Visão geral da recuperação do BitLocker

A recuperação do BitLocker é o processo pelo qual o acesso a uma unidade protegida pelo BitLocker pode ser restaurado se a unidade não desbloquear usando seu mecanismo de desbloqueio padrão.

Este artigo descreve cenários que disparam a recuperação do BitLocker, como configurar dispositivos para salvar informações de recuperação e as opções para restaurar o acesso a uma unidade bloqueada.

Cenários de recuperação do BitLocker

A lista a seguir fornece exemplos de eventos comuns que fazem com que um dispositivo insira o modo de recuperação do BitLocker ao iniciar o Windows:

  • Inserindo o PIN errado muitas vezes
  • Desativar o suporte para ler o dispositivo USB no ambiente de pré-inicialização do firmware BIOS ou UEFI se estiver usando chaves baseadas em USB em vez de um TPM
  • Ter a unidade de CD ou DVD antes do disco rígido na ordem de inicialização do BIOS (comum com máquinas virtuais)
  • Encaixe ou desencaixar um computador portátil
  • Alterações na tabela de partição do NTFS no disco
  • Alterações no gerenciador de inicialização
  • Desativar, desabilitar, desativar ou limpar o TPM
  • Falha de auto-teste do TPM
  • Atualizar a placa-mãe para uma nova com um novo TPM
  • Atualizar componentes críticos de inicialização inicial, como uma atualização de firmware BIOS ou UEFI
  • Ocultar o TPM do sistema operacional
  • Modificando os PCRs (Registros de Configuração de Plataforma) usados pelo perfil de validação do TPM
  • Mover uma unidade protegida pelo BitLocker para um novo computador
  • Em dispositivos com TPM 1.2, alterando a ordem do dispositivo de inicialização BIOS ou firmware

Como parte do processo de recuperação do BitLocker, é recomendável determinar o que causou a entrada de um dispositivo no modo de recuperação. A análise de causa raiz pode ajudar a evitar que o problema ocorra novamente no futuro. Por exemplo, se você determinar que um invasor modificou um dispositivo obtendo acesso físico, poderá implementar novas políticas de segurança para rastrear quem tem presença física.

Para cenários planejados, como um hardware conhecido ou atualizações de firmware, iniciar a recuperação pode ser evitado suspendendo temporariamente a proteção do BitLocker. A suspensão do BitLocker deixa a unidade totalmente criptografada e o administrador pode retomar rapidamente a proteção do BitLocker após a conclusão da tarefa planejada. O uso de suspensão e retomada também resseca a chave de criptografia sem exigir a entrada da chave de recuperação.

Observação

Se suspenso, o BitLocker retomará automaticamente a proteção quando o dispositivo for reiniciado, a menos que uma contagem de reinicialização seja especificada usando o PowerShell ou a ferramenta de manage-bde.exe linha de comando. Para obter mais informações sobre como suspender o BitLocker, examine o guia de operações do BitLocker.

Dica

A recuperação é descrita dentro do contexto de comportamento não planejado ou indesejado. No entanto, a recuperação também pode ser causada como um cenário de produção pretendido, por exemplo, para gerenciar o controle de acesso. Quando os dispositivos são reimplantados para outros departamentos ou funcionários da organização, o BitLocker pode ser forçado à recuperação antes que o dispositivo seja entregue a um novo usuário.

Opções de recuperação do BitLocker

Em um cenário de recuperação, as seguintes opções para restaurar o acesso à unidade podem estar disponíveis, dependendo das configurações de política aplicadas aos dispositivos:

  • Senha de recuperação: um número de 48 dígitos usado para desbloquear um volume quando ele está no modo de recuperação. A senha de recuperação pode ser salva como um arquivo de texto, impresso ou armazenado em Microsoft Entra ID ou Active Directory. O usuário pode fornecer uma senha de recuperação, se estiver disponível

Captura de tela da tela de recuperação padrão do BitLocker solicitando insira a senha de recuperação.

  • Chave de recuperação: uma chave de criptografia armazenada em mídia removível que pode ser usada para recuperar dados criptografados em um volume do BitLocker. O nome do arquivo tem um formato de <protector_id>.bek. Para a unidade do sistema operacional, a chave de recuperação pode ser usada para obter acesso ao dispositivo se o BitLocker detectar uma condição que o impede de desbloquear a unidade quando o dispositivo está sendo iniciado. Uma chave de recuperação também pode ser usada para obter acesso a unidades de dados fixas e unidades removíveis criptografadas com BitLocker, se por algum motivo a senha for esquecida ou o dispositivo não puder acessar a unidade

Captura de tela da tela de recuperação do BitLocker pedindo para conectar uma unidade USB com a chave de recuperação.

