Visão geral da criptografia do dispositivo BitLocker
Este artigo explica como a Criptografia de Dispositivo BitLocker pode ajudar a proteger dados em dispositivos que executam o Windows. Consulte BitLocker para obter uma visão geral e uma lista de artigos.
Quando os usuários viajam, os dados confidenciais de sua organização vão com eles. Onde quer que os dados confidenciais sejam armazenados, eles devem ser protegidos contra acesso não autorizado. O Windows tem um longo histórico de fornecimento de soluções de proteção de dados em inatividade que protegem contra invasores mal intencionados, começando com o Encrypting File System no sistema operacional Windows 2000. Mais recentemente, o BitLocker forneceu criptografia para unidades completas e unidades portáteis. O Windows aprimora consistentemente a proteção de dados melhorando as opções existentes e fornecendo novas estratégias.
Proteção de Dados em Windows 11, Windows 10 e Windows 7
A tabela abaixo lista preocupações específicas de proteção de dados e como elas são tratadas em Windows 11, Windows 10 e Windows 7.
| Windows 7 | Windows 11 e Windows 10 |
|---|---|
| Quando o BitLocker é usado com um PIN para proteger a inicialização, computadores como quiosques não podem ser reiniciados remotamente. | Os dispositivos Windows modernos estão cada vez mais protegidos com a Criptografia de Dispositivo BitLocker fora da caixa e dão suporte ao SSO para proteger perfeitamente as chaves de criptografia BitLocker contra ataques de inicialização fria. O Desbloqueio de Rede permite que os computadores iniciem automaticamente quando conectados à rede interna. |
| Quando o BitLocker está habilitado, o processo de provisionamento pode levar várias horas. | O pré-provisionamento, a criptografia de unidades de disco rígido e a criptografia Used Space Only do BitLocker permitem que os administradores habilitem o BitLocker rapidamente em novos computadores. |
| Não há suporte para usar o BitLocker com SEDs (unidades de autocriptografação). | O BitLocker oferece suporte à criptografia de descarregamento para unidades de disco rígido criptografadas. |
| Os administradores precisam usar ferramentas separadas para gerenciar unidades de disco rígidos criptografadas. | O BitLocker oferece suporte a unidades de disco rígido criptografadas com hardware de criptografia onboard integrado, que permite que os administradores usem as ferramentas administrativas familiares do BitLocker para gerenciá-las. |
| Criptografar uma nova unidade flash pode levar mais de 20 minutos. | A criptografia somente espaço usado no BitLocker To Go permite que os usuários criptografem unidades de dados removíveis em segundos. |
| O BitLocker poderia exigir que os usuários inserissem uma chave de recuperação quando ocorressem alterações de configuração do sistema. | O BitLocker exige que o usuário insira uma chave de recuperação somente quando ocorrer corrupção de disco ou quando o PIN ou senha for perdido. |
| Os usuários precisam inserir um PIN para iniciar o computador e, em seguida, a senha para entrar no Windows. | Os dispositivos Windows modernos estão cada vez mais protegidos com a Criptografia de Dispositivo BitLocker fora da caixa e dão suporte ao SSO para ajudar a proteger as chaves de criptografia BitLocker contra ataques de inicialização fria. |
Preparar a criptografia de arquivos e de unidades
O melhor tipo de medidas de segurança é transparente para o usuário durante a implementação e o uso. Toda vez que há um possível atraso ou dificuldade por causa de um recurso de segurança, há uma forte probabilidade de que os usuários tentem ignorar a segurança. Essa situação é especialmente verdadeira para a proteção de dados, e esse é um cenário que as organizações precisam evitar. Seja planejando criptografar volumes inteiros, dispositivos removíveis ou arquivos individuais, Windows 11 e Windows 10 atender a essas necessidades fornecendo soluções simplificadas e utilizáveis. Na verdade, várias etapas podem ser tomadas com antecedência para se preparar para a criptografia de dados e tornar a implantação rápida e suave.
Pré-provisionamento de TPM
No Windows 7, a preparação do TPM ofereceu alguns desafios:
- Ativar o TPM necessário para entrar no firmware BIOS ou UEFI do dispositivo. Ativar o TPM no dispositivo requer que alguém entre fisicamente nas configurações de firmware BIOS ou UEFI do dispositivo para ativar o TPM ou instalar um driver no Windows para ativar o TPM de dentro do Windows.
