A tabela seguinte lista as políticas bitLocker aplicáveis a todos os tipos de unidade, indicando se são aplicáveis através do fornecedor de serviços de configuração (CSP) e/ou da política de grupo (GPO). Selecione o nome da política para obter mais detalhes.
Permitir encriptação de utilizador padrão
Com esta política, pode impor a política Exigir encriptação de dispositivos para cenários em que a política é aplicada enquanto o utilizador com sessão iniciada atual não tem direitos administrativos.
Escolher a pasta predefinida para a palavra-passe de recuperação
Especifique o caminho predefinido que é apresentado quando o assistente de configuração de Encriptação de Unidade BitLocker pede ao utilizador para introduzir a localização de uma pasta na qual pretende guardar a palavra-passe de recuperação. Pode especificar um caminho completamente qualificado ou incluir as variáveis de ambiente do computador de destino no caminho:
- Se o caminho não for válido, o assistente de configuração do BitLocker apresenta a vista de pasta de nível superior do computador
- Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker apresenta a vista de pasta de nível superior do computador quando o utilizador escolher a opção para guardar a palavra-passe de recuperação numa pasta
Observação
Esta definição de política não impede que o utilizador guarde a palavra-passe de recuperação noutra pasta.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Escolher o método de encriptação de unidade e a força da cifra
Com esta política, pode configurar um algoritmo de encriptação e a força da cifra de chave para unidades de dados fixas, unidades do sistema operativo e unidades de dados amovíveis individualmente.
Definições recomendadas: XTS-AES algoritmo para todas as unidades. A escolha do tamanho da chave, 128 bits ou 256 bits depende do desempenho do dispositivo. Para obter mais unidades de disco rígido e CPU de desempenho, escolha a chave de 256 bits, para os menos eficazes, utilize 128.
Importante
O tamanho da chave pode ser exigido pelos reguladores ou pela indústria.
Se desativar ou não configurar esta definição de política, o BitLocker utiliza o método de encriptação predefinido de XTS-AES 128-bit.
Observação
Esta política não se aplica a unidades encriptadas. As unidades encriptadas utilizam o seu próprio algoritmo, que é definido pela unidade durante a criação de partições.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
EncryptionMethodByDriveType |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Com esta política, pode configurar uma rotação de palavras-passe de recuperação numérica após a utilização para o SO e unidades fixas em dispositivos associados ao Microsoft Entra e associados ao Microsoft Entra híbrido.
Os valores possíveis são:
-
0: a rotação de palavras-passe de recuperação numérica está desativada
-
1: a rotação de palavras-passe de recuperação numérica após a utilização está ativada para dispositivos associados ao Microsoft Entra. Este também é o valor predefinido
-
2: a rotação de palavras-passe de recuperação numérica após a utilização está ativada para dispositivos associados ao Microsoft Entra e dispositivos associados híbridos do Microsoft Entra
Observação
A Política só entra em vigor quando o ID do Micropsoft Entra ou a cópia de segurança do Active Directory para a palavra-passe de recuperação estiver configurada como necessária
- Para unidade de SO: ative Não ativar o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo
- Para unidades fixas: ative "Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
Desativar novos dispositivos DMA quando este computador está bloqueado
Quando ativada, esta definição de política bloqueia o acesso direto à memória (DMA) para todas as portas PCI plug-to-hot até que um utilizador inicie sessão no Windows.
Assim que um utilizador iniciar sessão, o Windows enumera os dispositivos PCI ligados às portas thunderbolt PCI do anfitrião. Sempre que o utilizador bloqueia o dispositivo, o DMA é bloqueado nas portas Thunderbolt PCI sem dispositivos subordinados, até que o utilizador inicie sessão novamente.
Os dispositivos que já estavam enumerados quando o dispositivo foi desbloqueado continuarão a funcionar até que o sistema seja reiniciado ou hibernado.
Esta definição de política só é imposta quando o BitLocker ou a encriptação do dispositivo está ativada.
Importante
Esta política não é compatível com a Proteção DMA do Kernel. Recomenda-se desativar esta política se o sistema suportar a Proteção DMA do Kernel, uma vez que a Proteção DMA do Kernel proporciona uma maior segurança para o sistema. Para obter mais informações sobre a Proteção DMA de Kernel, veja Proteção DMA de Kernel.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Impedir a substituição da memória ao reiniciar
Esta definição de política é utilizada para controlar se a memória do computador é substituída quando o dispositivo é reiniciado. Os segredos do BitLocker incluem material chave utilizado para encriptar dados.
- Se ativar esta definição de política, a memória não é substituída quando o computador é reiniciado. Impedir a substituição de memória pode melhorar o desempenho de reinício, mas aumenta o risco de expor segredos do BitLocker.
- Se desativar ou não configurar esta definição de política, os segredos do BitLocker são removidos da memória quando o computador é reiniciado.
Observação
Esta definição de política aplica-se apenas quando a proteção do BitLocker está ativada.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Indique os identificadores exclusivos para a sua organização
Esta definição de política permite-lhe associar identificadores organizacionais exclusivos a uma unidade encriptada com o BitLocker. Os identificadores são armazenados como o campo de identificação e o campo de identificação permitido:
- O campo de identificação permite-lhe associar um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Este identificador é adicionado automaticamente a novas unidades protegidas pelo BitLocker e pode ser atualizado em unidades protegidas pelo BitLocker existentes com a Encriptação de Unidade BitLocker: Ferramenta de Configuração (
manage-bde.exe)
- O campo de identificação permitido é utilizado em combinação com a definição de política Negar acesso de escrita a unidades amovíveis não protegidas pelo BitLocker para ajudar a controlar a utilização de unidades amovíveis na sua organização. É uma lista separada por vírgulas de campos de identificação da sua organização ou de outras organizações externas. Pode configurar os campos de identificação em unidades existentes com
manage-bde.exe.
Se ativar esta definição de política, pode configurar o campo de identificação na unidade protegida pelo BitLocker e qualquer campo de identificação permitido utilizado pela sua organização. Quando uma unidade protegida por BitLocker é montada noutro dispositivo compatível com o BitLocker, o campo de identificação e o campo de identificação permitido são utilizados para determinar se a unidade é de uma organização diferente.
Se desativar ou não configurar esta definição de política, o campo de identificação não é necessário.
