Guia de planejamento do BitLocker
Uma estratégia de implantação do BitLocker inclui a definição das políticas e requisitos de configuração apropriados com base nos requisitos de segurança da sua organização. Este artigo ajuda a coletar as informações para ajudar com uma implantação do BitLocker.
Auditar o ambiente
Para planejar uma implantação do BitLocker, entenda o ambiente atual. Execute uma auditoria informal para definir as políticas, os procedimentos e o ambiente de hardware atuais. Examine o software de criptografia de disco existente e as políticas de segurança da organização. Se a organização não estiver usando software de criptografia de disco, essas políticas poderão não existir. Se o software de criptografia de disco estiver em uso, as políticas talvez precisem ser alteradas para usar determinados recursos do BitLocker.
Para ajudar a documentar as políticas atuais de segurança de criptografia de disco da organização, responda às seguintes perguntas:
| ☑️ | Pergunta |
|---|---|
| 🔲 | Há políticas para determinar quais dispositivos devem usar o BitLocker e quais não? |
| 🔲 | Quais políticas existem para controlar a senha de recuperação e o armazenamento de chaves de recuperação? |
| 🔲 | Quais são as políticas para validar a identidade dos usuários que precisam executar a recuperação do BitLocker? |
| 🔲 | Quais políticas existem para controlar quem na organização tem acesso aos dados de recuperação? |
| 🔲 | Quais políticas existem para controlar o descomissionamento ou a aposentadoria de dispositivos? |
| 🔲 | Qual força do algoritmo de criptografia está em vigor? |
Chaves de criptografia e autenticação
Um TPM (módulo de plataforma confiável) é um componente de hardware instalado em muitos dispositivos Windows pelos fabricantes. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e garantir que um dispositivo não tenha sido adulterado enquanto o sistema estava offline.
O BitLocker pode bloquear o processo normal de inicialização até que o usuário forneça um PIN (número de identificação pessoal) ou insira um dispositivo USB removível que contenha uma chave de inicialização. Essas medidas de segurança extras fornecem autenticação multifator. Eles também garantem que o computador não inicie ou retome da hibernação até que o PIN ou a chave de inicialização corretos sejam apresentados.
Em dispositivos que não têm um TPM, o BitLocker ainda pode ser usado para criptografar o volume do sistema operacional Windows. No entanto, essa implementação não fornece a verificação de integridade do sistema pré-inicialização oferecida pelo BitLocker trabalhando com um TPM.
Uma implementação eficaz da proteção de informações, como a maioria dos controles de segurança, considera usabilidade e segurança. Normalmente, os usuários preferem uma experiência de segurança simples. Na verdade, quanto mais transparente uma solução de segurança se torna, mais provável que os usuários estejam de acordo com a ela.
É crucial que as organizações protejam informações em seus dispositivos, independentemente do estado do dispositivo ou da intenção dos usuários. Essa proteção não deve ser complicada para os usuários. Uma situação indesejável e anteriormente comum é quando o usuário é solicitado a entrar durante a pré-inicialização e, em seguida, novamente durante a entrada do Windows. Solicitar entrada dos usuários mais de uma vez deve ser evitado.
O TPM é capaz de proteger com segurança a chave de criptografia BitLocker enquanto ela estiver em repouso e pode desbloquear com segurança a unidade do sistema operacional. Quando a chave está em uso e, portanto, na memória, uma combinação de hardware e recursos do Windows pode proteger a chave e impedir o acesso não autorizado por meio de ataques de inicialização fria. Embora outras contramedidas como o desbloqueio baseado em PIN estejam disponíveis, elas não são tão amigáveis para o usuário; dependendo da configuração dos dispositivos, eles podem não oferecer mais segurança quando se trata de proteção de chave. Para obter mais informações, confira Contramedidas do BitLocker.
