Partilhar via


Configurar o BitLocker

Para configurar o BitLocker, pode utilizar uma das seguintes opções:

  • Fornecedor de Serviços de Configuração (CSP): esta opção é normalmente utilizada para dispositivos geridos por uma solução de Gerenciamento de Dispositivos Móvel (MDM), como Microsoft Intune. O CSP do BitLocker é utilizado para configurar o BitLocker e para comunicar a status de diferentes funções do BitLocker à solução de MDM. Com Microsoft Intune, pode utilizar a status BitLocker em políticas de conformidade, combinando-as com o Acesso Condicional. O Acesso Condicional pode impedir ou conceder acesso a serviços como o Exchange Online e o SharePoint Online, com base no status do BitLocker. Para saber mais sobre as opções de Intune para configurar e monitorizar o BitLocker, marcar os seguintes artigos:
  • Política de grupo (GPO): esta opção pode ser utilizada para dispositivos que estão associados a um domínio do Active Directory e não são geridos por uma solução de gestão de dispositivos. A política de grupo também pode ser utilizada para dispositivos que não estão associados a um domínio do Active Directory, utilizando o editor de políticas de grupo local
  • Microsoft Configuration Manager: esta opção pode ser utilizada para dispositivos geridos por Microsoft Configuration Manager através do agente de gestão bitLocker. Para saber mais sobre as opções para configurar o BitLocker através do Microsoft Configuration Manager, veja Implementar a gestão do BitLocker

Observação

O Windows Server não suporta a configuração do BitLocker através de CSP ou Microsoft Configuration Manager. Em vez disso, utilize GPO.

Embora muitas das definições de política do BitLocker possam ser configuradas através do CSP e do GPO, existem algumas definições que só estão disponíveis através de uma das opções. Para saber mais sobre as definições de política disponíveis para CSP e GPO, reveja a secção Definições de política do BitLocker.

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam a gestão do BitLocker:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença de gestão do BitLocker são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Educação A5
Não Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Definições de política do BitLocker

Esta secção descreve as definições de política para configurar o BitLocker através do fornecedor de serviços de configuração (CSP) e da política de grupo (GPO).

Importante

A maioria das definições de política do BitLocker são impostas quando o BitLocker é inicialmente ativado para uma unidade. A encriptação não será reiniciada se as definições forem alteradas.

Lista de definições de política

A lista de definições está ordenada alfabeticamente e organizada em quatro categorias:

  • Definições comuns: definições aplicáveis a todas as unidades protegidas pelo BitLocker
  • Unidade do sistema operativo: definições aplicáveis à unidade onde o Windows está instalado
  • Unidades de dados fixas: definições aplicáveis a unidades locais, exceto a unidade do sistema operativo
  • Unidades de dados amovíveis: definições aplicáveis a quaisquer unidades amovíveis

Selecione um dos separadores para ver a lista de definições disponíveis:

A tabela seguinte lista as políticas bitLocker aplicáveis a todos os tipos de unidade, indicando se são aplicáveis através do fornecedor de serviços de configuração (CSP) e/ou da política de grupo (GPO). Selecione o nome da política para obter mais detalhes.

Nome da política CSP GPO
Permitir encriptação de utilizador padrão
Escolher a pasta predefinida para a palavra-passe de recuperação
Escolher o método de encriptação de unidade e a força da cifra
Configurar a rotação de palavras-passe de recuperação
Desativar novos dispositivos DMA quando este computador está bloqueado
Impedir a substituição da memória ao reiniciar
Indique os identificadores exclusivos para a sua organização
Exigir encriptação de dispositivos
Validar a conformidade da regra de utilização de certificados de card inteligente

Permitir encriptação de utilizador padrão

Com esta política, pode impor a política Exigir encriptação de dispositivos para cenários em que a política é aplicada enquanto o utilizador com sessão iniciada atual não tem direitos administrativos.

Importante

O aviso Permitir para outra política de encriptação de disco tem de ser desativado para permitir a encriptação padrão do utilizador.

