BitLocker FAQ

Sim, o BitLocker dá suporte à autenticação multifator para unidades de sistema operacional. Se o BitLocker estiver ativado num computador que tenha uma versão TPM 1.2 ou posterior, podem ser utilizadas formas adicionais de autenticação com a proteção TPM.

Duas partições são necessárias para executar o BitLocker porque a autenticação de pré-inicialização e a verificação de integridade do sistema devem ocorrer em uma partição separada da unidade do sistema operacional criptografada. Essa configuração ajuda a proteger o sistema operacional e as informações na unidade criptografada.

A status do TPM pode ser verificada nosdetalhes do processador de Segurança de Dispositivos do Centro deSegurança> do >Windows Defender.

Sim, o BitLocker pode ser ativado numa unidade do sistema operativo sem um TPM, se o firmware BIOS ou UEFI tiver a capacidade de ler a partir de uma pen USB no ambiente de arranque. O BitLocker não desbloqueia a unidade protegida até que a chave de master de volume do BitLocker seja lançada pela primeira vez pelo TPM do computador ou por uma pen USB que contenha a chave de arranque bitLocker desse computador. No entanto, os computadores sem TPMs não poderão utilizar a verificação da integridade do sistema que o BitLocker também pode fornecer. Para ajudar a determinar se um computador pode ler em um dispositivo USB durante o processo de inicialização, use a verificação do sistema BitLocker como parte do processo de instalação do BitLocker. Essa verificação de sistema realiza testes para confirmar se o computador consegue ler corretamente nos dispositivos USB no momento apropriado e se o computador atende a outros requisitos do BitLocker.

Entre em contato com o fabricante do computador para solicitar um firmware de inicialização do BIOS ou da UEFI compatível com Trusted Computing Group (TCG) que atenda aos seguintes requisitos:

• Está em conformidade com as normas do TCG para um computador cliente.
• Ele conta com um mecanismo de atualização segura para ajudar a evitar que um firmware do BIOS ou de inicialização mal-intencionado seja instalado no computador.

Para ativar, desativar ou alterar as configurações do BitLocker no sistema operativo e nas unidades de dados fixas, é necessária associação ao grupo administradores local. Os usuários padrão podem ativar, desativar ou alterar configurações do BitLocker em unidades de dados removíveis.

As opções de arranque do computador devem ser configuradas para ter a unidade de disco rígido primeiro na ordem de arranque, antes de quaisquer outras unidades, como unidades de CD/DVD ou unidades USB. Se o disco rígido não for o primeiro e o computador arrancar normalmente do disco rígido, poderá ser detetada uma alteração da ordem de arranque ou assumida quando o suporte de dados amovível é encontrado durante o arranque. Normalmente, a ordem de arranque afeta a medição do sistema verificada pelo BitLocker e uma alteração na ordem de arranque causará um pedido para a chave de recuperação BitLocker. Pelo mesmo motivo, se um portátil for utilizado com uma estação de ancoragem, certifique-se de que a unidade de disco rígido está em primeiro lugar na ordem de arranque, tanto quando o portátil está ancorado como desancorado.

Sim.

Descriptografar remove completamente a proteção do BitLocker e descriptografa totalmente a unidade.

Suspender mantém os dados criptografados, mas criptografa a chave mestra de volume do BitLocker usando uma chave não criptografada. A chave não criptografada é uma chave criptográfica armazenada descriptografada e desprotegida na unidade de disco. Armazenando essa chave descriptografada, a opção Suspender permite alterações ou atualizações no computador sem o tempo e o custo de descriptografar e recriptografar toda a unidade. Depois que as alterações forem feitas e o BitLocker for reabilitado, o BitLocker selará novamente a chave de criptografia para os novos valores dos componentes avaliados que foram alterados como parte da atualização, a chave mestra de volume será alterada, os protetores serão atualizados de acordo e a chave não criptografada será apagada.

Nenhuma ação do usuário é necessária ao BitLocker para aplicar as atualizações da Microsoft, incluindo atualizações de recursos e atualizações de qualidade do Windows. Os usuários precisam suspender o BitLocker para atualizações de software não Microsoft, como:

