A tabela a seguir lista as políticas do BitLocker aplicáveis a todos os tipos de unidade, indicando se elas são aplicáveis por meio do CSP (provedor de serviços de configuração) e/ou da política de grupo (GPO). Selecione o nome da política para obter mais detalhes.
Permitir criptografia de usuário padrão
Com essa política, você pode impor a política Exigir criptografia de dispositivo para cenários em que a política é aplicada enquanto o usuário conectado atual não tem direitos administrativos.
Importante
O aviso Permitir para outra política de criptografia de disco deve ser desabilitado para permitir a criptografia de usuário padrão.
Escolha a pasta padrão para a senha de recuperação
Especifique o caminho padrão exibido quando o assistente de configuração de criptografia de unidade do BitLocker solicita que o usuário insira o local de uma pasta na qual salvar a senha de recuperação. Você pode especificar um caminho totalmente qualificado ou incluir as variáveis de ambiente do computador de destino no caminho:
- Se o caminho não for válido, o assistente de instalação do BitLocker exibirá a exibição de pasta de nível superior do computador
- Se você desabilitar ou não configurar essa configuração de política, o assistente de instalação do BitLocker exibirá a exibição de pasta de nível superior do computador quando o usuário escolher a opção para salvar a senha de recuperação em uma pasta
Observação
Essa configuração de política não impede que o usuário salve a senha de recuperação em outra pasta.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Escolha o método de criptografia de unidade e a força da codificação
Com essa política, você pode configurar um algoritmo de criptografia e uma força de codificação de chave para unidades de dados fixas, unidades do sistema operacional e unidades de dados removíveis individualmente.
Configurações recomendadas: XTS-AES algoritmo para todas as unidades. A escolha do tamanho da chave, 128 bits ou 256 bits depende do desempenho do dispositivo. Para mais discos rígidos e CPU performantes, escolha chave de 256 bits, para os menos performantes, use 128.
Importante
O tamanho da chave pode ser exigido pelos reguladores ou pela indústria.
Se você desabilitar ou não configurar essa configuração de política, o BitLocker usará o método de criptografia padrão de XTS-AES 128-bit.
Observação
Essa política não se aplica a unidades criptografadas. As unidades criptografadas utilizam seu próprio algoritmo, que é definido pela unidade durante a partição.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Com essa política, você pode configurar uma rotação de senha de recuperação numérica após o uso para sistema operacional e unidades fixas em Microsoft Entra dispositivos ingressados e Microsoft Entra híbridos.
Os valores possíveis são:
0: a rotação de senha de recuperação numérica está desativada1: a rotação de senha de recuperação numérica após o uso está ativada para Microsoft Entra dispositivos ingressados. Esse também é o valor padrão2: rotação de senha de recuperação numérica após o uso está ativada para dispositivos ingressados Microsoft Entra e Microsoft Entra dispositivos híbridos ingressados
Observação
A Política só é eficaz quando a ID do Micropsoft Entra ou o backup do Active Directory para senha de recuperação são configurados como necessários
- Para a unidade do sistema operacional: habilitar Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional
- Para unidades fixas: habilite "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
Desabilitar novos dispositivos DMA quando este computador estiver bloqueado
Quando habilitada, essa configuração de política bloqueia o DMA (acesso direto à memória) para todas as portas PCI plugáveis a quente até que um usuário entre no Windows.
Depois que um usuário entra, o Windows enumera os dispositivos PCI conectados às portas PCI do Host Thunderbolt. Sempre que o usuário bloqueia o dispositivo, o DMA é bloqueado em portas PCI do Thunderbolt de plug-in sem dispositivos filhos, até que o usuário entre novamente.
Os dispositivos que já foram enumerados quando o dispositivo foi desbloqueado continuarão funcionando até que seja desconectado ou o sistema seja reiniciado ou hibernado.
Essa configuração de política só é imposta quando BitLocker ou criptografia de dispositivo está habilitada.
Importante
Essa política não é compatível com a Proteção DMA do Kernel. É recomendável desabilitar essa política se o sistema der suporte à Proteção DMA do Kernel, já que a Proteção DMA do Kernel fornece maior segurança para o sistema. Para obter mais informações sobre a Proteção contra DMA do Kernel, consulte Proteção contra DMA do Kernel.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Impedir substituição de memória na reinicialização
Essa configuração de política é usada para controlar se a memória do computador é substituída quando o dispositivo é reiniciado. Os segredos do BitLocker incluem material de chave usado para criptografar dados.
- Se você habilitar essa configuração de política, a memória não será substituída quando o computador é reiniciado. Impedir a substituição de memória pode melhorar o desempenho de reinicialização, mas aumenta o risco de expor segredos do BitLocker.
- Se você desabilitar ou não configurar essa configuração de política, os segredos do BitLocker serão removidos da memória quando o computador for reiniciado.
Observação
Essa configuração de política só se aplica quando a proteção do BitLocker está habilitada.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Forneça os identificadores exclusivos para sua organização
Essa configuração de política permite associar identificadores organizacionais exclusivos a uma unidade criptografada com o BitLocker. Os identificadores são armazenados como o campo de identificação e o campo de identificação permitido:
- O campo de identificação permite que você associe um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Esse identificador é adicionado automaticamente a novas unidades protegidas pelo BitLocker e pode ser atualizado em unidades existentes protegidas pelo BitLocker usando a BitLocker Drive Encryption: Configuration Tool (
manage-bde.exe)
- O campo de identificação permitido é usado em combinação com o acesso de gravação Negar a unidades removíveis não protegidas pela configuração da política do BitLocker para ajudar a controlar o uso de unidades removíveis em sua organização. É uma lista separada por vírgulas de campos de identificação de sua organização ou de outras organizações externas. Você pode configurar os campos de identificação em unidades existentes usando
manage-bde.exe.
Se você habilitar essa configuração de política, poderá configurar o campo de identificação na unidade protegida pelo BitLocker e em qualquer campo de identificação permitido usado pela sua organização. Quando uma unidade protegida pelo BitLocker é montada em outro dispositivo habilitado para BitLocker, o campo de identificação e o campo de identificação permitido são usados para determinar se a unidade é de uma organização diferente.
Se você desabilitar ou não configurar essa configuração de política, o campo de identificação não será necessário.
Importante
Os campos de identificação são necessários para o gerenciamento de agentes de recuperação de dados baseados em certificado em unidades protegidas pelo BitLocker. O BitLocker gerencia e atualiza apenas agentes de recuperação de dados baseados em certificado quando o campo de identificação está presente em uma unidade e é idêntico ao valor configurado no dispositivo. O campo de identificação pode ser qualquer valor de 260 caracteres ou menos.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/IdentificationField |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Exigir criptografia de dispositivo
Essa configuração de política determina se o BitLocker é necessário:
- Se habilitada, a criptografia será disparada em todas as unidades silenciosamente ou não silenciosamente com base em Permitir aviso para outra política de criptografia de disco
- Se estiver desabilitado, o BitLocker não será desativado para a unidade do sistema, mas ele deixará de solicitar que o usuário ative o BitLocker.
