Implementar a gestão do BitLocker

Aplica-se a: Gestor de Configuração (ramo atual)

A gestão do BitLocker no Gestor de Configuração inclui os seguintes componentes:

• BitLocker agente de gestão: O Gestor de Configuração permite este agente num dispositivo quando cria uma política e o coloca numa coleção.

• Serviço de recuperação: O componente do servidor que recebe dados de recuperação do BitLocker dos clientes. Para mais informações, consulte o serviço Recovery.

Antes de criar e implementar políticas de gestão BitLocker:

• Rever os pré-requisitos

• Se necessário, criptografe as chaves de recuperação na base de dados do site

Criar uma política

Ao criar e implementar esta política, o cliente Gestor de Configuração ativa o agente de gestão BitLocker no dispositivo.

Nota

Para criar uma política de gestão BitLocker, precisa do papel de Administrador Completo no Gestor de Configuração.

1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Compliance, expanda a Proteção de Pontos Finais e selecione o nó bitLocker Management.

2. Na fita, selecione Create BitLocker Management Control Policy.

3. Na página Geral, especifique um nome e descrição opcional. Selecione os componentes para ativar os clientes com esta política:

   • Unidade do sistema operativo: Gerencie se a unidade de SISTEMA está encriptada

   • Unidade Fixa: Gerir encriptação para outras unidades de dados num dispositivo

   • Unidade Amovível: Gerir encriptação para unidades que pode remover de um dispositivo, como uma chave USB

   • Gestão do Cliente: Gerir a cópia de segurança do serviço de recuperação chave das informações de recuperação de encriptação BitLocker Drive

4. Na página Configuração, configurar as seguintes definições globais para a encriptação bitLocker Drive:

   Nota

   O Gestor de Configurações aplica estas definições quando ativa o BitLocker. Se a unidade já estiver encriptada ou estiver em curso, qualquer alteração a estas definições de política não altera a encriptação de unidade no dispositivo.

   Se desativar ou não configurar estas definições, o BitLocker utiliza o método de encriptação padrão (AES 128-bit).

   • Para dispositivos Windows 8.1, ative a opção para o método de encriptação drive e a resistência cifra. Em seguida, selecione o método de encriptação.

   • Para Windows 10 dispositivos, ative a opção para o método de encriptação drive e a resistência cifra (Windows 10). Em seguida, selecione individualmente o método de encriptação para unidades de SISTEMA, unidades de dados fixas e unidades de dados amovíveis.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Definições referência - Configuração.

5. Na página Unidade do Sistema Operativo, especifique as seguintes definições:

   • Encriptação de unidade do sistema operativo Definições: Se ativar esta definição, o utilizador tem de proteger a unidade DE E e o BitLocker encripta a unidade. Se o desativar, o utilizador não pode proteger a unidade.

   Em dispositivos com um TPM compatível, dois tipos de métodos de autenticação podem ser usados no arranque para fornecer proteção adicional para dados encriptados. Quando o computador começa, pode utilizar apenas o TPM para autenticação, ou também pode exigir a entrada de um número de identificação pessoal (PIN). Configure as seguintes definições:

   • Selecione protetor para a unidade do sistema operativo: Configuure-o para utilizar um TPM e PIN, ou apenas o TPM.

   • Configure o comprimento mínimo de PIN para arranque: Se necessitar de um PIN, este valor é o comprimento mais curto que o utilizador pode especificar. O utilizador introduz este PIN quando o computador arranca para desbloquear a unidade. Por predefinição, o comprimento mínimo do PIN é 4 .

   Para obter mais informações sobre estas e outras definições nesta página, consulte Definições referência - unidade oss.

6. Na página Unidade Fixa, especifique as seguintes definições:

   • Encriptação de unidade de dados fixa: Se ativar esta definição, o BitLocker exige que os utilizadores coloquem todas as unidades de dados fixas sob proteção. Em seguida, encripta as unidades de dados. Quando ativar esta política, ou ativar o desbloqueio automático ou as definições para a política de senha de unidade de dados fixa.

   • Configure o desbloqueio automático para a unidade de dados fixa: Permitir ou exigir que o BitLocker desbloqueie automaticamente qualquer unidade de dados encriptada. Para utilizar o desbloqueio automático, também requer que o BitLocker criptografe a unidade de SO.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Definições referência - Unidade fixa.