• Algumas atualizações de firmware TPM se estas atualizações limparem o TPM fora da API do Windows. Nem todas as atualizações de firmware do TPM limparão o TPM. Os utilizadores não têm de suspender o BitLocker se a atualização de firmware do TPM utilizar a API do Windows para limpar o TPM porque, neste caso, o BitLocker será suspenso automaticamente. Recomenda-se que os utilizadores testem as atualizações de firmware do TPM se não quiserem suspender a proteção do BitLocker.
• Atualizações de aplicações não Microsoft que modificam a configuração UEFI\BIOS.
• Atualizações manuais ou não microsoft para bases de dados de arranque seguras (apenas se o BitLocker utilizar o Arranque Seguro para validação de integridade).
• Atualizações para firmware UEFI\BIOS, instalação de controladores UEFI adicionais ou aplicações UEFI sem utilizar o mecanismo de atualização do Windows (apenas se o BitLocker não utilizar o Arranque Seguro para validação da integridade durante as atualizações).
• O BitLocker pode ser verificado se utiliza o Arranque Seguro para validação da integridade com a linha de comandos manage-bde.exe -protectors -get C:. Se o Arranque Seguro para validação de integridade estiver a ser utilizado, comunica utilizar o Arranque Seguro para validação da integridade.

Comportamento do BitLocker em dispositivos associados a Entra ID:

• Quando o BitLocker é suspenso automaticamente ou sem o parâmetro , o -rebootcount Windows tenta retomar a proteção no próximo reinício. É necessária uma ligação de rede para fazer uma cópia de segurança da palavra-passe de recuperação para Microsoft Entra ID. Se uma definição de política exigir a cópia de segurança da chave BitLocker, o Windows aguardará até 60 segundos por uma ligação de rede. Se não for possível criar uma cópia de segurança da chave de recuperação, a proteção não será retomada.
• Se o BitLocker estiver suspenso como parte de uma atualização incorporada ou de um fluxo de reposição do PC, o Windows tenta exportar a chave de recuperação e retoma a proteção independentemente de a exportação ser bem-sucedida.

Sim, a implementação e a configuração do BitLocker podem ser automatizadas com Windows PowerShell ou com o manage-bde.exe comando . Para obter mais informações sobre os comandos de gestão do BitLocker comuns, marcar o guia de operações do BitLocker.

Normalmente, existe uma pequena sobrecarga de desempenho, muitas vezes em percentagens de um dígito, que é relativa ao débito das operações de armazenamento em que precisa de operar.

Embora a encriptação BitLocker ocorra em segundo plano enquanto um utilizador continua a trabalhar com o sistema que permanece utilizável, os tempos de encriptação variam consoante o tipo de unidade que está a ser encriptada, o tamanho da unidade e a velocidade da unidade. Se encriptar unidades grandes, a encriptação poderá querer ser agendada durante os momentos em que a unidade não está a ser utilizada.

Quando o BitLocker está ativado, o BitLocker também pode ser definido para encriptar toda a unidade ou apenas o espaço utilizado na unidade. Em um novo disco rígido, criptografar apenas o espaço usado pode ser consideravelmente mais rápido do que criptografar toda a unidade. Quando essa opção de criptografia é selecionada, o BitLocker criptografa automaticamente os dados à medida que eles são salvos, garantindo que nenhum dado seja armazenado descriptografado.

Se o computador for desligado ou entrar em hibernação, o processo de criptografia e descriptografia do BitLocker será retomado de onde parou na próxima vez em que o Windows for iniciado. O BitLocker a retomar a encriptação ou a desencriptação é verdadeiro mesmo que a energia fique subitamente indisponível.

Não, o BitLocker não encripta e desencripta toda a unidade ao ler e escrever dados. Os setores encriptados na unidade protegida pelo BitLocker são desencriptados apenas quando são solicitados a partir de operações de leitura do sistema. Blocos gravados na unidade são criptografados antes do sistema gravá-los no disco físico. Nenhum dado não criptografado é sequer armazenado em uma unidade protegida pelo BitLocker.

As definições de política podem ser configuradas para exigir que as unidades de dados sejam protegidas pelo BitLocker antes de um computador protegido por BitLocker poder escrever dados nas mesmas. Para obter mais informações, consulte Definições de política do BitLocker. Quando estas definições de política estão ativadas, o sistema operativo protegido pelo BitLocker irá montar quaisquer unidades de dados que não estejam protegidas pelo BitLocker como só de leitura.

O BitLocker permite que os utilizadores optem por encriptar apenas os respetivos dados. Embora não seja a forma mais segura de encriptar uma unidade, esta opção pode reduzir o tempo de encriptação em mais de 99%, dependendo da quantidade de dados que precisa de ser encriptada. Para obter mais informações, veja Encriptação apenas de Espaço em Disco Utilizado.

Os seguintes tipos de alterações feitas no sistema podem causar uma falha de verificação de integridade e impedir que o TPM libere a chave do BitLocker para descriptografar a unidade do sistema operacional protegida:

• Mover a unidade protegida pelo BitLocker para um novo computador.
• Instalar uma nova placa-mãe com um novo TPM.
• Desativar, desabilitar ou limpar o TPM.
• Alterar qualquer definição de configuração de inicialização.
• Alterar o BIOS, o firmware da UEFI, o registro mestre de inicialização, o setor de inicialização, o gerenciador de inicialização, option ROM ou outros componentes da inicialização com antecedência ou dados de configuração da inicialização.

