• Artigo

Segurança

Chaves para a proteção de dados com a criptografia de unidade de disco BitLocker

Byron Hynes

 

Visão geral:

  • Criptografia de volume total
  • Chaves BitLocker
  • Configurando BitLocker

A Criptografia de Unidade de Disco do Windows BitLocker é certamente um dos recursos mais comentados do Windows Vista. No entanto, a maioria das pessoas ainda não teve oportunidade de testar o BitLocker e saber, em primeira mão,

o que ele faz e como funciona – especialmente em um computador com um Trusted Platform Module (TPM). Neste artigo, eu apresento as noções básicas do BitLocker™ para que você possa avaliar seu potencial e incluí-lo em seu planejamento de atualizações. Começarei com algumas informações contextuais e conceituais e, em seguida, analisarei a habilitação do BitLocker, a recuperação dos dados, a administração e a forma como ele pode ajudar no fim da vida útil de um computador. Para compreender melhor a terminologia usada aqui, consulte a barra lateral "Discos e Volumes".

Discos e volumes

Muitas vezes, a terminologia relacionada a discos e volumes pode ser confusa. A seguir está um glossário resumido para consulta.

Partição Partição é uma seção de um disco rígido físico. Trata-se de uma estrutura lógica definida em uma tabela de partição armazenada no disco.

Volume Volume é uma estrutura lógica do Windows formada por uma ou mais partições e definida por um componente do Windows chamado gerenciador de volumes. Exceção feita ao gerenciador de volumes e aos componentes de inicialização, o restante do sistema operacional e os aplicativos trabalham com volumes, e não com partições. No caso dos sistemas operacionais clientes Windows, inclusive o Windows Vista, as partições e os volumes normalmente têm uma relação um-para-um. Nos servidores, um volume costuma ser formado por várias partições como, por exemplo, em uma configuração RAID típica.

Partição Ativa Apenas uma partição pode ser marcada como sendo a partição ativa por vez. Trata-se da partição que contém o setor de inicialização usado para iniciar o sistema operacional. Às vezes, a partição ativa é chamada de partição do sistema ou de volume do sistema, mas não confunda esses termos com o Volume do sistema operacional Windows.

Volume do sistema operacional Windows Este volume contém a instalação do Windows, inclusive as pastas System e System32. Antes do lançamento do Windows Vista, era usado o termo partição de inicialização (e ainda costuma ser). O termo Volume do sistema operacional Windows é mais claro e evita a confusão permanente entre partição de inicialização e partição do sistema. Antigamente, os instrutores costumavam pedir para que os alunos não se esquecessem de que você "inicializa a partir da partição do sistema e encontra os arquivos de sistema na partição de inicialização".

Antes do Windows Vista, o volume do sistema operacional Windows (também conhecido como a partição de inicialização) e a partição ativa (também conhecida como a partição do sistema) eram a mesma coisa, porque os discos rígidos na maioria dos clientes eram configurados como uma única partição grande. Na Figura A, é possível ver as funções atribuídas a cada partição ou volume no console do Gerenciamento de Disco do Windows Vista.

Figura A Funções da Partição

Figura A** Funções da Partição **(Clique na imagem para aumentar a exibição)

O BitLocker realmente faz duas coisas que se complementam, mas distintas. Primeiramente, o BitLocker fornece a criptografia de volume total ao volume do sistema operacional Windows®. Em seguida, em computadores com um TPM compatível, o BitLocker oferece uma forma de validar a integridade dos componentes de inicialização antecipada, antes de permitir que o Windows Vista™ seja iniciado.

Para usar toda a funcionalidade do BitLocker, o seu computador deve ter um microchip TPM compatível e um BIOS. Compatível quer dizer um TPM versão 1.2 e um BIOS compatível com TPM e STRM (Static Root of Trust Measurement) conforme a definição do TCG (Trusted Computing Group). No entanto, mesmo computadores sem um TPM compatível e BIOS podem usar a criptografia do BitLocker.

Criptografia de volume total

O BitLocker fornece a criptografia de volume total para garantir que todos os dados gravados no volume do sistema operacional Windows sejam criptografados. Ele é fundamental para proteger as informações confidenciais armazenadas nos computadores da sua organização, especialmente laptops e computadores móveis.

