Aplica-se a:
- Windows 10 e posterior
- Windows Server 2016 e posterior
Como posso autenticar ou desbloquear minha unidade de dados removível?
Unidades de dados removíveis podem ser desbloqueadas usando uma senha ou um cartão inteligente. Um protetor SID também pode ser configurado para desbloquear uma unidade usando credenciais de domínio do usuário. Depois que a criptografia for iniciada, a unidade também pode ser desbloqueada automaticamente em um computador específico para uma conta de usuário específica. Os administradores do sistema podem configurar quais opções estão disponíveis para usuários, incluindo complexidade de senha e requisitos mínimos de comprimento. Para desbloquear usando um protetor SID, use manage-bde.exe:
Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>
Qual é a diferença entre uma senha de recuperação, chave de recuperação, PIN, PIN avançado e chave de inicialização?
Para tabelas que listam e descrevem elementos como uma senha de recuperação, uma chave de recuperação e um PIN, consulte Protetores de chave do BitLocker e Métodos de autenticação do BitLocker.
Como a senha de recuperação e a chave de recuperação podem ser armazenadas?
A senha de recuperação e a chave de recuperação de uma unidade do sistema operacional ou uma unidade de dados fixa podem ser salvas em uma pasta, salva em um ou mais dispositivos USB, salvas em uma conta Microsoft ou impressas.
Para unidades de dados removíveis, a senha de recuperação e a chave de recuperação podem ser salvas em uma pasta, salvas em uma conta Microsoft ou impressas. Por padrão, uma chave de recuperação para uma unidade removível não pode ser armazenada em uma unidade removível.
Um administrador de domínio também pode configurar Política de Grupo para gerar automaticamente senhas de recuperação e armazená-las em Active Directory Domain Services (AD DS) para qualquer unidade protegida pelo BitLocker.
É possível adicionar um método adicional de autenticação sem descriptografar a unidade caso só tenha o método de autenticação do TPM habilitado?
A Manage-bde.exe ferramenta de linha de comando pode ser usada para substituir o modo de autenticação somente TPM por um modo de autenticação multifator. Por exemplo, se o BitLocker estiver habilitado apenas com autenticação TPM e a autenticação PIN precisar ser adicionada, use os seguintes comandos de um prompt de comando elevado, substituindo PIN numérico de 4 a 20 dígitos pelo PIN numérico desejado:
manage-bde.exe -protectors -delete %systemdrive% -type tpm
manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
Quando um método de autenticação adicional deve ser considerado?
Um novo hardware que atenda aos requisitos do Programa de Compatibilidade de Hardware do Windows torna um PIN menos crítico como uma mitigação, e ter um protetor somente TPM provavelmente será suficiente quando combinado com políticas como bloqueio do dispositivo. Por exemplo, Surface Pro e Surface Book não têm portas DMA externas para atacar. Para hardware mais antigo, onde um PIN pode ser necessário, é recomendável habilitar PINs aprimorados que permitem caracteres não numéricos, como letras e marcas de pontuação, e definir o comprimento PIN com base na tolerância ao risco e nas funcionalidades anti-martelada de hardware disponíveis para os TPMs nos computadores.
Se eu perder minhas informações de recuperação, os dados protegidos pelo BitLocker ficarão irrecuperáveis?
O BitLocker foi projetado para tornar a unidade criptografada irrecuperável sem a autenticação necessária. No modo de recuperação, o usuário precisa da senha de recuperação ou da chave de recuperação para desbloquear a unidade criptografada.
Importante
Armazene as informações de recuperação no AD DS, juntamente com em uma conta Microsoft ou em outro local seguro.
A unidade flash USB usada como a chave de inicialização também pode ser usada para armazenar a chave de recuperação?
Embora usar uma unidade flash USB como a chave de inicialização e para armazenamento da chave de recuperação seja tecnicamente possível, não é uma prática recomendada usar uma unidade flash USB para armazenar ambas as chaves. Se a unidade flash USB que contém a chave de inicialização for perdida ou roubada, a chave de recuperação também será perdida. Além disso, inserir essa chave faria com que o computador inicializasse automaticamente da chave de recuperação, mesmo que os arquivos medidos pelo TPM tenham sido alterados, o que contorna a verificação de integridade do sistema do TPM.
Posso salvar a chave de inicialização em várias unidades flash USB?
Sim, a chave de inicialização do computador pode ser salva em várias unidades flash USB. Clicar com o botão direito do mouse em uma unidade protegida pelo BitLocker e selecionar Gerenciar BitLocker fornecerá as opções para salvar as chaves de recuperação em unidades flash USB adicionais, conforme necessário.
Posso salvar várias chaves de inicialização (diferentes) na mesma unidade flash USB?
