Guia de operações do BitLocker

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Há diferentes ferramentas e opções para gerenciar e operar o BitLocker:

• o módulo do BitLocker PowerShell
• as ferramentas de criptografia de unidade do BitLocker
• Painel de Controle

As ferramentas de criptografia de unidade do BitLocker e o módulo Do PowerShell do BitLocker podem ser usados para executar todas as tarefas que podem ser realizadas por meio do Painel de Controle do BitLocker. Eles são apropriados para usar para implantações automatizadas e outros cenários de script.
O BitLocker Painel de Controle applet permite que os usuários executem tarefas básicas, como ativar o BitLocker em uma unidade e especificar métodos de desbloqueio e métodos de autenticação. O bitLocker Painel de Controle applet é apropriado para usar para tarefas básicas do BitLocker.

Este artigo descreve as ferramentas de gerenciamento do BitLocker e como usá-las, fornecendo exemplos práticos.

Módulo do BitLocker PowerShell

O módulo do BitLocker PowerShell permite que os administradores integrem as opções do BitLocker aos scripts existentes com facilidade. Para uma lista de cmdlets incluídos no módulo, sua descrição e sintaxe, marcar artigo de referência do BitLocker PowerShell.

Ferramentas de criptografia de unidade do BitLocker

As ferramentas de criptografia de unidade do BitLocker incluem as duas ferramentas de linha de comando:

• A Ferramenta de Configuração (manage-bde.exe) pode ser usada para rotear operações do BitLocker, oferecendo opções que não estão presentes no bitLocker Painel de Controle applet. Para obter uma lista completa das manage-bde.exe opções, consulte a referência Gerenciar-bde
• A Ferramenta de Reparo (repair-bde.exe) é útil para cenários de recuperação de desastre, nos quais uma unidade protegida pelo BitLocker não pode ser desbloqueada normalmente ou usando o console de recuperação

BitLocker Painel de Controle applet

Criptografar volumes com o BitLocker Painel de Controle (selecione Iniciar, inserir BitLocker, selecione Gerenciar BitLocker) é quantos usuários usarão o BitLocker. O nome do applet Painel de Controle do BitLocker é Criptografia de Unidade do BitLocker. O applet dá suporte à criptografia do sistema operacional, dados fixos e volumes de dados removíveis. O BitLocker Painel de Controle organiza unidades disponíveis na categoria apropriada com base em como o dispositivo se reporta ao Windows. Somente volumes formatados com letras de unidade atribuídas aparecem corretamente no bitLocker Painel de Controle applet.

Usar o BitLocker no Windows Explorer

O Windows Explorer permite que os usuários iniciem o Assistente de Criptografia de Unidade do BitLocker clicando com o botão direito do mouse em um volume e selecionando Ativar BitLocker. Essa opção está disponível em computadores cliente por padrão. Em servidores, o recurso BitLocker e o recurso Desktop-Experience devem primeiro ser instalados para que essa opção esteja disponível. Depois de selecionar Ativar o BitLocker, o assistente funciona exatamente como quando é iniciado usando o bitLocker Painel de Controle.

Verifique o status do BitLocker

Para marcar o status do BitLocker de um determinado volume, os administradores podem examinar o status da unidade no applet Painel de Controle BitLocker, windows Explorer, manage-bde.exe ferramenta de linha de comando ou cmdlets Windows PowerShell. Cada opção oferece diferentes níveis de detalhes e facilidade de uso.

Siga as instruções abaixo para verificar a status do BitLocker, selecionando a ferramenta de sua escolha.