Caminho
CSP ./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO Indisponível

Escolher a pasta predefinida para a palavra-passe de recuperação

Especifique o caminho predefinido que é apresentado quando o assistente de configuração de Encriptação de Unidade BitLocker pede ao utilizador para introduzir a localização de uma pasta na qual pretende guardar a palavra-passe de recuperação. Pode especificar um caminho completamente qualificado ou incluir as variáveis de ambiente do computador de destino no caminho:

  • Se o caminho não for válido, o assistente de configuração do BitLocker apresenta a vista de pasta de nível superior do computador
  • Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker apresenta a vista de pasta de nível superior do computador quando o utilizador escolher a opção para guardar a palavra-passe de recuperação numa pasta

Observação

Esta definição de política não impede que o utilizador guarde a palavra-passe de recuperação noutra pasta.

Caminho
CSP Indisponível
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

Escolher o método de encriptação de unidade e a força da cifra

Com esta política, pode configurar um algoritmo de encriptação e a força da cifra de chave para unidades de dados fixas, unidades do sistema operativo e unidades de dados amovíveis individualmente.

Definições recomendadas: XTS-AES algoritmo para todas as unidades. A escolha do tamanho da chave, 128 bits ou 256 bits depende do desempenho do dispositivo. Para obter mais unidades de disco rígido e CPU de desempenho, escolha a chave de 256 bits, para os menos eficazes, utilize 128.

Importante

O tamanho da chave pode ser exigido pelos reguladores ou pela indústria.

Se desativar ou não configurar esta definição de política, o BitLocker utiliza o método de encriptação predefinido de XTS-AES 128-bit.

Observação

Esta política não se aplica a unidades encriptadas. As unidades encriptadas utilizam o seu próprio algoritmo, que é definido pela unidade durante a criação de partições.

Caminho
CSP ./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

Configurar a rotação de palavras-passe de recuperação

Com esta política, pode configurar uma rotação de palavras-passe de recuperação numérica após a utilização para o SO e unidades fixas em dispositivos associados Microsoft Entra e Microsoft Entra híbridos associados.

Os valores possíveis são:

  • 0: a rotação de palavras-passe de recuperação numérica está desativada
  • 1: a rotação de palavras-passe de recuperação numérica após a utilização está ativada para Microsoft Entra dispositivos associados. Este também é o valor predefinido
  • 2: a rotação de palavras-passe de recuperação numérica após a utilização está ativada para dispositivos associados Microsoft Entra e Microsoft Entra dispositivos associados híbridos

Observação

A Política só entra em vigor quando o ID do Micropsoft Entra ou a cópia de segurança do Active Directory para a palavra-passe de recuperação estiver configurada como necessária

  • Para unidade de SO: ative Não ativar o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo
  • Para unidades fixas: ative "Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
Caminho
CSP ./Device/Vendor/MSFT/BitLocker/ ConfigurarRecoveryPasswordRotation
GPO Indisponível

Desativar novos dispositivos DMA quando este computador está bloqueado

Quando ativada, esta definição de política bloqueia o acesso direto à memória (DMA) para todas as portas PCI plug-to-hot até que um utilizador inicie sessão no Windows.

Assim que um utilizador iniciar sessão, o Windows enumera os dispositivos PCI ligados às portas thunderbolt PCI do anfitrião. Sempre que o utilizador bloqueia o dispositivo, o DMA é bloqueado nas portas Thunderbolt PCI sem dispositivos subordinados, até que o utilizador inicie sessão novamente.

Os dispositivos que já estavam enumerados quando o dispositivo foi desbloqueado continuarão a funcionar até que o sistema seja reiniciado ou hibernado.

Esta definição de política só é imposta quando o BitLocker ou a encriptação do dispositivo está ativada.

Importante

Esta política não é compatível com a Proteção DMA do Kernel. Recomenda-se desativar esta política se o sistema suportar a Proteção DMA do Kernel, uma vez que a Proteção DMA do Kernel proporciona uma maior segurança para o sistema. Para obter mais informações sobre a Proteção DMA de Kernel, veja Proteção DMA de Kernel.

Caminho
CSP Indisponível
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

Impedir a substituição da memória ao reiniciar

Esta definição de política é utilizada para controlar se a memória do computador é substituída quando o dispositivo é reiniciado. Os segredos do BitLocker incluem material chave utilizado para encriptar dados.