Computadores móveis são perdidos ou roubados diariamente. Com o aumento da capacidade da computação portátil e uma força de trabalho móvel cada vez maior, um único funcionário pode transportar centenas de gigabytes dos segredos comerciais da sua organização, documentos confidenciais ou PII (informações de identificação pessoal) dos clientes. Qualquer pesquisa lhe dirá que grande parte desses dados está sendo perdida. (A Privacy Rights Clearinghouse informa que mais de 104 milhões de registros contendo informações pessoais foram perdidos ou divulgados somente desde 2005.)

A maioria das organizações já cumpre mandatos legais e corporativos para a proteção de vários tipos de informações privadas e, mesmo que ainda não tenha sido legalmente solicitado, é provável que você tenha um bom interesse comercial nisso.

Por que criptografar todo o volume?

Caso seja um administrador do Windows experiente, você certamente já está familiarizado com as opções de criptografia baseadas no Windows como, por exemplo, o EFS (Sistema de Arquivos com Criptografia) e talvez com a criptografia e a proteção oferecidas pelo RMS (Rights Management Services). A grande diferença do BitLocker é que, uma vez habilitado, ele é automático, transparente e inclui todo o volume.

Por exemplo, com o EFS, você precisa indicar especificamente os arquivos e as pastas a serem protegidos. No Windows Vista, há algumas opções novas que tornam o EFS mais flexível, e o EFS e o RMS abordam alguns cenários deixados de lado pelo BitLocker. Tanto o EFS quanto o RMS exigem uma configuração significativa do administrador e não foram projetados para proteger tudo o que está armazenado no volume.

Por outro lado, o BitLocker criptografa tudo o que for gravado em um volume protegido por ele, inclusive o próprio sistema operacional, o Registro, os arquivos de hibernação e de paginação, os aplicativos e os dados usados pelos aplicativos.

Há três itens não criptografados: o setor de inicialização, todos os setores defeituosos já marcados como sendo ilegíveis e os metadados do volume. Os metadados do volume consistem em três cópias redundantes dos dados usados para gerenciar o BitLocker, inclusive informações estatísticas sobre o volume e cópias protegidas de algumas chaves de descriptografia. Esses itens não exigem criptografia porque não são exclusivos, importantes ou identificáveis em termos pessoais.

A criptografia de volume total protege contra ataques offline – o tipo de ataque montado com a tentativa de ignorar o sistema operacional. Por exemplo, um ataque offline comum é roubar um computador, remover o disco rígido e instalá-lo como uma unidade secundária em outro computador (executando uma cópia diferente do Windows ou um outro sistema operacional) para evitar permissões NTFS e senhas de usuário. Não é possível ler um volume protegido por BitLocker usando esse tipo de ataque.

Como o BitLocker criptografa os dados

O BitLocker usa o algoritmo AES (Padrão Avançado de Criptografia) com chaves de 128 bits. Tendo em vista maior precisão, as chaves podem ser aumentadas para 256 bits usando a Diretiva de Grupo ou o provedor do WMI do BitLocker.

Todos os setores do volume são criptografados individualmente, com uma parte da chave de criptografia sendo derivada do próprio número do setor. Isso significa que dois setores que contenham dados descriptografados idênticos resultarão na gravação de bytes criptografados diferentes no disco, o que torna muito mais difícil a tentativa de descobrir as chaves criando e criptografando informações conhecidas.

Antes dos dados serem criptografados usando o AES, o BitLocker também usa um algoritmo chamado difusor. Sem abordar a criptografia, uma descrição simples do difusor é que ele garante que mesmo alterações feitas de última hora no texto não criptografado resultem na alteração de todo o setor no texto cifrado criptografado. Isso dificulta muito mais a descoberta de chaves ou dados por parte um invasor.

Caso você esteja interessado nos detalhes do algoritmo de criptografia do BitLocker, leia o documento de Neil Ferguson a respeito, "AES-CBC + Difusor Elefante: um Algoritmo de Criptografia de Disco para o Windows Vista".

Chaves do BitLocker

Sempre que se lida com criptografia, você precisa conhecer as chaves, e com o BitLocker não é diferente. O BitLocker usa uma arquitetura de chaves elegante, embora um pouco complexa.

Os próprios setores são criptografados usando uma chave chamada FVEK (chave de criptografia do volume total). No entanto, a FVEK não é usada pelos usuários ou permanece acessível a eles. Ela é, por sua vez, criptografada com uma chave chamada VMK (chave mestre de volume). Esse nível de abstração oferece alguns benefícios exclusivos, embora possa dificultar um pouco mais a compreensão do processo. A FVEK é mantida no mais absoluto segredo porque, se ela fosse comprometida, todos os setores precisariam ser criptografados novamente. Por ser demorada, essa é uma operação que você deseja evitar. Na verdade, o sistema funciona com a VMK.