Uma vez que o BitLocker foi concebido para proteger os computadores de vários ataques, existem inúmeras razões pelas quais o BitLocker pode começar no modo de recuperação. Por exemplo:

• Alterar a ordem de inicialização da BIOS para inicializar outra unidade antes da unidade de disco rígido.
• Adicionar ou remover hardware, como inserir uma nova card no computador.
• Remoção, inserção ou esvaziamento completo da carga de uma bateria inteligente em um computador portátil.

No BitLocker, a recuperação consiste em descriptografar uma cópia da chave mestra de volume usando-se uma chave de recuperação armazenada em uma unidade flash USB ou uma chave criptográfica derivada de uma senha de recuperação. O TPM não está envolvido em nenhum cenário de recuperação, pelo que a recuperação continua a ser possível se o TPM falhar na validação do componente de arranque, se ocorrerem falhas ou se for removido.

O BitLocker pode ser impedido de vincular ao PCR 7 se um SO não Windows arrancar antes do Windows ou se o Arranque Seguro não estiver disponível para o dispositivo, porque está desativado ou o hardware não o suporta.

Sim, vários discos rígidos podem ser trocados no mesmo computador se o BitLocker estiver ativado, mas apenas se os discos rígidos estiverem protegidos pelo BitLocker no mesmo computador. As chaves BitLocker são exclusivas do TPM e da unidade do sistema operativo. Se for necessário preparar um sistema operativo de cópia de segurança ou uma unidade de dados em caso de falha do disco, confirme que foram correspondidas com o TPM correto. Os diferentes discos rígidos também podem ser configurados para sistemas operativos diferentes e, em seguida, ativar o BitLocker em cada um deles com métodos de autenticação diferentes (como um com apenas TPM e outro com TPM+PIN) sem quaisquer conflitos.

Sim, se a unidade for uma unidade de dados, pode ser desbloqueada a partir do item de Painel de Controle de Encriptação de Unidade BitLocker utilizando uma palavra-passe ou uma card inteligente. Se a unidade de dados tiver sido configurada apenas para desbloqueio automático, terá de ser desbloqueada com a chave de recuperação. O disco rígido criptografado pode ser desbloqueado por um agente de recuperação de dados (caso um tenha sido configurado) ou pode ser desbloqueado usando-se a chave de recuperação.

Algumas unidades não podem ser encriptadas com o BitLocker. Os motivos pelos quais uma unidade não pode ser encriptada incluem tamanho de disco insuficiente, um sistema de ficheiros incompatível, se a unidade for um disco dinâmico ou se uma unidade for designada como a partição do sistema. Por padrão, a unidade do sistema (ou a partição do sistema) permanece oculta na exibição. No entanto, se não for criada como uma unidade oculta quando o sistema operativo foi instalado devido a um processo de instalação personalizado, essa unidade poderá ser apresentada, mas não pode ser encriptada.

Várias unidades de dados internas, fixas, podem ser protegidas pelo BitLocker. Algumas versões baseadas em ATA e SATA também oferecem suporte a dispositivos de armazenamento anexado direto.

As unidades de dados amovíveis podem ser desbloqueadas com uma palavra-passe ou uma card inteligente. Um protetor sid também pode ser configurado para desbloquear uma unidade com as credenciais de domínio do utilizador. Após o início da encriptação, a unidade também pode ser desbloqueada automaticamente num computador específico para uma conta de utilizador específica. Os administradores de sistema podem configurar as opções disponíveis para os utilizadores, incluindo a complexidade da palavra-passe e os requisitos mínimos de comprimento. Para desbloquear utilizando um protetor sid, utilize manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

Existem várias chaves que podem ser geradas e utilizadas pelo BitLocker. Algumas chaves são necessárias e algumas são protetores opcionais que pode optar por utilizar consoante o nível de segurança necessário.

Palavra-passe do proprietário do TPM

Antes de ativar o BitLocker num computador com uma versão TPM 1.2, tem de inicializar o TPM. O processo de inicialização gera uma palavra-passe de proprietário do TPM, que é uma palavra-passe definida no TPM. Tem de conseguir fornecer a palavra-passe do proprietário do TPM para alterar o estado do TPM, como ao ativar ou desativar o TPM ou ao repor o bloqueio do TPM.