  • Se ativar esta definição de política, a memória não é substituída quando o computador é reiniciado. Impedir a substituição de memória pode melhorar o desempenho de reinício, mas aumenta o risco de expor segredos do BitLocker.
  • Se desativar ou não configurar esta definição de política, os segredos do BitLocker são removidos da memória quando o computador é reiniciado.

Observação

Esta definição de política aplica-se apenas quando a proteção do BitLocker está ativada.

Caminho
CSP Indisponível
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

Indique os identificadores exclusivos para a sua organização

Esta definição de política permite-lhe associar identificadores organizacionais exclusivos a uma unidade encriptada com o BitLocker. Os identificadores são armazenados como o campo de identificação e o campo de identificação permitido:

  • O campo de identificação permite-lhe associar um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Este identificador é adicionado automaticamente a novas unidades protegidas pelo BitLocker e pode ser atualizado em unidades protegidas pelo BitLocker existentes com a Encriptação de Unidade BitLocker: Ferramenta de Configuração (manage-bde.exe)
  • O campo de identificação permitido é utilizado em combinação com a definição de política Negar acesso de escrita a unidades amovíveis não protegidas pelo BitLocker para ajudar a controlar a utilização de unidades amovíveis na sua organização. É uma lista separada por vírgulas de campos de identificação da sua organização ou de outras organizações externas. Pode configurar os campos de identificação em unidades existentes com manage-bde.exe.

Se ativar esta definição de política, pode configurar o campo de identificação na unidade protegida pelo BitLocker e qualquer campo de identificação permitido utilizado pela sua organização. Quando uma unidade protegida por BitLocker é montada noutro dispositivo compatível com o BitLocker, o campo de identificação e o campo de identificação permitido são utilizados para determinar se a unidade é de uma organização diferente.

Se desativar ou não configurar esta definição de política, o campo de identificação não é necessário.

Importante

Os campos de identificação são necessários para a gestão de agentes de recuperação de dados baseados em certificados em unidades protegidas pelo BitLocker. O BitLocker só gere e atualiza agentes de recuperação de dados baseados em certificados quando o campo de identificação está presente numa unidade e é idêntico ao valor configurado no dispositivo. O campo de identificação pode ter um valor igual ou inferior a 260 carateres.

Caminho
CSP ./Device/Vendor/MSFT/BitLocker/ Campo de Identificação
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

Exigir encriptação de dispositivos

Esta definição de política determina se o BitLocker é necessário:

  • Se estiver ativada, a encriptação é acionada em todas as unidades de forma silenciosa ou não silenciosa com base no aviso Permitir para outra política de encriptação de disco
  • Se estiver desativado, o BitLocker não está desativado para a unidade do sistema, mas deixa de pedir ao utilizador para ativar o BitLocker.

Observação

Normalmente, o BitLocker segue o método Escolher encriptação de unidade e a configuração da política de força da cifra. No entanto, esta definição de política será ignorada para a encriptação automática de unidades fixas e a encriptação automática de unidades de SO.

Os volumes de dados fixos encriptados são tratados de forma semelhante aos volumes do SO, mas têm de cumprir outros critérios para serem encriptados:

  • Não pode ser um volume dinâmico
  • Não pode ser uma partição de recuperação
  • Não pode ser um volume oculto
  • Não pode ser uma partição do sistema
  • Não pode ser suportada pelo armazenamento virtual
  • Não pode ter uma referência no arquivo BCD

Observação

Só é suportada a encriptação de disco completa ao utilizar esta política para encriptação silenciosa. Para encriptação não silenciosa, o tipo de encriptação dependerá das políticas Impor tipo de encriptação de unidade em unidades do sistema operativo e Impor tipo de encriptação de unidade em políticas de unidades de dados fixas configuradas no dispositivo.

Caminho
CSP ./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO Indisponível

Validar a conformidade da regra de utilização de certificados de card inteligente

Esta definição de política é utilizada para determinar que certificado utilizar com o BitLocker ao associar um identificador de objeto (OID) de um certificado de card inteligente a uma unidade protegida pelo BitLocker. O identificador do objeto é especificado na utilização avançada da chave (EKU) de um certificado.