Protetores de chave BitLocker
Para proteger a chave de criptografia BitLocker, o BitLocker pode usar diferentes tipos de protetores. Ao habilitar o BitLocker, cada protetor recebe uma cópia da Chave Mestre de Volume, que é criptografada usando seu próprio mecanismo.
| Protetor de chave | Descrição |
|---|---|
| Desbloqueio automático | Usado para desbloquear automaticamente volumes que não hospedam um sistema operacional. O BitLocker usa informações criptografadas armazenadas no registro e nos metadados de volume para desbloquear todos os volumes de dados que usam o desbloqueio automático. |
| Senha e senha para unidade do sistema operacional | Para desbloquear uma unidade, o usuário deve fornecer uma senha. Quando usado para unidades do sistema operacional, o usuário é solicitado a obter uma senha na tela de pré-inicialização. Esse método não oferece nenhuma lógica de bloqueio, portanto, não protege contra ataques de força bruta. |
| Chave de inicialização | Uma chave de criptografia que pode ser armazenada em mídia removível, com um formato de nome de arquivo de <protector_id>.bek. O usuário é solicitado para a unidade flash USB que tem a chave de recuperação e/ou chave de inicialização e, em seguida, reinicializar o dispositivo. |
| Certificado de cartão inteligente | Usado para desbloquear volumes que não hospedam um sistema operacional. Para desbloquear uma unidade, o usuário deve usar uma cartão inteligente. |
| TPM | Um dispositivo de hardware usado para ajudar a estabelecer uma raiz de confiança segura, validando componentes de inicialização antecipada. O protetor TPM só pode ser usado com a unidade do sistema operacional. |
| TPM + PIN | Um protetor de chave numérico ou alfanumérico inserido pelo usuário que só pode ser usado com volumes do sistema operacional e além do TPM. O TPM valida os componentes de inicialização antecipada. O usuário deve inserir o PIN correto antes que o processo de inicialização possa continuar e antes que a unidade possa ser desbloqueada. O TPM entra em bloqueio se o PIN incorreto for inserido repetidamente, para proteger o PIN contra ataques de força bruta. O número de tentativas repetidas que disparam um bloqueio é variável. |
| TPM + Chave de inicialização | O TPM valida com êxito os componentes de inicialização antecipada. O usuário deve inserir uma unidade USB que contém a chave de inicialização antes que o sistema operacional possa inicializar. |
| TPM + Chave de inicialização + PIN | O TPM valida com êxito os componentes de inicialização antecipada. O usuário deve inserir o PIN correto e inserir uma unidade USB contendo a chave de inicialização antes que o sistema operacional possa inicializar. |
| Senha de recuperação | Um número de 48 dígitos usado para desbloquear um volume quando ele está no modo de recuperação. Os números geralmente podem ser digitado em um teclado regular. Se os números no teclado normal não estiverem respondendo, as teclas de função (F1-F10) poderão ser usadas para inserir os números. |
| TPM + Chave de Rede | O TPM valida com êxito os componentes de inicialização antecipada e uma chave de rede criptografada válida foi fornecida a partir de um servidor WDS. Esse método de autenticação fornece o desbloqueio automático de volumes do sistema operacional, mantendo a autenticação multifator. Esse protetor de chave só pode ser usado com volumes do sistema operacional. |
| Chave de recuperação | Uma chave de criptografia armazenada em mídia removível que pode ser usada para recuperar dados criptografados em um volume do BitLocker. O nome do arquivo tem um formato de <protector_id>.bek. |
| Agente de Recuperação de Dados | Os DRAs (agentes de recuperação de dados) são contas capazes de descriptografar unidades protegidas pelo BitLocker usando seus certificados. A recuperação de uma unidade protegida pelo BitLocker pode ser realizada por um agente de recuperação de dados configurado com o certificado adequado. |
| Usuário ou grupo do Active Directory | Um protetor baseado em um usuário do Active Directory ou de segurança de grupo identificado (SID). As unidades de dados são desbloqueadas automaticamente quando esses usuários tentam acessá-las. |
Suporte para dispositivos sem TPM
Determine se computadores que não têm uma versão TPM 1.2 ou superior no ambiente terão suporte. Se você decidir dar suporte a dispositivos sem TPM, um usuário deverá usar uma chave de inicialização USB ou uma senha para inicializar o sistema. A chave de inicialização requer processos de suporte extras semelhantes à autenticação multifator.