Palavra-passe de recuperação e chave de recuperação

Quando configurar o BitLocker, tem de escolher como o acesso a unidades protegidas pelo BitLocker pode ser recuperado caso não seja possível utilizar o método de desbloqueio especificado (por exemplo, se o TPM não conseguir validar os componentes de arranque, o número de identificação pessoal (PIN) for esquecido ou a palavra-passe for esquecida). Nestas situações, tem de conseguir fornecer a chave de recuperação ou a palavra-passe de recuperação para desbloquear os dados encriptados na unidade. Quando fornece as informações de recuperação, pode utilizar qualquer um dos seguintes formatos:

• Uma palavra-passe de recuperação composta por 48 dígitos divididos em oito grupos. Durante a recuperação, tem de escrever esta palavra-passe na consola de recuperação bitLocker com as teclas de função no teclado.
• Um ficheiro de chave numa pen USB que é lido diretamente pela consola de recuperação BitLocker. Durante a recuperação, tem de inserir este dispositivo USB.

PIN e PIN melhorado

Para um nível mais elevado de segurança com o TPM, pode configurar o BitLocker com um número de identificação pessoal (PIN). O PIN é um valor criado pelo utilizador que tem de ser introduzido sempre que o computador é iniciado ou retomado a partir da hibernação. O PIN pode consistir em 4 a 20 dígitos conforme especificado pela definição Configurar comprimento mínimo do PIN para a política de arranque e é armazenado internamente como um hash de 256 bits dos carateres Unicode introduzidos. Este valor nunca é apresentado ao utilizador. O PIN é utilizado para fornecer outro fator de autenticação em conjunto com a autenticação TPM.
Para um nível ainda mais elevado de segurança com o TPM, pode configurar o BitLocker para utilizar PINs melhorados. Os PINs melhorados são PINs que utilizam o conjunto completo de carateres de teclado, além do conjunto numérico para permitir combinações de PIN mais possíveis e têm entre 4 e 20 carateres de comprimento. Para utilizar PINs melhorados, tem de ativar a definição Permitir PINs melhorados para a política de arranque antes de adicionar o PIN à unidade. Ao ativar esta política, todos os PINs criados podem utilizar carateres de teclado completos.

Chave de arranque

Configurar uma chave de arranque é outro método para ativar um nível mais elevado de segurança com o TPM. A chave de arranque é uma chave armazenada numa pen USB e a pen USB tem de ser inserida sempre que o computador é iniciado. A chave de arranque é utilizada para fornecer outro fator de autenticação em conjunto com a autenticação TPM. Para utilizar uma pen USB como chave de arranque, a pen USB tem de ser formatada utilizando o sistema de ficheiros NTFS, FAT ou FAT32.

A palavra-passe de recuperação e a chave de recuperação de uma unidade do sistema operativo ou de uma unidade de dados fixa podem ser guardadas numa pasta, guardadas num ou mais dispositivos USB, guardadas numa Conta Microsoft ou impressas.

Para unidades de dados amovíveis, a palavra-passe de recuperação e a chave de recuperação podem ser guardadas numa pasta, guardadas numa Conta Microsoft ou impressas. Por predefinição, uma chave de recuperação para uma unidade amovível não pode ser armazenada numa unidade amovível.

Um administrador de domínio também pode configurar definições de política para gerar automaticamente palavras-passe de recuperação e armazená-las no Active Directory Domain Services (AD DS) ou Microsoft Entra ID para qualquer unidade protegida pelo BitLocker.

A Manage-bde.exe ferramenta de linha de comandos pode ser utilizada para substituir o modo de autenticação apenas TPM por um modo de autenticação multifator. Por exemplo, se o BitLocker estiver ativado apenas com autenticação TPM e a autenticação de PIN tiver de ser adicionada, utilize os seguintes comandos a partir de uma Linha de Comandos elevada, substituindo o PIN numérico de 4 a 20 dígitos pelo PIN numérico pretendido:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Um novo hardware que atenda aos requisitos do Programa de Compatibilidade de Hardware do Windows torna um PIN menos crítico como uma mitigação, e ter um protetor somente TPM provavelmente será suficiente quando combinado com políticas como bloqueio do dispositivo. Por exemplo, Surface Pro e Surface Book não têm portas DMA externas para atacar. Para hardware mais antigo, onde pode ser necessário um PIN, recomenda-se ativar PINs melhorados que permitam carateres não numéricos, como letras e sinais de pontuação, e definir o comprimento do PIN com base na tolerância ao risco e nas capacidades anti-marteladas de hardware disponíveis para os TPMs nos computadores.

O BitLocker foi projetado para tornar a unidade criptografada irrecuperável sem a autenticação necessária. No modo de recuperação, o usuário precisa da senha de recuperação ou da chave de recuperação para desbloquear a unidade criptografada.