Observação
Normalmente, o BitLocker segue o método Escolher criptografia de unidade e a configuração da política de força de codificação . No entanto, essa configuração de política será ignorada para auto-criptografar unidades fixas e autocriptografar unidades do sistema operacional.
Volumes de dados fixos criptografados são tratados de forma semelhante aos volumes do sistema operacional, mas devem atender a outros critérios para serem criptografados:
- Não deve ser um volume dinâmico
- Não deve ser uma partição de recuperação
- Não deve ser um volume oculto
- Não deve ser uma partição do sistema
- Ele não deve ser apoiado pelo armazenamento virtual
- Ele não deve ter uma referência no repositório BCD
Validar a conformidade da regra de uso de certificado de cartão inteligente
Essa configuração de política é usada para determinar qual certificado usar com o BitLocker associando um OID (identificador de objeto) de um certificado de cartão inteligente a uma unidade protegida pelo BitLocker. O identificador de objeto é especificado no EKU (uso de chave avançada) de um certificado.
O BitLocker pode identificar quais certificados podem ser usados para autenticar um certificado de usuário em uma unidade protegida pelo BitLocker, combinando o identificador de objeto no certificado com o identificador de objeto definido por essa configuração de política. O OID padrão é 1.3.6.1.4.1.311.67.1.1.
Se você habilitar essa configuração de política, o identificador de objeto especificado no campo Identificador de objeto deverá corresponder ao identificador de objeto no certificado de cartão inteligente. Se você desabilitar ou não configurar essa configuração de política, o OID padrão será usado.
Observação
O BitLocker não exige que um certificado tenha um atributo EKU; no entanto, se um estiver configurado para o certificado, ele deverá ser definido como um identificador de objeto que corresponda ao identificador de objeto configurado para BitLocker.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia de unidade do BitLocker |
Permitir que dispositivos compatíveis com InstantGo ou HSTI optem por sair do PIN de pré-inicialização
Essa configuração de política permite que os usuários em dispositivos compatíveis com o InstantGo ou a HSTI (Interface de Teste de Segurança de Hardware da Microsoft) não tenham um PIN para autenticação de pré-inicialização.
A política substitui o PIN de inicialização Exigir com TPM e Exigir chave de inicialização e PIN com opções TPM da política Exigir autenticação adicional na política de inicialização em hardware compatível.
- Se você habilitar essa configuração de política, os usuários em dispositivos compatíveis com InstantGo e HSTI poderão ativar o BitLocker sem autenticação de pré-inicialização
- Se a política estiver desabilitada ou não estiver configurada, as opções de Exigir autenticação adicional na política de inicialização serão aplicadas
Permitir PINs aprimorados para inicialização
Essa configuração permite o uso de PINs aprimorados quando um método de desbloqueio que inclui um PIN é usado.
PiNs de inicialização aprimorados permitem o uso de caracteres (incluindo letras maiúsculas e minúsculas, símbolos, números e espaços).
Importante
Nem todos os computadores dão suporte a caracteres PIN aprimorados no ambiente de pré-inicialização. É altamente recomendável que os usuários executem um sistema marcar durante a instalação do BitLocker para verificar se caracteres PIN aprimorados podem ser usados.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Permitir o desbloqueio de rede na inicialização
Essa configuração de política controla se um dispositivo protegido pelo BitLocker conectado a uma LAN (Rede de Área Local) com fio confiável pode criar e usar protetores de chave de rede em computadores habilitados para TPM para desbloquear automaticamente a unidade do sistema operacional quando o computador for iniciado.
Se você habilitar essa política, os dispositivos configurados com um certificado de Desbloqueio de Rede BitLocker poderão criar e usar protetores de chave de rede. Para usar um Protetor de Chave de Rede para desbloquear o computador, o computador e o servidor de Desbloqueio de Rede de Criptografia de Unidade do BitLocker devem ser provisionados com um certificado de Desbloqueio de Rede. O certificado desbloqueio de rede é usado para criar Protetores de Chave de Rede e protege as informações trocadas com o servidor para desbloquear o computador.
O Política de Grupo configuração configuração> do computadorConfigurações> do WindowsConfigurações de segurança Políticas>>de chave públicaBitLocker Drive Encryption Network Certificate pode ser usado no controlador de domínio para distribuir esse certificado para computadores da organização. Esse método de desbloqueio usa o TPM no computador para que computadores que não têm um TPM não possam criar Protetores de Chave de Rede para desbloquear automaticamente com o Desbloqueio de Rede.
Se você desabilitar ou não configurar essa configuração de política, os clientes Do BitLocker não poderão criar e usar protetores de chave de rede.
Observação
Para confiabilidade e segurança, os computadores também devem ter um PIN de inicialização TPM que pode ser usado quando o computador é desconectado da rede com fio ou do servidor na inicialização.
Para obter mais informações sobre o recurso de Desbloqueio de Rede, consulte BitLocker: Como habilitar o Desbloqueio de Rede
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Permitir Inicialização Segura para validação de integridade
Essa configuração de política permite configurar se a Inicialização Segura é permitida como o provedor de integridade da plataforma para unidades do sistema operacional BitLocker.
A Inicialização Segura garante que o ambiente de pré-inicialização do dispositivo carregue apenas firmware que é assinado digitalmente por editores de software autorizados.
- Se você habilitar ou não configurar essa configuração de política, o BitLocker usará a Inicialização Segura para integridade da plataforma se a plataforma for capaz de validação de integridade baseada em Inicialização Segura
- Se você desabilitar essa configuração de política, o BitLocker usará a validação de integridade da plataforma herdada, mesmo em sistemas capazes de validação de integridade baseada em Inicialização Segura
Quando essa política está habilitada e o hardware é capaz de usar cenários de Inicialização Segura para BitLocker, a configuração usar a política de perfil de validação de dados de configuração de inicialização aprimorada é ignorada e a Inicialização Segura verifica as configurações do BCD de acordo com a configuração de política de Inicialização Segura, que é configurada separadamente do BitLocker.
Aviso
Desabilitar essa política pode resultar na recuperação do BitLocker quando o firmware específico do fabricante for atualizado. Se essa política estiver desabilitada, suspenda o BitLocker antes de aplicar atualizações de firmware.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Permitir aviso para outra criptografia de disco
Com essa política, você pode desabilitar toda a notificação para criptografia, prompt de aviso para outra criptografia de disco e ativar a criptografia silenciosamente.
Importante
Essa política se aplica apenas a Microsoft Entra dispositivos ingressados.