- Quando o TPM está habilitado, pode exigir uma ou mais reinicializações.
Isso tornou problemático a preparação do TPM no Windows 7. Se a equipe de TI estiver provisionando novos PCs, eles poderão lidar com as etapas necessárias para preparar um TPM. No entanto, se o BitLocker precisasse ser habilitado em dispositivos que já estão nas mãos dos usuários, esses usuários provavelmente teriam dificuldades com os desafios técnicos. Em seguida, o usuário ligaria para TI para obter suporte ou deixaria o BitLocker desabilitado.
A Microsoft inclui a instrumentação em Windows 11 e Windows 10 que permitem que o sistema operacional gerencie totalmente o TPM. Não há necessidade de entrar no BIOS e todos os cenários que exigiram uma reinicialização foram eliminados.
Implantar a criptografia de unidade de disco rígido
O BitLocker é capaz de criptografar unidades de disco rígido inteiras, incluindo unidades de dados e do sistema. O pré-provisionamento do BitLocker pode reduzir drasticamente o tempo necessário para provisionar novos computadores com o BitLocker habilitado. Com Windows 11 e Windows 10, os administradores podem ativar o BitLocker e o TPM de dentro do Ambiente de Pré-instalação do Windows antes de instalar o Windows ou como parte de uma sequência de tarefas de implantação automatizada sem qualquer interação do usuário. Combinado com a criptografia somente espaço em disco usado e uma unidade praticamente vazia (porque o Windows ainda não está instalado), leva apenas alguns segundos para habilitar o BitLocker.
Em versões anteriores do Windows, os administradores tinham que habilitar o BitLocker depois que o Windows era instalado. Embora esse processo possa ser automatizado, o BitLocker precisaria criptografar toda a unidade, um processo que pode levar de várias horas a mais de um dia, dependendo do tamanho da unidade e do desempenho, o que atrasou a implantação. A Microsoft melhorou esse processo por meio de vários recursos em Windows 11 e Windows 10.
Criptografia de dispositivo BitLocker
A partir de Windows 8.1, o Windows habilita automaticamente a Criptografia de Dispositivo BitLocker em dispositivos compatíveis com o Standby Moderno. Com Windows 11 e Windows 10, a Microsoft oferece suporte a Criptografia de Dispositivos BitLocker em uma gama muito mais ampla de dispositivos, incluindo os dispositivos que são Modern Standby e dispositivos que executam a edição Home de Windows 10 ou Windows 11.
A Microsoft espera que a maioria dos dispositivos no futuro passe os requisitos para a Criptografia de Dispositivo BitLocker que tornarão a Criptografia de Dispositivo BitLocker generalizada em dispositivos Windows modernos. A Criptografia de Dispositivo BitLocker protege ainda mais o sistema implementando de forma transparente a criptografia de dados em todo o dispositivo.
Ao contrário de uma implementação padrão do BitLocker, a Criptografia de Dispositivo BitLocker é habilitada automaticamente para que o dispositivo esteja sempre protegido. A lista a seguir descreve como a Criptografia de Dispositivo BitLocker está habilitada automaticamente:
Quando uma instalação limpo de Windows 11 ou Windows 10 é concluída e a experiência fora de caixa é concluída, o computador é preparado para o primeiro uso. Como parte dessa preparação, o BitLocker Device Encryption é inicializado na unidade do sistema operacional e unidades de dados fixas no computador com uma chave clara que é equivalente ao estado suspenso padrão do BitLocker. Nesse estado, a unidade é mostrada com um ícone de aviso no Windows Explorer. O ícone de aviso amarelo é removido depois que o protetor TPM é criado e a chave de recuperação é apoiada, conforme explicado nos pontos de bala a seguir.
Se o dispositivo não for ingressado no domínio, uma conta da Microsoft que recebeu privilégios administrativos no dispositivo será necessária. Quando o administrador usa uma conta da Microsoft para entrar, a chave limpa é removida, uma chave de recuperação é carregada para a conta da Microsoft online e um protetor TPM é criado. Se um dispositivo exigir a chave de recuperação, o usuário será guiado a usar um dispositivo alternativo e navegar até uma URL de acesso de chave de recuperação para recuperar a chave de recuperação usando suas credenciais de conta Microsoft.
