Implantar o gerenciamento do BitLocker

Aplica-se a: Configuration Manager (branch atual)

A gestão do BitLocker no Configuration Manager inclui os seguintes componentes:

• Agente de gestão do BitLocker: o Configuration Manager ativa este agente num dispositivo quando cria uma política e a implementa numa coleção.

• Serviço de recuperação: o componente de servidor que recebe dados de recuperação do BitLocker dos clientes. Para obter mais informações, veja Serviço de recuperação.

Antes de criar e implementar políticas de gestão do BitLocker:

• Rever os pré-requisitos

• Se necessário, encripte as chaves de recuperação na base de dados do site

Criar uma política

Quando cria e implementa esta política, o cliente do Configuration Manager ativa o agente de gestão do BitLocker no dispositivo.

Observação

Para criar uma política de gestão bitLocker, precisa da função de Administrador Completo no Configuration Manager.

1. Na consola do Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade , expanda Endpoint Protection e selecione o nó Gestão do BitLocker .

2. No friso, selecione Criar Política de Controlo de Gestão do BitLocker.

3. Na página Geral , especifique um nome e uma descrição opcional. Selecione os componentes a ativar nos clientes com esta política:

   • Unidade do Sistema Operativo: gerir se a unidade do SO está encriptada

   • Unidade Fixa: gerir a encriptação de outras unidades de dados num dispositivo

   • Unidade Amovível: gerir a encriptação de unidades que pode remover de um dispositivo, como uma chave USB

   • Gestão de Clientes: Gerir a cópia de segurança do serviço de recuperação chave das informações de recuperação da Encriptação de Unidade BitLocker

4. Na página Configuração , configure as seguintes definições globais para a Encriptação de Unidade BitLocker:

   Observação

   O Configuration Manager aplica estas definições quando ativa o BitLocker. Se a unidade já estiver encriptada ou estiver em curso, qualquer alteração a estas definições de política não altera a encriptação da unidade no dispositivo.

   Se desativar ou não configurar estas definições, o BitLocker utiliza o método de encriptação predefinido (AES de 128 bits).

   • Para dispositivos Windows 8.1, ative a opção para o método de encriptação de unidade e a força da cifra. Em seguida, selecione o método de encriptação.

   • Para dispositivos Windows 10 ou posterior, ative a opção para o método de encriptação de unidade e a força da cifra (Windows 10 ou posterior). Em seguida, selecione individualmente o método de encriptação para unidades de SO, unidades de dados fixas e unidades de dados amovíveis.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Referência de definições – Configuração.

5. Na página Unidade do Sistema Operativo , especifique as seguintes definições:

   • Definições de Encriptação da Unidade do Sistema Operativo: se ativar esta definição, o utilizador tem de proteger a unidade do SO e o BitLocker encripta a unidade. Se a desativar, o utilizador não pode proteger a unidade.

   Em dispositivos com um TPM compatível, podem ser utilizados dois tipos de métodos de autenticação no arranque para fornecer proteção adicional para dados encriptados. Quando o computador é iniciado, pode utilizar apenas o TPM para autenticação ou também pode exigir a entrada de um número de identificação pessoal (PIN). Defina as seguinte configurações:

   • Selecione o protetor para a unidade do sistema operativo: configure-o para utilizar um TPM e PIN ou apenas o TPM.

   • Configurar o comprimento mínimo do PIN para o arranque: se precisar de um PIN, este valor é o comprimento mais curto que o utilizador pode especificar. O utilizador introduz este PIN quando o computador arranca para desbloquear a unidade. Por predefinição, o comprimento mínimo do PIN é 4.

   Para obter mais informações sobre estas e outras definições nesta página, veja Referência de definições – unidade do SO.

6. Na página Unidade Fixa , especifique as seguintes definições:

   • Encriptação de unidade de dados corrigida: se ativar esta definição, o BitLocker requer que os utilizadores coloquem todas as unidades de dados fixas sob proteção. Em seguida, encripta as unidades de dados. Quando ativa esta política, ative o desbloqueio automático ou as definições da política de palavra-passe de unidade de dados fixa.

