Criptografia e proteção de dados

Quando as pessoas viajam com os seus PCs, as suas informações confidenciais viajam com eles. Onde quer que armazene dados confidenciais, tem de protegê-los contra acesso não autorizado, seja através de roubo de dispositivos físicos ou de aplicações maliciosas.

BitLocker

O BitLocker é uma funcionalidade de proteção de dados que se integra com o sistema operativo para fazer face às ameaças de roubo ou exposição de dados de dispositivos perdidos, roubados ou desativados incorretamente. Utiliza o algoritmo AES no modo XTS ou CBC com comprimentos de chave de 128 bits ou 256 bits para encriptar dados no volume. Durante a configuração inicial, quando ativa o BitLocker durante o OOBE e inicia sessão na sua conta Microsoft pela primeira vez, o BitLocker guarda automaticamente a palavra-passe de recuperação na sua conta Microsoft para obtenção, se necessário. Também pode exportar a palavra-passe de recuperação se ativar manualmente o BitLocker. Pode guardar o conteúdo da chave de recuperação no armazenamento na nuvem no OneDrive ou Azure^[5].

Para organizações, pode gerir o BitLocker através da política de grupo ou com uma solução de gestão de dispositivos, como Microsoft Intune^[4]. Fornece encriptação para o SO, dados fixos e unidades de dados amovíveis (BitLocker To Go), através de tecnologias como Hardware Security Test Interface (HSTI), Modern Standby, UEFI Secure Boot e TPM.

Bitlocker acelerado por hardware

A partir do Windows 25H2 e 24H2 com a atualização de setembro, o Microsoft BitLocker é atualizado para utilizar capacidades de SoCs e CPUs modernos, incluindo Encriptação de Armazenamento Total Intel®.

Estas capacidades são:

• Descarga de criptografia: as operações criptográficas em massa para E/S de armazenamento no BitLocker são descarregadas dos núcleos de CPU principais para um motor criptográfico dedicado. Esta descarga melhora o desempenho do BitLocker e prolonga a duração da bateria.
• Chaves protegidas por hardware: as chaves de encriptação em massa do BitLocker são encapsuladas em hardware. Esta proteção reduz a exposição da chave de encriptação em massa original à CPU e à memória, aumentando a segurança.

Saiba mais

• Visão geral do BitLocker

BitLocker To Go

BitLocker To Go refere-se ao BitLocker em unidades de dados amovíveis. O BitLocker To Go inclui a encriptação de pen USB, cartões SD e unidades de disco rígido externas. Pode desbloquear unidades com uma palavra-passe, certificado numa card inteligente ou palavra-passe de recuperação.

Saiba mais

• BitLocker FAQ

Criptografia do dispositivo

A encriptação de dispositivos é uma funcionalidade do Windows que simplifica o processo de ativação da encriptação BitLocker em determinados dispositivos. Garante que apenas a unidade do SO e as unidades fixas são encriptadas, enquanto as unidades USB externas permanecem não encriptadas. Além disso, os dispositivos com portas acessíveis externamente que permitem o acesso ao DMA não são elegíveis para encriptação de dispositivos. Ao contrário da implementação padrão do BitLocker, a encriptação de dispositivos é ativada automaticamente para garantir a proteção contínua. Quando concluir uma limpo instalação do Windows e concluir a experiência pronta a utilizar, o dispositivo estará pronto para ser utilizado pela primeira vez com a encriptação já implementada.

As organizações podem desativar a encriptação de dispositivos a favor de uma implementação completa do BitLocker. Esta opção fornece um controlo mais granular sobre as políticas e definições de encriptação, para que possa cumprir os requisitos de segurança específicos da sua organização.

Os pré-requisitos de encriptação de dispositivos do DMA e HSTI/Modern Standby são removidos. Esta alteração torna mais dispositivos elegíveis para encriptação de dispositivos automática e manual.

Saiba mais

• Encriptação de dispositivos

Disco Rígido Criptografado

Os discos rígidos encriptados são uma classe de discos rígidos que encriptam automaticamente ao nível do hardware. Fornecem encriptação de hardware de disco completo e são transparentes para o utilizador. Estas unidades combinam os benefícios de segurança e gestão fornecidos pelo BitLocker com o poder das unidades de encriptação automática.

Ao transferir as operações criptográficas para o hardware, os discos rígidos criptografados aumentam o desempenho do BitLocker e reduzem o uso da CPU e o consumo de energia. Uma vez que os discos rígidos encriptados encriptam dados rapidamente, pode expandir a implementação do BitLocker em dispositivos empresariais com pouco ou nenhum impacto na produtividade.

Os discos rígidos encriptados permitem:

• Desempenho suave: o hardware de encriptação integrado no controlador de unidade permite que a unidade funcione a uma taxa de dados completa sem degradação do desempenho
• Segurança forte baseada em hardware: a encriptação está sempre ativada e as chaves de encriptação nunca saem do disco rígido. A unidade autentica o utilizador independentemente do sistema operativo antes de desbloquear
• Facilidade de utilização: a encriptação é transparente para o utilizador e o utilizador não precisa de a ativar. Os discos rígidos encriptados são facilmente apagados com uma chave de encriptação integrada. Não é necessário encriptar novamente os dados na unidade
• Menor custo de propriedade: não é necessário que a nova infraestrutura faça a gestão de chaves de encriptação, uma vez que o BitLocker utiliza a infraestrutura existente para armazenar informações de recuperação. O dispositivo funciona de forma mais eficiente porque os ciclos do processador não são utilizados para o processo de encriptação

Saiba mais

• Disco Rígido Criptografado

encriptação de Email

Email encriptação permite que os utilizadores protejam mensagens de e-mail e anexos para que apenas os destinatários com uma identificação digital (ID) ou certificado possam lê-los^[8]. Os utilizadores também podem assinar digitalmente uma mensagem, que verifica a identidade do remetente e garante que a mensagem não é adulterada.

A nova aplicação Outlook no Windows 11 suporta diferentes tipos de encriptação de e-mail, incluindo Criptografia de Mensagens do Microsoft Purview, S/MIME e Gestão de Direitos de Informação (IRM).

Quando utiliza Extensões de Correio da Internet Segura/Multiusos (S/MIME), pode enviar mensagens encriptadas a pessoas na sua organização e a contactos externos que tenham os certificados de encriptação corretos. Os destinatários só podem ler mensagens encriptadas se tiverem as chaves de desencriptação correspondentes. Se enviar uma mensagem encriptada aos destinatários cujos certificados de encriptação não estão disponíveis, o Outlook pede-lhe para remover estes destinatários antes de enviar o e-mail.

Saiba mais

• S/MIME para assinatura de mensagens e encriptação no Exchange Online
• Introdução ao novo Outlook para Windows
• encriptação de Email