse na OU e clique em Delegar Controle para abrir o assistente Delegação de Controle.
Clique em Avançar para ir até a página Usuários ou Grupos e clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite SELF como o nome do objeto e clique em OK. Depois que o objeto for validado, você será redirecionado à página do assistente Usuários ou Grupos e a conta SELF estará listada. Clique em Avançar.
Na página Tarefas a Delegar, escolha Criar uma tarefa personalizada para delegar e clique em Avançar.
Na página Tipo de objeto do Active Directory, escolha Somente os seguintes objetos na pasta e confira Objetos de computador e clique em Avançar.
Na página Permissões, para Mostrar essas permissões, marque Geral, Específico da propriedade e Criação/exclusão de objetos filho específicos. Role para baixo a lista Permissões e marque Escrever msTPM-OwnerInformation e Escrever msTPM TpmInformationForComputer e clique em Avançar.
Clique em Finish para aplicar as configurações de permissões.
Suporte ao padrão FIPS para o protetor de senha de recuperação
Uma funcionalidade introduzida no Windows Server 2012 R2 e no Windows 8.1, ela permite que o BitLocker seja totalmente funcional no modo FIPS.
Observação
O padrão FIPS (Federal Information Processing Standard) dos Estados Unidos define os requisitos de segurança e interoperabilidade para sistemas de computador que são usados pelo governo federal dos EUA. O padrão FIPS 140 define os algoritmos criptográficos aprovados. O padrão FIPS 140 também estabelece requisitos para a geração e o gerenciamento de chaves. O National Institute of Standards and Technology (NIST) usa o CMVP (programa de validação de módulo criptográfico) para determinar se uma implementação específica de um algoritmo criptográfico é compatível com o padrão FIPS 140. Uma implementação de um algoritmo criptográfico é considerada compatível com o padrão FIPS 140 somente se ela for enviada e passar na validação do NIST. Um algoritmo que não tenha sido enviado não pode ser considerado compatível com o padrão FIPS mesmo que a implementação produza dados idênticos ao de uma implementação validada do mesmo algoritmo.
Antes dessas versões compatíveis do Windows, quando o Windows estava no modo FIPS, o BitLocker impedia a criação ou o uso de senhas de recuperação e forçava o usuário a utilizar chaves de recuperação. Para obter mais informações sobre esses problemas, consulte o artigo de suporte kb947249.
Mas, em computadores que executam esses sistemas compatíveis com o BitLocker ativado:
Os protetores de senha de recuperação compatíveis com o padrão FIPS podem ser criados quando o Windows está no modo FIPS. Esses protetores usam o algoritmo FIPS 140 NIST SP800-132.
As senhas de recuperação criadas no modo FIPS no Windows 8.1 podem ser diferenciadas de senhas de recuperação criadas em outros sistemas.
O desbloqueio da recuperação usando o algoritmo compatível com o padrão FIPS com base no protetor de senha de recuperação funciona em todos os casos que atualmente funcionam com senhas de recuperação.
Quando as senhas de recuperação compatível com o padrão FIPS desbloqueiam volumes, o volume é desbloqueado para permitir o acesso de leitura/gravação mesmo no modo FIPS.
Os protetores de senha de recuperação compatíveis com o padrão FIPS podem ser exportados e armazenados no AD por algum tempo no modo FIPS.
As configurações de Política de Grupo do BitLocker para senhas de recuperação funcionam da mesma em todas as versões do Windows compatíveis com o BitLocker, seja no modo FIPS ou não.
No entanto, você não pode usar as senhas de recuperação geradas em um sistema no modo FIPS para sistemas anteriores ao Windows Server 2012 R2 e ao Windows 8.1. As senhas de recuperação criadas no Windows Server 2012 R2 e no Windows 8.1 são incompatíveis com o BitLocker em sistemas operacionais anteriores ao Windows Server 2012 R2 e ao Windows 8.1. Portanto, as chaves de recuperação devem ser usadas.
Mais informações
Configurações da Política de Grupo do TPM
Perguntas frequentes sobre o BitLocker