BitLocker

Aplica-se a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 e mais recente

Este artigo fornece uma visão geral de alto nível do BitLocker, incluindo uma lista de requisitos do sistema, aplicativos práticos e recursos preteridos.

Visão geral do BitLocker

A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra ao sistema operacional e enfrenta as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou incorretamente descomissionados.

O BitLocker fornece a proteção máxima quando usado com um TPM (Trusted Platform Module) versão 1.2 ou versões posteriores. TPM é um componente de hardware instalado em muitos computadores mais novos pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e garantir que um computador não tenha sido adulterado enquanto o sistema estava offline.

Em computadores que não têm uma versão 1.2 ou posterior do TPM, o BitLocker ainda pode ser usado para criptografar a unidade do sistema operacional Windows. No entanto, essa implementação exige que o usuário insira uma chave de inicialização USB para iniciar o computador ou retomar a hibernação. Começando com Windows 8, uma senha de volume do sistema operacional pode ser usada para proteger o volume do sistema operacional em um computador sem TPM. Ambas as opções não fornecem a verificação de integridade do sistema de pré-inicialização oferecida pelo BitLocker com um TPM.

Além do TPM, o BitLocker oferece a opção de bloquear o processo normal de inicialização até que o usuário forneça um PIN (número de identificação pessoal) ou insira um dispositivo removível (como uma unidade flash USB) que contém uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantia de que o computador não iniciará ou retomará da hibernação até que a chave PIN ou inicialização correta seja apresentada.

Aplicações práticas

Dados em um computador perdido ou roubado são vulneráveis a acesso não autorizado, executando-se uma ferramenta de ataque a software ou transferindo-se o disco rígido do computador para um computador diferente. O BitLocker ajuda a atenuar o acesso a dados não autorizado aprimorando as proteções de arquivo e sistema. O BitLocker também ajuda a renderizar dados inacessíveis quando computadores protegidos pelo BitLocker são desativados ou reciclados.

Há duas ferramentas adicionais nas Ferramentas de Administração do Servidor Remoto que podem ser usadas para gerenciar o BitLocker.

  • Visualizador de Senha de Recuperação do BitLocker. O Visualizador de Senha de Recuperação do BitLocker permite que as senhas de recuperação de criptografia de unidade do BitLocker que foram apoiadas até Active Directory Domain Services (AD DS) sejam localizadas e exibidas. Essa ferramenta pode ser usada para ajudar a recuperar dados armazenados em uma unidade que foi criptografada usando o BitLocker. A ferramenta Visualizador de Senha de Recuperação do BitLocker é uma extensão do snap-in Console de Gerenciamento Microsoft (MMC) Usuários e Computadores do Active Directory.

    Usando essa ferramenta, a caixa de diálogo Propriedades de um objeto de computador pode ser examinada para exibir as senhas de recuperação do BitLocker correspondentes. Além disso, um contêiner de domínio pode ser pesquisado por uma senha de recuperação do BitLocker em todos os domínios da floresta do Active Directory clicando com o botão direito do mouse no contêiner de domínio. Exibir senhas de recuperação só pode ser exibido pelo administrador de domínio ou por ter permissões delegadas por um administrador de domínio.

  • Ferramentas de Criptografia de Unidade de Disco BitLocker. As Ferramentas de Criptografia de Unidade de Disco BitLocker incluem as ferramentas de linha de comando manage-bde e repair-bde, além dos cmdlets do BitLocker do Windows PowerShell. Os cmdlets manage-bde e BitLocker podem ser usados para executar qualquer tarefa que possa ser realizada por meio do painel de controle BitLocker e são apropriados para serem usados para implantações automatizadas e outros cenários de script. O repair-bde é fornecido para cenários de recuperação de desastre em que uma unidade protegida pelo BitLocker não pode ser desbloqueada normalmente ou usando o console de recuperação.

Funcionalidade nova e alterada

Para descobrir as novidades no BitLocker para Windows, como suporte para o algoritmo de criptografia XTS-AES, confira Novidades em Windows 10, versões 1507 e 1511 para profissionais de TI: BitLocker.

Requisitos de sistema

O BitLocker possui os seguintes requisitos de sistema:

Para que o BitLocker use a verificação de integridade do sistema fornecida por um TPM, o computador deve ter versões TPM 1.2 ou posteriores. Se um computador não tiver um TPM, salvar uma chave de inicialização em uma unidade removível, como uma unidade flash USB, se tornará obrigatório ao habilitar o BitLocker.

Um computador com um TPM também deve ter um BIOS ou um firmware da UEFI compatível com Trusted Computing Group (TCG). O BIOS ou o firmware da UEFI estabelece uma cadeia de confiança para a inicialização do sistema pré-operacional, e ele deva incluir suporte para a raiz de confiança básica para avaliação especificada pelo TCG. Um computador sem um TPM não requer firmware compatível com TCG.