Essa política só entrará em vigor se a política Exigir criptografia de dispositivo estiver habilitada.
Aviso
Quando você habilita o BitLocker em um dispositivo com criptografia de terceiros, ele pode tornar o dispositivo inutilizável e exigirá a reinstalação do Windows.
Os valores esperados para esta política são:
- Habilitado (padrão): o prompt de aviso e a notificação de criptografia são permitidos
- Desabilitado: o prompt de aviso e a notificação de criptografia são suprimidos. O Windows tentará habilitar silenciosamente o BitLocker
Observação
Quando você desabilitar o prompt de aviso, a chave de recuperação da unidade do sistema operacional fará backup da conta de ID Microsoft Entra do usuário. Quando você permite o prompt de aviso, o usuário que recebe o prompt pode selecionar onde fazer backup da chave de recuperação da unidade do sistema operacional.
O ponto de extremidade do backup de uma unidade de dados fixa é escolhido na seguinte ordem:
- Conta de Windows Server Active Directory Domain Services do usuário
- Conta de ID Microsoft Entra do usuário
- OneDrive pessoal do usuário (somente MDM/MAM)
A criptografia aguardará até que um desses três locais faça backup com êxito.
Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
Essa configuração de política permite controlar como as unidades do sistema operacional protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias. Se você habilitar essa configuração de política, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades do sistema operacional protegidas pelo BitLocker. Aqui estão as opções disponíveis:
- Permitir o agente de recuperação de dados baseado em certificado: especifique se um agente de recuperação de dados pode ser usado com unidades de sistema operacional protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item Políticas de Chave Pública no Console de Gerenciamento de Política de Grupo ou no Editor de Política de Grupo Local
- Configurar o armazenamento do usuário das informações de recuperação do BitLocker: selecione se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
- Omitir opções de recuperação do assistente de instalação do BitLocker: impedir que os usuários especifiquem as opções de recuperação quando ativarem o BitLocker para uma unidade. Isso significa que os usuários não poderão especificar qual opção de recuperação usar ao ativar o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política
- Salve as informações de recuperação do BitLocker para Active Directory Domain Services: escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades do sistema operacional. Se você selecionar a senha de recuperação de backup e o pacote de chaves, a senha de recuperação do BitLocker e o pacote de chaves serão armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi fisicamente corrompida. Se você selecionar somente a senha de recuperação de backup, somente a senha de recuperação será armazenada no AD DS
- Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional: impede que os usuários habilitem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação do BitLocker ao AD DS seja bem-sucedido. Ao usar essa opção, uma senha de recuperação é gerada automaticamente.
Se essa configuração de política estiver desabilitada ou não estiver configurada, as opções de recuperação padrão serão compatíveis com a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não são compatíveis com o AD DS.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa política configura um comprimento mínimo para um PIN de inicialização do TPM (Trusted Platform Module). O PIN de inicialização deve ter um comprimento mínimo de 4 dígitos e pode ter um comprimento máximo de 20 dígitos.
Se você habilitar essa configuração de política, poderá exigir um número mínimo de dígitos para ser usado ao definir o PIN de inicialização.
Se você desabilitar ou não configurar essa configuração de política, os usuários poderão configurar um PIN de inicialização de qualquer comprimento entre 6 e 20 dígitos.
O TPM pode ser configurado para usar parâmetros de Prevenção de Ataque do Dicionário (limite de bloqueio e duração de bloqueio para controlar quantas tentativas de autorização com falha são permitidas antes que o TPM seja bloqueado e quanto tempo deve passar antes que outra tentativa possa ser feita.
Os Parâmetros de Prevenção de Ataque do Dicionário fornecem uma maneira de equilibrar as necessidades de segurança com a usabilidade. Por exemplo, quando o BitLocker é usado com uma configuração TPM + PIN, o número de palpites de PIN é limitado ao longo do tempo. Um TPM 2.0 neste exemplo poderia ser configurado para permitir apenas 32 palpites pin imediatamente e, em seguida, apenas mais um palpite a cada duas horas. Esse número de tentativas totaliza um máximo de cerca de 4415 palpites por ano. Se o PIN for de quatro dígitos, todas as 9999 combinações de PIN possíveis poderão ser tentadas em pouco mais de dois anos.
Dica
Aumentar o comprimento do PIN requer um número maior de suposições para um invasor. Nesse caso, a duração do bloqueio entre cada palpite pode ser reduzida para permitir que usuários legítimos tentem novamente uma tentativa com falha mais cedo, mantendo um nível semelhante de proteção.
Observação
Se o comprimento mínimo do PIN for definido abaixo de 6 dígitos, o Windows tentará atualizar o período de bloqueio do TPM 2.0 para ser maior que o padrão quando um PIN for alterado. Se for bem-sucedido, o Windows só redefinirá o período de bloqueio do TPM de volta ao padrão se o TPM for redefinido.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política é usada para configurar a mensagem de recuperação e para substituir a URL existente exibida na tela de recuperação de pré-inicialização quando a unidade do sistema operacional está bloqueada.
- Se você selecionar a opção Usar a mensagem de recuperação padrão e a URL , a mensagem de recuperação e a URL padrão do BitLocker serão exibidas na tela de recuperação de chave de pré-inicialização. Se você tiver configurado anteriormente uma mensagem de recuperação personalizada ou URL e quiser reverter à mensagem padrão, você deve manter a política habilitada e selecionar a opção Usar mensagem de recuperação padrão e URL
- Se você selecionar a opção Usar mensagem de recuperação personalizada , a mensagem adicionada à caixa de texto opção de recuperação personalizada será exibida na tela de recuperação de chave de pré-inicialização. Se uma URL de recuperação estiver disponível, inclua-a na mensagem
- Se você selecionar a opção Usar URL de recuperação personalizada , a URL adicionada à caixa de texto de opção URL de recuperação personalizada substituirá a URL padrão na mensagem de recuperação padrão, que é exibida na tela de recuperação de chave preboot
Observação
Nem todos os caracteres e idiomas têm suporte na pré-inicialização. É altamente recomendável testar que os caracteres que você usa para a mensagem personalizada ou URL aparecem corretamente na tela de recuperação de pré-inicialização.
Para obter mais informações sobre a tela de recuperação de pré-inicialização do BitLocker, consulte Tela de recuperação preboot.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política determina quais valores o TPM mede quando valida os componentes de inicialização iniciais antes de desbloquear uma unidade do sistema operacional em um computador com uma configuração BIOS ou com firmware UEFI que tenha o CSM (Módulo de Suporte de Compatibilidade) habilitado.
- Quando habilitado, os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografado pelo BitLocker podem ser configurados. Se algum desses componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade. Em vez disso, o computador exibe o console do BitLocker Recovery e exige que a senha de recuperação ou a chave de recuperação sejam fornecidas para desbloquear a unidade.