Importante
Os campos de identificação são necessários para a gestão de agentes de recuperação de dados baseados em certificados em unidades protegidas pelo BitLocker. O BitLocker só gere e atualiza agentes de recuperação de dados baseados em certificados quando o campo de identificação está presente numa unidade e é idêntico ao valor configurado no dispositivo. O campo de identificação pode ter um valor igual ou inferior a 260 carateres.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
Campo de Identificação |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Exigir encriptação de dispositivos
Esta definição de política determina se o BitLocker é necessário:
- Se estiver ativada, a encriptação é acionada em todas as unidades de forma silenciosa ou não silenciosa com base no aviso Permitir para outra política de encriptação de disco
- Se estiver desativado, o BitLocker não está desativado para a unidade do sistema, mas deixa de pedir ao utilizador para ativar o BitLocker.
Observação
Normalmente, o BitLocker segue o método Escolher encriptação de unidade e a configuração da política de força da cifra. No entanto, esta definição de política será ignorada para a encriptação automática de unidades fixas e a encriptação automática de unidades de SO.
Os volumes de dados fixos encriptados são tratados de forma semelhante aos volumes do SO, mas têm de cumprir outros critérios para serem encriptados:
- Não pode ser um volume dinâmico
- Não pode ser uma partição de recuperação
- Não pode ser um volume oculto
- Não pode ser uma partição do sistema
- Não pode ser suportada pelo armazenamento virtual
- Não pode ter uma referência no arquivo BCD
Validar a conformidade da regra de utilização de certificados de smart card
Esta definição de política é utilizada para determinar que certificado utilizar com o BitLocker ao associar um identificador de objeto (OID) de um certificado de smart card a uma unidade protegida pelo BitLocker. O identificador do objeto é especificado na utilização avançada da chave (EKU) de um certificado.
O BitLocker pode identificar os certificados que podem ser utilizados para autenticar um certificado de utilizador numa unidade protegida pelo BitLocker ao corresponder o identificador de objeto no certificado com o identificador de objeto definido por esta definição de política. O OID predefinido é 1.3.6.1.4.1.311.67.1.1.
Se ativar esta definição de política, o identificador de objeto especificado no campo Identificador de objeto tem de corresponder ao identificador do objeto no certificado de smart card. Se desativar ou não configurar esta definição de política, será utilizado o OID predefinido.
Observação
O BitLocker não requer que um certificado tenha um atributo EKU; no entanto, se um estiver configurado para o certificado, tem de ser definido como um identificador de objeto que corresponda ao identificador de objeto configurado para o BitLocker.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação de Unidade BitLocker |
Permitir que os dispositivos em conformidade com o InstantGo ou o HSTI optem ativamente por não participar no PIN de pré-arranque
Esta definição de política permite que os utilizadores em dispositivos em conformidade com o InstantGo ou o Microsoft Hardware Security Test Interface (HSTI) não tenham um PIN para autenticação pré-inicial.
A política substitui o PIN de arranque Necessário com TPM e Exigir chave de arranque e PIN com as opções TPM da política Exigir autenticação adicional no arranque em hardware compatível.
- Se ativar esta definição de política, os utilizadores em dispositivos compatíveis com InstantGo e HSTI podem ativar o BitLocker sem autenticação prévia
- Se a política estiver desativada ou não estiver configurada, aplicam-se as opções exigir autenticação adicional na política de arranque
Permitir PINs melhorados para arranque
Esta definição permite a utilização de PINs melhorados quando é utilizado um método de desbloqueio que inclui um PIN.
Os PINs de arranque melhorados permitem a utilização de carateres (incluindo letras maiúsculas e minúsculas, símbolos, números e espaços).
Importante
Nem todos os computadores suportam carateres de PIN melhorados no ambiente de pré-arranque. Recomenda-se vivamente que os utilizadores efetuem uma verificação do sistema durante a configuração do BitLocker para verificar se podem ser utilizados carateres de PIN melhorados.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEnhancedPIN |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Permitir desbloqueio de rede no arranque
Esta definição de política controla se um dispositivo protegido pelo BitLocker ligado a uma Rede local (LAN) com fios fidedignos pode criar e utilizar Protetores de Chaves de Rede em computadores compatíveis com TPM para desbloquear automaticamente a unidade do sistema operativo quando o computador é iniciado.
Se ativar esta política, os dispositivos configurados com um certificado de Desbloqueio de Rede bitLocker podem criar e utilizar Protetores de Chaves de Rede. Para utilizar um Protetor de Chave de Rede para desbloquear o computador, o computador e o servidor de Desbloqueio da Rede de Encriptação de Unidade BitLocker têm de ser aprovisionados com um certificado de Desbloqueio de Rede. O certificado de Desbloqueio de Rede é utilizado para criar Protetores de Chaves de Rede e protege as informações trocadas com o servidor para desbloquear o computador.
Definição de Política de Grupo Configuração> do ComputadorDefinições> deSegurança Definições de Segurança Políticas>> deChave PúblicaOCertificado de Desbloqueio da Rede de Encriptação de Unidade bitLocker pode ser utilizado no controlador de domínio para distribuir este certificado por computadores na organização. Este método de desbloqueio utiliza o TPM no computador, para que os computadores que não têm um TPM não possam criar Protetores de Chaves de Rede para desbloquear automaticamente com o Desbloqueio de Rede.
Se desativar ou não configurar esta definição de política, os clientes BitLocker não poderão criar e utilizar Protetores de Chaves de Rede.
Observação
Para fiabilidade e segurança, os computadores também devem ter um PIN de arranque do TPM que pode ser utilizado quando o computador está desligado da rede com fios ou do servidor no arranque.
Para obter mais informações sobre a funcionalidade Desbloqueio de Rede, veja BitLocker: Como ativar o Desbloqueio da Rede
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Permitir o Arranque Seguro para validação da integridade
Esta definição de política permite-lhe configurar se o Arranque Seguro é permitido como fornecedor de integridade da plataforma para unidades do sistema operativo BitLocker.
O Arranque Seguro garante que o ambiente de pré-arranque do dispositivo só carrega firmware assinado digitalmente por fabricantes de software autorizados.
- Se ativar ou não configurar esta definição de política, o BitLocker utiliza o Arranque Seguro para integridade da plataforma se a plataforma for capaz de validar a integridade baseada no Arranque Seguro
- Se desativar esta definição de política, o BitLocker utiliza a validação da integridade da plataforma legada, mesmo em sistemas capazes de validar a integridade baseada no Arranque Seguro
Quando esta política está ativada e o hardware é capaz de utilizar o Arranque Seguro para cenários do BitLocker, a definição de política Utilizar perfil de validação de Dados de Configuração de Arranque Avançado é ignorada e o Arranque Seguro verifica as definições do BCD de acordo com a definição de política de Arranque Seguro, que é configurada separadamente do BitLocker.