Windows PowerShell

Para determinar o estado atual de um volume, você pode usar o Get-BitLockerVolume cmdlet, que fornece informações sobre o tipo de volume, protetores, status de proteção e outros detalhes. Por exemplo:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Prompt de Comando

Com manage-bde.exe você pode determinar o volume status no sistema de destino, por exemplo:

manage-bde.exe -status

Esse comando retorna os volumes no destino, o status de criptografia atual, o método de criptografia e o tipo de volume (sistema operacional ou dados) para cada volume.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Painel de Controle

Verificar o BitLocker status com o Painel de Controle é um método comum usado pela maioria dos usuários. Uma vez aberto, o status para cada volume é exibido ao lado da descrição do volume e da letra da unidade. Os valores de retorno status disponíveis com o applet incluem:

Status	Descrição
Em	O BitLocker está habilitado para o volume
Desativado	O BitLocker não está habilitado para o volume
Suspenso	O BitLocker está suspenso e não protege ativamente o volume
Aguardando ativação	O BitLocker está habilitado com uma chave protetora clara e requer que outras ações sejam totalmente protegidas

Se uma unidade for pré-provisionada com BitLocker, um status de Espera por Ativação será exibido com um ícone de exclamação amarelo no volume. Esse status significa que havia apenas um protetor claro usado ao criptografar o volume. Nesse caso, o volume não está em um estado protegido e precisa ter uma chave segura adicionada ao volume antes que a unidade esteja totalmente protegida. Os administradores podem usar o Painel de Controle, o PowerShell ou manage-bde.exe para adicionar um protetor de chave apropriado. Depois de concluído, o Painel de Controle é atualizado para refletir o novo status.

Habilitar o BitLocker

Unidade do sistema operacional com protetor TPM

O exemplo a seguir mostra como habilitar o BitLocker em uma unidade do sistema operacional usando apenas o protetor TPM e nenhuma chave de recuperação:

Windows PowerShell

Enable-BitLocker C: -TpmProtector

Prompt de Comando

manage-bde.exe -on C:

Painel de Controle

No applet Painel de Controle de Criptografia de Unidade do BitLocker:

1. Expanda a unidade do sistema operacional e selecione a opção Ativar BitLocker

2. Quando solicitado, selecione a opção Permitir que o BitLocker desbloqueie automaticamente minha unidade

3. Faça backup da chave de recuperação usando um dos seguintes métodos:

   • Salvar na sua conta Microsoft Entra ID ou na conta da Microsoft (se aplicável)
   • Salvar em uma unidade flash USB
   • Salvar em um arquivo – o arquivo precisa ser salvo em um local que não esteja no próprio dispositivo, como uma pasta de rede
   • Imprimir a chave de recuperação

4. Selecionar Avançar

5. Escolha uma das opções para criptografar apenas o espaço em disco usado ou criptografar a unidade inteira e selecione Avançar

   • Criptografar somente espaço em disco usado – criptografa apenas o espaço em disco que contém dados
   • Criptografar a unidade inteira – criptografa todo o volume, incluindo espaço livre. Também conhecida como criptografia de disco completa

   Cada um dos métodos é recomendado nos seguintes cenários:

   • Criptografar somente espaço em disco usado:

     • A unidade nunca teve dados
     • Unidades formatadas ou apagadas que no passado nunca tiveram dados confidenciais que nunca foram criptografados

   • Criptografar unidade inteira (criptografia de disco completa):

     • Unidades que atualmente têm dados
     • Unidades que atualmente têm um sistema operacional
     • Unidades formatadas ou apagadas que no passado tinham dados confidenciais que nunca foram criptografados

   Importante

   Os arquivos excluídos aparecem como espaço livre para o sistema de arquivos, que não é criptografado apenas pelo espaço em disco usado. Até que sejam apagados ou substituídos, os arquivos excluídos contêm informações que podem ser recuperadas com ferramentas forenses de dados comuns.

6. Selecione um modo de criptografia e selecione Avançar

   • Novo modo de criptografia
   • Modo compatível

   Observação

   Normalmente , o novo modo de criptografia deve ser escolhido, mas se a unidade for potencialmente movida para outro dispositivo com um sistema operacional Windows mais antigo, selecione Modo compatível

7. Selecione Continuar>Reiniciar agora

8. Após a reinicialização, o sistema operacional executa um sistema BitLocker marcar e inicia a criptografia

Os usuários podem marcar status de criptografia usando o applet Painel de Controle do BitLocker.