- Quando desabilitado ou não configurado, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação da plataforma especificado pelo script de configuração.
Essa configuração de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção TPM.
Importante
Essa configuração de Política de Grupo só se aplica a computadores com configurações de BIOS ou a computadores com firmware UEFI com o CSM habilitado. Computadores que usam uma configuração de firmware UEFI nativo armazenam valores diferentes nos PCRs (Registros de Configuração de Plataforma). Use o perfil de validação da plataforma TPM para a configuração de política de configurações de firmware da UEFI nativa para configurar o perfil TPM PCR para computadores que usam firmware UEFI nativo.
Um perfil de validação de plataforma consiste em um conjunto de índices PCR que variam de 0 a 23. Cada índice PCR representa uma medida específica que o TPM valida durante a inicialização antecipada. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações nos seguintes PCRs:
| PCR |
Descrição |
| PCR 0 |
Raiz de confiança principal para extensões de medição, BIOS e plataforma |
| PCR 2 |
Código ROM de opção |
| PCR 4 |
Código MBR (Registro de Inicialização Mestre) |
| PCR 8 |
Setor de inicialização do NTFS |
| PCR 9 |
Bloco de inicialização NTFS |
| PCR 10 |
Gerenciador de inicialização |
| PCR 11 |
Controle de acesso do BitLocker |
Observação
A alteração do perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento de um computador. A sensibilidade do BitLocker às modificações de plataforma (mal-intencionadas ou autorizadas) é aumentada ou reduzida dependendo da inclusão ou exclusão (respectivamente) dos PCRs.
A lista a seguir identifica todos os PCRs disponíveis:
| PCR |
Descrição |
| PCR 0 |
Raiz de confiança principal para extensões de medição, BIOS e plataforma |
| PCR 1 |
Configuração e dados da plataforma e da placa-mãe. |
| PCR 2 |
Código ROM de opção |
| PCR 3 |
Opções de dados e configuração de ROM |
| PCR 4 |
Código MBR (Registro de Inicialização Mestre) |
| PCR 5 |
Tabela de partição MBR (Registro de Inicialização Mestre) |
| PCR 6 |
Eventos de transição e velório de estado |
| PCR 7 |
Específico do fabricante do computador |
| PCR 8 |
Setor de inicialização do NTFS |
| PCR 9 |
Bloco de inicialização NTFS |
| PCR 10 |
Gerenciador de inicialização |
| PCR 11 |
Controle de acesso do BitLocker |
| PCR 12-23 |
Reservado para uso futuro |
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política determina quais valores o TPM mede quando valida os componentes de inicialização iniciais antes de desbloquear a unidade do sistema operacional no dispositivo de firmware nativo-UEFI.
- Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização validados pelo TPM antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Se algum desses componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade. O dispositivo exibe o console do BitLocker Recovery e exige que a senha de recuperação ou a chave de recuperação sejam fornecidas para desbloquear a unidade
- Se você desabilitar ou não configurar essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão para o hardware disponível ou o perfil de validação da plataforma especificado pelo script de configuração
Importante
Essa configuração de política só se aplica a dispositivos com uma configuração de firmware UEFI nativa. Computadores com firmware BIOS ou UEFI com um CSM (Módulo de Suporte de Compatibilidade) habilitado armazenam valores diferentes nos PCRs (Registros de Configuração de Plataforma). Use o perfil de validação da plataforma TPM para configurações de firmware baseadas em BIOS para configurar o perfil TPM PCR para dispositivos com configurações de BIOS ou para dispositivos com firmware UEFI com um CSM habilitado.
Um perfil de validação de plataforma consiste em um conjunto de índices PCR que variam de 0 a 23. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações nos seguintes PCRs:
| PCR |
Descrição |
| PCR 0 |
Código executável do Core System Firmware |
| PCR 2 |
Código executável estendido ou plugável |
| PCR 4 |
Gerenciador de Inicialização |
| PCR 11 |
Controle de acesso do BitLocker |
Observação
Quando o suporte ao Estado de Inicialização Segura (PCR7) está disponível, o perfil de validação de plataforma padrão protege a chave de criptografia usando o Estado de Inicialização Segura (PCR 7) e o controle de acesso do BitLocker (PCR 11).
A lista a seguir identifica todos os PCRs disponíveis:
| PCR |
Descrição |
| PCR 0 |
Código executável do Core System Firmware |
| PCR 1 |
Dados do Firmware do Sistema Principal |
| PCR 2 |
Código executável estendido ou plugável |
| PCR 3 |
Dados de firmware estendidos ou plugáveis |
| PCR 4 |
Gerenciador de Inicialização |
| PCR 5 |
Tabela GPT/Partição |
| PCR 6 |
Retomar de Eventos do Estado do Power S4 e S5 |
| PCR 7 |
Estado de inicialização segura |
| PCR 8 |
Inicializado para 0 sem Extensões (reservado para uso futuro) |
| PCR 9 |
Inicializado para 0 sem Extensões (reservado para uso futuro) |
| PCR 10 |
Inicializado para 0 sem Extensões (reservado para uso futuro) |
| PCR 11 |
Controle de acesso do BitLocker |
| PCR 12 |
Eventos de dados e eventos altamente voláteis |
| PCR 13 |
Detalhes do módulo de inicialização |
| PCR 14 |
Autoridades de Inicialização |
| PCR 15 - 23 |
Reservado para uso futuro |
Aviso
A alteração do perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento de um dispositivo. A sensibilidade do BitLocker às modificações de plataforma (mal-intencionadas ou autorizadas) é aumentada ou reduzida dependendo da inclusão ou exclusão (respectivamente) dos PCRs.
Definir essa política com PCR 7 omitido substitui a política Permitir Inicialização Segura para validação de integridade , impedindo que o BitLocker use a Inicialização Segura para validação de integridade bcd (dados de configuração de inicialização) ou plataforma.
A configuração dessa política pode resultar na recuperação do BitLocker quando o firmware é atualizado. Se você definir essa política para incluir o PCR 0, suspenda o BitLocker antes de aplicar atualizações de firmware. É recomendável não configurar essa política, para permitir que o Windows selecione o perfil PCR para obter a melhor combinação de segurança e usabilidade com base no hardware disponível em cada dispositivo.
O PCR 7 mede o estado da Inicialização Segura. Com o PCR 7, o BitLocker pode usar a Inicialização Segura para validação de integridade. A Inicialização Segura garante que o ambiente de pré-inicialização do computador carregue apenas o firmware que é assinado digitalmente por editores de software autorizados. As medidas do PCR 7 indicam se a Inicialização Segura está ativada e quais chaves são confiáveis na plataforma. Se a Inicialização Segura estiver ativada e o firmware medir o PCR 7 corretamente de acordo com a especificação UEFI, o BitLocker poderá se associar a essas informações em vez das PCRs 0, 2 e 4, que têm as medidas do firmware exato e das imagens do Bootmgr carregadas. Esse processo reduz a probabilidade de o BitLocker começar no modo de recuperação como resultado de atualizações de firmware e imagem e fornece maior flexibilidade para gerenciar a configuração de pré-inicialização.