7. Na página Unidade Amovível, especifique as seguintes definições:

   • Encriptação de unidade de dados amovível: Quando ativa esta definição e permite que os utilizadores apliquem a proteção BitLocker, o cliente Do Gestor de Configuração guarda informações de recuperação sobre unidades amovíveis para o serviço de recuperação no ponto de gestão. Este comportamento permite que os utilizadores recuperem a unidade se esquecerem ou perderem o protetor (palavra-passe).

   • Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis: Os utilizadores podem ligar a proteção BitLocker para uma unidade amovível.

   • Política de senha de unidade de dados amovível: Utilize estas definições para definir os constrangimentos das palavras-passe para desbloquear unidades amovíveis protegidas pelo BitLocker.

   Para obter mais informações sobre estas e outras definições nesta página, consulte Definições referência - Unidade amovível.

8. Na página De Gestão de Clientes, especifique as seguintes definições:

   Importante

   Se não tiver um ponto de gestão com um website com HTTPS, não configufique esta definição. Para mais informações, consulte o serviço Recovery.

   • Configure os Serviços de Gestão bitLocker: Quando ativa esta definição, o Gestor de Configurações faz automaticamente e silenciosamente a informação de recuperação das chaves na base de dados do site. Se desativar ou não configurar esta definição, o Gestor de Configuração não guarda informações de recuperação de chaves.

     • Selecione informações de recuperação do BitLocker para armazenar: Configuure-a para usar uma senha de recuperação e um pacote de chave, ou apenas uma senha de recuperação.

     • Permitir que as informações de recuperação sejam armazenadas em texto simples: Sem um certificado de encriptação de gestão BitLocker, o Gestor de Configuração armazena as informações de recuperação chave em texto simples. Para obter mais informações, consulte os dados de recuperação de encriptação na base de dados.

   Para obter mais informações sobre estas e outras configurações nesta página, consulte Definições referência - Gestão do Cliente.

9. Conclua o assistente.

Para alterar as definições de uma política existente, escolha-a na lista e selecione Propriedades.

Quando se cria mais do que uma política, pode-se configurar a sua prioridade relativa. Se implementar várias políticas para um cliente, utiliza o valor prioritário para determinar as suas definições.

A partir da versão 2006, pode utilizar Windows PowerShell cmdlets para esta tarefa. Para mais informações, consulte New-CMBlmSetting.

Implementar uma política

1. Escolha uma política existente no nó BitLocker Management. Na fita, selecione Implementar.

2. Selecione uma recolha do dispositivo como alvo da implantação.

3. Se pretender que o dispositivo possa encriptar ou desencriptar as suas unidades a qualquer momento, selecione a opção para Permitir a reparação fora da janela de manutenção. Se a coleção tiver janelas de manutenção, ainda remedia esta política bitLocker.

4. Configurar um horário simples ou personalizado. O cliente avalia a sua conformidade com base nas definições especificadas no calendário.

5. Selecione OK para implementar a política.

Pode criar múltiplas implementações da mesma política. Para visualizar informações adicionais sobre cada implementação, selecione a política no nó BitLocker Management e, em seguida, no painel de detalhes, mude para o separador Implementações.

Importante

Se uma ligação de protocolo de ambiente de trabalho remoto (RDP) estiver ativa, o cliente MBAM não inicia as ações de encriptação bitLocker Drive. Feche todas as ligações de consola remotas e inscreva-se numa sessão de consola com uma conta de utilizador de domínio. Em seguida, a encriptação BitLocker Drive começa e o cliente envia chaves e pacotes de recuperação. Se iniciar sessão com uma conta de utilizador local, a BitLocker Drive Encryption não começa.

Pode utilizar o RDP para ligar remotamente à sessão de consola do dispositivo com o /admin interruptor. Por exemplo: mstsc.exe /admin /v:<IP address of device>

Uma sessão de consola é quando se está na consola física do computador, ou numa ligação remota que é a mesma que se estiver na consola física do computador.

A partir da versão 2006, pode utilizar Windows PowerShell cmdlets para esta tarefa. Para obter mais informações, consulte New-CMSettingDeployment.