Sim, as chaves de inicialização do BitLocker para computadores diferentes podem ser salvas na mesma unidade flash USB.
Posso gerar várias chaves de inicialização (diferentes) para o mesmo computador?
A geração de chaves de inicialização diferentes para o mesmo computador pode ser feita por meio do script. No entanto, para computadores que tenham um TPM, criar chaves de inicialização diferentes evita que o BitLocker use a verificação de integridade do sistema do TPM.
Posso gerar várias combinações de PIN?
A geração de várias combinações de PIN não pode ser feita.
Quais chaves de criptografia são usadas no BitLocker? Como elas funcionam juntas?
Os dados brutos são criptografados com a chave de criptografia de volume completo, que é criptografada com a chave mestra de volume. A chave mestra de volume, por sua vez, é criptografada por um dos vários métodos possíveis, dependendo dos cenários de autenticação (ou seja, protetores de chave ou TPM) e de recuperação.
Onde as chaves de criptografia são armazenadas?
A chave de criptografia de volume completo é criptografada pela chave mestra de volume e armazenada na unidade criptografada. A chave mestra de volume é criptografada pelo protetor de chave apropriado e armazenada na unidade criptografada. Caso o BitLocker tenha sido suspenso, a chave não criptografada usada para criptografar a chave mestra de volume também é armazenada na unidade criptografada, além da chave mestra de volume criptografada.
Esse processo de armazenamento garante que a chave mestra de volume nunca seja armazenada não criptografada e seja protegida, a menos que o BitLocker esteja desabilitado. As chaves também são salvas em dois locais adicionais na unidade para redundância. As chaves podem ser lidas e processadas pelo gerenciador de inicialização.
Por que preciso usar as teclas de função para inserir o PIN ou a senha de recuperação de 48 caracteres?
As teclas de F1 a F10 são códigos de leitura mapeados universalmente disponíveis no ambiente de pré-inicialização em todos os computadores e em todos os idiomas. As teclas numéricas de 0 a 9 não podem ser utilizáveis no ambiente de pré-inicialização em todos os teclados.
Usando um PIN avançado, os usuários devem executar a verificação de sistema opcional durante o processo de instalação do BitLocker para garantir que o PIN possa ser inserido corretamente no ambiente de pré-inicialização.
Como o BitLocker ajuda a impedir que um invasor descubra o PIN que desbloqueia a unidade do sistema operacional?
É possível que um PIN (número de identificação pessoal) possa ser descoberto por um invasor que executa um ataque de força bruta. Um ataque de força bruta ocorre quando um invasor usa uma ferramenta automatizada para tentar diferentes combinações de PIN até a correta ser descoberta. Para computadores protegidos pelo BitLocker, esse tipo de ataque, também conhecido como ataque de dicionário, exige que o invasor tenha acesso físico ao computador.
O TPM tem a capacidade interna de detectar e reagir a esses tipos de ataques. Como os TPMs de diferentes fabricantes podem dar suporte a diferentes mitigações de PIN e ataque, entre em contato com o fabricante do TPM para determinar como o TPM do computador atenua ataques de força bruta pin. Depois que o fabricante do TPM for determinado, entre em contato com o fabricante para coletar as informações específicas do fornecedor do TPM. A maioria dos fabricantes usa a contagem de falhas de autenticação de PIN para aumentar exponencialmente o tempo de bloqueio da interface do PIN. No entanto, cada fabricante tem políticas diferentes em relação a quando e como o contador de falhas é diminuído ou redefinido.
Como posso determinar o fabricante do meu TPM?
O fabricante do TPM pode ser determinado em Windows Defenderdetalhes do processador segurança do dispositivo da Central de Segurança do Dispositivo da Central> deSegurança>.
Como posso avaliar o mecanismo de atenuação do ataque de dicionário do TPM?
As perguntas a seguir podem ajudar ao perguntar a um fabricante do TPM sobre o design de um mecanismo de mitigação de ataque de dicionário:
- Quantas tentativas de autorização com falha podem ocorrer até o bloqueio?
- Qual é o algoritmo para determinar a duração de um bloqueio com base no número de tentativas com falha e quaisquer outros parâmetros relevantes?
- Quais ações podem fazer a contagem de falhas e a duração do bloqueio diminuir ou ser redefinida?
O tamanho e a complexidade do PIN podem ser gerenciados com Política de Grupo?
Sim e não. O comprimento mínimo do PIN (número de identificação pessoal) pode ser configurado usando o comprimento mínimo do PIN para inicialização Política de Grupo configuração e permitir o uso de PINs alfanuméricos, habilitando a configuração Permitir PINs aprimorados para inicialização Política de Grupo. No entanto, a complexidade do PIN não pode ser necessária por meio de Política de Grupo.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.