Aviso
Desativar esta política pode resultar na recuperação do BitLocker quando o firmware específico do fabricante é atualizado. Se esta política estiver desativada, suspenda o BitLocker antes de aplicar atualizações de firmware.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Permitir aviso para outra encriptação de disco
Com esta política, pode desativar todas as notificações para encriptação, pedido de aviso para outra encriptação de disco e ativar a encriptação silenciosamente.
Importante
Esta política aplica-se apenas a dispositivos associados ao Microsoft Entra.
Esta política só entra em vigor se a política Exigir encriptação de dispositivos estiver ativada.
Aviso
Quando ativa o BitLocker num dispositivo com encriptação não Microsoft, este pode tornar o dispositivo inutilizável e exigir a reinstalação do Windows.
Os valores esperados para esta política são:
- Ativado (predefinição): aviso de aviso e notificação de encriptação é permitida
- Desativado: o pedido de aviso e a notificação de encriptação são suprimidos. O Windows tentará ativar automaticamente o BitLocker
Observação
Quando desativar o pedido de aviso, a chave de recuperação da unidade do SO fará uma cópia de segurança para a conta do Microsoft Entra ID do utilizador. Quando permite o pedido de aviso, o utilizador que recebe o pedido pode selecionar onde fazer uma cópia de segurança da chave de recuperação da unidade de SO.
O ponto final da cópia de segurança de uma unidade de dados fixa é escolhido pela seguinte ordem:
- A conta do Windows Server Active Directory Domain Services do utilizador
- A conta do Microsoft Entra ID do utilizador
- OneDrive pessoal do utilizador (apenas MDM/MAM)
A encriptação aguardará até que uma destas três localizações faça uma cópia de segurança com êxito.
Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
Esta definição de política permite-lhe controlar a forma como as unidades do sistema operativo protegidas pelo BitLocker são recuperadas na ausência das informações de chave de arranque necessárias. Se ativar esta definição de política, pode controlar os métodos disponíveis para os utilizadores recuperarem dados de unidades de sistema operativo protegidas pelo BitLocker. Eis as opções disponíveis:
-
Permitir agente de recuperação de dados baseado em certificados: especifique se um agente de recuperação de dados pode ser utilizado com unidades de SO protegidas pelo BitLocker. Antes de um agente de recuperação de dados poder ser utilizado, este tem de ser adicionado a partir do item Políticas de Chave Pública na Consola de Gestão de Políticas de Grupo ou no Editor de Políticas de Grupo Local
-
Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker: selecione se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
-
Omitir opções de recuperação do assistente de configuração do BitLocker: impedir que os utilizadores especifiquem opções de recuperação quando ativam o BitLocker para uma unidade. Isto significa que os utilizadores não poderão especificar a opção de recuperação a utilizar quando ativarem o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela definição de política
-
Guarde as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory: escolha as informações de recuperação do BitLocker a armazenar no AD DS para unidades do sistema operativo. Se selecionar Palavra-passe de recuperação de cópia de segurança e pacote de chave, a palavra-passe de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves suporta a recuperação de dados de uma unidade que foi fisicamente danificada. Se selecionar Apenas palavra-passe de recuperação da cópia de segurança, apenas a palavra-passe de recuperação é armazenada no AD DS
-
Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operativo: impede os utilizadores de ativarem o BitLocker, a menos que o dispositivo esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida. Ao utilizar esta opção, é gerada automaticamente uma palavra-passe de recuperação.
Se esta definição de política estiver desativada ou não estiver configurada, as opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitida uma DRA, as opções de recuperação podem ser especificadas pelo utilizador, incluindo a palavra-passe de recuperação e a chave de recuperação, e não é efetuada uma cópia de segurança das informações de recuperação para o AD DS.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryOptions |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta política configura um comprimento mínimo para um PIN de arranque do Trusted Platform Module (TPM). O PIN de arranque tem de ter um comprimento mínimo de 4 dígitos e pode ter um comprimento máximo de 20 dígitos.
Se ativar esta definição de política, pode exigir um número mínimo de dígitos para ser utilizado ao definir o PIN de arranque.
Se desativar ou não configurar esta definição de política, os utilizadores podem configurar um PIN de arranque de qualquer comprimento entre 6 e 20 dígitos.
O TPM pode ser configurado para utilizar parâmetros de Prevenção de Ataques do Dicionário (limiar de bloqueio e duração do bloqueio para controlar quantas tentativas de autorizações falhadas são permitidas antes de o TPM ser bloqueado e quanto tempo tem de decorrido antes de ser efetuada outra tentativa.
Os Parâmetros de Prevenção de Ataques do Dicionário fornecem uma forma de equilibrar as necessidades de segurança com a usabilidade. Por exemplo, quando o BitLocker é utilizado com uma configuração TPM + PIN, o número de estimativas de PIN é limitado ao longo do tempo. Um TPM 2.0 neste exemplo poderia ser configurado para permitir apenas 32 estimativas de PIN imediatamente e, em seguida, apenas mais uma estimativa a cada duas horas. Este número de tentativas totaliza um máximo de cerca de 4415 palpites por ano. Se o PIN for de quatro dígitos, todas as combinações de PIN 9999 possíveis podem ser tentadas em pouco mais de dois anos.
Dica
Aumentar o comprimento do PIN requer um maior número de estimativas para um atacante. Nesse caso, a duração do bloqueio entre cada estimativa pode ser abreviada para permitir que os utilizadores legítimos tentem novamente uma tentativa falhada mais cedo, mantendo um nível de proteção semelhante.
Observação
Se o comprimento mínimo do PIN estiver definido abaixo dos 6 dígitos, o Windows tentará atualizar o período de bloqueio do TPM 2.0 para ser maior do que a predefinição quando um PIN é alterado. Se for bem-sucedido, o Windows só reporá o período de bloqueio do TPM para a predefinição se o TPM for reposto.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesMinimumPINLength |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política é utilizada para configurar a mensagem de recuperação e para substituir o URL existente que é apresentado no ecrã de recuperação de pré-arranque quando a unidade do SO está bloqueada.