Observação

Depois que uma chave de recuperação for criada, o BitLocker Painel de Controle poderá ser usado para fazer cópias adicionais da chave de recuperação.

Unidade do sistema operacional com protetor TPM e chave de inicialização

O exemplo a seguir mostra como habilitar o BitLocker em uma unidade do sistema operacional usando o TPM e os protetores de chave de inicialização .

Supondo que a letra da unidade do sistema operacional seja C: e a unidade flash USB seja a letra E:da unidade, aqui está o comando:

Windows PowerShell

Se você optar por ignorar o teste de hardware do BitLocker, a criptografia será iniciada imediatamente sem a necessidade de uma reinicialização.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Prompt de Comando

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

Se solicitado, reinicialize o computador para concluir o processo de criptografia.

Observação

Depois que a criptografia for concluída, a chave de inicialização USB deve ser inserida antes que o sistema operacional possa ser iniciado.

Painel de Controle

O applet Painel de Controle não permite habilitar o BitLocker e adicionar um protetor de chave de inicialização ao mesmo tempo. Para adicionar um protetor de chave de inicialização, siga estas etapas:

• No applet Painel de Controle de Criptografia de Unidade do BitLocker, na unidade do sistema operacional, selecione a opção Alterar como a unidade é desbloqueada na inicialização
• Quando solicitado, selecione a opção Inserir uma unidade flash USB
• Selecionando a unidade USB em que você deseja armazenar a chave de inicialização e selecione Salvar

Após a reinicialização, a tela de pré-inicialização do BitLocker é exibida e a chave de inicialização USB deve ser inserida antes que o sistema operacional possa ser iniciado:

Volumes de dados

Os volumes de dados usam um processo semelhante para criptografia como volumes do sistema operacional, mas não exigem protetores para que a operação seja concluída.

Windows PowerShell

Adicione os protetores desejados antes de criptografar o volume. O exemplo a seguir adiciona um protetor de senha ao E: volume usando a variável $pw como a senha. A $pw variável é mantida como um valor SecureString para armazenar a senha definida pelo usuário:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Observação

O cmdlet BitLocker requer que o GUID protetor de chave entre aspas seja executado. Verifique se todo o GUID, com chaves, está incluído no comando.

Exemplo: usar o PowerShell para habilitar o BitLocker com um protetor TPM

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

Exemplo: use o PowerShell para habilitar o BitLocker com um protetor TPM+PIN, nesse caso, com um PIN definido como 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Prompt de Comando

A criptografia de volumes de dados pode ser feita usando o comando base:

manage-bde.exe -on <drive letter>

ou protetores adicionais podem ser adicionados primeiro ao volume. É recomendável adicionar pelo menos um protetor primário mais um protetor de recuperação a um volume de dados.

Painel de Controle

Criptografar volumes de dados usando o bitLocker Painel de Controle funciona de forma semelhante à criptografia dos volumes do sistema operacional. Os usuários selecionam Ativar BitLocker no BitLocker Painel de Controle para iniciar o Assistente de Criptografia de Unidade do BitLocker.

Gerenciar protetores do BitLocker

O gerenciamento de protetores BitLocker consiste em adicionar, remover e fazer backup de protetores.

Protetores do BitLocker gerenciados usando as instruções a seguir, selecionando a opção que melhor atende às suas necessidades.

Listar protetores

A lista de protetores disponíveis para um volume (C: no exemplo) pode ser listada executando o seguinte comando:

Windows PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

Prompt de Comando

 manage-bde.exe -protectors -get C:

Painel de Controle

Essas informações não estão disponíveis no Painel de Controle.

Adicionar protetores

Adicionar um protetor de senha de recuperação

Windows PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Prompt de Comando

manage-bde.exe -protectors -add -recoverypassword C:

Painel de Controle

No applet do BitLocker Drive Encryption Painel de Controle, selecione o volume em que deseja adicionar um protetor e selecione a opção Fazer backup da chave de recuperação.

Adicionar um protetor de senha

Um protetor comum para um volume de dados é o protetor de senha. No próximo exemplo, um protetor de senha é adicionado a um volume.