Embora a utilização de uma pen USB como chave de arranque e para armazenamento da chave de recuperação seja tecnicamente possível, não é melhor prática utilizar uma pen USB para armazenar ambas as teclas. Se a pen USB que contém a chave de arranque for perdida ou roubada, a chave de recuperação também será perdida. Além disso, inserir esta chave faria com que o computador arrancasse automaticamente a partir da chave de recuperação, mesmo que os ficheiros medidos pelo TPM tenham sido alterados, o que contorna a integridade do sistema do TPM marcar.

Sim, a chave de arranque do computador pode ser guardada em várias pen USB. Clicar com o botão direito do rato numa unidade protegida pelo BitLocker e selecionar Gerir BitLocker irá fornecer as opções para guardar as teclas de recuperação em pens USB adicionais, conforme necessário.

Sim, as chaves de arranque do BitLocker para computadores diferentes podem ser guardadas na mesma pen USB.

A geração de chaves de arranque diferentes para o mesmo computador pode ser feita através de scripts. No entanto, para computadores que tenham um TPM, criar chaves de inicialização diferentes evita que o BitLocker use a verificação de integridade do sistema do TPM.

Não é possível gerar várias combinações de PIN.

Os dados brutos são criptografados com a chave de criptografia de volume completo, que é criptografada com a chave mestra de volume. Por sua vez, a chave de master de volume é encriptada por um dos vários métodos possíveis, consoante a autenticação (ou seja, protetores de chaves ou TPM) e cenários de recuperação.

A chave de criptografia de volume completo é criptografada pela chave mestra de volume e armazenada na unidade criptografada. A chave mestra de volume é criptografada pelo protetor de chave apropriado e armazenada na unidade criptografada. Caso o BitLocker tenha sido suspenso, a chave não criptografada usada para criptografar a chave mestra de volume também é armazenada na unidade criptografada, além da chave mestra de volume criptografada.

Este processo de armazenamento garante que o volume master chave nunca é armazenado desencriptado e está protegido, a menos que o BitLocker esteja desativado. As chaves também são salvas em dois locais adicionais na unidade para redundância. As chaves podem ser lidas e processadas pelo gerenciador de inicialização.

As teclas de F1 a F10 são códigos de leitura mapeados universalmente disponíveis no ambiente de pré-inicialização em todos os computadores e em todos os idiomas. As teclas numéricas 0 a 9 não são utilizáveis no ambiente de pré-arranque em todos os teclados.

Usando um PIN avançado, os usuários devem executar a verificação de sistema opcional durante o processo de instalação do BitLocker para garantir que o PIN possa ser inserido corretamente no ambiente de pré-inicialização.

É possível que um número de identificação pessoal (PIN) possa ser detetado por um atacante que executa um ataque de força bruta. Um ataque de força bruta ocorre quando um invasor usa uma ferramenta automatizada para tentar diferentes combinações de PIN até a correta ser descoberta. Para computadores protegidos por BitLocker, este tipo de ataque, também conhecido como ataque de dicionário, requer que o atacante tenha acesso físico ao computador.

O TPM tem a capacidade interna de detectar e reagir a esses tipos de ataques. Uma vez que os TPMs de diferentes fabricantes podem suportar mitigações diferentes de PIN e ataques, contacte o fabricante do TPM para determinar como o TPM do computador mitiga os ataques de força bruta do PIN. Após a determinação do fabricante do TPM, contacte o fabricante para recolher as informações específicas do fornecedor do TPM. A maioria dos fabricantes usa a contagem de falhas de autenticação de PIN para aumentar exponencialmente o tempo de bloqueio da interface do PIN. No entanto, cada fabricante tem políticas diferentes em relação a quando e como o contador de falhas é diminuído ou redefinido.

O fabricante do TPM pode ser determinado nos detalhes do processador deSegurança> deDispositivosdo Centro de Segurança do> Windows Defender.

As perguntas seguintes podem ajudar ao fazer perguntas a um fabricante do TPM sobre a conceção de um mecanismo de mitigação de ataques de dicionário:

• Quantas tentativas de autorização com falha podem ocorrer até o bloqueio?
• Qual é o algoritmo para determinar a duração de um bloqueio com base no número de tentativas com falha e quaisquer outros parâmetros relevantes?
• Quais ações podem fazer a contagem de falhas e a duração do bloqueio diminuir ou ser redefinida?

O comprimento mínimo do número de identificação pessoal (PIN) pode ser configurado através da definição Configurar o comprimento mínimo do PIN para o arranque Política de Grupo e permitir a utilização de PINs alfanuméricos ao ativar a definição Permitir PINs melhorados para a política de arranque. A complexidade do PIN não pode ser necessária através das definições de política.

Para obter mais informações, consulte Definições de política do BitLocker.