A FVEK (criptografada com a VMK) é armazenada no próprio disco, como parte dos metadados do volume. Embora seja armazenada localmente, a FVEK jamais é gravada no disco sem criptografia.

A VMK também é criptografada, ou "protegida", mas por um ou mais protetores de chave. O protetor de chave padrão é o TPM. O uso de um TPM é abordado na seção seguinte sobre a verificação da integridade. Uma senha de recuperação também é criada como sendo um protetor de chave, para emergências. A recuperação também é abordada depois.

É possível combinar o TPM com um Nº de senha ou com uma chave parcial armazenada em uma unidade USB, tendo em vista uma maior segurança. Essas são formas de autenticação de dois fatores. Caso o computador não tenha um chip TPM compatível e BIOS, o BitLocker pode ser configurado para armazenar um protetor de chave integralmente em uma unidade USB. Isso é chamado de chave de inicialização.

O BitLocker pode ser desabilitado sem a descriptografia dos dados; nesse caso, a VMK só é protegida por um novo protetor de chave armazenado sem criptografia. Observe que essa chave limpa permite ao sistema acessar a unidade como se ela estivesse desprotegida.

Durante a inicialização, o sistema procura um protetor de chave apropriado consultando o TPM, verificando as portas USB ou, se necessário, avisando o usuário (o que é chamado de recuperação). Encontrar um protetor de chave permite que o Windows descriptografe a VMK, que descriptografa a FVEK, que descriptografa os dados armazenados em disco. O processo é mostrado na Figura 1.

Figura 1 Processo de inicialização padrão do BitLocker

Figura 1** Processo de inicialização padrão do BitLocker **

Verificação da integridade

Como os componentes na parte anterior do processo de inicialização devem estar disponíveis sem criptografia de forma que o computador possa ser inicializado, um invasor poderia alterar o código desses componentes de inicialização antecipada (pense no rootkit) e obter acesso ao computador, mesmo que os dados no disco tenham sido criptografados.

Ao usar esse tipo de ataque, um invasor poderia obter acesso a informações confidenciais como, por exemplo, chaves do BitLocker ou senhas do usuário, e utilizá-las para burlar outras proteções de segurança.

Evitar esse tipo de ataque era uma das metas originais do programa, e a equipe criou o BitLocker. De alguma forma, a criptografia era quase o meio para um fim. A criptografia de volume total permite que o BitLocker proteja a integridade do sistema e impeça a inicialização do Windows caso os componentes da inicialização antecipada tenham sido alterados.

Em computadores equipados com um TPM compatível, sempre que o computador é inicializado, todos os componentes de inicialização antecipada – como o BIOS, o MBR (registro mestre de inicialização), o setor de inicialização e o código do gerenciador de inicialização – examinam o código a ser executado, calculam um valor de hash e armazenam o valor em registros específicos do TPM, chamados de PCRs (registros de configuração de plataforma). Uma vez armazenado em um PCR, o valor não pode ser substituído ou apagado, a menos que o sistema seja reinicializado. O BitLocker usa o TPM e os valores armazenados nos PCRs para proteger a VMK.

Um TPM pode criar uma chave vinculada a valores de PCR específicos. Quando esse tipo de chave é criado, o TPM criptografa a chave e somente ele pode descriptografá-la. Além disso, porém, o TPM só descriptografa a chave caso os valores atuais do PCR correspondam aos valores especificados quando a chave foi criada. Isso se chama vinculação da chave ao TPM.

Por padrão, o BitLocker vincula as chaves às medidas da CRTM (Core Root of Trust Measurement), ao BIOS e a todas as extensões da plataforma, ao código ROM de opção, ao código MBR, ao setor de inicialização NTFS e ao gerenciador de inicialização. Se algum desses itens for alterado inesperadamente, o BitLocker bloqueará a unidade e impedirá que ela seja acessada ou descriptografada.

Por padrão, o BitLocker é configurado para procurar e usar um TPM. É possível usar uma Diretiva de Grupo ou uma configuração de diretiva local para permitir que o BitLocker funcione sem um TPM e armazene chaves em uma unidade flash USB externa, ainda que, sem o TPM, o BitLocker não possa verificar a integridade do sistema.

