Proteger o BitLocker contra ataques de pré-inicialização
Este guia detalhado ajudará você a entender as circunstâncias em que o uso de autenticação de pré-inicialização é recomendado para dispositivos que executam os sistemas Windows 10, Windows 8.1, Windows 8 ou Windows 7; e quando ela pode ser omitida com segurança da configuração do dispositivo.
O BitLocker usa criptografia para proteger os dados na unidade, mas segurança do BitLocker será eficaz apenas quando a chave de criptografia estiver protegida. Muitos usuários confiaram na autenticação de pré-inicialização para proteger a integridade do sistema operacional, a solução de criptografia de disco (por exemplo, chaves de criptografia) e os dados do PC de ataques offline. Com a autenticação de pré-inicialização, os usuários devem fornecer alguma forma de credencial antes de desbloquear volumes criptografados e iniciar o Windows. Geralmente, eles se autenticam com um PIN ou um pen drive como chave.
A criptografia total de volume com a Criptografia de Unidade de Disco BitLocker é vital para proteger a integridade do sistema e dos dados em dispositivos com sistema operacional Windows 10, Windows 8.1, Windows 8 ou Windows 7. Também é importante proteger a chave de criptografia do BitLocker. Em dispositivos Windows 7, é necessário uma autenticação de pré-inicialização para proteger de forma adequada essa chave, o que muitos usuários consideram inconveniente e complexo para o gerenciamento de dispositivos.
A autenticação pré-inicialização fornece um nível excelente de segurança na inicialização, mas é inconvenientes para os usuários e aumenta os custos do gerenciamento de TI. Sempre que o PC está no modo autônomo, o dispositivo deve ser configurado para hibernar (em outras palavras, encerrado e desligado); quando o computador for reiniciado, os usuários devem se autenticar antes que os volumes criptografados sejam desbloqueados. Essa exigência aumenta os tempos de reinicialização e evita que os usuários acessem PCs remotos até que eles possam acessar fisicamente o computador para fazer a autenticação. Isso torna a autenticação de pré-inicialização inaceitável no mundo moderno da TI, onde os usuários esperam que seus dispositivos sejam ativados instantaneamente e a TI exige que os PCs estejam permanentemente conectados à rede.
Se os usuários perderem seu pen drive ou esquecerem o PIN, eles não poderão acessar o PC sem a chave de recuperação. Com uma infraestrutura configurada de forma adequada, o suporte da organização será capaz de fornecer a chave de recuperação, mas isso aumenta os custos de suporte e os usuários podem perder horas de trabalho.
No Windows 8, a Inicialização Segura e o processo de Inicialização Confiável do Windows assegura a integridade do sistema operacional, permitindo que o Windows inicialize automaticamente e ao mesmo tempo minimize o risco com rootkits e ferramentas de inicialização mal-intencionadas. Além disso, muitos dispositivos modernos são fundamental e fisicamente resistentes a ataques sofisticados contra a memória do computador, e agora o Windows faz a autenticação do usuário antes de disponibilizar para uso os dispositivos que podem representar uma ameaça ao dispositivo e às chaves de criptografia.
Neste tópico
As seções a seguir ajudam a identificar os PCs que ainda precisam de autenticação pré-inicialização e aqueles que atendem os requisitos de segurança sem o inconveniente desse método.