Monitor

Ver estatísticas básicas de conformidade sobre a implementação da política no painel de detalhes do nó bitLocker Management:

• Contagem de conformidade
• Contagem de falhas
• Contagem de incumprimento

Mude para o separador Implementações para ver a percentagem de conformidade e a ação recomendada. Selecione a implementação e, em seguida, na fita, selecione 'Ver Estado'. Esta ação muda a vista para o espaço de trabalho de monitorização, nó desdobramentos. Semelhante à implementação de outras implementações de políticas de configuração, pode ver o estado de conformidade mais detalhado nesta perspetiva.

Para entender por que razão os clientes estão a reportar não estarem em conformidade com a política de gestão bitLocker, consulte códigos de não conformidade.

Para obter mais informações sobre resolução de problemas, consulte o BitLocker de resolução de problemas.

Utilize os seguintes registos para monitorizar e resolver problemas:

Registos de clientes

• Registo de eventos MBAM: no Windows Event Viewer, navegue por Aplicações e Serviços > Microsoft > Windows > MBAM. Para obter mais informações, consulte os registos de eventos bitLocker e os registos de eventos do Cliente.

• BitlockerManagementHandler.log no caminho dos registos do cliente, %WINDIR%\CCM\Logs por padrão

Registos de pontos de gestão (serviço de recuperação)

• Registo de eventos do serviço de recuperação: no Windows Event Viewer, navegue para aplicações e serviços > Microsoft > Windows > MBAM-Web. Para obter mais informações, consulte os registos de eventos bitLocker e os registos de eventos do Servidor.

• Registos de vestígios de serviço de recuperação: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Serviço de recuperação

O serviço de recuperação BitLocker é um componente de servidor que recebe dados de recuperação do BitLocker dos clientes do Gestor de Configuração. O site implementa o serviço de recuperação quando cria uma política de gestão BitLocker. O Gestor de Configuração instala automaticamente o serviço de recuperação em cada ponto de gestão com um website com HTTPS.

O Gestor de Configuração armazena a informação de recuperação na base de dados do site. Sem um certificado de encriptação de gestão BitLocker, o Gestor de Configuração armazena as informações de recuperação chave em texto simples. Para obter mais informações, consulte os dados de recuperação de encriptação na base de dados.

A partir da versão 2010, pode agora gerir as políticas bitLocker e as chaves de recuperação de depósitos sobre um gateway de gestão de nuvem (CMG). Quando os clientes unidos pelo domínio comunicam através da CMG, não usam o serviço de recuperação do legado, mas o componente do motor de processamento de mensagens do ponto de gestão. Os dispositivos híbridos AD-ad-a-ad também usam o motor de processamento de mensagens.

A partir da versão 2103, todos os clientes suportados usam a componente do motor de processamento de mensagens do ponto de gestão como serviço de recuperação. Esta alteração reduz as dependências dos componentes MBAM legados e permite o suporte para um HTTP melhorado.

Nota

Para a versão 2010, o canal do motor de processamento de mensagens apenas fornece chaves para volumes de SO e unidade fixa. Não suporta chaves de recuperação para unidades amovíveis ou o hash de senha TPM.

A partir da versão 2103, as políticas de gestão BitLocker sobre um CMG suportam as seguintes capacidades:

• Chaves de recuperação para unidades amovíveis
• Hash de palavra-passe de TPM, também conhecido como autorização do proprietário de TPM

Migration considerations (Considerações sobre a migração)

Se utilizar atualmente a Administração e Monitorização do Microsoft BitLocker (MBAM), pode migrar perfeitamente a gestão para o Gestor de Configuração. Quando implementa as políticas de gestão bitLocker no Gestor de Configuração, os clientes carregam automaticamente as chaves e pacotes de recuperação para o serviço de recuperação do Gestor de Configuração.

Importante

Quando migrar de MBAM autónomo para gestão BitLocker do Gestor de Configuração, se necessitar da funcionalidade existente de MBAM autónomo, não reutilizar servidores ou componentes MBAM autónomos com gestão BitLocker do Gestor de Configuração. Se reutilizar estes servidores, o MBAM autónomo deixará de funcionar quando a gestão bitLocker do Gestor de Configuração instalar os seus componentes nesses servidores. Não execute o script MBAMWebSiteInstaller.ps1 para configurar os portais BitLocker em servidores MBAM autónomos. Quando configurar a gestão BitLocker do Gestor de Configuração, utilize servidores separados.