Quais áreas da organização precisam de um nível de linha de base de proteção de dados?
O método de autenticação somente TPM fornece a experiência de usuário mais transparente para organizações que precisam de um nível de linha de base de proteção de dados para atender às políticas de segurança. Tem o menor custo total de propriedade. Somente TPM também pode ser mais apropriado para dispositivos autônomos ou que devem ser reinicializados sem vigilância.
No entanto, o método de autenticação somente TPM não oferece um alto nível de proteção de dados. Esse método de autenticação protege contra ataques que modificam componentes de inicialização iniciais. Mas o nível de proteção pode ser afetado por possíveis fraquezas no hardware ou nos componentes de inicialização iniciais. Os métodos de autenticação multifator do BitLocker aumentam significativamente o nível geral de proteção de dados.
Dica
Uma vantagem da autenticação somente TPM é que um dispositivo pode inicializar o Windows sem qualquer interação do usuário. No caso de dispositivo perdido ou roubado, pode haver uma vantagem dessa configuração: se o dispositivo estiver conectado à Internet, ele poderá ser apagado remotamente com uma solução de gerenciamento de dispositivo como Microsoft Intune.
Quais áreas da organização precisam de um nível mais seguro de proteção de dados?
Se houver dispositivos com dados altamente confidenciais, implante o BitLocker com autenticação multifator nesses sistemas. Exigir que o usuário insira um PIN aumenta significativamente o nível de proteção para o sistema. O Desbloqueio de Rede do BitLocker também pode ser usado para permitir que esses dispositivos desbloqueiem automaticamente quando conectados a uma rede com fio confiável que pode fornecer a chave de Desbloqueio de Rede.
Qual método de autenticação multifator a organização prefere?
As diferenças de proteção fornecidas pelos métodos de autenticação multifator não podem ser facilmente quantificadas. Considere o impacto de cada método de autenticação no suporte do Helpdesk, na educação do usuário, na produtividade do usuário e em todos os processos de gerenciamento de sistemas automatizados.
Gerenciar senhas e PINs
Quando o BitLocker está habilitado em uma unidade do sistema e o dispositivo tem um TPM, os usuários podem ser obrigados a inserir um PIN antes que o BitLocker desbloqueie a unidade. Esse requisito PIN pode impedir que um invasor que tenha acesso físico a um dispositivo até mesmo acesse a entrada do Windows, o que torna quase impossível para o invasor acessar ou modificar dados do usuário e arquivos do sistema.
Exigir um PIN na inicialização é um recurso de segurança útil porque ele atua como um segundo fator de autenticação. No entanto, essa configuração vem com alguns custos, especialmente se você precisar alterar o PIN regularmente.
Além disso, os dispositivos de espera modernos não exigem um PIN para inicialização: eles são projetados para iniciar com pouca frequência e têm outras mitigações em vigor que reduzem ainda mais a superfície de ataque do sistema.
Para obter mais informações sobre como a segurança de inicialização funciona e as contramedidas que o Windows fornece, consulte Autenticação preboot.
Configurações de hardware do TPM
No plano de implantação, identifique quais plataformas de hardware baseadas em TPM têm suporte. Documente os modelos de hardware de um OEM(s) usado pela organização para que suas configurações possam ser testadas e compatíveis. O hardware TPM requer uma consideração especial durante todos os aspectos de planejamento e implantação.
TPM 1.2 estados e inicialização
Para o TPM 1.2, há vários estados possíveis. O Windows inicializa automaticamente o TPM, o que o leva a um estado habilitado, ativado e de propriedade. Esse estado é o estado que o BitLocker requer antes de poder usar o TPM.
Chaves de endosso
Para que um TPM seja utilizável pelo BitLocker, ele deve conter uma chave de endosso, que é um par de chaves RSA. A metade privada do par de chaves é mantida dentro do TPM e nunca é revelada ou acessível fora do TPM. Se o TPM não tiver uma chave de endosso, o BitLocker força o TPM a gerar um automaticamente como parte da configuração do BitLocker.