Habilitando o BitLocker pela primeira vez

O BitLocker está disponível no Windows Vista Enterprise e no Windows Vista Ultimate. (O BitLocker também será um componente opcional incluído na próxima versão do Windows Server®, codinome "Longhorn".)

A seguinte descrição pressupõe que você tenha um computador com um TPM compatível e disponível para teste. Caso você queira habilitar o BitLocker em um computador sem um TPM, siga as etapas listadas na barra lateral "Usando o BitLocker sem um TPM".

Usando o BitLocker sem um TPM

O BitLocker está configurado, por padrão, para usar um TPM e, se você não tiver um, o Windows pronto para ser usado não permitirá a habilitação do BitLocker. No entanto, o seguinte procedimento, retirado do Windows BitLocker Drive Encryption Step-by-Step Guide (Guia Passo a Passo da Criptografia de Unidade do Windows BitLocker), permitirá que você use o BitLocker sem um TPM.

Para realizar essas tarefas, você dever feito o logon como administrador. Mesmo sem um TPM, o computador deve ser compatível com a leitura a partir de uma unidade flash USB durante o processo de inicialização. Além disso, você deve ter uma unidade flash USB disponível ao habilitar o BitLocker e sempre que reiniciar o computador.

Siga estas etapas para ativar a Criptografia de Unidade de Disco BitLocker em um computador sem um TPM compatível:

  1. Clique em Iniciar, digite gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.
  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, verifique se a ação proposta é a que foi solicitada e, em seguida, clique em Continuar.
  3. Na árvore do console Editor de Objeto de Diretiva de Grupo, clique em Diretiva do Computador Local, em Modelos Administrativos, em Componentes do Windows e, em seguida, clique duas vezes em Criptografia de Unidade de Disco BitLocker.
  4. Clique duas vezes em Configuração do Painel de Controle: Habilitar opções avançadas de inicialização. A caixa de diálogo Configuração do Painel de Controle: Habilitar opções avançadas de inicialização é exibida.
  5. Selecione a opção Habilitadas, marque a caixa de seleção Permitir BitLocker sem um TPM compatível e clique em OK. Como você alterou a configuração da diretiva, é possível usar uma chave de inicialização em lugar de um TPM.
  6. Feche o Editor de Objeto de Diretiva de Grupo.
  7. Para forçar a aplicação imediata da Diretiva de Grupo, é possível clicar em Iniciar, digitar gpupdate.exe /force na caixa Iniciar Pesquisa e, em seguida, pressionar ENTER. Aguarde a conclusão do processo.

Uma parte importante da habilitação do BitLocker é ter a certeza de que os volumes estão configurados corretamente. O BitLocker exige que a partição ativa esteja descriptografada para que o setor de inicialização, o gerenciador de inicialização e o programa de carregamento do Windows possam ser lidos (esses componentes estão protegidos pelas etapas de integridade do sistema descritas anteriormente). Como os demais componentes do Windows talvez exijam o uso temporário da partição ativa, a Microsoft recomenda que a partição ativa seja de pelo menos 1,5 GB. Também é uma boa idéia configurar as permissões NTFS para que os usuários não possam gravar dados acidentalmente no volume.

O próprio Windows será instalado em um volume secundário maior, que pode ser criptografado. Caso você esteja instalando o Windows em um sistema novo, é possível configurar os volumes seguindo as instruções disponíveis em Guia Passo a Passo da Criptografia de Unidade do Windows BitLocker.

É possível usar a Ferramenta de Preparação de Unidades de Disco BitLocker para ajudar você a configurar o sistema para o BitLocker. Essa ferramenta acaba com o trabalho pesado de configuração das unidades, e está disponível como um Windows Vista Ultimate Extra ou para os clientes que estejam implantando o Windows Vista Enterprise. Para obter instruções detalhadas sobre a Ferramenta de Preparação de Unidades de Disco BitLocker, visite support.microsoft.com/kb/930063.

A Ferramenta de Preparação de Unidades de Disco BitLocker diminui automaticamente o volume (caso você tenha apenas um), cria e ativa a segunda partição, faz todas as alterações necessárias na configuração e move os arquivos de inicialização para o lugar certo.

Uma vez configurados os volumes, habilitar o BitLocker é simples. Na seção Segurança do Painel de Controle, clique no ícone Criptografia de Unidade BitLocker. Depois que você confirma o recebimento do aviso de consentimento do UAC, uma tela semelhante à Figura 2 aparece.