  • Pacote de chaves: chave de descriptografia que pode ser usada com a ferramenta Reparo do BitLocker para reconstruir partes críticas de uma unidade e salvar dados recuperáveis. Com o pacote de chaves e a senha de recuperação ou a chave de recuperação, partes de uma unidade protegida pelo BitLocker corrompida podem ser descriptografadas. Cada pacote de chave funciona apenas para uma unidade que tem o identificador de unidade correspondente. Um pacote de chaves não é gerado automaticamente e pode ser salvo em um arquivo ou em Active Directory Domain Services. Um pacote de chaves não pode ser armazenado em Microsoft Entra ID
  • Certificado do Agente de Recuperação de Dados: um DRA (Agente de Recuperação de Dados) é um tipo de certificado associado a uma entidade de segurança do Active Directory e que pode ser usado para acessar todas as unidades criptografadas do BitLocker configuradas com a chave pública correspondente. Os DRAs podem usar suas credenciais para desbloquear a unidade. Se a unidade for uma unidade do sistema operacional, a unidade deve ser montada como uma unidade de dados em outro dispositivo para o DRA desbloqueá-la

Dica

A senha de Recuperação e a chave Recovery podem ser fornecidas pelos usuários no applet Painel de Controle (para dados e unidades removíveis) ou na tela de recuperação de pré-inicialização. É recomendável configurar configurações de política para personalizar a tela de recuperação de pré-inicialização, por exemplo, adicionando uma mensagem personalizada, URL e informações de contato do help desk. Para obter mais informações, examine o artigo Tela de recuperação de pré-inicialização do BitLocker.

Ao planejar o processo de recuperação do BitLocker, primeiro consulte as práticas recomendadas atuais da organização para recuperar informações confidenciais. Por exemplo:

☑️ Pergunta
🔲 Como a organização lida com senhas perdidas ou esquecidas?
🔲 Como a organização executa redefinições de PIN cartão inteligentes?
🔲 Os usuários podem salvar ou recuperar informações de recuperação para os dispositivos que possuem?
🔲 Quanto você deseja que os usuários estejam envolvidos no processo de configuração do BitLocker? Deseja que os usuários interajam com o processo, fiquem em silêncio ou ambos?
🔲 Onde você deseja armazenar as chaves de recuperação do BitLocker?
🔲 Deseja habilitar a rotação de senha de recuperação?

Responder às perguntas ajuda a determinar o melhor processo de recuperação do BitLocker para a organização e a configurar as configurações de política do BitLocker de acordo. Por exemplo, se a organização tiver um processo para redefinir senhas, um processo semelhante poderá ser usado para recuperação do BitLocker. Se os usuários não tiverem permissão para salvar ou recuperar informações de recuperação, a organização poderá usar um DRAs (agentes de recuperação de dados) ou fazer backup automático das informações de recuperação.

As seguintes configurações de política definem os métodos de recuperação que podem ser usados para restaurar o acesso a uma unidade protegida pelo BitLocker:

Dica

Em cada uma dessas políticas, selecione Salvar informações de recuperação do BitLocker para Active Directory Domain Services e escolha quais informações de recuperação do BitLocker armazenar no AD DS. Use a opção Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para impedir que os usuários habilitem o BitLocker, a menos que o backup das informações de recuperação do BitLocker para a unidade para Microsoft Entra ID ou AD DS seja bem-sucedido.

Senha de recuperação do BitLocker

Para recuperar o BitLocker, um usuário pode usar uma senha de recuperação, se estiver disponível. A senha de recuperação do BitLocker é exclusiva do dispositivo em que foi criada e pode ser salva de maneiras diferentes. Dependendo das configurações de política configuradas, a senha de recuperação pode ser:

  • Salvo em Microsoft Entra ID, para Microsoft Entra ingressado
  • Salvo no AD DS, para dispositivos que são ingressados no Active Directory
  • Salvo no arquivo de texto
  • Impresso

Ter acesso à senha de recuperação permite que o titular desbloqueie um volume protegido pelo BitLocker e acesse todos os seus dados. Portanto, é importante que sua organização estabeleça procedimentos para controlar o acesso às senhas de recuperação e garantir que elas sejam armazenadas com segurança, separadas dos dispositivos que protegem.