   • Configurar o desbloqueio automático para uma unidade de dados fixa: permitir ou exigir que o BitLocker desbloqueie automaticamente qualquer unidade de dados encriptada. Para utilizar o desbloqueio automático, também precisa do BitLocker para encriptar a unidade do SO.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Referência de definições – Unidade fixa.

7. Na página Unidade Amovível , especifique as seguintes definições:

   • Encriptação de unidade de dados amovível: quando ativa esta definição e permite que os utilizadores apliquem a proteção BitLocker, o cliente do Configuration Manager guarda informações de recuperação sobre unidades amovíveis no serviço de recuperação no ponto de gestão. Este comportamento permite que os utilizadores recuperem a unidade caso se esqueçam ou percam o protetor (palavra-passe).

   • Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis: os utilizadores podem ativar a proteção BitLocker para uma unidade amovível.

   • Política de palavras-passe de unidade de dados amovível: utilize estas definições para definir as restrições das palavras-passe para desbloquear unidades amovíveis protegidas pelo BitLocker.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Referência de definições – Unidade amovível.

8. Na página Gestão de Clientes , especifique as seguintes definições:

   Importante

   Para versões do Configuration Manager anteriores a 2103, se não tiver um ponto de gestão com um site ativado para HTTPS, não configure esta definição. Para obter mais informações, veja Serviço de recuperação.

   • Configurar os Serviços de Gestão do BitLocker: quando ativa esta definição, o Configuration Manager faz uma cópia de segurança automática e silenciosa das informações de recuperação de chaves na base de dados do site. Se desativar ou não configurar esta definição, o Configuration Manager não guarda informações de recuperação de chaves.

     • Selecione Informações de recuperação do BitLocker para armazenar: configure-as para utilizar uma palavra-passe de recuperação e um pacote de chaves ou apenas uma palavra-passe de recuperação.

     • Permitir que as informações de recuperação sejam armazenadas em texto simples: sem um certificado de encriptação de gestão do BitLocker, o Configuration Manager armazena as informações de recuperação de chaves em texto simples. Para obter mais informações, veja Encriptar dados de recuperação na base de dados.

   Para obter mais informações sobre estas e outras definições nesta página, veja Referência de definições – Gestão de clientes.

9. Conclua o assistente.

Para alterar as definições de uma política existente, selecione-a na lista e selecione Propriedades.

Quando cria mais do que uma política, pode configurar a respetiva prioridade relativa. Se implementar várias políticas num cliente, este utiliza o valor de prioridade para determinar as respetivas definições.

A partir da versão 2006, pode utilizar cmdlets do Windows PowerShell para esta tarefa. Para obter mais informações, veja New-CMBlmSetting.

Implementar uma política

1. Escolha uma política existente no nó Gestão do BitLocker . No friso, selecione Implementar.

2. Selecione uma coleção de dispositivos como o destino da implementação.

3. Se quiser que o dispositivo encripte ou desencripte as unidades em qualquer altura, selecione a opção para Permitir remediação fora da janela de manutenção. Se a coleção tiver janelas de manutenção, ainda corrija esta política bitLocker.

4. Configurar uma agenda Simples ou Personalizada . O cliente avalia a conformidade com base nas definições especificadas na agenda.

5. Selecione OK para implementar a política.

Pode criar várias implementações da mesma política. Para ver informações adicionais sobre cada implementação, selecione a política no nó Gestão do BitLocker e, em seguida, no painel de detalhes, mude para o separador Implementações . Também pode utilizar cmdlets do Windows PowerShell para esta tarefa. Para obter mais informações, veja New-CMSettingDeployment.