Se o usuário usar uma conta de domínio para entrar, a chave clara não será removida até que o usuário junte o dispositivo a um domínio e a chave de recuperação faça backup com êxito em Active Directory Domain Services (AD DS). As seguintes configurações de Política de Grupo devem ser habilitadas para que a chave de recuperação seja apoiada no AD DS:
Configuração> do computador Modelos administrativos>Componentes do> Windows Criptografia >de unidade do BitLockerUnidades do sistema> operacional Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional
Com essa configuração, a senha de recuperação é criada automaticamente quando o computador ingressa no domínio e, em seguida, a chave de recuperação tem o backup feito no AD DS, o protetor TPM é criado e a chave limpa é removida.
Semelhante à entrada com uma conta de domínio, a chave clara é removida quando o usuário entra em uma conta Azure AD no dispositivo. Conforme descrito no marcador acima, a senha de recuperação é criada automaticamente quando o usuário se autentica no Azure AD. Em seguida, é feito o backup da chave de recuperação no Azure AD, o protetor TPM é criado, e a chave limpa é removida.
A Microsoft recomenda habilitar automaticamente a Criptografia de Dispositivo BitLocker em todos os sistemas compatíveis com ele. No entanto, o processo automático de Criptografia de Dispositivo BitLocker pode ser evitado alterando a seguinte configuração de registro:
- Subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker - Tipo:
REG_DWORD - Valor:
PreventDeviceEncryptionigual a1(True)
Os administradores podem gerenciar dispositivos ingressados no domínio que têm a Criptografia de Dispositivo BitLocker habilitada por meio do MBAM (Administração e Monitoramento do Microsoft BitLocker). Nesse caso, a Criptografia de Dispositivo BitLocker disponibiliza automaticamente opções adicionais do BitLocker. Nenhuma conversão ou criptografia é necessária, e o MBAM poderá gerenciar o conjunto completo de políticas de BitLocker, se quaisquer alterações de configuração forem necessárias.
Observação
A Criptografia de Dispositivo BitLocker usa o método de criptografia de 128 bits do XTS-AES. Se um método de criptografia diferente e/ou força de codificação for necessário, mas o dispositivo já estiver criptografado, ele deverá primeiro ser descriptografado antes que o novo método de criptografia e/ou a força da criptografia possam ser aplicados. Depois que o dispositivo tiver sido descriptografado, diferentes configurações do BitLocker poderão ser aplicadas.
Criptografia somente em espaço de disco usado
O BitLocker em versões anteriores do Windows pode levar muito tempo para criptografar uma unidade porque criptografava todos os bytes no volume, incluindo áreas que não tinham dados. Criptografar cada byte no volume, incluindo áreas que não tinham dados, é conhecido como criptografia de disco completa. A criptografia de disco completo ainda é a maneira mais segura de criptografar uma unidade, especialmente se uma unidade tiver contido anteriormente dados confidenciais que foram movidos ou excluídos desde então. Se uma unidade anteriormente tivesse dados confidenciais movidos ou excluídos, os rastreamentos dos dados confidenciais poderiam permanecer em partes da unidade marcadas como não usadas.
Para reduzir o tempo de criptografia, o BitLocker em Windows 11 e Windows 10 permitir que os usuários optem por criptografar apenas as áreas do disco que contêm dados. Áreas do disco que não contêm dados e estão vazias não serão criptografadas. Todos os novos dados são criptografados conforme são criados. Dependendo da quantidade de dados na unidade, essa opção pode reduzir o tempo inicial de criptografia em mais de 99%.
Tenha cuidado ao criptografar apenas o espaço usado em um volume existente no qual os dados confidenciais já podem ter sido armazenados em um estado não criptografado. Ao usar a criptografia de espaço usada, setores em que os dados não criptografados anteriormente são armazenados podem ser recuperados por meio de ferramentas de recuperação de disco até serem substituídos por novos dados criptografados. Por outro lado, criptografar apenas o espaço usado em um novo volume pode diminuir significativamente o tempo de implantação sem o risco de segurança, pois todos os novos dados serão criptografados conforme são gravados no disco.