As medidas do PCR 7 devem seguir as diretrizes descritas no Apêndice Um Protocolo EFI de Ambiente de Execução Confiável.
As medidas pcr 7 são um requisito de logotipo obrigatório para sistemas que dão suporte a Espera Moderna (também conhecidos como Always On, PCs Always Connected). Nesses sistemas, se o TPM com a medida PCR 7 e a inicialização segura estiverem configurados corretamente, o BitLocker se associa ao PCR 7 e ao PCR 11 por padrão.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política permite gerenciar o uso de criptografia baseada em hardware do BitLocker em unidades do sistema operacional e especificar quais algoritmos de criptografia ele pode usar com criptografia baseada em hardware. O uso de criptografia baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem leitura frequente ou gravação de dados na unidade.
Se você habilitar essa configuração de política, poderá especificar opções que controlam se a criptografia baseada em software do BitLocker é usada em vez de criptografia baseada em hardware em dispositivos que não dão suporte à criptografia baseada em hardware. Você também pode especificar se deseja restringir os algoritmos de criptografia e os pacotes de criptografia usados com criptografia baseada em hardware.
Se você desabilitar essa configuração de política, o BitLocker não poderá usar criptografia baseada em hardware com unidades do sistema operacional e a criptografia baseada em software do BitLocker será usada por padrão quando a unidade for criptografada.
Se você não configurar essa configuração de política, o BitLocker usará criptografia baseada em software, independentemente da disponibilidade de criptografia baseada em hardware.
Observação
O método Escolher criptografia de unidade e a configuração da política de força de codificação não se aplicam à criptografia baseada em hardware. O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade.
A opção Restringir algoritmos de criptografia e cipher permitidos para a opção de criptografia baseada em hardware permite restringir os algoritmos de criptografia que o BitLocker pode usar com criptografia de hardware. Se o conjunto de algoritmos para a unidade não estiver disponível, o BitLocker desabilita o uso de criptografia baseada em hardware. Algoritmos de criptografia são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política especifica as restrições para senhas usadas para desbloquear unidades do sistema operacional protegidas pelo BitLocker. Se protetores não TPM forem permitidos em unidades do sistema operacional, você poderá provisionar uma senha, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a configuração do requisito de complexidade seja eficaz, a configuração da política de grupo Senha deve atender aos requisitos de complexidade localizados naPolítica de Senha dasPolíticas>>> de Conta deConfiguraçõesdeSegurançade Configurações> do Computador, também deve estar habilitada.
Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos. Para impor requisitos de complexidade na senha, selecione Exigir complexidade:
- Quando definido como Exigir complexidade, uma conexão com um controlador de domínio é necessária quando o BitLocker está habilitado para validar a complexidade da senha
- Quando definido como Permitir complexidade, uma conexão com um controlador de domínio é tentada para validar que a complexidade adere às regras definidas pela política. Se nenhum controlador de domínio for encontrado, a senha será aceita independentemente da complexidade real da senha e a unidade será criptografada usando essa senha como protetor
- Quando definido como Não permitir complexidade, a complexidade da senha não é validada
As senhas devem ter pelo menos oito caracteres. Para configurar um comprimento mínimo maior para a senha, especifique o número desejado de caracteres em Comprimento mínimo de senha
Se você desabilitar ou não configurar essa configuração de política, a restrição de comprimento padrão de oito caracteres se aplicará a senhas de unidade do sistema operacional e nenhuma verificação de complexidade ocorrerá.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Não permitir que os usuários padrão alterem o PIN ou a senha
Essa política permite a configuração de se os usuários padrão podem alterar o PIN ou a senha que é usado para proteger a unidade do sistema operacional, se eles puderem fornecer o PIN existente primeiro.
Se você habilitar essa política, os usuários padrão não poderão alterar PINs ou senhas do BitLocker.
Se você desabilitar ou não configurar essa política, os usuários padrão poderão alterar PINs e senhas do BitLocker.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política permite que os usuários ativem opções de autenticação que exigem a entrada do usuário do ambiente de pré-inicialização, mesmo que a plataforma não tenha capacidade de entrada de pré-inicialização. O teclado sensível ao toque do Windows (como o usado por tablets) não está disponível no ambiente de pré-inicialização em que o BitLocker requer informações adicionais, como um PIN ou Senha.
- Se você habilitar essa configuração de política, os dispositivos devem ter um meio alternativo de entrada de pré-inicialização (como um teclado USB anexado).
- Se essa política não estiver habilitada, o Ambiente de Recuperação do Windows deve ser habilitado em tablets para dar suporte à entrada da senha de recuperação do BitLocker.
É recomendável que os administradores habilitem essa política apenas para dispositivos verificados para ter um meio alternativo de entrada de pré-inicialização, como anexar um teclado USB.
Quando o WinRE (Ambiente de Recuperação do Windows) não está habilitado e essa política não está habilitada, o BitLocker não pode ser ativado em um dispositivo que usa um teclado sensível ao toque.
Se essa configuração de política não estiver habilitada, as seguintes opções na política Exigir autenticação adicional na política de inicialização poderão não estar disponíveis:
- Configurar o PIN de inicialização do TPM: obrigatório e permitido
- Configurar a chave de inicialização do TPM e o PIN: obrigatório e permitido
- Configurar o uso de senhas para unidades do sistema operacional
Impor o tipo de criptografia de unidade em unidades do sistema operacional
Essa configuração de política permite configurar o tipo de criptografia usado pela Criptografia de Unidade do BitLocker.
Quando você habilita essa configuração de política, a opção de tipo de criptografia não é oferecida no assistente de instalação do BitLocker:
- Escolha criptografia completa para exigir que toda a unidade seja criptografada quando o BitLocker estiver ativado
- Escolha somente criptografia de espaço usado para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker estiver ativado
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.
Observação
A alteração do tipo de criptografia não terá efeito se a unidade já estiver criptografada ou se a criptografia estiver em andamento.
Essa política é ignorada ao reduzir ou expandir um volume e o driver BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Somente Espaço Usado é expandida, o novo espaço livre não é apagado como uma unidade que usa criptografia completa. O usuário poderia apagar o espaço livre em uma unidade somente espaço usado usando o seguinte comando: manage-bde.exe -w. Se o volume for reduzido, nenhuma ação será tomada para o novo espaço livre.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Exigir autenticação adicional na inicialização
Essa configuração de política configura se o BitLocker requer autenticação extra sempre que o dispositivo é iniciado.