Figura 2 Habilitando o BitLocker

Figura 2** Habilitando o BitLocker **(Clique na imagem para aumentar a exibição)

A seqüência exata do que acontece em seguida irá variar de acordo com o estado do chip TPM do computador. Se o chip TPM não for inicializado, o Assistente de Inicialização do TPM será executado. Siga as instruções para inicializar o TPM, o que incluirá a reinicialização do computador.

Após a inicialização do TPM, a página Salvar senha de recuperação aparece, conforme mostra a Figura 3. Para poder recuperar os dados em caso de falha do TPM ou outro problema, você precisa de uma senha de recuperação. Essa página permite que você salve uma senha de recuperação em uma unidade flash USB ou em um disco local ou na rede, ou imprima-a para mantê-la em segurança. Você deve escolher pelo menos uma dessas opções, sendo possível optar por salvar várias cópias. Depois que a senha de recuperação for salva, o botão Avançar será habilitado. Clique nele.

Figura 3 Salvando a senha de recuperação

Figura 3** Salvando a senha de recuperação **(Clique na imagem para aumentar a exibição)

A página Criptografar o volume de disco selecionado aparece, e você pode optar executar ou não uma verificação do sistema antes do início da criptografia. A verificação do sistema exigirá a reinicialização, mas se trata da melhor forma de verificar ser o TPM, o BIOS e as portas USB funcionarão corretamente com o BitLocker. Após a reinicialização, se algum problema for detectado, você verá uma mensagem de erro. Do contrário, a barra de status Criptografia em Andamento é exibida.

É isso. A criptografia será concluída em segundo plano, e você pode continuar usando o computador. Depois que a criptografia inicial for concluída, uma mensagem o informa a respeito disso. Também é possível monitorar permanentemente o status de conclusão da criptografia do volume do disco, passando o cursor sobre o ícone Criptografia de Unidade BitLocker da barra de ferramentas na parte inferior da tela. Para obter mais detalhes, você pode consultar o Guia Passo a Passo mencionado anteriormente.

Alguns usuários ficaram surpresos ao notar que o BitLocker não faz solicitações ao usuário ou qualquer outro tipo de interrupção óbvia durante a inicialização do computador. Isso porque, em sua configuração padrão, o BitLocker depende do TPM para confirmar a integridade do sistema antes de desbloquear o volume. Isso é automático e transparente ao usuário.

É possível configurar o BitLocker para exigir a entrada de um Nº da senha ou a presença de uma chave armazenada em uma unidade flash USB durante a inicialização. Isso aumenta a segurança e é o recomendável nas situações em que a maior segurança é mais importante do que a entrada incômoda do Nº da senha. Na minha opinião, ela sempre é. (Em outras palavras, o meu desktop exige um Nº da senha e o meu laptop, uma chave USB.)

Recuperação do BitLocker

Quando se lida com a criptografia – especialmente em ambientes comerciais ou corporativos –, é essencial que você tenha uma forma para que um usuário autorizado obtenha novamente seus dados, mesmo que os métodos de acesso normais ou as chaves não estejam disponíveis. O BitLocker chama isso de recuperação.

Se algo for alterado inesperadamente nos componentes de inicialização antecipada, se você perder uma chave de inicialização USB ou se um usuário esquecer seu Nº da senha, o BitLocker não poderá concluir o processo normal de inicialização. O BitLocker manterá o volume bloqueado, e não será possível inicializar o Windows. Na verdade, o código do BitLocker no gerenciador de inicialização apresentará um texto na tela. Caso uma senha de recuperação tenha sido salva em uma unidade flash USB (às vezes, chamada de chave de recuperação), uma tela semelhante à Figura 4 aparece.

Figura 4 Procurando uma chave de recuperação

Figura 4** Procurando uma chave de recuperação **(Clique na imagem para aumentar a exibição)

Para que o BitLocker leia a partir de uma unidade flash USB, ela precisa estar conectada durante a inicialização. Dessa forma, caso você tenha uma unidade flash USB com uma senha de recuperação, insira-a e pressione ESC. Caso você não tenha, pressione Enter para ver a tela mostrada na Figura 5. Essa tela também aparece caso uma chave de recuperação jamais tenha sido salva em uma unidade USB.

Figura 5 Digitando uma senha do BitLocker

Figura 5** Digitando uma senha do BitLocker **(Clique na imagem para aumentar a exibição)

O BitLocker agora está procurando uma senha numérica de 48 dígitos capaz de desbloquear a unidade. Esse número aparece na página caso você tenha optado por imprimir a senha de recuperação, e ele também será armazenado em um arquivo se você salvar a senha de recuperação em uma pasta.