Suporte de disco rígido criptografado
Os SEDs estão disponíveis há anos, mas a Microsoft não pôde dar suporte ao seu uso com algumas versões anteriores do Windows porque as unidades não tinham recursos importantes de gerenciamento de chaves. A Microsoft trabalhou com fornecedores de armazenamento para melhorar os recursos de hardware, e agora o BitLocker dá suporte à próxima geração de SEDs, que são chamadas de unidades de disco rígido criptografadas.
Os discos rígidos criptografados fornecem recursos criptográficos integrados para criptografar dados em unidades. Esse recurso melhora o desempenho da unidade e do sistema descarregando cálculos criptográficos do processador do computador para a própria unidade. Os dados são criptografados rapidamente pela unidade usando hardware dedicado e criado com propósito. Se planeja usar a criptografia de unidade inteira com Windows 11 ou Windows 10, a Microsoft recomenda pesquisar fabricantes e modelos de disco rígido para determinar se algum de seus discos rígidos criptografados atende aos requisitos de segurança e orçamento.
Para obter mais informações sobre discos rígidos criptografados, consulte Disco rígido criptografado.
Proteção de informações de pré-inicialização
Uma implementação eficaz da proteção de informações, como a maioria dos controles de segurança, considera usabilidade e segurança. Normalmente, os usuários preferem uma experiência de segurança simples. Na verdade, quanto mais transparente uma solução de segurança se torna, mais provável que os usuários estejam de acordo com a ela.
É crucial que as organizações protejam informações sobre seus computadores, independentemente do estado do computador ou da intenção dos usuários. Essa proteção não deve ser complicada para os usuários. Uma situação indesejável e anteriormente comum é quando o usuário é solicitado a entrar durante a pré-inicialização e, em seguida, novamente durante a entrada do Windows. Solicitar entrada dos usuários mais de uma vez deve ser evitado.
Windows 11 e Windows 10 podem habilitar uma verdadeira experiência de SSO do ambiente de pré-inicialização em dispositivos modernos e, em alguns casos, até mesmo em dispositivos mais antigos quando configurações robustas de proteção de informações estão em vigor. O TPM isoladamente é capaz de proteger com segurança a chave de criptografia BitLocker enquanto está em inatividade, e pode desbloquear com segurança a unidade do sistema operacional. Quando a chave estiver em uso e, portanto, na memória, uma combinação de hardware e de recursos do Windows pode proteger a chave e impedir o acesso não autorizado por meio de ataques de inicialização a frio. Embora outras contramedidas como o desbloqueio baseado em PIN estejam disponíveis, elas não são tão amigáveis para o usuário; dependendo da configuração dos dispositivos, eles podem não oferecer segurança adicional quando se trata de proteção de chave. Para obter mais informações, confira Contramedidas do BitLocker.
Gerenciar senhas e PINs
Quando o BitLocker está habilitado em uma unidade do sistema e o computador tem um TPM, os usuários podem ser obrigados a digitar um PIN antes que o BitLocker desbloqueie a unidade. Esse requisito PIN pode impedir que um invasor que tenha acesso físico a um computador até mesmo entre na entrada do Windows, o que torna quase impossível para o invasor acessar ou modificar dados do usuário e arquivos do sistema.
Exigir um PIN na inicialização é um recurso de segurança útil porque ele atua como um segundo fator de autenticação. No entanto, essa configuração vem com alguns custos. Um dos custos mais significativos é a necessidade de alterar o PIN regularmente. Em empresas que usavam o BitLocker com o sistema operacional Windows 7 e Windows Vista, os usuários tinham que contatar os administradores do sistema para atualizar seu PIN ou senha do BitLocker. Esse requisito não só aumentou os custos de gerenciamento, mas tornou os usuários menos dispostos a alterar o PIN ou a senha do BitLocker regularmente.