O BitLocker hashes o número de identificação pessoal (PIN) especificado pelo utilizador com SHA-256 e os primeiros 160 bits do hash são utilizados como dados de autorização enviados para o TPM para selar o volume master chave. A chave de master de volume está agora protegida pelo TPM e pelo PIN. Para anular o volume master chave, tem de introduzir o PIN sempre que o computador reiniciar ou retomar a hibernação.

BitLocker To Go é Criptografia de Unidade de Disco BitLocker em unidades de dados removíveis. Esta funcionalidade inclui a encriptação de:

• Pen USB
• Cartões SD
• Unidades de disco rígido externas
• Outras unidades formatadas com o sistema de ficheiros NTFS, FAT16, FAT32 ou exFAT

A criação de partições de unidades tem de cumprir os Requisitos de Criação de Partições de Encriptação de Unidade BitLocker.

Tal como acontece com o BitLocker, as unidades encriptadas pelo BitLocker To Go podem ser abertas utilizando uma palavra-passe ou card inteligentes noutro computador. No Painel de Controle, utilize a Encriptação de Unidade BitLocker.

Se o BitLocker estiver ativado numa unidade antes de as definições de política serem aplicadas para impor uma cópia de segurança, as informações de recuperação não serão automaticamente colocadas em cópia de segurança no AD DS quando o computador aderir ao domínio ou quando as definições de política forem aplicadas posteriormente. No entanto, as definições de política Selecione como as unidades do sistema operativo protegidas pelo BitLocker podem ser recuperadas, Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas, Escolha como as unidades amovíveis protegidas pelo BitLocker podem ser escolhidas para exigir que o computador esteja ligado a um domínio antes de o BitLocker poder ser ativado para ajudar a garantir que as informações de recuperação das unidades protegidas pelo BitLocker na organização têm uma cópia de segurança do AD DS.

Para obter mais informações sobre como fazer uma cópia de segurança da palavra-passe de recuperação para o AD DS ou Microsoft Entra ID, veja o Guia de operações do BitLocker.

Sim, é registada uma entrada de registo de eventos que indica o êxito ou falha de uma cópia de segurança no computador cliente. No entanto, mesmo que uma entrada no log de eventos indique "Êxito", as informações poderiam ter sido removidas depois do AD DS, ou o BitLocker poderia ter sido reconfigurado de maneira que as informações do Active Directory não consigam mais desbloquear a unidade (como remover o protetor de chave de senha de recuperação). Além disso, também é possível que a entrada de registo possa ser falsificada.

Por fim, determinar se um backup legítimo existe no AD DS exige consultar o AD DS com credenciais de administrador de domínio usando a ferramenta de visualização de senha do BitLocker.

Não. Por predefinição, as entradas de palavra-passe de recuperação do BitLocker não são eliminadas do AD DS. Por conseguinte, podem ser vistas múltiplas palavras-passe para cada unidade. Para identificar a senha mais recente, verifique a data no objeto.

Se a cópia de segurança falhar inicialmente, como quando um controlador de domínio está inacessível no momento em que o assistente de configuração do BitLocker é executado, o BitLocker não tenta novamente fazer uma cópia de segurança das informações de recuperação para o AD DS.

Quando um administrador seleciona a caixa Do not enable BitLocker until recovery information is stored in AD DS for (operating system | fixed data | removable data) drives marcar box in any of the Choose how BitLocker-protected operating system drives can be recovered, Choose how BitLocker-protected fixed data drives can be recovered, and Choose how BitLocker-protected removeable data drives can be recovered Definições de política, os utilizadores não podem ativar o BitLocker, a menos que o computador esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida. Com estas definições configuradas se a cópia de segurança falhar, o BitLocker não pode ser ativado, garantindo que os administradores conseguirão recuperar unidades protegidas pelo BitLocker na organização.

Para obter mais informações, consulte Definições de política do BitLocker.

Quando um administrador limpa estas caixas de marcar, o administrador está a permitir que uma unidade esteja protegida pelo BitLocker sem ter as informações de recuperação guardadas com êxito no AD DS. No entanto, o BitLocker não repetirá automaticamente a cópia de segurança se falhar. Em vez disso, os administradores podem criar um script de cópia de segurança, conforme descrito anteriormente em E se o BitLocker estiver ativado num computador antes de o computador aderir ao domínio? para capturar as informações após o restauro da conectividade.

O BitLocker utiliza a Standard de Encriptação Avançada (AES) como algoritmo de encriptação com comprimentos de chave configuráveis de 128 bits ou 256 bits. A predefinição de encriptação é AES-128, mas as opções são configuráveis através das definições de política.