Uma chave de endosso pode ser criada em vários pontos do ciclo de vida do TPM, mas precisa ser criada apenas uma vez durante o tempo de vida do TPM. Se uma chave de endosso não existir para o TPM, ela deve ser criada antes que você possa tomar a propriedade do TPM.
Para obter mais informações sobre o TPM e o TCG, confira as Especificações do TPM (Trusted Computing Group: Trusted Platform Module).
Configurações de hardware não TPM
Dispositivos sem TPM ainda podem ser protegidos com criptografia de unidade usando uma chave de inicialização.
Use as seguintes perguntas para identificar problemas que podem afetar a implantação em uma configuração não TPM:
- Há um orçamento para unidades flash USB para cada um desses dispositivos?
- Dispositivos não TPM existentes dão suporte a unidades USB na hora da inicialização?
Teste as plataformas de hardware individuais com a opção marcar do sistema BitLocker ao habilitar o BitLocker. O sistema marcar garante que o BitLocker possa ler as informações de recuperação de um dispositivo USB e chaves de criptografia corretamente antes de criptografar o volume.
Considerações de configuração de disco
Para funcionar corretamente, o BitLocker requer uma configuração de disco específica. O BitLocker requer duas partições que atendem aos seguintes requisitos:
- A partição do sistema operacional contém o sistema operacional e seus arquivos de suporte; ele deve ser formatado com o sistema de arquivos NTFS
- A partição do sistema (ou partição de inicialização) inclui os arquivos necessários para carregar o Windows depois que o firmware BIOS ou UEFI preparou o hardware do sistema. O BitLocker não está habilitado nessa partição. Para que o BitLocker funcione, a partição do sistema não deve ser criptografada e deve estar em uma partição diferente do sistema operacional. Em plataformas UEFI, a partição do sistema deve ser formatada com o sistema de arquivos FAT 32. Em plataformas BIOS, a partição do sistema deve ser formatada com o sistema de arquivos NTFS. Deve ter pelo menos 350 MB de tamanho.
A configuração do Windows configura automaticamente as unidades de disco dos computadores para dar suporte à criptografia BitLocker.
O Ambiente de Recuperação do Windows (Windows RE) é uma plataforma de recuperação extensível baseada no Windows Pre-installation Environment (Windows PE). Quando o computador não é iniciado, o Windows faz a transição automática para esse ambiente e a ferramenta Reparo de Inicialização em Windows RE automatiza o diagnóstico e o reparo de uma instalação inexebível do Windows. Windows RE também contém os drivers e as ferramentas necessárias para desbloquear um volume protegido pelo BitLocker fornecendo uma chave de recuperação ou senha de recuperação. Para usar Windows RE com o BitLocker, a imagem de inicialização Windows RE deve estar em um volume que não esteja protegido pelo BitLocker.
Windows RE também pode ser usado na mídia de inicialização diferente do disco rígido local. Se Windows RE não estiver instalado no disco rígido local de computadores habilitados para BitLocker, diferentes métodos poderão ser usados para inicializar Windows RE. Por exemplo, o WDS (Serviços de Implantação do Windows) ou a unidade flash USB podem ser usados para recuperação.
Provisionamento do BitLocker
Os administradores podem habilitar o BitLocker antes para a implantação do sistema operacional no WinPE ( Ambiente de Pré-instalação do Windows ). Essa etapa é feita com um protetor de chave clara gerado aleatoriamente aplicado ao volume formatado. Ele criptografa o volume antes de executar o processo de instalação do Windows. Se a criptografia usar a opção Somente Espaço em Disco Usado , essa etapa levará apenas alguns segundos e poderá ser incorporada aos processos de implantação existentes. A pré-exibição requer um TPM.
