Descrição geral do BitLocker
Aplica-se a: Windows Server 2012, Windows 8
Este tópico oferece uma visão geral de alto nível do BitLocker, incluindo uma lista de funcionalidades novas e modificadas, requisitos de sistema, aplicações práticas e funcionalidades preteridas. Fornece ligações para conteúdo adicional que irão ajudá-lo a saber mais sobre como trabalhar com o BitLocker.
Quis dizer…
Descrição da funcionalidade
A Encriptação de Unidade BitLocker é uma funcionalidade de proteção de dados do sistema operativo que foi disponibilizada pela primeira vez disponível no Windows Vista. Versões do sistema operacional posteriores continuaram a melhorar a segurança oferecida pelo BitLocker para permitir que o sistema operacional forneça a proteção do BitLocker para mais unidades de disco e dispositivos. A integração do BitLocker com o sistema operacional lida com ameaças de roubo ou exposição dos dados resultantes de perda, roubo ou encerramento inadequado de computadores. Manage-bde é a ferramenta de linha de comandos que também pode ser usada para executar tarefas no computador relacionado com o BitLocker. Ao instalar o componente opcional BitLocker num servidor, é também necessário instalar a funcionalidade de Armazenamento Avançado, que é utilizada para suportar as unidades de hardware encriptadas. Nos servidores, existe também uma funcionalidade BitLocker adicional que pode ser instalada denominada Desbloqueio de Rede BitLocker. Os computadores com Windows RT, Windows RT 8.1, ou Windows 8.1 podem ser protegidos utilizando Encriptação de Dispositivo, que é uma versão personalizada do BitLocker.
O BitLocker fornece a maior proteção quando usado com um Trusted Platform Module (TPM) versão 1.2 ou posterior. O TPM é um componente de hardware instalado em vários computadores mais recentes pelos fabricantes. Funciona com o BitLocker para ajudar a proteger os dados do utilizador e garantir que um computador não tenha sido adulterado enquanto o sistema se encontrava offline.
Em computadores que não tenham um TPM versão 1.2 ou posterior, ainda é possível usar o BitLocker para encriptar a unidade do sistema operacional Windows. No entanto, esta implementação exigirá que o utilizador introduzir uma chave de arranque USB para iniciar o computador ou retomar do estado de hibernação. No Windows 8, usar uma palavra-chave de volume do sistema operativo é outra opção para proteger o volume do sistema operativo num computador sem TPM. Ambas as opções não fornecem verificação de integridade de pré-inicialização do sistema oferecida pelo BitLocker com um TPM.
Além do TPM, o BitLocker oferece a opção de bloquear o processo normal de inicialização até que o utilizador forneça um número de identificação pessoal (PIN) ou introduza um dispositivo amovível como uma unidade flash USB, que contém uma chave de arranque. Estas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não será iniciado ou retomado da hibernação sem que o número de identificação ou a chave de arranque corretos sejam apresentados.
Aplicações práticas
Os dados de um computador perdido ou roubado são vulneráveis ao acesso não autorizado, seja pela execução de uma ferramenta de ataque a software ou pela transferência do disco rígido do computador para outro computador. O BitLocker ajuda a reduzir o acesso não autorizado aos dados por meio do aperfeiçoamento das proteções de ficheiro e sistema. O BitLocker também ajuda a processar dados inacessíveis quando computadores protegidos por BitLocker são desativados ou reciclados.
As Ferramentas de Administração Remota do Servidor contam com mais duas ferramentas, que podem ser usadas para gerir o BitLocker.
Visualizador de Palavras-passe de Recuperação BitLocker. O Visualizador de Palavras-passe de Recuperação BitLocker permite-lhe localizar e ver palavras-passe de recuperação de Encriptação de Unidade BitLocker que tenham sido armazenadas como cópia de segurança para Serviços de Domínio do Active Directory (AD DS). Pode utilizar esta ferramenta para ajudar a recuperar os dados armazenados numa unidade que foi encriptada utilizando o BitLocker. O Visualizador de Palavras-passe de Recuperação BitLocker é uma extensão do snap-in Utilizadores e Computadores do Active Directory do MMC (Consola de Gestão Microsoft).
Ao utilizar esta ferramenta, é possível examinar a caixa de diálogo Propriedades de um objeto do computador para visualizar as palavras-passe de recuperação do BitLocker correspondentes. Além disso, pode clicar com o botão direito do rato num contentor de domínio e, sem seguida, procurar uma palavra-chave de recuperação do BitLocker em todos os domínios na floresta do Active Directory. Para ver as palavra-passe de recuperação, é necessário ser administrador de domínio, ou deverá ter recebido permissões de um administrador de domínio.
Ferramentas de Encriptação de Unidade BitLocker. As Ferramentas de Encriptação de Unidade BitLocker incluem as ferramentas de linha de comandos manage-bde e repair-bde, além dos cmdlets de BitLocker do Windows PowerShell. O manage-bde e os cmdlets do BitLocker podem ser usados para executar qualquer tarefa que pode ser concretizada pelo painel de controlo do BitLocker, e são igualmente adequados para utilização em implementações automatizadas e noutros cenários de script. Repair-bde é fornecido para cenários de recuperação de desastres nos quais uma unidade de disco protegida por BitLocker não possa ser desbloqueada normalmente ou utilizando a consola de recuperação.
Funcionalidade nova e alterada
A tabela seguinte identifica a funcionalidade nova e alterada do BitLocker no Windows 8 e Windows Server 2012. Consulte Novidades no BitLocker.