A forma mais simples de gerenciar senhas de recuperação em uma empresa é armazenando-as automaticamente no Active Directory®. É possível obter todos os detalhes sobre como fazer isso em go.microsoft.com/fwlink/?LinkId=87067.

Em um próximo artigo, falarei a respeito da gerenciabilidade do BitLocker, mas, como parte desta visão geral, você deve saber que o BitLocker é acompanhado de um provedor WMI completo que permite que o BitLocker (e o TPM) seja gerenciado por meio de qualquer sistema WBEM (Web-Based Enterprise Management) compatível com o WMI. Isso significa que também é possível criar scripts para o BitLocker usando qualquer linguagem capaz de acessar objetos do WMI como, por exemplo, VBScript ou Windows PowerShell™.

O BitLocker também é acompanhado de uma ferramenta de linha de comando chamada manage-bde.wsf que usa o provedor WMI para permitir que você gerencie o BitLocker em computadores locais ou remotos. Para obter mais informações, abra um prompt de comando com execução privilegiada e digite manage-bde.wsf /?.

Descomissionamento seguro

Há um momento em que todo computador precisa ser descomissionado. As empresas costumam gastar quantias significativas e fazer várias tentativas para garantir que as unidades de disco estejam totalmente corrigidas antes de serem liberadas. A maioria dos processos que removem dados confidenciais das unidades de disco é demorada, cara ou resulta na destruição permanente do hardware. O BitLocker oferece outras opções mais econômicas.

Em vez de se preocupar com a remoção dos dados após o fato, o BitLocker ajuda a garantir que os dados confidenciais não estão armazenados no disco de maneira insegura, em primeiro lugar. Como tudo o que está gravado no disco está criptografado, os dados podem se tornar total e permanentemente inacessíveis com a destruição de todas as cópias das chaves de criptografia. O disco rígido propriamente dito permanece totalmente intacto para reutilização.

É possível escolher uma dentre várias abordagens para o descomissionamento de volumes que foram protegidos pelo BitLocker. Você pode optar por excluir todas as cópias das chaves dos metadados do volume enquanto as mantém arquivadas em um local centralizado e seguro. Isso pode permitir que os sistemas sejam transportados com segurança ou sejam descomissionados temporariamente caso permaneçam inutilizados por períodos longos. Isso garante que, ainda assim, os usuários autorizados possam acessar os dados, mas não os usuários não autorizados como, por exemplo, novos proprietários do equipamento.

Também é possível optar por excluir todas as cópias das chaves dos metadados do volume e de todos os arquivos como, por exemplo, do Active Directory (talvez criando novas chaves não armazenadas). Como não há nenhuma chave de descriptografia, ninguém pode recuperar os dados.

Em ambos os casos, a remoção e a destruição das chaves contidas nos metadados do volume são praticamente instantâneas e podem ser realizadas em vários sistemas por um administrador. É preciso dedicar um tempo mínimo e algum esforço, mas isso resulta em um nível bem alto de proteção permanente. O utilitário de formatação do Windows Vista foi atualizado para que um comando de formatação exclua os metadados do volume e substitua esses setores a fim de excluir com segurança todas as chaves do BitLocker.

Algumas considerações finais

O BitLocker é uma ferramenta eficiente, projetada para a proteção contra ameaças específicas e realiza um excelente trabalho. No entanto, seria um equívoco esperar que o BitLocker proteja contra todas as ameaças. É absolutamente essencial que você continue usando defesas e controles apropriados como, por exemplo, senhas fortes.

Saiba que o BitLocker está voltado para ataques offline. Isso significa que, caso o Windows esteja em execução, é sinal de que o BitLocker desbloqueou o volume. Em outras palavras, o BitLocker não oferece proteção para um sistema em execução. Tecnologias como, por exemplo, EFS e RMS complementam o BitLocker protegendo as informações com o sistema operacional em execução.

Para obter mais informações sobre o BitLocker, visite o site da Microsoft em technet.microsoft.com/windowsvista/aa905065.aspx. Para obter mais especificações do TPM e do TCG, visite a seção Especificações do TPM do site do TCG em go.microsoft.com/fwlink/?LinkId=72757.

Byron Hynes trabalha no grupo de Assistência ao usuário do Windows Server da Microsoft. Ele já trabalhou como consultor e instrutor. Você pode contatá-lo pelo email bhynes@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..