Windows PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Prompt de Comando

manage-bde.exe -protectors -add -pw D:

Painel de Controle

No applet Painel de Controle de Criptografia de Unidade do BitLocker, expanda a unidade em que deseja adicionar um protetor de senha e selecione a opção Adicionar senha. Quando solicitado, insira e confirme uma senha para desbloquear a unidade. Selecione Concluir para concluir o processo.

Adicionar um protetor do Active Directory

O protetor do Active Directory é um protetor baseado em SID que pode ser adicionado ao sistema operacional e aos volumes de dados, embora não desbloqueie volumes do sistema operacional no ambiente de pré-inicialização. O protetor requer que o SID para a conta de domínio ou grupo se vincule ao protetor. O BitLocker pode proteger um disco com reconhecimento de cluster adicionando um protetor baseado em SID para o CNO (Cluster Name Object) que permite que o disco falhe corretamente e desbloqueie para qualquer computador membro do cluster.

Importante

O protetor baseado em SID requer o uso de um protetor adicional como TPM, PIN, chave de recuperação etc. quando usado em volumes do sistema operacional.

Observação

Essa opção não está disponível para Microsoft Entra dispositivos ingressados.

Neste exemplo, um protetor baseado em SID de domínio é adicionado a um volume criptografado anteriormente. O usuário conhece o SID para a conta de usuário ou grupo que deseja adicionar e usa o seguinte comando:

Windows PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Para adicionar o protetor a um volume, o SID de domínio ou o nome do grupo precedido pelo domínio e uma barra de fundo são necessários. No exemplo a seguir, a conta CONTOSO\Administrador é adicionada como um protetor ao volume de dados G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para usar o SID para a conta ou grupo, a primeira etapa é determinar o SID associado à entidade de segurança. Para obter o SID específico para uma conta de usuário no Windows PowerShell, use o seguinte comando:

Get-ADUser -filter {samaccountname -eq "administrator"}

Observação

O uso desse comando requer o recurso RSAT-AD-PowerShell.

Dica

Informações sobre a associação de usuários e grupos registradas localmente podem ser encontradas usando: whoami.exe /all.

Prompt de Comando

manage-bde.exe -protectors -add -sid <user or group>

Painel de Controle

Essa opção não está disponível no Painel de Controle.

Remover protetores

Windows PowerShell

Para remover protetores existentes em um volume, use o Remove-BitLockerKeyProtector cmdlet. Um GUID associado ao protetor a ser removido deve ser fornecido.

Os seguintes comandos retornam a lista de protetores de chave e GUIDS:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Usando essas informações, o protetor de chave para um volume específico pode ser removido usando o comando:

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Observação

O cmdlet BitLocker requer que o GUID protetor de chave entre aspas seja executado. Verifique se todo o GUID, com chaves, está incluído no comando.

Prompt de Comando

Os seguintes comandos retornam a lista de protetores de chave:

manage-bde.exe -status C:

O comando a seguir remove o protetor de chaves de um determinado tipo:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Painel de Controle

No applet Painel de Controle de Criptografia de Unidade do BitLocker, expanda a unidade em que deseja remover um protetor e selecione a opção para removê-lo, se disponível.

Observação

Você deve ter pelo menos um método de desbloqueio para unidades criptografadas por BitLocker.

Suspender e retomar

Algumas alterações de configuração podem exigir a suspensão do BitLocker e, em seguida, retomá-lo após a alteração ser aplicada.

Suspenda e retome o BitLocker usando as instruções a seguir, selecionando a opção que melhor atende às suas necessidades.

Suspender BitLocker

Windows PowerShell

Suspend-BitLocker -MountPoint D

Prompt de Comando

manage-bde.exe -protectors -disable d:

Painel de Controle

Você só pode suspender a proteção do BitLocker para a unidade do sistema operacional ao usar o Painel de Controle.

No applet Painel de Controle de Criptografia de Unidade do BitLocker, selecione a unidade do sistema operacional e selecione a opção Suspender proteção.