Funcionalidade |
Windows 7 |
Windows 8 e Windows Server 2012 |
|---|---|---|
Repor o PIN ou a palavra-passe do BitLocker |
São necessários privilégios de administrador para repor o PIN do BitLocker numa unidade de disco do sistema operativo e a palavra-chave numa unidade de disco de dados fixa ou amovível. |
Os utilizadores padrão podem repor o PIN do BitLocker e a senha em unidades de disco do sistema operativo, unidades de dados fixas e unidades de dados amovíveis. |
Encriptação de disco |
O disco completo é encriptado quando o BitLocker é ativado. |
Pode optar por encriptar o disco completo ou apenas o espaço utilizado no disco quando o BitLocker estiver ativado. À medida que o espaço no disco for consumido, o disco será encriptado. |
Suporte de Unidade de Disco de Hardware Encriptada |
Sem suporte original pelo BitLocker. |
O BitLocker oferece suporte unidades de disco rígido com logótipo do Windows que já vêm encriptadas pelo fabricante. |
Desbloqueio utilizando uma chave baseada na rede para fornecer autenticação com dois fatores |
Não disponível. Era necessária uma presença física no computador para ter autenticação com dois fatores. |
Um novo tipo de protetor de chave permite a utilização de uma chave de rede especial para desbloquear e ignorar o prompt de introdução de PIN quando os computadores são reiniciados em redes com fio fidedignas. Isto permite a manutenção remota em computadores protegidos por meio da utilização de um PIN durante as horas de descanso, além de possibilitar autenticação com dois fatores sem exigir a presença física no computador, mas sem deixar de assegurar a obrigatoriedade da autenticação quando o computador não está ligado a uma rede fidedigna. |
Proteção para clusters |
Não disponível. |
O Windows Server 2012 inclui suporte BitLocker para Volumes Partilhados de Cluster do Windows e Clusters de Ativação Pós-falha do Windows que estão a ser executados no domínio estabelecido por um controlador de domínio do Windows Server 2012 que ativou o Serviço do Centro de Distribuição de Chaves Kerberos. |
Ligar um protetor de chave do BitLocker a uma conta Active Directory |
Não disponível. |
Permite que um protetor de chave do BitLocker seja vinculado a uma conta de utilizador, grupo ou computador no Active Directory. Este protetor de chave pode ser usado para desbloquear volumes de dados protegidos pelo BitLocker quando um utilizador estiver a iniciar sessão com as credenciais corretas ou a iniciar sessão num computador com as credenciais corretas. |
Funcionalidade removida ou preterida
A opção Difusor não se encontra mais disponível para ser adicionada ao algoritmo de encriptação AES (Algoritmo de Encriptação Avançado).
A Definição de Política de Grupo "Configurar perfil de validação TPM " é preterida no Windows 8 e Windows Server 2012. Foi substituída por políticas de sistema específicas para computadores baseados em BIOS e em UEFI.
A opção –tpm já não é suportada pelo manage-bde.
Requisitos de sistema
O BitLocker tem os seguintes requisitos de hardware:
Para que o BitLocker use a verificação da integridade do sistema fornecida por um TPM (Trusted Platform Module), o computador deve ter um TPM 1.2 ou 2.0. Se o computador não tiver um TPM, a ativação do BitLocker exigirá que guarde uma chave de arranque num dispositivo amovível como uma unidade flash USB.
Um computador com TPM deve ter também um BIOS compatível com TCG (Trusted Computing Group) ou firmware UEFI. O BIOS ou firmware UEFI estabelece uma cadeia de confiança antes do arranque do sistema operativo e deve incluir suporte para a Raiz Estática de Medida de Confiança especificada pelo TCG. Um computador sem um TPM não requer firmware compatível com TCG.
O BIOS ou firmware UEFI do sistema (para computadores com e sem TPM) deve suportar a classe de dispositivo de armazenamento em massa USB, incluindo a leitura de pequenos ficheiros numa unidade flash USB no ambiente pré-sistema operativo. Para mais informações sobre USB, armazenamento em massa em USB e especificações do comando UFI para armazenamento em massa, consulte o Web site de USB.
O disco rígido deve ser particionado com pelo menos duas unidades:
A unidade do sistema operativo (ou unidade de arranque) contém o sistema operativo e os ficheiros de suporte. Esta tem de ser formatada com o sistema de ficheiros NTFS.
A unidade do sistema contém os ficheiros necessários para carregar o Windows após o firmware preparar o hardware do sistema. O BitLocker não é ativado nesta unidade. Para que o BitLocker funcione, a unidade do sistema não pode ser encriptada, deve ser diferente da unidade do sistema operativo e deve ser formatada com o sistema de ficheiros FAT32, em computadores que utilizam o firmware com base em UEFI, ou com o sistema de ficheiros NTFS em computadores que utilizam o firmware BIOS. Recomendamos que a unidade do sistema tenha um tamanho de aproximadamente 350 MB. Após o BitLocker ser ativado, este deverá ter aproximadamente 250 MB de espaço livre.
Quando instalado num computador novo, o Windows criará automaticamente as partições são necessárias para o BitLocker.
Nesta Biblioteca
Novidades no BitLocker para Windows 8 e Windows Server 2012 [redirecionado]
BitLocker: Utilize o BitLocker na unidade ferramentas de encriptação para gerir o BitLocker
BitLocker: Utilize o Visualizador de palavra-passe de recuperação BitLocker
Proteger partilhado de cluster volumes e as redes de armazenamento com o BitLocker