Windows 11 e Windows 10 usuários podem atualizar suas PINs e senhas do BitLocker por conta própria, sem credenciais de administrador. Esse recurso não apenas reduz os custos de suporte, mas ele pode melhorar a segurança, também, pois incentiva os usuários a alterarem seus PINs e senhas com mais frequência. Além disso, os dispositivos de espera modernos não exigem um PIN para inicialização: eles são projetados para iniciar com pouca frequência e têm outras mitigações em vigor que reduzem ainda mais a superfície de ataque do sistema.
Para obter mais informações sobre como a segurança de inicialização funciona e as contramedidas que Windows 11 e Windows 10 fornecem, consulte Proteger o BitLocker contra ataques de pré-inicialização.
Configurar o Desbloqueio pela rede
Algumas organizações têm requisitos de segurança de dados específicos de localização. Os requisitos de segurança de dados específicos do local são mais comuns em ambientes em que os dados de alto valor são armazenados em PCs. O ambiente de rede pode fornecer proteção de dados crucial e impor a autenticação obrigatória. Portanto, a política afirma que esses PCs não devem sair do prédio ou ser desconectados da rede corporativa. Proteções como bloqueios de segurança física e cerca geográfica podem ajudar a impor essa política como controles reativos. Além dessas proteções, um controle de segurança proativo que concede acesso a dados somente quando o computador está conectado à rede corporativa é necessário.
O Desbloqueio de Rede permite que os computadores protegidos pelo BitLocker iniciem automaticamente quando conectados a uma rede corporativa com fio na qual os serviços de implantação do Windows são executados. Sempre que o computador não estiver conectado à rede corporativa, um usuário deve digitar um PIN para desbloquear a unidade (se o desbloqueio baseado em PIN estiver habilitado). O Desbloqueio de Rede requer a infraestrutura a seguir:
Computadores cliente que têm firmware UEFI (Unified Extensible Firmware Interface) versão 2.3.1 ou posterior, que dá suporte a DHCP (Dynamic Host Configuration Protocol)
Um servidor que executa pelo menos Windows Server 2012 com a função WDS (serviços de implantação do Windows)
Um servidor com a função de servidor DHCP instalada
Para obter mais informações sobre como configurar o recurso de desbloqueio de rede, consulte BitLocker: Como habilitar o Desbloqueio de Rede.
Administração e monitoramento do Microsoft BitLocker
Parte do Pacote de Otimização da Área de Trabalho da Microsoft, o MBAM (Microsoft BitLocker Administration and Monitoring) facilita o gerenciamento e o suporte ao BitLocker e ao BitLocker To Go. O MBAM 2.5 com Service Pack 1, a versão mais recente, tem os seguintes recursos principais:
Permite que os administradores automatizem o processo de criptografar volumes em computadores cliente em toda a empresa.
Permite que os agentes de segurança determinem rapidamente o estado de conformidade de computadores individuais ou até mesmo da empresa em si.
Fornece gerenciamento centralizado de relatórios e hardware com o Microsoft Configuration Manager.
Reduz a carga de trabalho do suporte técnico para ajudar os usuários finais com solicitações de recuperação do BitLocker.
Permite aos usuários finais recuperar dispositivos criptografados de forma independente, usando o Portal de Autoatendimento.
Permite que os agentes de segurança façam a auditoria do acesso com facilidade para recuperar informações essenciais.
Permite que os usuários do Windows Enterprise continuem a trabalhar em qualquer lugar com a garantia de que seus dados corporativos estão protegidos.
Impõe as opções de política de criptografia BitLocker definidas para a empresa.
Integra-se a ferramentas de gerenciamento existentes, como o Microsoft Configuration Manager.
Oferece uma experiência de usuário de recuperação personalizada pela equipe de TI.
Dá suporte a Windows 11 e Windows 10.
Importante
As empresas poderiam usar o MBAM para gerenciar computadores cliente com o BitLocker que são ingressados no domínio local até que o suporte mainstream seja encerrado em julho de 2019 ou possam receber suporte estendido até abril de 2026.
Daqui para frente, a funcionalidade do MBAM será incorporada ao Configuration Manager. Para obter mais informações, consulte Planejar o gerenciamento do BitLocker.
As empresas que não usam Configuration Manager podem usar os recursos internos de Azure AD e Microsoft Intune para administração e monitoramento. Para obter mais informações, consulte Monitorar a criptografia do dispositivo com Intune.