Se você habilitar essa política, os usuários poderão configurar opções avançadas de inicialização no assistente de instalação do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, os usuários poderão configurar apenas opções básicas em computadores com um TPM.
Observação
Somente uma das opções de autenticação adicionais pode ser necessária na inicialização, caso contrário, ocorrerá um erro de política.
Se você quiser usar o BitLocker em um dispositivo sem um TPM, selecione a opção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha ou uma unidade USB são necessárias para inicialização.
Ao usar uma chave de inicialização, as principais informações usadas para criptografar a unidade são armazenadas na unidade USB, criando uma chave USB. Quando a chave USB é inserida, o acesso à unidade é autenticado e a unidade é acessível. Se a chave USB estiver perdida ou indisponível ou se você esqueceu a senha, use uma das opções de recuperação do BitLocker para acessar a unidade.
Em um computador com um TPM compatível, quatro tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar:
- Somente TPM
- uma unidade flash USB que contém uma chave de inicialização
- um PIN (de 6 dígitos a 20 dígitos)
- Unidade flash PIN + USB
Observação
Se você quiser exigir o uso de um PIN de inicialização e uma unidade flash USB, você deve configurar as configurações do BitLocker usando a ferramenta de linha de comando manage-bde em vez do assistente de configuração de Criptografia de Unidade do BitLocker.
Há quatro opções para dispositivos habilitados para TPM:
Configurar a inicialização do TPM
- Permitir TPM
- Exigir TPM
- Não permitir o TPM
Configurar o PIN de inicialização do TPM
- Permitir PIN de inicialização com TPM
- Exigir PIN de inicialização com TPM
- Não permitir o PIN de inicialização com o TPM
Configurar a chave de inicialização do TPM
- Permitir a chave de inicialização com o TPM
- Exigir a chave de inicialização com o TPM
- Não permitir a chave de inicialização com o TPM
Configurar a chave de inicialização do TPM e o PIN
- Permitir a chave de inicialização do TPM com PIN
- Exigir chave de inicialização e PIN com TPM
- Não permitir a chave de inicialização do TPM com PIN
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Essa configuração de política determina se os dados de validação da plataforma devem ser atualizados quando o Windows é iniciado após uma recuperação do BitLocker. Um perfil de dados de validação de plataforma consiste nos valores em um conjunto de índices do PCR (Registro de Configuração de Plataforma) que variam de 0 a 23.
Se você habilitar essa configuração de política, os dados de validação da plataforma serão atualizados quando o Windows for iniciado após a recuperação do BitLocker. Este é o comportamento padrão.
Se você desabilitar essa configuração de política, os dados de validação da plataforma não serão atualizados quando o Windows for iniciado após a recuperação do BitLocker.
Para obter mais informações sobre o processo de recuperação, confira a visão geral da recuperação do BitLocker.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Usar o perfil de validação de dados de configuração de inicialização aprimorado
Essa configuração de política determina configurações específicas de BCD (Dados de Configuração de Inicialização) para verificar durante a validação da plataforma. Uma validação de plataforma usa os dados no perfil de validação da plataforma, que consiste em um conjunto de índices de PCR (Registro de Configuração de Plataforma) que variam de 0 a 23.
Se você não configurar essa configuração de política, o dispositivo verificará as configurações padrão do Windows BCD.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades do sistema operacional |
Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Essa configuração de política permite controlar como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias. Se você habilitar essa configuração de política, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades de dados fixas protegidas pelo BitLocker. Aqui estão as opções disponíveis:
- Permitir agente de recuperação de dados baseado em certificado: especifique se um agente de recuperação de dados pode ser usado com unidades de dados fixas protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item Políticas de Chave Pública no Console de Gerenciamento de Política de Grupo ou no Editor de Política de Grupo Local
- Configurar o armazenamento do usuário das informações de recuperação do BitLocker: selecione se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
- Omitir opções de recuperação do assistente de instalação do BitLocker: impedir que os usuários especifiquem as opções de recuperação quando ativarem o BitLocker para uma unidade. Isso significa que os usuários não poderão especificar qual opção de recuperação usar ao ativar o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política
- Salve as informações de recuperação do BitLocker para Active Directory Domain Services: escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades de dados fixas. Se você selecionar a senha de recuperação de backup e o pacote de chaves, a senha de recuperação do BitLocker e o pacote de chaves serão armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi fisicamente corrompida. Se você selecionar somente a senha de recuperação de backup, somente a senha de recuperação será armazenada no AD DS
- Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas: impede que os usuários habilitem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação do BitLocker no AD DS seja bem-sucedido. Ao usar essa opção, uma senha de recuperação é gerada automaticamente.
Importante
O uso de chaves de recuperação deve ser negado se o acesso de gravação Negar a unidades fixas não protegidas pela configuração de política do BitLocker estiver habilitado.
Se essa configuração de política estiver desabilitada ou não estiver configurada, as opções de recuperação padrão serão compatíveis com a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não são compatíveis com o AD DS.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Essa configuração de política permite que você gerencie o uso de criptografia baseada em hardware do BitLocker em unidades de dados fixas e especifique quais algoritmos de criptografia ele pode usar com criptografia baseada em hardware. O uso de criptografia baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem leitura frequente ou gravação de dados na unidade.
Se você habilitar essa configuração de política, poderá especificar opções que controlam se a criptografia baseada em software do BitLocker é usada em vez de criptografia baseada em hardware em dispositivos que não dão suporte à criptografia baseada em hardware. Você também pode especificar se deseja restringir os algoritmos de criptografia e os pacotes de criptografia usados com criptografia baseada em hardware.
Se você desabilitar essa configuração de política, o BitLocker não poderá usar criptografia baseada em hardware com unidades de dados fixas e a criptografia baseada em software do BitLocker será usada por padrão quando a unidade for criptografada.
Se você não configurar essa configuração de política, o BitLocker usará criptografia baseada em software, independentemente da disponibilidade de criptografia baseada em hardware.
Observação
O método Escolher criptografia de unidade e a configuração da política de força de codificação não se aplicam à criptografia baseada em hardware. O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade.
A opção Restringir algoritmos de criptografia e cipher permitidos para a opção de criptografia baseada em hardware permite restringir os algoritmos de criptografia que o BitLocker pode usar com criptografia de hardware. Se o conjunto de algoritmos para a unidade não estiver disponível, o BitLocker desabilita o uso de criptografia baseada em hardware. Algoritmos de criptografia são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Essa configuração de política especifica se uma senha é necessária para desbloquear unidades de dados fixas protegidas pelo BitLocker. Se você optar por permitir o uso de uma senha, poderá exigir que uma senha seja usada, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a configuração do requisito de complexidade seja eficaz, a configuração da política de grupo Senha deve atender aos requisitos de complexidade localizados naPolítica de Senha dasPolíticas>>> de Conta deConfiguraçõesdeSegurançade Configurações> do Computador, também deve estar habilitada.
Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos. Para impor requisitos de complexidade na senha, selecione Exigir complexidade:
- Quando definido como Exigir complexidade, uma conexão com um controlador de domínio é necessária quando o BitLocker está habilitado para validar a complexidade da senha
- Quando definido como Permitir complexidade, uma conexão com um controlador de domínio é tentada para validar que a complexidade adere às regras definidas pela política. Se nenhum controlador de domínio for encontrado, a senha será aceita independentemente da complexidade real da senha e a unidade será criptografada usando essa senha como protetor
- Quando definido como Não permitir complexidade, a complexidade da senha não é validada
As senhas devem ter pelo menos oito caracteres. Para configurar um comprimento mínimo maior para a senha, especifique o número desejado de caracteres em Comprimento mínimo de senha
Se você desabilitar ou não configurar essa configuração de política, a restrição de comprimento padrão de oito caracteres se aplicará a senhas de unidade do sistema operacional e nenhuma verificação de complexidade ocorrerá.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Essa configuração de política permite especificar se os cartões inteligentes podem ser usados para autenticar o acesso do usuário às unidades de dados fixas protegidas pelo BitLocker.
- Se você habilitar essa configuração de política, os cartões inteligentes poderão ser usados para autenticar o acesso do usuário à unidade
- Você pode exigir uma autenticação de cartão inteligente selecionando a opção Exigir uso de cartões inteligentes em unidades de dados fixas
- Se você desabilitar essa configuração de política, os usuários não poderão usar cartões inteligentes para autenticar seu acesso a unidades de dados fixas protegidas pelo BitLocker
- Se você não configurar essa configuração de política, os cartões inteligentes poderão ser usados para autenticar o acesso do usuário a uma unidade protegida pelo BitLocker
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker
Essa configuração de política é usada para exigir criptografia de unidades fixas antes de conceder acesso à gravação .
Se você habilitar essa configuração de política, todas as unidades de dados fixas que não são protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade estiver protegida pelo BitLocker, ela será montada com acesso de leitura e gravação.
Se você desabilitar ou não configurar essa configuração de política, todas as unidades de dados fixas no computador serão montadas com acesso de leitura e gravação.
Observação
Quando essa configuração de política está habilitada, os usuários recebem mensagens de erro negadas pelo Access quando tentam salvar dados em unidades de dados fixas não criptografadas.
Se a Ferramenta BdeHdCfg.exe de Preparação da Unidade do BitLocker for executada em um computador quando essa configuração de política estiver habilitada, os seguintes problemas poderão ser encontrados:
- Se você tentar reduzir uma unidade para criar a unidade do sistema, o tamanho da unidade será reduzido com êxito e uma partição bruta será criada. No entanto, a partição bruta não é formatada. A seguinte mensagem de erro é exibida: a nova unidade ativa não pode ser formatada. Talvez seja necessário preparar manualmente sua unidade para o BitLocker.
- Se você tentar usar espaço não alocado para criar a unidade do sistema, uma partição bruta será criada. No entanto, a partição bruta não é formatada. A seguinte mensagem de erro é exibida: a nova unidade ativa não pode ser formatada. Talvez seja necessário preparar manualmente sua unidade para o BitLocker.
- Se você tentar mesclar uma unidade existente na unidade do sistema, a ferramenta não copiará o arquivo de inicialização necessário na unidade de destino para criar a unidade do sistema. A seguinte mensagem de erro é exibida: a instalação do BitLocker falhou ao copiar arquivos de inicialização. Talvez seja necessário preparar manualmente sua unidade para o BitLocker.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Impor o tipo de criptografia de unidade em unidades de dados fixas
Essa configuração de política controla o uso do BitLocker em unidades de dados fixas.
Se você habilitar essa política configurando o tipo de criptografia que o BitLocker usa para criptografar unidades for definido por essa política, e a opção de tipo de criptografia não será apresentada no assistente de configuração do BitLocker:
- Escolha criptografia completa para exigir que toda a unidade seja criptografada quando o BitLocker estiver ativado
- Escolha somente criptografia de espaço usado para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker estiver ativado
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.
Observação
A alteração do tipo de criptografia não terá efeito se a unidade já estiver criptografada ou se a criptografia estiver em andamento.
Essa política é ignorada ao reduzir ou expandir um volume e o driver BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Somente Espaço Usado é expandida, o novo espaço livre não é apagado como uma unidade que usa criptografia completa. O usuário poderia apagar o espaço livre em uma unidade somente espaço usado usando o seguinte comando: manage-bde.exe -w. Se o volume for reduzido, nenhuma ação será tomada para o novo espaço livre.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados fixas |
Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas
Essa configuração de política permite controlar como as unidades de dados removíveis protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias. Se você habilitar essa configuração de política, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades de dados removíveis protegidas pelo BitLocker. Aqui estão as opções disponíveis:
- Permitir agente de recuperação de dados baseado em certificado: especifique se um agente de recuperação de dados pode ser usado com unidades de dados removíveis protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item Políticas de Chave Pública no Console de Gerenciamento de Política de Grupo ou no Editor de Política de Grupo Local
- Configurar o armazenamento do usuário das informações de recuperação do BitLocker: selecione se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
- Omitir opções de recuperação do assistente de instalação do BitLocker: impedir que os usuários especifiquem as opções de recuperação quando ativarem o BitLocker para uma unidade. Isso significa que os usuários não poderão especificar qual opção de recuperação usar ao ativar o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política
- Salve as informações de recuperação do BitLocker para Active Directory Domain Services: escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades de dados removíveis. Se você selecionar a senha de recuperação de backup e o pacote de chaves, a senha de recuperação do BitLocker e o pacote de chaves serão armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi fisicamente corrompida. Se você selecionar somente a senha de recuperação de backup, somente a senha de recuperação será armazenada no AD DS
- Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados removíveis: impede que os usuários habilitem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação do BitLocker no AD DS seja bem-sucedido. Ao usar essa opção, uma senha de recuperação é gerada automaticamente.
Importante
O uso de chaves de recuperação deve ser negado se o acesso de gravação Negar a unidades removíveis não protegidas pela configuração de política do BitLocker estiver habilitado.
Se essa configuração de política estiver desabilitada ou não estiver configurada, as opções de recuperação padrão serão compatíveis com a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não são compatíveis com o AD DS.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Essa configuração de política permite gerenciar o uso de criptografia baseada em hardware do BitLocker em unidades de dados removíveis e especificar quais algoritmos de criptografia ele pode usar com criptografia baseada em hardware. O uso de criptografia baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem leitura frequente ou gravação de dados na unidade.
