BitLocker e Distributed Key Manager (DKM) para Criptografia

Os servidores da Microsoft usam o BitLocker para criptografar as unidades de disco que contêm dados do cliente em repouso no nível do volume. A criptografia BitLocker é um recurso de proteção de dados integrado ao Windows. O BitLocker é uma das tecnologias usadas para proteger contra ameaças caso haja lapsos em outros processos ou controles (por exemplo, controle de acesso ou reciclagem de hardware) que podem levar alguém a obter acesso físico a discos que contêm dados do cliente. Nesse caso, o BitLocker elimina o potencial de roubo ou exposição de dados devido a discos e computadores perdidos, roubados ou desativados inadequadamente.

O BitLocker é implantado com criptografia AES (Advanced Encryption Standard) de 256 bits em discos que contêm dados do cliente em Exchange Online, SharePoint Online e Skype for Business. Os setores de disco são criptografados com uma FVEK (Full Volume Encryption Key), que é criptografada com a VMK (Chave Mestra de Volume), que por sua vez está vinculada ao TPM (Trusted Platform Module) no servidor. O VMK protege diretamente o FVEK e, portanto, proteger o VMK torna-se crítico. A figura a seguir ilustra um exemplo da cadeia de proteção de chave BitLocker para um determinado servidor (nesse caso, usando um servidor Exchange Online).

A tabela a seguir descreve a cadeia de proteção de chave BitLocker para um determinado servidor (nesse caso, um servidor Exchange Online).

PROTETOR DE CHAVES	GRANULARIDADE	COMO GERADO?	ONDE É ARMAZENADO?	PROTEÇÃO
Chave Externa do AES de 256 bits	Por servidor	BitLocker APIs	TPM ou Cofre Secreto	Lockbox/Controle de Acesso
			Registro do Servidor da Caixa de Correio	TPM criptografado
Senha numérica de 48 dígitos	Por Disco	BitLocker APIs	Active Directory	Lockbox/Controle de Acesso
Certificado X.509 como DRA (Agente de Recuperação de Dados) também chamado protetor de chave pública	Ambiente (por exemplo, Exchange Online multilocatário)	Microsoft CA	Criar Sistema	Nenhum usuário tem a senha completa para a chave privada. A senha está sob proteção física.

O gerenciamento de chaves do BitLocker envolve o gerenciamento de chaves de recuperação usadas para desbloquear/recuperar discos criptografados em um data center da Microsoft. Microsoft 365 armazena as chaves mestras em um compartilhamento seguro, acessível somente por indivíduos que foram selecionados e aprovados. As credenciais para as chaves são armazenadas em um repositório protegido para dados de controle de acesso (o que chamamos de "repositório secreto"), o que requer um alto nível de elevação e aprovações de gerenciamento para acessar usando uma ferramenta de elevação de acesso just-in-time.

O BitLocker dá suporte a chaves que se enquadram em duas categorias de gerenciamento:

• Chaves gerenciadas pelo BitLocker, que são de curta duração e vinculadas ao tempo de vida de uma instância do sistema operacional instalada em um servidor ou em um determinado disco. Essas chaves são excluídas e redefinidas durante a reinstalação do servidor ou a formatação do disco.

• Chaves de recuperação do BitLocker, que são gerenciadas fora do BitLocker, mas usadas para descriptografia de disco. O BitLocker usa chaves de recuperação para o cenário em que um sistema operacional é reinstalado e discos de dados criptografados já existem. As chaves de recuperação também são usadas por investigações de monitoramento de Disponibilidade Gerenciada no Exchange Online, em que um respondente pode precisar desbloquear um disco.

Os volumes protegidos pelo BitLocker são criptografados com uma chave de criptografia de volume completa, que por sua vez é criptografada com uma chave de master de volume. O BitLocker usa algoritmos compatíveis com FIPS para garantir que as chaves de criptografia nunca sejam armazenadas ou enviadas pelo fio na limpeza. A implementação do Microsoft 365 da proteção de dados do cliente em repouso não se desvia da implementação padrão do BitLocker.