Para marcar o status do BitLocker de um determinado volume, os administradores podem examinar o status de unidade no applet Painel de Controle BitLocker ou no Windows Explorer. O status de Espera por Ativação significa que a unidade foi pré-provisionada para BitLocker e há apenas um protetor claro usado para criptografar o volume. Nesse caso, o volume não está protegido e precisa ter uma chave segura adicionada ao volume antes que a unidade seja considerada totalmente protegida. Os administradores podem usar as opções Painel de Controle, cmdlets do PowerShell, a manage-bde.exe ferramenta ou APIs WMI para adicionar um protetor de chave apropriado. O volume status então é atualizado.
Ao usar as opções Painel de Controle, os administradores podem optar por Ativar o BitLocker e seguir as etapas no assistente para adicionar um protetor, como um PIN para um volume do sistema operacional (ou uma senha, se não houver TPM), ou uma senha ou protetor de cartão inteligente para um volume de dados. Em seguida, a janela de segurança da unidade é apresentada antes de alterar o volume status.
Criptografia somente espaço em disco usada
O assistente de Instalação do BitLocker fornece aos administradores a capacidade de escolher o método Somente espaço em disco usado ou criptografia completa ao habilitar o BitLocker para um volume. Os administradores podem usar as configurações de política do BitLocker para impor somente espaço em disco usado ou criptografia de disco completo.
Iniciando os prompts do assistente de instalação do BitLocker para que o método de autenticação seja usado (senha e cartão inteligentes estão disponíveis para volumes de dados). Depois que o método é escolhido e a chave de recuperação é salva, o assistente pede para escolher o tipo de criptografia de unidade. Selecione Somente espaço em disco usado ou criptografia de unidade completa .
Somente com espaço em disco usado, apenas a parte da unidade que contém dados é criptografada. O espaço não utilizado permanece não criptografado. Esse comportamento faz com que o processo de criptografia seja mais rápido, especialmente para novos dispositivos e unidades de dados. Quando o BitLocker está habilitado com esse método, à medida que os dados são adicionados à unidade, a parte da unidade usada é criptografada. Portanto, nunca há dados não criptografados armazenados na unidade.
Com a criptografia de unidade completa, toda a unidade é criptografada, se os dados são armazenados nele ou não. Essa opção é útil para unidades que foram reaproveitadas e podem conter remanescentes de dados de seu uso anterior.
Cuidado
Tenha cuidado ao criptografar apenas o espaço usado em um volume existente no qual os dados confidenciais podem já ter sido armazenados em um estado não criptografado. Ao usar a criptografia de espaço usada, setores em que os dados não criptografados anteriormente são armazenados podem ser recuperados por meio de ferramentas de recuperação de disco até serem substituídos por novos dados criptografados. Por outro lado, criptografar apenas o espaço usado em um novo volume pode diminuir significativamente o tempo de implantação sem o risco de segurança, pois todos os novos dados serão criptografados conforme são gravados no disco.
Suporte de disco rígido criptografado
Os discos rígidos criptografados fornecem recursos criptográficos integrados para criptografar dados em unidades. Esse recurso melhora o desempenho da unidade e do sistema descarregando cálculos criptográficos do processador do dispositivo para a própria unidade. Os dados são criptografados rapidamente pela unidade usando hardware dedicado e criado com propósito. Se planeja usar a criptografia de unidade inteira com o Windows, a Microsoft recomenda pesquisar fabricantes e modelos de disco rígido para determinar se algum de seus discos rígidos criptografados atende aos requisitos de segurança e orçamento.
Para obter mais informações sobre discos rígidos criptografados, consulte Discos rígidos criptografados.
considerações Microsoft Entra ID e Active Directory Domain Services
O BitLocker integra-se ao AD DS (Microsoft Entra ID e Active Directory Domain Services) para fornecer gerenciamento centralizado de chaves. Por padrão, nenhuma informação de recuperação é apoiada em Microsoft Entra ID ou DS do AD. Os administradores podem configurar a configuração de política para cada tipo de unidade para habilitar o backup das informações de recuperação do BitLocker.