- Se selecionar a opção Utilizar mensagem de recuperação predefinida e URL , a mensagem de recuperação bitLocker predefinida e o URL são apresentados no ecrã de recuperação da chave de pré-arranque. Se tiver configurado anteriormente uma mensagem ou URL de recuperação personalizado e quiser reverter para a mensagem predefinida, tem de manter a política ativada e selecionar a opção Utilizar mensagem de recuperação predefinida e URL
- Se selecionar a opção Utilizar mensagem de recuperação personalizada , a mensagem que adicionar à caixa de texto Opção de mensagem de recuperação personalizada é apresentada no ecrã de recuperação da chave de pré-arranque. Se estiver disponível um URL de recuperação, inclua-o na mensagem
- Se selecionar a opção Utilizar URL de recuperação personalizada , o URL que adicionar à caixa de texto Da opção URL de recuperação personalizada substitui o URL predefinido na mensagem de recuperação predefinida, que é apresentada no ecrã de recuperação da chave de pré-arranque
Observação
Nem todos os carateres e idiomas são suportados no pré-arranque. Recomenda-se vivamente que teste que os carateres que utiliza para a mensagem personalizada ou o URL apareçam corretamente no ecrã de recuperação de pré-arranque.
Para obter mais informações sobre o ecrã de recuperação pré-inicial do BitLocker, veja Ecrã de recuperação pré-inicial.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryMessage |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política determina os valores que o TPM mede quando valida os componentes de arranque antecipado antes de desbloquear uma unidade do sistema operativo num computador com uma configuração bios ou com firmware UEFI que tenha o Módulo de Suporte de Compatibilidade (CSM) ativado.
- Quando ativado, os componentes de arranque que o TPM valida antes de desbloquear o acesso à unidade do sistema operativo encriptado pelo BitLocker podem ser configurados. Se algum destes componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não liberta a chave de encriptação para desbloquear a unidade. Em vez disso, o computador apresenta a consola do BitLocker Recovery e requer que a palavra-passe de recuperação ou a chave de recuperação sejam fornecidas para desbloquear a unidade.
- Quando desativado ou não configurado, o TPM utiliza o perfil de validação de plataforma predefinido ou o perfil de validação da plataforma especificado pelo script de configuração.
Esta definição de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção TPM.
Importante
Esta definição de Política de Grupo aplica-se apenas a computadores com configurações BIOS ou a computadores com firmware UEFI com o CSM ativado. Os computadores que utilizam uma configuração de firmware UEFI nativa armazenam valores diferentes nos Registos de Configuração da Plataforma (PCRs). Utilize a definição de política Configurar o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas para configurar o perfil TPM PCR para computadores que utilizam firmware UEFI nativo.
Um perfil de validação de plataforma consiste num conjunto de índices PCR que variam entre 0 e 23. Cada índice PCR representa uma medida específica que o TPM valida durante o arranque antecipado. O perfil de validação de plataforma predefinido protege a chave de encriptação contra as alterações aos seguintes PCRs:
| PCR |
Descrição |
| PCR 0 |
Raiz de confiança principal para medição, BIOS e extensões de plataforma |
| PCR 2 |
Código ROM de opção |
| PCR 4 |
Código de Registo de Arranque Principal (MBR) |
| PCR 8 |
Setor de arranque NTFS |
| PCR 9 |
Bloco de arranque NTFS |
| PCR 10 |
Gestor de arranque |
| PCR 11 |
Controlo de acesso do BitLocker |
Observação
A alteração do perfil de validação da plataforma predefinido afeta a segurança e a capacidade de gestão de um computador. A sensibilidade do BitLocker às modificações da plataforma (maliciosas ou autorizadas) é aumentada ou diminuída consoante a inclusão ou exclusão (respetivamente) dos PCRs.
A lista seguinte identifica todos os PCRs disponíveis:
| PCR |
Descrição |
| PCR 0 |
Raiz de confiança principal para medição, BIOS e extensões de plataforma |
| PCR 1 |
Configuração e dados da plataforma e da placa principal. |
| PCR 2 |
Código ROM de opção |
| PCR 3 |
Configuração e dados rom de opção |
| PCR 4 |
Código de Registo de Arranque Principal (MBR) |
| PCR 5 |
Tabela de partições do Registo de Arranque Principal (MBR) |
| PCR 6 |
Eventos de transição e reativação de estado |
| PCR 7 |
Específico do fabricante do computador |
| PCR 8 |
Setor de arranque NTFS |
| PCR 9 |
Bloco de arranque NTFS |
| PCR 10 |
Gestor de arranque |
| PCR 11 |
Controlo de acesso do BitLocker |
| PCR 12-23 |
Reservado para utilização futura |
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política determina os valores que o TPM mede quando valida os componentes de arranque antecipado, antes de desbloquear a unidade do SO no dispositivo de firmware UEFI nativo.
- Se ativar esta definição de política antes de ativar o BitLocker, pode configurar os componentes de arranque que o TPM valida antes de desbloquear o acesso à unidade de SO encriptada pelo BitLocker. Se algum destes componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não liberta a chave de encriptação para desbloquear a unidade. O dispositivo apresenta a consola do BitLocker Recovery e requer que seja fornecida a palavra-passe de recuperação ou a chave de recuperação para desbloquear a unidade
- Se desativar ou não configurar esta definição de política, o BitLocker utiliza o perfil de validação de plataforma predefinido para o hardware disponível ou o perfil de validação da plataforma especificado pelo script de configuração
Importante
Esta definição de política aplica-se apenas a dispositivos com uma configuração de firmware UEFI nativa. Os computadores com o firmware BIOS ou UEFI com um Módulo de Suporte de Compatibilidade (CSM) ativado armazenam valores diferentes nos Registos de Configuração da Plataforma (PCRs). Utilize a definição configurar o perfil de validação da plataforma TPM para configurações de firmware baseadas em BIOS para configurar o perfil de PCR TPM para dispositivos com configurações de BIOS ou para dispositivos com firmware UEFI com um CSM ativado.
Um perfil de validação de plataforma consiste num conjunto de índices PCR entre 0 e 23. O perfil de validação de plataforma predefinido protege a chave de encriptação contra as alterações aos seguintes PCRs:
| PCR |
Descrição |
| PCR 0 |
Código executável de Firmware do Sistema Principal |
| PCR 2 |
Código executável expandido ou pluggable |
| PCR 4 |
Gestor de Arranque |
| PCR 11 |
Controlo de acesso do BitLocker |
Observação
Quando o suporte de Estado de Arranque Seguro (PCR7) está disponível, o perfil de validação de plataforma predefinido protege a chave de encriptação com o Estado de Arranque Seguro (PCR 7) e o controlo de acesso BitLocker (PCR 11).