A prática recomendada para a configuração do BitLocker numa unidade do sistema operativo é implementar o BitLocker num computador com uma versão TPM 1.2 ou superior.

O BitLocker em unidades do sistema operativo na configuração básica proporciona segurança adicional para o modo de hibernação. No modo de suspensão, o computador é vulnerável a ataques de acesso direto à memória, uma vez que os dados desprotegidos permanecem na RAM. Por conseguinte, para uma segurança melhorada, é recomendado desativar o modo de suspensão. A autenticação de arranque pode ser configurada através de uma definição de política.

A maioria dos sistemas operacionais usa um espaço de memória compartilhado e depende do sistema operacional para gerenciar a memória física. TPM é um componente de hardware que o próprio firmware interno e os circuitos de lógica para processar instruções, protegendo-o, assim, de vulnerabilidades de softwares externas. Atacar o TPM requer acesso físico ao computador. Além disso, as ferramentas e as competências necessárias para atacar o hardware são muitas vezes mais caras e, normalmente, não estão tão disponíveis como as utilizadas para atacar software. E como cada TPM é exclusivo do computador que o contém, atacar o TPM de vários computadores seria difícil e demorado.

O Desbloqueio de Rede do BitLocker permite uma gestão mais fácil para clientes e servidores preparados para BitLocker que utilizam o método de proteção TPM+PIN num ambiente de domínio. Quando um computador conectado a uma rede corporativa com fio é reiniciado, o Desbloqueio pela Rede permite que o prompt de entrada PIN seja ignorado. Ele desbloqueia automaticamente volumes de sistema operacional protegidos pelo BitLocker usando uma chave confiável fornecida pelo servidor dos Serviços de Implantação do Windows como o método de autenticação secundário.

Para utilizar o Desbloqueio de Rede, tem de ser configurado um PIN para o computador. Quando o computador não estiver ligado à rede, terá de ser fornecido um PIN para desbloqueá-lo.

O Desbloqueio de Rede bitLocker tem requisitos de software e hardware para computadores cliente, serviços de Implementação do Windows e controladores de domínio que têm de ser cumpridos antes de poderem ser utilizados.

O Desbloqueio de Rede utiliza dois protetores : o protetor TPM e o protetor fornecido pela rede ou pelo PIN. O desbloqueio automático utiliza um único protetor – o que está armazenado no TPM. Se o computador estiver associado a uma rede sem o protetor de chave, ser-lhe-á pedido para introduzir um PIN. Se o PIN não estiver disponível, a chave de recuperação terá de ser utilizada para desbloquear o computador se não puder ser ligada à rede.

Para obter mais informações, consulte BitLocker: Como habilitar o desbloqueio pela rede.

Sim, o Sistema de Encriptação de Ficheiros (EFS) pode ser utilizado para encriptar ficheiros numa unidade protegida pelo BitLocker. O BitLocker ajuda a proteger toda a unidade do sistema operativo contra ataques offline, enquanto o EFS pode fornecer encriptação adicional ao nível do ficheiro baseado no utilizador para a separação de segurança entre vários utilizadores do mesmo computador. O EFS também pode ser utilizado no Windows para encriptar ficheiros noutras unidades que não são encriptadas pelo BitLocker. Os segredos de raiz do EFS são armazenados por predefinição na unidade do sistema operativo; Por conseguinte, se o BitLocker estiver ativado para a unidade do sistema operativo, os dados encriptados pelo EFS noutras unidades também serão protegidos indiretamente pelo BitLocker.

Sim. No entanto, o depurador deve ser ativado antes do BitLocker. Ativar o depurador garante que as medidas corretas sejam calculadas durante a selagem para o TPM, permitindo que o computador seja iniciado corretamente. Se a depuração tiver de ser ativada ou desativada ao utilizar o BitLocker, certifique-se de que suspende primeiro o BitLocker para evitar colocar o computador no modo de recuperação.

O BitLocker tem uma pilha de drivers de armazenamento que garante que despejos de memória sejam criptografados quando o BitLocker está habilitado.

O BitLocker não suporta smart cards para autenticação de pré-arranque. Não existe um único padrão da indústria para suporte de card inteligentes no firmware e a maioria dos computadores não implementa suporte de firmware para smart cards ou apenas suporta smart cards e leitores específicos. Esta falta de uniformização dificulta o suporte.

A Microsoft não suporta controladores TPM não Microsoft e recomenda vivamente que não os utilize com o BitLocker. Tentar utilizar um controlador TPM não Microsoft com o BitLocker pode fazer com que o BitLocker reporte que um TPM não está presente no computador e não permite que o TPM seja utilizado com o BitLocker.