Retomar BitLocker

Windows PowerShell

Resume-BitLocker -MountPoint D

Prompt de Comando

manage-bde.exe -protectors -enable d:

Painel de Controle

No applet Painel de Controle de Criptografia de Unidade do BitLocker, selecione a unidade do sistema operacional e selecione a opção Retomar proteção.

Redefinir e fazer backup de uma senha de recuperação

É recomendável invalidar uma senha de recuperação após seu uso. Neste exemplo, o protetor de senha de recuperação é removido da unidade do sistema operacional, um novo protetor adicionado e faz backup para Microsoft Entra ID ou Active Directory.

Windows PowerShell

Remova todas as senhas de recuperação do volume do sistema operacional:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Adicione um protetor de senha de recuperação do BitLocker para o volume do sistema operacional:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Obtenha a ID da nova senha de recuperação:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Observação

Essas próximas etapas não serão necessárias se a configuração de política Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas está configurada para Exigir backup do BitLocker no AD DS.

Copie a ID da senha de recuperação da saída.

Usando o GUID da etapa anterior, substitua o {ID} no comando a seguir e use o seguinte comando para fazer backup da senha de recuperação para Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Ou use o seguinte comando para fazer backup da senha de recuperação para o Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Observação

As chaves devem ser incluídas na cadeia de caracteres {} ID.

Prompt de Comando

Remova todas as senhas de recuperação do volume do sistema operacional:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Adicione um protetor de senha de recuperação do BitLocker para o volume do sistema operacional:

manage-bde.exe -protectors -add C: -RecoveryPassword

Obtenha a ID da nova senha de recuperação:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Observação

Estas etapas a seguir não serão necessárias se a configuração de política Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas está configurada para Exigir o backup do BitLocker no AD DS.

Usando o GUID da etapa anterior, substitua o {ID} no comando a seguir e use o seguinte comando para fazer backup da senha de recuperação para Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

Ou use o seguinte comando para fazer backup da senha de recuperação para o Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Observação

As chaves devem ser incluídas na cadeia de caracteres {} ID.

Painel de Controle

Esse processo não pode ser realizado usando o Painel de Controle. Em vez disso, use uma das outras opções.

Desabilitar BitLocker

Desabilitar o BitLocker descriptografa e remove todos os protetores associados dos volumes. A descriptografia deve ocorrer quando a proteção não for mais necessária e não como uma etapa de solução de problemas.

Desabilite o BitLocker usando as instruções a seguir, selecionando a opção que melhor atende às suas necessidades.

Windows PowerShell

Windows PowerShell oferece a capacidade de descriptografar várias unidades em uma única passagem. No exemplo a seguir, o usuário tem três volumes criptografados, que desejam descriptografar.

Usando o comando Disable-BitLocker, eles podem remover todos os protetores e criptografia ao mesmo tempo sem a necessidade de mais comandos. Um exemplo desse comando é:

Disable-BitLocker

Para evitar especificar cada ponto de montagem individualmente, use o -MountPoint parâmetro em uma matriz para sequenciar o mesmo comando em uma linha, sem exigir entrada adicional do usuário. Exemplo:

Disable-BitLocker -MountPoint C,D

Prompt de Comando

A descriptografia com manage-bde.exe oferece a vantagem de não exigir a confirmação do usuário para iniciar o processo. Manage-bde usa o comando -off para iniciar o processo de descriptografia. Um comando de exemplo para descriptografia é:

manage-bde.exe -off C:

Esse comando desabilita protetores enquanto descriptografa o volume e remove todos os protetores quando a descriptografia é concluída.

Painel de Controle

A descriptografia do BitLocker usando o Painel de Controle é feita usando um assistente. Depois de abrir o bitLocker Painel de Controle applet, selecione a opção Desativar BitLocker para iniciar o processo. Para continuar, selecione a caixa de diálogo de confirmação. Com a desativação do BitLocker confirmada, o processo de descriptografia da unidade começa.

Depois que a descriptografia é concluída, a unidade atualiza seu status no Painel de Controle e fica disponível para criptografia.