A lista seguinte identifica todos os PCRs disponíveis:
| PCR |
Descrição |
| PCR 0 |
Código executável de Firmware do Sistema Principal |
| PCR 1 |
Dados de Firmware do Sistema Principal |
| PCR 2 |
Código executável expandido ou pluggable |
| PCR 3 |
Dados de firmware expandidos ou pluggable |
| PCR 4 |
Gestor de Arranque |
| PCR 5 |
GPT/Tabela de Partições |
| PCR 6 |
Retomar a partir dos Eventos de Estado de Energia S4 e S5 |
| PCR 7 |
Estado de Arranque Seguro |
| PCR 8 |
Inicializado para 0 sem Extensões (reservado para utilização futura) |
| PCR 9 |
Inicializado para 0 sem Extensões (reservado para utilização futura) |
| PCR 10 |
Inicializado para 0 sem Extensões (reservado para utilização futura) |
| PCR 11 |
Controlo de acesso do BitLocker |
| PCR 12 |
Eventos de dados e eventos altamente voláteis |
| PCR 13 |
Detalhes do Módulo de Arranque |
| PCR 14 |
Autoridades de Arranque |
| PCR 15 - 23 |
Reservado para utilização futura |
Aviso
A alteração do perfil de validação de plataforma predefinido afeta a segurança e a capacidade de gestão de um dispositivo. A sensibilidade do BitLocker às modificações da plataforma (maliciosas ou autorizadas) é aumentada ou diminuída consoante a inclusão ou exclusão (respetivamente) dos PCRs.
Definir esta política com PCR 7 omitido, substitui a política Permitir Arranque Seguro para validação de integridade , impedindo o BitLocker de utilizar o Arranque Seguro para validação da integridade dos Dados de Configuração de Arranque (BCD) da plataforma.
Definir esta política pode resultar na recuperação do BitLocker quando o firmware é atualizado. Se definir esta política para incluir PCR 0, suspenda o BitLocker antes de aplicar atualizações de firmware. Recomenda-se que não configure esta política, para permitir que o Windows selecione o perfil PCR para a melhor combinação de segurança e usabilidade com base no hardware disponível em cada dispositivo.
O PCR 7 mede o estado de Arranque Seguro. Com o PCR 7, o BitLocker pode utilizar o Arranque Seguro para validação de integridade. O Arranque Seguro garante que o ambiente de pré-arranque do computador carrega apenas firmware assinado digitalmente por fabricantes de software autorizados. As medições do PCR 7 indicam se o Arranque Seguro está ativado e que chaves são fidedignas na plataforma. Se o Arranque Seguro estiver ativado e o firmware medir corretamente o PCR 7 de acordo com a especificação UEFI, o BitLocker pode vincular-se a estas informações em vez de aos PCRs 0, 2 e 4, que têm as medições das imagens exatas do firmware e do Bootmgr carregadas. Este processo reduz a probabilidade de o BitLocker iniciar no modo de recuperação como resultado de atualizações de firmware e imagens e proporciona maior flexibilidade para gerir a configuração de pré-arranque.
As medições do PCR 7 têm de seguir a documentação de orientação descrita no Apêndice Um Protocolo EFI do Ambiente de Execução Fidedigna.
As medições do PCR 7 são um requisito de logótipo obrigatório para sistemas que suportam o Modo de Espera Moderno (também conhecido como AlwaysOn, PCs Always Connected). Nesses sistemas, se a medição do TPM com PCR 7 e o arranque seguro estiverem corretamente configurados, o BitLocker vincula ao PCR 7 e PCR 11 por predefinição.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política permite-lhe gerir a utilização do BitLocker de encriptação baseada em hardware em unidades do sistema operativo e especificar os algoritmos de encriptação que pode utilizar com encriptação baseada em hardware. A utilização da encriptação baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem a leitura frequente ou escrita de dados na unidade.
Se ativar esta definição de política, pode especificar opções que controlam se a encriptação baseada em software BitLocker é utilizada em vez da encriptação baseada em hardware em dispositivos que não suportam encriptação baseada em hardware. Também pode especificar se pretende restringir os algoritmos de encriptação e conjuntos de cifras utilizados com encriptação baseada em hardware.
Se desativar esta definição de política, o BitLocker não poderá utilizar a encriptação baseada em hardware com unidades do sistema operativo e a encriptação baseada em software BitLocker será utilizada por predefinição quando a unidade for encriptada.
Se não configurar esta definição de política, o BitLocker utilizará a encriptação baseada em software, independentemente da disponibilidade de encriptação baseada em hardware.
Observação
A definição Escolher método de encriptação de unidade e política de força de cifra não se aplica à encriptação baseada em hardware. O algoritmo de encriptação utilizado pela encriptação baseada em hardware é definido quando a unidade é particionada. Por predefinição, o BitLocker utiliza o algoritmo configurado na unidade para encriptar a unidade.
A opção Restringir algoritmos de encriptação e conjuntos de cifras permitidos para encriptação baseada em hardware permite-lhe restringir os algoritmos de encriptação que o BitLocker pode utilizar com a encriptação de hardware. Se o algoritmo definido para a unidade não estiver disponível, o BitLocker desativa a utilização da encriptação baseada em hardware. Os algoritmos de encriptação são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política especifica as restrições das palavras-passe utilizadas para desbloquear unidades de sistema operativo protegidas pelo BitLocker. Se forem permitidos protetores não TPM em unidades do sistema operativo, pode aprovisionar uma palavra-passe, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a definição de requisito de complexidade seja eficaz, a definição de política de grupo Palavra-passe tem de cumprir os requisitos de complexidade localizados em Configuração> do ComputadorDefinições> deSegurança Políticas> deConta Políticas> de Conta, também tem de estar ativada.