Não recomendamos a modificação do registo de arranque master em computadores cujas unidades do sistema operativo estão protegidas pelo BitLocker por vários motivos de segurança, fiabilidade e suporte do produto. As alterações ao registo de arranque do master (MBR) podem alterar o ambiente de segurança e impedir que o computador comece normalmente e complicar quaisquer esforços para recuperar de um MBR danificado. As alterações feitas no MBR por outro que não seja o Windows podem forçar o computador no modo de recuperação ou impedir que ele seja inicializado por completo.

O sistema marcar foi concebido para garantir que o BIOS ou firmware UEFI do computador é compatível com o BitLocker e que o TPM está a funcionar corretamente. A verificação do sistema pode falhar por vários motivos:

• O firmware BIOS ou UEFI do computador não consegue ler pens USB
• O bios do computador, firmware uEFI ou menu de arranque não tem as pen USB de leitura ativadas
• Existem várias pen USB inseridas no computador
• O PIN não foi introduzido corretamente
• O firmware BIOS ou UEFI do computador só suporta a utilização das teclas de função (F1-F10) para introduzir numerais no ambiente de pré-arranque
• A chave de arranque foi removida antes de o computador terminar o reinício
• O TPM avariou e não consegue desmarcar as teclas

Alguns computadores não conseguem ler pens USB no ambiente de pré-arranque. Em primeiro lugar, marcar as definições de firmware e arranque BIOS ou UEFI para garantir que a utilização de unidades USB está ativada. Se não estiver ativada, ative a utilização de pen USB nas definições de firmware e arranque DO BIOS ou UEFI e, em seguida, tente ler a chave de recuperação a partir da pen USB novamente. Se a pen USB ainda não puder ser lida, o disco rígido terá de ser montado como uma unidade de dados noutro computador para que exista um sistema operativo para tentar ler a chave de recuperação a partir da pen USB. Se a pen USB tiver sido danificada ou danificada, poderá ter de ser fornecida uma palavra-passe de recuperação ou utilizar as informações de recuperação que foram colocadas na cópia de segurança do AD DS. Além disso, se a chave de recuperação estiver a ser utilizada no ambiente de pré-arranque, certifique-se de que a unidade está formatada com o sistema de ficheiros NTFS, FAT16 ou FAT32.

A opção Guardar em USB não é apresentada por predefinição para unidades amovíveis. Caso a opção esteja disponível, isso significa que um administrador do sistema desautorizou o uso de chaves de recuperação.

O desbloqueio automático para unidades de dados fixas requer que a unidade do sistema operativo também esteja protegida pelo BitLocker. Se estiver a ser utilizado um computador que não tenha uma unidade de sistema operativo protegida pelo BitLocker, a unidade fixa não pode ser desbloqueada automaticamente. Para unidades de dados amovíveis, o desbloqueio automático pode ser adicionado ao clicar com o botão direito do rato na unidade no Windows Explorer e selecionar Gerir BitLocker. As credenciais de palavra-passe ou smart card fornecidas quando o BitLocker foi ativado ainda podem ser utilizadas para desbloquear a unidade amovível noutros computadores.

Há funcionalidade limitada do BitLocker disponível em modo de segurança. As unidades protegidas pelo BitLocker podem ser desbloqueadas e descriptografadas usando-se o item do Painel de Controle Criptografia de Unidade de Disco BitLocker . Clicar com o botão direito do rato para aceder às opções do BitLocker a partir do Windows Explorer não está disponível no Modo de Segurança.

As unidades de dados fixas e amovíveis podem ser bloqueadas com a ferramenta de linha de comandos Manage-bde e o comando -lock.

A sintaxe desse comando é:

manage-bde.exe <driveletter> -lock

Além de usar esse comando, as unidades de dados serão bloqueadas no desligamento e na reinicialização do sistema operacional. Uma unidade de dados removível também será bloqueada automaticamente quando a unidade for removida do computador.

Sim. No entanto, as cópias de sombra feitas antes da habilitação do BitLocker serão excluídas automaticamente quando o BitLocker estiver habilitado em unidades criptografadas pelo software. Se estiver a ser utilizada uma unidade encriptada por hardware, as cópias sombra são mantidas.

O BitLocker deve funcionar como qualquer máquina física específica dentro das limitações de hardware, desde que o ambiente (físico ou virtual) cumpra os requisitos do Sistema Operativo Windows para ser executado.

• Com o TPM: Sim, é suportado.
• Sem TPM: Sim, é suportado (com proteção por palavra-passe).

O BitLocker também é suportado em VHDs de volume de dados, como os utilizados pelos clusters.

Sim, o BitLocker pode ser utilizado com máquinas virtuais (VMs) se o ambiente cumprir os requisitos de hardware e software do BitLocker.