Explorar o BitLocker
O BitLocker fornece proteção para um sistema operacional e os dados que um volume do sistema operacional armazena além de outros volumes no computador. Isso ajuda a garantir que os dados armazenados em um computador permaneçam criptografados, mesmo se alguém adulterar o computador quando o sistema operacional não estiver em execução. O BitLocker fornece uma solução fortemente integrada no Windows para lidar com as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou desativados inadequadamente.
Os dados em um computador perdido ou roubado podem ficar vulneráveis ao acesso não autorizado quando um usuário mal-intencionado executa uma ferramenta de ataque de software contra ele ou transfere o disco rígido do computador para um computador diferente. O BitLocker ajuda a reduzir o acesso não autorizado aos dados por meio do aperfeiçoamento das proteções de arquivo e sistema. Além disso, o BitLocker ajuda a renderizar dados inacessíveis quando você desativa ou recicla computadores protegidos pelo BitLocker.
O BitLocker executa duas funções que fornecem proteção de dados offline e verificação de integridade do sistema:
- Ele criptografa todos os dados armazenados no volume do sistema operacional Windows e os volumes de dados configurados. Isso inclui o sistema operacional Windows, arquivos de hibernação e paginação, aplicativos e dados do aplicativo. O BitLocker também fornece proteção de guarda-chuva para aplicativos que não são da Microsoft, o que beneficia os aplicativos automaticamente quando você os instala em um volume criptografado.
- Ele é configurado, por padrão, para usar um chip TPM (Trusted Platform Module) na placa-mãe de um computador para ajudar a garantir a integridade dos componentes de inicialização que um sistema operacional usa nos primeiros estágios do processo de inicialização. O BitLocker bloqueia todos os volumes protegidos por ele, portanto, eles permanecem protegidos mesmo se alguém adulterar o computador quando o sistema operacional não estiver em execução.
Verificação de integridade do sistema
O BitLocker usa um TPM para verificar a integridade do processo de inicialização:
- Fornecendo um método para verificar se a integridade inicial do arquivo de inicialização foi mantida e para ajudar a garantir que não houve modificação adversa desses arquivos, como com vírus do setor de inicialização ou rootkits.
- aumentando a proteção para minimizar ataques offline baseados em software. Qualquer software alternativo que possa iniciar o sistema não tem acesso às chaves de descriptografia para um volume do sistema operacional Windows.
- bloqueando o sistema quando ele detecta adulteração. Se o BitLocker determinar que ocorreu violação com arquivos monitorados, o sistema não será iniciado. Isso alerta um usuário quanto à violação, pois o sistema falha ao iniciar como de costume. Se ocorrer o bloqueio do sistema, o BitLocker oferecerá um processo de recuperação simples.
Em conjunto com um TPM, o BitLocker verifica a integridade dos primeiros componentes de inicialização, o que ajuda a evitar ataques offline adicionais, como tentativas de inserir código mal-intencionado nesses componentes. Essa funcionalidade é importante porque os componentes na parte mais antiga do processo de inicialização devem permanecer sem criptografia para que o computador possa iniciar.
Como resultado, um invasor pode alterar o código desses primeiros componentes de inicialização e, em seguida, obter acesso a um computador mesmo que os dados de disco estejam criptografados. Portanto, se o invasor obtiver acesso a informações confidenciais, como as chaves ou senhas de usuário do BitLocker, o invasor poderá contornar o BitLocker e outras proteções de segurança do Windows.
Comparar BitLocker e EFS
Conforme observado anteriormente, o BitLocker e o EFS fornecem funcionalidade de criptografia. No entanto, essas tecnologias não são iguais e não têm a mesma finalidade. Embora o EFS esteja focado em fornecer proteção em nível de arquivo e pasta, o BitLocker faz isso em nível de volume ou disco. Após você proteger o arquivo com o EFS, esse arquivo permanece protegido até que você (ou outra pessoa com permissão adequada) o desbloqueie. Essa proteção não depende da localização do arquivo. Por outro lado, os arquivos na unidade protegida com BitLocker são protegidos desde que estejam nessa unidade específica. A tabela a seguir compara a funcionalidade de criptografia do EFS e do BitLocker.