Se ativar esta definição de política, os utilizadores podem configurar uma palavra-passe que cumpra os requisitos que definir. Para impor requisitos de complexidade na palavra-passe, selecione Exigir complexidade:
- Quando definida como Exigir complexidade, é necessária uma ligação a um controlador de domínio quando o BitLocker está ativado para validar a complexidade da palavra-passe
- Quando definida como Permitir complexidade, é tentada uma ligação a um controlador de domínio para validar que a complexidade cumpre as regras definidas pela política. Se não forem encontrados controladores de domínio, a palavra-passe é aceite independentemente da complexidade real da palavra-passe e a unidade será encriptada utilizando essa palavra-passe como um protetor
- Quando definida como Não permitir complexidade, a complexidade da palavra-passe não é validada
As palavras-passe têm de ter, pelo menos, oito carateres. Para configurar um comprimento mínimo maior para a palavra-passe, especifique o número pretendido de carateres em Comprimento mínimo da palavra-passe
Se desativar ou não configurar esta definição de política, a restrição de comprimento predefinida de oito carateres aplica-se às palavras-passe da unidade do sistema operativo e não ocorrem verificações de complexidade.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Não permitir que os utilizadores padrão alterem o PIN ou a palavra-passe
Esta política permite configurar se os utilizadores padrão estão autorizados a alterar o PIN ou a palavra-passe que é utilizado para proteger a unidade do sistema operativo, se conseguirem fornecer primeiro o PIN existente.
Se ativar esta política, os utilizadores padrão não podem alterar os PINs ou palavras-passe do BitLocker.
Se desativar ou não configurar esta política, os utilizadores padrão podem alterar os PINs e palavras-passe do BitLocker.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesDisallowStandardUsersCanChangePIN |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política permite que os utilizadores ativem as opções de autenticação que requerem a entrada do utilizador a partir do ambiente de pré-arranque, mesmo que a plataforma não tenha capacidade de entrada de pré-arranque. O teclado tátil do Windows (como o utilizado pelos tablets) não está disponível no ambiente de pré-arranque onde o BitLocker necessita de informações adicionais, como um PIN ou Uma Palavra-passe.
- Se ativar esta definição de política, os dispositivos têm de ter um meio alternativo de introdução de pré-arranque (como um teclado USB ligado).
- Se esta política não estiver ativada, o Ambiente de Recuperação do Windows tem de estar ativado em tablets para suportar a entrada da palavra-passe de recuperação bitLocker.
Recomenda-se que os administradores ativem esta política apenas para dispositivos que são verificados para terem um meio alternativo de introdução de pré-arranque, como anexar um teclado USB.
Quando o Ambiente de Recuperação do Windows (WinRE) não está ativado e esta política não está ativada, o BitLocker não pode ser ativado num dispositivo que utilize um teclado tátil.
Se esta definição de política não estiver ativada, as seguintes opções na política Exigir autenticação adicional no arranque poderão não estar disponíveis:
- Configurar o PIN de arranque do TPM: Necessário e Permitido
- Configurar o PIN e a chave de arranque do TPM: Necessário e Permitido
- Configurar a utilização de palavras-passe para unidades do sistema operativo
Impor o tipo de encriptação de unidade em unidades do sistema operativo
Esta definição de política permite-lhe configurar o tipo de encriptação utilizado pela Encriptação de Unidade BitLocker.
Quando ativa esta definição de política, a opção de tipo de encriptação não é oferecida no assistente de configuração do BitLocker:
- Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado
- Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado
Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pede ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.
Observação
Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso.
Esta política é ignorada ao encolher ou expandir um volume e o controlador BitLocker utiliza o método de encriptação atual. Por exemplo, quando uma unidade que está a utilizar a encriptação Apenas Espaço Utilizado é expandida, o novo espaço livre não é apagado como uma unidade que utiliza encriptação Completa. O utilizador pode apagar o espaço livre numa unidade Apenas Espaço Utilizado com o seguinte comando: manage-bde.exe -w. Se o volume diminuir, não é tomada nenhuma ação para o novo espaço livre.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEncryptionType |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Exigir autenticação adicional no arranque
Esta definição de política configura se o BitLocker requer autenticação extra sempre que o dispositivo é iniciado.
Se ativar esta política, os utilizadores podem configurar opções de arranque avançadas no assistente de configuração do BitLocker.
Se desativar ou não configurar esta definição de política, os utilizadores só podem configurar opções básicas em computadores com um TPM.
Observação
Apenas uma das opções de autenticação adicionais pode ser necessária no arranque, caso contrário ocorre um erro de política.
Se quiser utilizar o BitLocker num dispositivo sem um TPM, selecione a opção Permitir BitLocker sem um TPM compatível. Neste modo, é necessária uma palavra-passe ou uma pen USB para o arranque.
Ao utilizar uma chave de arranque, as principais informações utilizadas para encriptar a unidade são armazenadas na pen USB, criando uma chave USB. Quando a tecla USB é inserida, o acesso à unidade é autenticado e a unidade é acessível. Se a tecla USB estiver perdida ou indisponível ou se se tiver esquecido da palavra-passe, tem de utilizar uma das opções de recuperação do BitLocker para aceder à unidade.
Num computador com um TPM compatível, podem ser utilizados quatro tipos de métodos de autenticação no arranque para fornecer proteção adicional para dados encriptados. Quando o computador é iniciado, pode utilizar:
- Apenas TPM
- uma pen USB com uma chave de arranque
- um PIN (de 6 dígitos a 20 dígitos)
- PIN + Pen USB
Observação
Se quiser exigir a utilização de um PIN de arranque e de uma pen USB, tem de configurar as definições do BitLocker com a ferramenta de linha de comandos manage-bde em vez do assistente de configuração da Encriptação de Unidade BitLocker.
Existem quatro opções para dispositivos compatíveis com TPM:
Configurar o arranque do TPM
- Permitir TPM
- Exigir TPM
- Não permitir o TPM
Configurar o PIN de arranque do TPM
- Permitir PIN de arranque com o TPM
- Exigir PIN de arranque com o TPM
- Não permitir o PIN de arranque com o TPM
Configurar a chave de arranque do TPM
- Permitir a chave de arranque com o TPM
- Exigir chave de arranque com o TPM
- Não permitir a chave de arranque com o TPM
Configurar o PIN e a chave de arranque do TPM
- Permitir a chave de arranque do TPM com PIN
- Exigir a chave de arranque e o PIN com o TPM
- Não permitir a chave de arranque do TPM com PIN
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRequireStartupAuthentication |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Esta definição de política determina se os dados de validação da plataforma devem ser atualizados quando o Windows é iniciado após uma recuperação do BitLocker. Um perfil de dados de validação de plataforma consiste nos valores num conjunto de índices do Registo de Configuração da Plataforma (PCR) que variam entre 0 e 23.
Se ativar esta definição de política, os dados de validação da plataforma são atualizados quando o Windows é iniciado após a recuperação do BitLocker. Este é o comportamento padrão.
Se desativar esta definição de política, os dados de validação da plataforma não serão atualizados quando o Windows for iniciado após a recuperação do BitLocker.