Os seguintes dados de recuperação são salvos para cada objeto de computador:
- Senha de recuperação: uma senha de recuperação de 48 dígitos usada para recuperar um volume protegido pelo BitLocker. Os usuários devem inserir essa senha para desbloquear um volume quando o BitLocker entrar no modo de recuperação
- Pacote de chaves: com o pacote de chaves e a senha de recuperação, partes de um volume protegido pelo BitLocker podem ser descriptografadas se o disco estiver severamente danificado. Cada pacote de chave funciona apenas com o volume em que foi criado, que é identificado pela ID de volume correspondente
Suporte fips para protetor de senha de recuperação
Dispositivos configurados para operar no modo FIPS podem criar protetores de senha de recuperação compatíveis com FIPS, que usam o algoritmo FIPS-140 NIST SP800-132 .
Observação
O ESTADOS UNIDOS FIPS (Federal Information Processing Standard) define requisitos de segurança e interoperabilidade para sistemas de computador usados pelo Governo Federal dos EUA. O padrão FIPS-140 define algoritmos criptográficos aprovados. O padrão FIPS-140 também define os requisitos para a geração de chaves e para o gerenciamento de chaves. O NIST (National Institute of Standards and Technology) usa o CMVP (Programa de Validação do Módulo Criptográfico) para determinar se uma implementação específica de um algoritmo criptográfico está em conformidade com o padrão FIPS-140. Uma implementação de um algoritmo criptográfico só será considerada compatível com FIPS-140 se ele tiver sido enviado e tiver aprovado a validação NIST. Um algoritmo que não foi enviado não pode ser considerado compatível com FIPS, mesmo que a implementação produza dados idênticos como uma implementação validada do mesmo algoritmo.
- Protetores de senha de recuperação compatíveis com FIPS podem ser exportados e armazenados no AD DS
- As configurações de política do BitLocker para senhas de recuperação funcionam da mesma forma para todas as versões do Windows que dão suporte ao BitLocker, no modo FIPS ou não
Desbloqueio de Rede
Algumas organizações têm requisitos de segurança de dados específicos do local, especialmente em ambientes com dados de alto valor. O ambiente de rede pode fornecer proteção de dados crucial e impor a autenticação obrigatória. Portanto, a política afirma que esses dispositivos não devem sair do prédio ou ser desconectados da rede corporativa. Salvaguardas como bloqueios de segurança física e geofencing podem ajudar a impor essa política como controles reativos. Além dessas proteções, um controle de segurança proativo que concede acesso a dados somente quando o dispositivo está conectado à rede corporativa é necessário.
O Desbloqueio de Rede permite que dispositivos protegidos pelo BitLocker comecem automaticamente quando conectados a uma rede corporativa com fio na qual os Serviços de Implantação do Windows são executados. Sempre que o dispositivo não estiver conectado à rede corporativa, um usuário deve inserir um PIN para desbloquear a unidade (se o desbloqueio baseado em PIN estiver habilitado). O Desbloqueio de Rede requer a infraestrutura a seguir:
- Dispositivos cliente que têm o firmware UEFI (Interface do Firmware Extensível Unificado) versão 2.3.1 ou posterior, que dá suporte ao DHCP (Protocolo de Configuração do Host Dinâmico)
- Uma função do Windows Server que executa os serviços de implantação do Windows (WDS)
- Um servidor DHCP
Para obter mais informações sobre como configurar o recurso de desbloqueio de rede, consulte Desbloqueio de Rede.
Recuperação do BitLocker
As organizações devem planejar cuidadosamente uma estratégia de recuperação do BitLocker como parte do plano geral de implementação do BitLocker. Há opções diferentes ao implementar um modelo de recuperação do BitLocker, que são descritos na visão geral de recuperação do BitLocker.
Monitorar o BitLocker
As organizações podem usar Microsoft Intune ou Configuration Manager para monitorar a criptografia do dispositivo em vários dispositivos. Para obter mais informações, consulte Monitorar a criptografia do dispositivo com Intune e exibir relatórios do BitLocker no Configuration Manager.
Próximas etapas
Saiba como planejar uma estratégia de recuperação do BitLocker para sua organização:
Saiba mais sobre as opções disponíveis para configurar o BitLocker e como configurá-los por meio do CSP (Provedores de Serviço de Configuração) ou da política de grupo (GPO):
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de