Política de grupo

• As definições de gestão BitLocker são totalmente compatíveis com as definições de política do grupo MBAM. Se os dispositivos receberem as definições de política de grupo e as políticas do Gestor de Configuração, configufique-os para corresponderem.

  Nota

  Se existir uma definição de política de grupo para o MBAM autónomo, irá anular a definição equivalente tentada pelo Gestor de Configuração. O MBAM autónomo utiliza a política do grupo de domínio, enquanto o Gestor de Configuração define as políticas locais para a gestão do BitLocker. As políticas de domínio irão sobrepor-se às políticas de gestão bitLocker do Gestor de Configuração local. Se a política autónoma do grupo de domínio MBAM não corresponder à política do Gestor de Configuração, a gestão bitLocker do Gestor de Configuração falhará. Por exemplo, se uma política de grupo de domínio define o servidor MBAM autónomo para serviços de recuperação de chaves, a gestão BitLocker do Gestor de Configuração não pode definir a mesma definição para o ponto de gestão. Este comportamento faz com que os clientes não reportem as chaves de recuperação do serviço de recuperação de chaves bitLocker do Gestor de Configuração no ponto de gestão.

• O Gestor de Configuração não implementa todas as definições de política do grupo MBAM. Se configurar mais configurações na política de grupo, o agente de gestão BitLocker no Gestor de Configuração honra estas definições.

  Importante

  Não defina uma política de grupo para uma definição que a gestão bitLocker do Gestor de Configuração já especifica. Apenas definir políticas de grupo para configurações que não existem atualmente na gestão bitLocker do Gestor de Configuração. A versão 2002 do Gestor de Configuração tem paridade de funcionalidades com MBAM autónomo. Com a versão do Gestor de Configuração 2002 e mais tarde, na maioria dos casos não deve haver razão para definir políticas de grupo de domínio para configurar as políticas bitLocker. Para prevenir conflitos e problemas, evite a utilização de políticas de grupo para o BitLocker. Configure todas as definições através das políticas de gestão BitLocker do Gestor de Configuração.

Hash de palavra-passe de TPM

• Os clientes anteriores do MBAM não fazem o upload do hash de palavra-passe TPM para o Gestor de Configuração. O cliente só carrega o hash da palavra-passe TPM uma vez.

• Se precisar de migrar esta informação para o serviço de recuperação do Gestor de Configuração, limpe o TPM no dispositivo. Depois de reiniciar, envia o novo hash de senha TPM para o serviço de recuperação.

Nota

O upload do hash de palavra-passe TPM diz principalmente respeito a versões de Windows antes de Windows 10. Windows 10 por defeito não guarda o hash de senha TPM, por isso estes dispositivos normalmente não o carregam. Para mais informações, consulte sobre a senha do proprietário da TPM.

Reencriminação

O Gestor de Configuração não reencriptou unidades que já estão protegidas com encriptação bitLocker Drive. Se implementar uma política de gestão BitLocker que não corresponda à proteção atual da unidade, ela reporta-se como incompatível. A unidade ainda está protegida.

Por exemplo, usou o MBAM para encriptar a unidade com o algoritmo de encriptação AES-XTS 128, mas a política do Gestor de Configuração requer AES-XTS 256. A unidade não está em conformidade com a política, mesmo que a unidade esteja encriptada.

Para contornar este comportamento, desative primeiro o BitLocker no dispositivo. Em seguida, implementar uma nova política com as novas definições.

Cogestão e Intune

O gestor de clientes do Gestor de Configuração para o BitLocker está ciente de cogestão. Se o dispositivo for cogerido e mudar a carga de trabalho de Proteção endpoint para Intune, então o cliente Do Gestor de Configuração ignora a sua política BitLocker. O dispositivo obtém Windows política de encriptação do Intune.

Nota

Mudar as autoridades de gestão de encriptação mantendo o algoritmo de encriptação pretendido não requer quaisquer ações adicionais no cliente. No entanto, se mudar as autoridades de gestão de encriptação e o algoritmo de encriptação pretendido também mudar, terá de planear a reencriminação.

Para obter mais informações sobre a gestão do BitLocker com a Intune, consulte os seguintes artigos:

• Use encriptação do dispositivo com Intune
• Resolução de problemas Das políticas do BitLocker em Microsoft Intune

Passos seguintes

Configurar relatórios e portais bitLocker