Para obter mais informações sobre o processo de recuperação, veja a Descrição geral da recuperação do BitLocker.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Utilizar o perfil de validação de Dados de Configuração de Arranque avançado
Esta definição de política determina definições específicas de Dados de Configuração de Arranque (BCD) para verificar durante a validação da plataforma. Uma validação de plataforma utiliza os dados no perfil de validação da plataforma, que consiste num conjunto de índices do Registo de Configuração da Plataforma (PCR) que variam entre 0 e 23.
Se não configurar esta definição de política, o dispositivo verificará as predefinições do Windows BCD.
Observação
Quando o BitLocker está a utilizar o Arranque Seguro para validação da integridade da plataforma e do BCD, conforme definido pela definição de política Permitir Arranque Seguro para validação de integridade, esta definição de política é ignorada. A definição que controla a depuração 0x16000010 de arranque é sempre validada e não tem qualquer efeito se estiver incluída na lista de inclusão ou exclusão.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades do Sistema Operativo |
Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Esta definição de política permite-lhe controlar a forma como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações de chave de arranque necessárias. Se ativar esta definição de política, pode controlar os métodos disponíveis para os utilizadores recuperarem dados de unidades de dados fixas protegidas pelo BitLocker. Eis as opções disponíveis:
-
Permitir agente de recuperação de dados baseado em certificados: especifique se um agente de recuperação de dados pode ser utilizado com unidades de dados fixas protegidas pelo BitLocker. Antes de um agente de recuperação de dados poder ser utilizado, este tem de ser adicionado a partir do item Políticas de Chave Pública na Consola de Gestão de Políticas de Grupo ou no Editor de Políticas de Grupo Local
-
Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker: selecione se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
-
Omitir opções de recuperação do assistente de configuração do BitLocker: impedir que os utilizadores especifiquem opções de recuperação quando ativam o BitLocker para uma unidade. Isto significa que os utilizadores não poderão especificar a opção de recuperação a utilizar quando ativarem o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela definição de política
-
Guarde as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory: escolha as informações de recuperação do BitLocker a armazenar no AD DS para unidades de dados fixas. Se selecionar Palavra-passe de recuperação de cópia de segurança e pacote de chave, a palavra-passe de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves suporta a recuperação de dados de uma unidade que foi fisicamente danificada. Se selecionar Apenas palavra-passe de recuperação da cópia de segurança, apenas a palavra-passe de recuperação é armazenada no AD DS
-
Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas: impede que os utilizadores ativem o BitLocker, a menos que o dispositivo esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida. Ao utilizar esta opção, é gerada automaticamente uma palavra-passe de recuperação.
Importante
A utilização de chaves de recuperação tem de não ser permitida se a definição de política Negar acesso de escrita a unidades fixas não protegidas pelo BitLocker estiver ativada.
Se esta definição de política estiver desativada ou não estiver configurada, as opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitida uma DRA, as opções de recuperação podem ser especificadas pelo utilizador, incluindo a palavra-passe de recuperação e a chave de recuperação, e não é efetuada uma cópia de segurança das informações de recuperação para o AD DS.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesRecoveryOptions |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Esta definição de política permite-lhe gerir a utilização do BitLocker de encriptação baseada em hardware em unidades de dados fixas e especificar os algoritmos de encriptação que pode utilizar com encriptação baseada em hardware. A utilização da encriptação baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem a leitura frequente ou escrita de dados na unidade.
Se ativar esta definição de política, pode especificar opções que controlam se a encriptação baseada em software BitLocker é utilizada em vez da encriptação baseada em hardware em dispositivos que não suportam encriptação baseada em hardware. Também pode especificar se pretende restringir os algoritmos de encriptação e conjuntos de cifras utilizados com encriptação baseada em hardware.
Se desativar esta definição de política, o BitLocker não poderá utilizar a encriptação baseada em hardware com unidades de dados fixas e a encriptação baseada em software BitLocker será utilizada por predefinição quando a unidade for encriptada.
Se não configurar esta definição de política, o BitLocker utilizará a encriptação baseada em software, independentemente da disponibilidade de encriptação baseada em hardware.
Observação
A definição Escolher método de encriptação de unidade e política de força de cifra não se aplica à encriptação baseada em hardware. O algoritmo de encriptação utilizado pela encriptação baseada em hardware é definido quando a unidade é particionada. Por predefinição, o BitLocker utiliza o algoritmo configurado na unidade para encriptar a unidade.
A opção Restringir algoritmos de encriptação e conjuntos de cifras permitidos para encriptação baseada em hardware permite-lhe restringir os algoritmos de encriptação que o BitLocker pode utilizar com a encriptação de hardware. Se o algoritmo definido para a unidade não estiver disponível, o BitLocker desativa a utilização da encriptação baseada em hardware. Os algoritmos de encriptação são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Esta definição de política especifica se é necessária uma palavra-passe para desbloquear unidades de dados fixas protegidas pelo BitLocker. Se optar por permitir a utilização de uma palavra-passe, pode exigir que seja utilizada uma palavra-passe, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a definição de requisito de complexidade seja eficaz, a definição de política de grupo Palavra-passe tem de cumprir os requisitos de complexidade localizados em Configuração> do ComputadorDefinições> deSegurança Políticas> deConta Políticas> de Conta, também tem de estar ativada.
Se ativar esta definição de política, os utilizadores podem configurar uma palavra-passe que cumpra os requisitos que definir. Para impor requisitos de complexidade na palavra-passe, selecione Exigir complexidade:
- Quando definida como Exigir complexidade, é necessária uma ligação a um controlador de domínio quando o BitLocker está ativado para validar a complexidade da palavra-passe
- Quando definida como Permitir complexidade, é tentada uma ligação a um controlador de domínio para validar que a complexidade cumpre as regras definidas pela política. Se não forem encontrados controladores de domínio, a palavra-passe é aceite independentemente da complexidade real da palavra-passe e a unidade será encriptada utilizando essa palavra-passe como um protetor
- Quando definida como Não permitir complexidade, a complexidade da palavra-passe não é validada
As palavras-passe têm de ter, pelo menos, oito carateres. Para configurar um comprimento mínimo maior para a palavra-passe, especifique o número pretendido de carateres em Comprimento mínimo da palavra-passe
Se desativar ou não configurar esta definição de política, a restrição de comprimento predefinida de oito carateres aplica-se às palavras-passe da unidade do sistema operativo e não ocorrem verificações de complexidade.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Esta definição de política permite-lhe especificar se os smart cards podem ser utilizados para autenticar o acesso do utilizador às unidades de dados fixas protegidas pelo BitLocker.