Importante

Se uma ligação rdp (remote desktop protocol) estiver ativa, o cliente MBAM não inicia ações de Encriptação de Unidade BitLocker. Feche todas as ligações da consola remota e inicie sessão numa sessão de consola com uma conta de utilizador de domínio. Em seguida, começa a Encriptação de Unidade BitLocker e o cliente carrega chaves e pacotes de recuperação. Se iniciar sessão com uma conta de utilizador local, a Encriptação de Unidade BitLocker não é iniciada.

Pode utilizar o RDP para ligar remotamente à sessão da consola do dispositivo com o /admin comutador. Por exemplo: mstsc.exe /admin /v:<IP address of device>

Uma sessão de consola é quando se encontra na consola física do computador ou uma ligação remota que é a mesma que se estiver na consola física do computador.

Monitorar

Veja as estatísticas básicas de conformidade sobre a implementação da política no painel de detalhes do nó Gestão do BitLocker :

• Contagem de conformidade
• Contagem de falhas
• Contagem de não conformidade

Mude para o separador Implementações para ver a percentagem de compatibilidade e a ação recomendada. Selecione a implementação e, em seguida, no friso, selecione Ver Estado. Esta ação muda a vista para a área de trabalho Monitorização , nó Implementações . Semelhante à implementação de outras implementações de políticas de configuração, pode ver o estado de conformidade mais detalhado nesta vista.

Para compreender por que motivo os clientes estão a comunicar que não estão em conformidade com a política de gestão do BitLocker, veja Códigos de não conformidade.

Para obter mais informações de resolução de problemas, consulte Resolução de problemas do BitLocker.

Utilize os seguintes registos para monitorizar e resolver problemas:

Logs de clientes

• Registo de eventos do MBAM: no Visualizador de Eventos do Windows, navegue até Aplicações e Serviços>microsoft>Windows>MBAM. Para obter mais informações, veja About BitLocker event logs and Client event logs (Acerca dos registos de eventos do BitLocker e dos Registos de eventos do cliente).

• BitlockerManagementHandler.log e BitlockerManagement_GroupPolicyHandler.log no caminho de registos do cliente, %WINDIR%\CCM\Logs por predefinição

Registos de pontos de gestão (serviço de recuperação)

• Registo de eventos do serviço de recuperação: no Visualizador de Eventos do Windows, navegue para Aplicações e Serviços>Microsoft>Windows>MBAM-Web. Para obter mais informações, veja About BitLocker event logs and Server event logs (Acerca dos registos de eventos do BitLocker e dos Registos de eventos do Servidor).

• Registos de rastreio do serviço de recuperação: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Considerações de migração

Se utilizar atualmente a Administração e Monitorização do Microsoft BitLocker (MBAM), pode migrar a gestão de forma totalmente integrada para o Configuration Manager. Quando implementa políticas de gestão do BitLocker no Configuration Manager, os clientes carregam automaticamente chaves de recuperação e pacotes para o serviço de recuperação do Configuration Manager.

Importante

Quando migrar do MBAM autónomo para a gestão do BitLocker do Configuration Manager, se necessitar de funcionalidades existentes do MBAM autónomo, não reutilize servidores ou componentes MBAM autónomos com a gestão bitLocker do Configuration Manager. Se reutilizar estes servidores, o MBAM autónomo deixará de funcionar quando a gestão do BitLocker do Configuration Manager instalar os respetivos componentes nesses servidores. Não execute o script MBAMWebSiteInstaller.ps1 para configurar os portais bitLocker em servidores MBAM autónomos. Quando configurar a gestão do BitLocker do Configuration Manager, utilize servidores separados.

Política de grupo

• As definições de gestão do BitLocker são totalmente compatíveis com as definições de política de grupo MBAM. Se os dispositivos receberem as definições da política de grupo e as políticas do Configuration Manager, configure-as para corresponderem.