Observação

Há uma opção para armazenar a chave de recuperação do BitLocker na conta Microsoft de um usuário. A opção está disponível para dispositivos que não são membros de um domínio e que o usuário está usando uma conta microsoft. Armazenar a senha de recuperação em uma conta microsoft é o método padrão de armazenamento de chave de recuperação recomendado para dispositivos que não estão Microsoft Entra ingressados ou ingressados no Active Directory.

O backup da senha de recuperação deve ser configurado antes do BitLocker estar habilitado, mas também pode ser feito após a criptografia, conforme descrito no guia de operações do BitLocker.
A metodologia de backup preferencial em uma organização é armazenar automaticamente as informações de recuperação do BitLocker em um local central. Dependendo dos requisitos da organização, as informações de recuperação podem ser armazenadas em Microsoft Entra ID, AD DS ou compartilhamentos de arquivos.

A recomendação é usar os seguintes métodos de backup do BitLocker:

  • Para dispositivos ingressados Microsoft Entra, armazene a chave de recuperação em Microsoft Entra ID
  • Para dispositivos ingressados no Active Directory, armazene a chave de recuperação no AD DS

Observação

Não há nenhuma maneira automática de armazenar a chave de recuperação para dispositivos de armazenamento removíveis no Microsoft Entra ID ou no AD DS. No entanto, você pode usar o PowerShell ou o manage.bde.exe comando para fazer isso. Para obter mais informações e exemplos, examine o guia de operações do BitLocker.

Agentes de Recuperação de Dados

Os DRAs podem ser usados para recuperar unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis. No entanto, quando usada para recuperar unidades do sistema operacional, a unidade do sistema operacional deve ser montada em outro dispositivo como uma unidade de dados para que o DRA possa desbloquear a unidade. Os agentes de recuperação de dados são adicionados à unidade quando ela é criptografada e podem ser atualizadas após a criptografia ocorrer.

O benefício de usar um DRA sobre a senha ou a recuperação de chave é que o DRA atua como uma chave master para BitLocker. Com um DRA, você pode recuperar qualquer volume protegido pela política, sem precisar encontrar uma senha ou chave específica para cada volume individual.

Para configurar DRAs para dispositivos ingressados em um domínio do Active Directory, as seguintes etapas são necessárias:

  1. Obtenha um certificado DRA. O uso da chave a seguir e os atributos de uso de chave aprimorados são inspecionados pelo BitLocker antes de usar o certificado.
    1. Se um atributo de uso de chave estiver presente, ele deverá ser:
      • CERT_DATA_ENCIPHERMENT_KEY_USAGE
      • CERT_KEY_AGREEMENT_KEY_USAGE
      • CERT_KEY_ENCIPHERMENT_KEY_USAGE
    2. Se um atributo EKU (uso aprimorado de chave) estiver presente, ele deverá ser:
      • Conforme especificado na configuração da política ou o padrão 1.3.6.1.4.1.311.67.1.1
      • Qualquer identificador de objeto EKU com suporte por sua autoridade de certificação (AC)
  2. Adicione o DRA por meio da política de grupo usando o caminho:Políticas>de configuração> do computadorConfigurações> do WindowsConfigurações de segurança Políticas>>de chave públicaBitLocker Drive Encryption
  3. Configure a configuração Fornecer os identificadores exclusivos para a configuração da política de organização para associar um identificador exclusivo a uma nova unidade habilitada com o BitLocker. Um campo de identificação é uma cadeia de caracteres usada para identificar exclusivamente uma unidade de negócios ou uma organização. Os campos de identificação são necessários para o gerenciamento de agentes de recuperação de dados em unidades protegidas pelo BitLocker. O BitLocker só gerencia e atualiza DRAs quando um campo de identificação está presente em uma unidade e é idêntico ao valor configurado no dispositivo
  4. Configure as seguintes configurações de política para permitir a recuperação usando um DRA para cada tipo de unidade:

Informações de recuperação do BitLocker armazenadas em Microsoft Entra ID

As informações de recuperação do BitLocker para dispositivos ingressados Microsoft Entra podem ser armazenadas em Microsoft Entra ID. A vantagem de armazenar as senhas de recuperação do BitLocker no Microsoft Entra ID é que os usuários podem recuperar facilmente as senhas dos dispositivos atribuídos a eles na Web, sem envolver o help desk.