O BitLocker pode identificar os certificados que podem ser utilizados para autenticar um certificado de utilizador numa unidade protegida pelo BitLocker ao corresponder o identificador de objeto no certificado com o identificador de objeto definido por esta definição de política. O OID predefinido é 1.3.6.1.4.1.311.67.1.1.

Se ativar esta definição de política, o identificador de objeto especificado no campo Identificador de objeto tem de corresponder ao identificador do objeto no certificado de card inteligente. Se desativar ou não configurar esta definição de política, será utilizado o OID predefinido.

Observação

O BitLocker não requer que um certificado tenha um atributo EKU; no entanto, se um estiver configurado para o certificado, tem de ser definido como um identificador de objeto que corresponda ao identificador de objeto configurado para o BitLocker.

Caminho
CSP Indisponível
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker

BitLocker e conformidade das definições de política

Se um dispositivo não estiver em conformidade com as definições de política configuradas, o BitLocker poderá não estar ativado ou a configuração do BitLocker poderá ser modificada até o dispositivo estar num estado de conformidade. Quando uma unidade fica fora de conformidade com as definições de política, só são permitidas alterações à configuração do BitLocker que a colocarão em conformidade. Tal cenário pode ocorrer, por exemplo, se uma unidade anteriormente encriptada se tornar incompatível com uma alteração de definição de política.

Se forem necessárias várias alterações para que a unidade fique em conformidade, a proteção do BitLocker poderá ter de ser suspensa, as alterações necessárias efetuadas e, em seguida, a proteção retomada. Tal situação pode ocorrer, por exemplo, se uma unidade amovível for inicialmente configurada para desbloquear com uma palavra-passe e, em seguida, as definições de política forem alteradas para exigir smart cards. Neste cenário, a proteção do BitLocker tem de ser suspensa, eliminar o método de desbloqueio de palavra-passe e adicionar o método smart card. Após a conclusão deste processo, o BitLocker está em conformidade com a definição de política e a proteção do BitLocker na unidade pode ser retomada.

Noutros cenários, para que a unidade fique em conformidade com uma alteração nas definições de política, o BitLocker poderá ter de ser desativado e a unidade desencriptada, seguida de reativar o BitLocker e, em seguida, voltar a encriptar a unidade. Um exemplo deste cenário é quando o método de encriptação bitLocker ou a força da cifra são alterados.

Para saber mais sobre como gerir o BitLocker, veja o Guia de operações do BitLocker.

Configurar e gerir servidores

Os servidores são frequentemente implementados, configurados e geridos com o PowerShell. A recomendação é utilizar as definições de política de grupo para configurar o BitLocker nos servidores e gerir o BitLocker com o PowerShell.

O BitLocker é um componente opcional no Windows Server. Siga as instruções em Instalar o BitLocker no Windows Server para adicionar o componente opcional BitLocker.

A interface de servidor mínima é um pré-requisito para algumas das ferramentas de administração do BitLocker. Numa instalação Server Core , os componentes gui necessários têm de ser adicionados primeiro. As etapas para adicionar componentes de shell ao Server Core são descritas em Usando recursos sob demanda com sistemas atualizados e imagens com correções e Como atualizar a mídia de origem local para adicionar funções e recursos. Se um servidor for instalado manualmente, escolher Servidor com Experiência de Utilização do Computador é o caminho mais fácil porque evita executar os passos para adicionar uma GUI ao Server Core.

Os datacenters de luzes podem tirar partido da segurança melhorada de um segundo fator, evitando ao mesmo tempo a necessidade de intervenção do utilizador durante os reinícios ao utilizar opcionalmente uma combinação de BitLocker (TPM+PIN) e Desbloqueio de Rede do BitLocker. O Desbloqueio pela rede do BitLocker reúne a melhor proteção de hardware, dependência de localização e desbloqueio automático, além do local confiável. Para obter os passos de configuração, veja Desbloqueio da Rede.

Próximas etapas

Reveja o guia de operações do BitLocker para saber como utilizar ferramentas diferentes para gerir e operar o BitLocker.

Guia de operações do BitLocker >