  Observação

  Se existir uma definição de política de grupo para MBAM autónomo, irá substituir a definição equivalente tentada pelo Configuration Manager. O MBAM autónomo utiliza a política de grupo de domínios, enquanto o Configuration Manager define políticas locais para a gestão do BitLocker. As políticas de domínio irão substituir as políticas de gestão do BitLocker do Configuration Manager local. Se a política de grupo de domínio MBAM autónoma não corresponder à política do Configuration Manager, a gestão do BitLocker do Configuration Manager falhará. Por exemplo, se uma política de grupo de domínio definir o servidor MBAM autónomo para os serviços de recuperação de chaves, a gestão do BitLocker do Configuration Manager não pode definir a mesma definição para o ponto de gestão. Este comportamento faz com que os clientes não comuniquem as chaves de recuperação ao serviço de recuperação da chave de gestão bitLocker do Configuration Manager no ponto de gestão.

• O Configuration Manager não implementa todas as definições de política do grupo MBAM. Se configurar mais definições na política de grupo, o agente de gestão do BitLocker nos clientes do Configuration Manager honra estas definições.

  Importante

  Não defina uma política de grupo para uma definição que a gestão do BitLocker do Configuration Manager já especifica. Defina apenas políticas de grupo para definições que não existem atualmente na gestão do BitLocker do Configuration Manager. O Configuration Manager versão 2002 tem paridade de funcionalidades com MBAM autónomo. Com a versão 2002 e posterior do Configuration Manager, na maioria das instâncias não deve haver razão para definir políticas de grupo de domínio para configurar políticas bitLocker. Para evitar conflitos e problemas, evite a utilização de políticas de grupo para o BitLocker. Configure todas as definições através das políticas de gestão do BitLocker do Configuration Manager.

Hash de palavra-passe do TPM

• Os clientes MBAM anteriores não carregam o hash de palavras-passe do TPM para o Configuration Manager. O cliente só carrega o hash de palavra-passe do TPM uma vez.

• Se precisar de migrar estas informações para o serviço de recuperação do Configuration Manager, desmarque o TPM no dispositivo. Depois de reiniciar, carrega o novo hash de palavra-passe do TPM para o serviço de recuperação.

Observação

O carregamento do hash de palavras-passe do TPM diz principalmente respeito a versões do Windows antes do Windows 10. Por predefinição, o Windows 10 ou posterior não guarda o hash de palavras-passe do TPM, pelo que estes dispositivos normalmente não o carregam. Para obter mais informações, veja Acerca da palavra-passe do proprietário do TPM.

Reencriptografia

O Configuration Manager não encripta novamente as unidades que já estão protegidas com a Encriptação de Unidade BitLocker. Se implementar uma política de gestão do BitLocker que não corresponda à proteção atual da unidade, esta será comunicada como não conforme. A unidade ainda está protegida.

Por exemplo, utilizou o MBAM para encriptar a unidade com o algoritmo de encriptação AES-XTS 128, mas a política do Configuration Manager requer AES-XTS 256. A unidade não está em conformidade com a política, mesmo que a unidade esteja encriptada.

Para contornar este comportamento, desative primeiro o BitLocker no dispositivo. Em seguida, implemente uma nova política com as novas definições.

Cogestão e Intune

O processador de cliente do Configuration Manager para o BitLocker está ciente da cogestão. Se o dispositivo for cogerido e mudar a carga de trabalho do Endpoint Protection para o Intune, o cliente do Configuration Manager ignora a política do BitLocker. O dispositivo obtém a política de encriptação do Windows a partir do Intune.

Observação

Mudar as autoridades de gestão de encriptação enquanto mantém o algoritmo de encriptação pretendido não requer ações adicionais no cliente. No entanto, se mudar as autoridades de gestão de encriptação e o algoritmo de encriptação pretendido também for alterado, terá de planear a nova encriptação.

Para obter mais informações sobre como gerir o BitLocker com o Intune, veja os seguintes artigos:

• Utilizar a encriptação de dispositivos com o Intune
• Resolver problemas de políticas do BitLocker no Microsoft Intune

Próximas etapas

Acerca do serviço de recuperação BitLocker

Configurar portais e relatórios do BitLocker