O acesso a senhas de recuperação também pode ser delegado ao help desk, para facilitar cenários de suporte.

As informações de senha de recuperação do BitLocker armazenadas em Microsoft Entra ID é um tipo de bitlockerRecoveryKey recurso. O recurso pode ser recuperado do centro de administração do Microsoft Entra, do centro de administração Microsoft Intune (para dispositivos registrados em Microsoft Intune), usando o PowerShell ou usando o Microsoft Graph. Para obter mais informações, confira tipo de recurso bitlockerRecoveryKey.

Informações de recuperação do BitLocker armazenadas no AD DS

As informações de recuperação do BitLocker para um dispositivo ingressado em um domínio do Active Directory podem ser armazenadas no AD DS. As informações são armazenadas em um objeto filho do próprio objeto do computador. Cada objeto de recuperação do BitLocker inclui a senha de recuperação e outras informações de recuperação. Mais de um objeto de recuperação do BitLocker pode existir em cada objeto de computador, pois pode haver mais de uma senha de recuperação associada a um volume habilitado para BitLocker.

O nome do objeto de recuperação do BitLocker incorpora um GUID (identificador globalmente exclusivo) e informações de data e hora, para um comprimento fixo de 63 caracteres. A sintaxe é <Object Creation Date and Time><Recovery GUID>.

Observação

O Active Directory mantém o histórico de todas as senhas de recuperação de um objeto de computador. As chaves de recuperação antigas não são removidas automaticamente do AD DS, a menos que o objeto do computador seja excluído.

O nome comum (cn) para o objeto de recuperação do BitLocker é ms-FVE-RecoveryInformation. Cada ms-FVE-RecoveryInformation objeto tem os seguintes atributos:

Nome do atributo Descrição
ms-FVE-RecoveryPassword A senha de recuperação de 48 dígitos usada para recuperar um volume de disco criptografado por BitLocker.
ms-FVE-RecoveryGuid GUID associado a uma senha de recuperação do BitLocker. No modo de recuperação do BitLocker, o GUID é exibido para o usuário, de modo que a senha de recuperação correta possa ser localizada para desbloquear o volume. O GUID também está incluído no nome do objeto de recuperação.
ms-FVE-VolumeGuid GUID associado a um volume de disco com suporte a BitLocker. Embora a senha (armazenada em ms-FVE-RecoveryGuid) seja exclusiva para cada senha de recuperação, o identificador de volume é exclusivo para cada volume criptografado pelo BitLocker.
ms-FVE-KeyPackage A chave de criptografia BitLocker do volume protegida pela senha de recuperação correspondente. Com esse pacote de chaves e a senha de recuperação (armazenada em ms-FVE-RecoveryPassword), partes de um volume protegido pelo BitLocker podem ser descriptografadas se o disco estiver corrompido. Cada pacote de chave funciona apenas para um volume que tem o identificador de volume correspondente (armazenado em ms-FVE-VolumeGuid). A Ferramenta de Reparo do BitLocker pode ser usada para usar o pacote de chaves.

Para saber mais sobre os atributos BitLocker armazenados no AD DS, examine os seguintes artigos:

O pacote de chaves do BitLocker não é salvo por padrão. Para salvar o pacote junto com a senha de recuperação no AD DS, a senha de recuperação de backup e a configuração da política de pacote de chaves devem ser selecionadas na política que controla o método de recuperação. O pacote de chaves também pode ser exportado de um volume de trabalho.

Se as informações de recuperação não forem apoiadas no AD DS ou se você quiser salvar um pacote de chaves em um local alternativo, use o seguinte comando para gerar um pacote de chaves para um volume:

manage-bde.exe -KeyPackage C: -id <id> -path <path>

Um arquivo com um formato de nome de BitLocker Key Package {<id>}.KPG arquivo de é criado no caminho especificado.

Observação

Para exportar um novo pacote de chaves de um volume desbloqueado protegido pelo BitLocker, o acesso do administrador local ao volume de trabalho é necessário antes que ocorra qualquer dano ao volume.

Próximas etapas

Saiba como obter informações de recuperação do BitLocker para Microsoft Entra dispositivos ingressados, Microsoft Entra híbridos e ingressados no Active Directory e como restaurar o acesso a uma unidade bloqueada:

Processo de recuperação do BitLocker >