| Funcionalidade do BitLocker | Funcionalidade do EFS |
|---|---|
| Criptografa volumes (todo o volume do sistema operacional, incluindo arquivos do sistema Windows e o arquivo de hibernação). | Criptografa arquivos. |
| Não requer certificados de usuário. | Requer certificados de usuário. |
| Protege o sistema operacional contra modificações. | Não protege o sistema operacional contra modificações. |
Criptografia de dispositivo
A criptografia do dispositivo é um recurso interno do Windows. Por padrão, a criptografia de dispositivo protege a unidade do sistema operacional e todas as unidades de dados fixas no sistema usando a criptografia AES (Advanced Encryption Standard) de 128 bits, que usa a mesma tecnologia que o BitLocker. Você pode usar a criptografia de dispositivo com uma conta Microsoft ou uma conta de domínio.
A criptografia do dispositivo é habilitada automaticamente em todos os Windows 10 e versões posteriores em novos dispositivos, de modo que o dispositivo esteja sempre protegido. Os dispositivos com suporte que você atualiza para Windows 10 ou com uma instalação limpa também têm a criptografia do dispositivo habilitada automaticamente.
BitLocker To Go
Quando um laptop é perdido ou roubado, a perda de dados normalmente tem mais impacto do que a perda do ativo do computador. À medida que mais pessoas usam dispositivos de armazenamento removíveis, elas podem perder dados sem perder um computador. O BitLocker To Go fornece proteção contra roubo e exposição de dados ao estender o suporte do BitLocker a dispositivos de armazenamento removíveis, como unidades flash USB. Você pode gerenciar o BitLocker To Go usando Política de Grupo do Windows PowerShell e usando o aplicativo Painel de Controle de Criptografia de Unidade do BitLocker.
No Windows, os usuários podem criptografar a mídia removível abrindo Explorador de Arquivos, clicando com o botão direito do mouse na unidade e selecionando Ativar o BitLocker. Em seguida, os usuários podem escolher um método com o qual desbloquear a unidade, incluindo o uso de uma senha ou uma cartão inteligente.
Depois de escolher um método de desbloqueio, os usuários devem imprimir ou salvar a chave de recuperação. Você poderá configurar o Windows para armazenar essa chave de 48 dígitos no AD DS (Active Directory Domain Services) automaticamente para poder usá-la se outros métodos de desbloqueio falharem, como quando os usuários esquecem a senha. Por fim, os usuários devem confirmar suas seleções de desbloqueio para iniciar a criptografia. Quando você insere uma unidade protegida pelo BitLocker em seu computador, o sistema operacional Windows detecta a unidade criptografada e solicita que você a desbloqueie.
Administração e monitoramento do Microsoft BitLocker (MBAM)
Assim como acontece com qualquer tecnologia de segurança implementada, o gerenciamento centralizado é recomendado. Você pode gerenciar centralmente o BitLocker usando Política de Grupo, mas com funcionalidade limitada. Parte do Microsoft Desktop Optimization Pack, o MBAM torna mais fácil gerenciar e dar suporte ao BitLocker e ao BitLocker To Go com funcionalidade completa. O MBAM 2.5 com Service Pack 1, a versão mais recente, tem os seguintes recursos principais:
- Os administradores podem automatizar o processo de criptografia dos volumes nos computadores clientes em toda a empresa.
- Os responsáveis pela segurança podem determinar o estado de conformidade dos computadores individualmente ou mesmo da própria empresa.
- Fornece gerenciamento centralizado de relatório e de hardware com o Microsoft Endpoint Configuration Manager.
- Reduz a carga de trabalho do suporte técnico para ajudar os usuários finais com solicitações de recuperação do BitLocker.
- Os usuários finais podem recuperar dispositivos criptografados de forma independente através do uso do Portal de Autoatendimento.
- Os responsáveis pela segurança podem auditar o acesso às informações de chave de recuperação.
- Os usuários do Windows Enterprise podem continuar trabalhando em qualquer lugar com seus dados corporativos protegidos.
- Aplica as opções de política de criptografia BitLocker que você definiu para sua empresa.
- Se integra com ferramentas de gerenciamento existentes, como o Endpoint Configuration Manager.
- Oferece uma experiência de usuário de recuperação personalizada pela equipe de TI.