O BIOS ou o firmware da UEFI do sistema (para computadores TPM e não TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB, inclusive leitura de pequenos arquivos em uma unidade flash USB no ambiente do sistema pré-operacional.

Importante

No Windows 7, uma unidade do sistema operacional pode ser criptografada sem uma unidade flash TPM e USB. Para este procedimento, consulte Dica do Dia: Bitlocker sem TPM ou USB.

Observação

O TPM 2.0 não tem suporte nos modos CSM (Legacy and Compatibility Support Module) do BIOS. Os dispositivos com TPM 2.0 devem ter o modo BIOS configurado apenas como UEFI nativo. As opções Herdada e CSM devem ser desabilitadas. Para obter mais segurança, habilite o recurso de inicialização segura.

O sistema operacional instalado no hardware no modo Herdado impede o sistema operacional de inicializar quando o modo BIOS é alterado para UEFI. Use a ferramenta MBR2GPT antes de alterar o modo BIOS, que prepara o sistema operacional e o disco para dar suporte à UEFI.

O disco rígido deve ser particionado com pelo menos duas unidades:

  • A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e os arquivos de suporte. Ela deve ser formatada com o sistema de arquivos NTFS.
  • A unidade do sistema contém os arquivos que são necessários para carregar o Windows após a preparação do hardware do sistema pelo firmware. O BitLocker não está habilitado nesta unidade. Para o BitLocker funcionar, a unidade do sistema não deve estar criptografada, deve ser diferente da unidade do sistema operacional e ser formatada com o sistema de arquivos FAT32 em computadores que usem o firmware baseado em UEFI ou com o sistema de arquivos NTFS em computadores que usem o firmware do BIOS. É recomendável que a unidade do sistema tenha aproximadamente 350 MB de tamanho. Depois que o BitLocker estiver ativado, ele deverá ter aproximadamente 250 MB de espaço livre.

Quando instalado em um novo computador, o Windows cria automaticamente as partições necessárias para o BitLocker.

Uma partição sujeita à criptografia não pode ser marcada como uma partição ativa. Esse requisito se aplica às unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis.

Ao instalar o componente opcional BitLocker em um servidor, o recurso de Armazenamento Aprimorado também precisa ser instalado. O recurso de Armazenamento Aprimorado é usado para dar suporte a unidades criptografadas por hardware.

Nesta seção

Artigo Descrição
Visão geral da criptografia de dispositivo BitLocker no Windows 10 Este artigo fornece uma visão geral das maneiras pelas quais o BitLocker Device Encryption pode ajudar a proteger dados em dispositivos em execução Windows 10.
Perguntas frequentes (FAQ) sobre o BitLocker Este artigo responde a perguntas frequentes sobre os requisitos a serem usados, atualizar, implantar e administrar e políticas de gerenciamento de chaves para o BitLocker.
Preparar a organização para o BitLocker: Planejamento e políticas Este artigo explica o procedimento que você pode usar para planejar a implantação do BitLocker.
Implantação básica do BitLocker Este artigo explica como os recursos do BitLocker podem ser usados para proteger seus dados por meio da criptografia de unidade.
BitLocker: Como implantar no Windows Server Este artigo explica como implantar o BitLocker no Windows Server.
BitLocker: Como habilitar o desbloqueio pela rede Este artigo descreve como funciona o Desbloqueio de Rede do BitLocker e como configurá-lo.
BitLocker: Usar as Ferramentas de Criptografia de Unidade de Disco BitLocker para gerenciar o BitLocker Este artigo descreve como usar ferramentas para gerenciar o BitLocker.
BitLocker: Usar o Visualizador de Senha de Recuperação do BitLocker Este artigo descreve como usar o Visualizador de Senhas de Recuperação do BitLocker.
Configurações da Política de Grupo do BitLocker Este artigo descreve a função, o local e o efeito de cada configuração de política de grupo usada para gerenciar o BitLocker.
Configurações do BCD e o BitLocker Este artigo descreve as configurações BCD usadas pelo BitLocker.
Guia de Recuperação do BitLocker Este artigo descreve como recuperar chaves BitLocker do AD DS.
Proteger o BitLocker contra ataques de pré-inicialização Este guia detalhado ajuda você a entender as circunstâncias em que o uso da autenticação de pré-inicialização é recomendado para dispositivos que executam Windows 10, Windows 8.1, Windows 8 ou Windows 7; e quando ele pode ser omitido com segurança da configuração de um dispositivo.
Solucionar problemas do BitLocker Este guia descreve os recursos que podem ajudá-lo a solucionar problemas do BitLocker e fornece soluções para vários problemas comuns do BitLocker.
Protegendo volumes compartilhados do cluster e redes de área de armazenamento com o BitLocker Este artigo descreve como proteger CSVs e SANs com o BitLocker.
Habilitando a inicialização segura e a Criptografia de Dispositivo do BitLocker no Windows 10 IoT Core Este artigo descreve como usar o BitLocker com o Windows IoT Core