Se você habilitar essa configuração de política, poderá especificar opções que controlam se a criptografia baseada em software do BitLocker é usada em vez de criptografia baseada em hardware em dispositivos que não dão suporte à criptografia baseada em hardware. Você também pode especificar se deseja restringir os algoritmos de criptografia e os pacotes de criptografia usados com criptografia baseada em hardware.
Se você desabilitar essa configuração de política, o BitLocker não poderá usar criptografia baseada em hardware com unidades de dados removíveis e a criptografia baseada em software do BitLocker será usada por padrão quando a unidade for criptografada.
Se você não configurar essa configuração de política, o BitLocker usará criptografia baseada em software, independentemente da disponibilidade de criptografia baseada em hardware.
Observação
O método Escolher criptografia de unidade e a configuração da política de força de codificação não se aplicam à criptografia baseada em hardware. O algoritmo de criptografia usado pela criptografia baseada em hardware é definido quando a unidade é particionada. Por padrão, o BitLocker usa o algoritmo configurado na unidade para criptografar a unidade.
A opção Restringir algoritmos de criptografia e cipher permitidos para a opção de criptografia baseada em hardware permite restringir os algoritmos de criptografia que o BitLocker pode usar com criptografia de hardware. Se o conjunto de algoritmos para a unidade não estiver disponível, o BitLocker desabilita o uso de criptografia baseada em hardware. Algoritmos de criptografia são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Essa configuração de política especifica se uma senha é necessária para desbloquear unidades de dados removíveis protegidas pelo BitLocker. Se você optar por permitir o uso de uma senha, poderá exigir que uma senha seja usada, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a configuração do requisito de complexidade seja eficaz, a configuração da política de grupo Senha deve atender aos requisitos de complexidade localizados naPolítica de Senha dasPolíticas>>> de Conta deConfiguraçõesdeSegurançade Configurações> do Computador, também deve estar habilitada.
Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos. Para impor requisitos de complexidade na senha, selecione Exigir complexidade:
- Quando definido como Exigir complexidade, uma conexão com um controlador de domínio é necessária quando o BitLocker está habilitado para validar a complexidade da senha
- Quando definido como Permitir complexidade, uma conexão com um controlador de domínio é tentada para validar que a complexidade adere às regras definidas pela política. Se nenhum controlador de domínio for encontrado, a senha será aceita independentemente da complexidade real da senha e a unidade será criptografada usando essa senha como protetor
- Quando definido como Não permitir complexidade, a complexidade da senha não é validada
As senhas devem ter pelo menos 8 caracteres. Para configurar um comprimento mínimo maior para a senha, especifique o número desejado de caracteres em Comprimento mínimo de senha
Se você desabilitar ou não configurar essa configuração de política, a restrição de comprimento padrão de oito caracteres se aplicará a senhas de unidade do sistema operacional e nenhuma verificação de complexidade ocorrerá.
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Essa configuração de política permite especificar se cartões inteligentes podem ser usados para autenticar o acesso do usuário às unidades de dados removíveis protegidas pelo BitLocker.
- Se você habilitar essa configuração de política, os cartões inteligentes poderão ser usados para autenticar o acesso do usuário à unidade
- Você pode exigir uma autenticação de cartão inteligente selecionando a opção Exigir uso de cartões inteligentes em unidades de dados removíveis
- Se você desabilitar essa configuração de política, os usuários não poderão usar cartões inteligentes para autenticar seu acesso a unidades de dados removíveis protegidas pelo BitLocker
- Se você não configurar essa configuração de política, os cartões inteligentes poderão ser usados para autenticar o acesso do usuário a uma unidade protegida pelo BitLocker
|
Caminho |
| CSP |
Indisponível |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Controlar o uso do BitLocker em unidades removíveis
Essa configuração de política controla o uso do BitLocker em unidades de dados removíveis.
Quando essa configuração de política estiver habilitada, você pode selecionar configurações de propriedade que controlam como os usuários podem configurar o BitLocker:
- Escolha Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis para permitir que o usuário execute o assistente de instalação do BitLocker em uma unidade de dados removível
- Escolha Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que o usuário remova a criptografia do BitLocker da unidade ou suspenda a criptografia enquanto a manutenção é executada
Se você desabilitar essa configuração de política, os usuários não poderão usar o BitLocker em unidades de disco removíveis.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Essa configuração de política configura se a proteção do BitLocker é necessária para que um dispositivo possa gravar dados em uma unidade de dados removível.
Se você habilitar essa configuração de política:
- todas as unidades de dados removíveis que não são protegidas pelo BitLocker são montadas como somente leitura
- se a unidade estiver protegida pelo BitLocker, ela será montada com acesso de leitura e gravação
- se a opção Negar acesso de gravação a dispositivos configurados em outra opção de organização for selecionada, somente unidades com campos de identificação correspondentes aos campos de identificação do computador receberão acesso à gravação
- Quando uma unidade de dados removível é acessada, ela é verificada se há campo de identificação válido e campos de identificação permitidos. Esses campos são definidos pela configuração de política (Fornecer os identificadores exclusivos para sua organização)[]
Se você desabilitar ou não configurar essa configuração de política, todas as unidades de dados removíveis no computador serão montadas com acesso de leitura e gravação.
Observação
Essa configuração de política será ignorada se as configurações de política Discos Removíveis: Negar acesso à gravação estiver habilitada.
Importante
Se você habilitar essa política:
- O uso do BitLocker com a chave de inicialização do TPM ou a chave TPM e o PIN deve ser desautorizado
- O uso de chaves de recuperação deve ser desautorizado
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Impor o tipo de criptografia de unidade em unidades de dados removíveis
Essa configuração de política controla o uso do BitLocker em unidades de dados removíveis.
Quando você habilita essa configuração de política, a opção de tipo de criptografia não é oferecida no assistente de instalação do BitLocker:
- Escolha criptografia completa para exigir que toda a unidade seja criptografada quando o BitLocker estiver ativado
- Escolha somente criptografia de espaço usado para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker estiver ativado
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.
Observação
A alteração do tipo de criptografia não terá efeito se a unidade já estiver criptografada ou se a criptografia estiver em andamento.
Essa política é ignorada ao reduzir ou expandir um volume e o driver BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando a criptografia Somente Espaço Usado é expandida, o novo espaço livre não é apagado como uma unidade que usa criptografia completa. O usuário poderia apagar o espaço livre em uma unidade somente espaço usado usando o seguinte comando: manage-bde.exe -w. Se o volume for reduzido, nenhuma ação será tomada para o novo espaço livre.
|
Caminho |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType |
| GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsCriptografia >de unidade do BitLockerUnidades de dados removíveis |
Unidades removíveis excluídas da criptografia
Configurações comuns
Unidade do sistema operacional
Unidades de dados fixas