- Se ativar esta definição de política, os smart cards podem ser utilizados para autenticar o acesso do utilizador à unidade
- Pode exigir uma autenticação de smart card ao selecionar a opção Exigir a utilização de smart cards em unidades de dados fixas
- Se desativar esta definição de política, os utilizadores não poderão utilizar smart cards para autenticar o respetivo acesso a unidades de dados fixas protegidas pelo BitLocker
- Se não configurar esta definição de política, os smart cards podem ser utilizados para autenticar o acesso do utilizador a uma unidade protegida pelo BitLocker
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker
Esta definição de política é utilizada para exigir a encriptação de unidades fixas antes de conceder acesso de escrita .
Se ativar esta definição de política, todas as unidades de dados fixas que não estejam protegidas pelo BitLocker serão montadas como só de leitura. Se a unidade estiver protegida pelo BitLocker, será montada com acesso de leitura e escrita.
Se desativar ou não configurar esta definição de política, todas as unidades de dados fixas no computador serão montadas com acesso de leitura e escrita.
Observação
Quando esta definição de política está ativada, os utilizadores recebem mensagens de erro Acesso negado quando tentam guardar dados em unidades de dados fixas não encriptadas.
Se a Ferramenta BdeHdCfg.exe de Preparação da Unidade BitLocker for executada num computador quando esta definição de política estiver ativada, poderão ser encontrados os seguintes problemas:
- Se tentar encolher uma unidade para criar a unidade do sistema, o tamanho da unidade é reduzido com êxito e é criada uma partição não processada. No entanto, a partição não processada não está formatada. É apresentada a seguinte mensagem de erro: não é possível formatar a nova unidade ativa. Poderá ter de preparar manualmente a unidade para o BitLocker.
- Se tentar utilizar espaço não alocado para criar a unidade do sistema, é criada uma partição não processada. No entanto, a partição não processada não está formatada. É apresentada a seguinte mensagem de erro: não é possível formatar a nova unidade ativa. Poderá ter de preparar manualmente a unidade para o BitLocker.
- Se tentar intercalar uma unidade existente na unidade do sistema, a ferramenta não conseguirá copiar o ficheiro de arranque necessário para a unidade de destino para criar a unidade do sistema. É apresentada a seguinte mensagem de erro: a configuração do BitLocker não conseguiu copiar ficheiros de arranque. Poderá ter de preparar manualmente a unidade para o BitLocker.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesRequireEncryption |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Impor o tipo de encriptação de unidade em unidades de dados fixas
Esta definição de política controla a utilização do BitLocker em unidades de dados fixas.
Se ativar esta definição de política, o tipo de encriptação que o BitLocker utiliza para encriptar unidades é definido por esta política e a opção de tipo de encriptação não será apresentada no assistente de configuração do BitLocker:
- Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado
- Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado
Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pede ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.
Observação
Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso.
Esta política é ignorada ao encolher ou expandir um volume e o controlador BitLocker utiliza o método de encriptação atual. Por exemplo, quando uma unidade que está a utilizar a encriptação Apenas Espaço Utilizado é expandida, o novo espaço livre não é apagado como uma unidade que utiliza encriptação Completa. O utilizador pode apagar o espaço livre numa unidade Apenas Espaço Utilizado com o seguinte comando: manage-bde.exe -w. Se o volume diminuir, não é tomada nenhuma ação para o novo espaço livre.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesEncryptionType |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Fixas |
Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas
Esta definição de política permite-lhe controlar a forma como as unidades de dados amovíveis protegidas pelo BitLocker são recuperadas na ausência das informações de chave de arranque necessárias. Se ativar esta definição de política, pode controlar os métodos disponíveis para os utilizadores recuperarem dados de unidades de dados amovíveis protegidas pelo BitLocker. Eis as opções disponíveis:
-
Permitir agente de recuperação de dados baseado em certificados: especifique se um agente de recuperação de dados pode ser utilizado com unidades de dados amovíveis protegidas pelo BitLocker. Antes de um agente de recuperação de dados poder ser utilizado, este tem de ser adicionado a partir do item Políticas de Chave Pública na Consola de Gestão de Políticas de Grupo ou no Editor de Políticas de Grupo Local
-
Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker: selecione se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits
-
Omitir opções de recuperação do assistente de configuração do BitLocker: impedir que os utilizadores especifiquem opções de recuperação quando ativam o BitLocker para uma unidade. Isto significa que os utilizadores não poderão especificar a opção de recuperação a utilizar quando ativarem o BitLocker. As opções de recuperação do BitLocker para a unidade são determinadas pela definição de política
-
Guarde as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory: escolha as informações de recuperação do BitLocker a armazenar no AD DS para unidades de dados amovíveis. Se selecionar Palavra-passe de recuperação de cópia de segurança e pacote de chave, a palavra-passe de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves suporta a recuperação de dados de uma unidade que foi fisicamente danificada. Se selecionar Apenas palavra-passe de recuperação da cópia de segurança, apenas a palavra-passe de recuperação é armazenada no AD DS
-
Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados amovíveis: impede que os utilizadores ativem o BitLocker, a menos que o dispositivo esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida. Ao utilizar esta opção, é gerada automaticamente uma palavra-passe de recuperação.
Importante
A utilização de chaves de recuperação tem de ser permitida se a definição de política Negar acesso de escrita a unidades amovíveis não protegidas pelo BitLocker estiver ativada.
Se esta definição de política estiver desativada ou não estiver configurada, as opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitida uma DRA, as opções de recuperação podem ser especificadas pelo utilizador, incluindo a palavra-passe de recuperação e a chave de recuperação, e não é efetuada uma cópia de segurança das informações de recuperação para o AD DS.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Esta definição de política permite-lhe gerir a utilização do BitLocker de encriptação baseada em hardware em unidades de dados amovíveis e especificar os algoritmos de encriptação que pode utilizar com encriptação baseada em hardware. A utilização da encriptação baseada em hardware pode melhorar o desempenho das operações de unidade que envolvem a leitura frequente ou escrita de dados na unidade.
Se ativar esta definição de política, pode especificar opções que controlam se a encriptação baseada em software BitLocker é utilizada em vez da encriptação baseada em hardware em dispositivos que não suportam encriptação baseada em hardware. Também pode especificar se pretende restringir os algoritmos de encriptação e conjuntos de cifras utilizados com encriptação baseada em hardware.
Se desativar esta definição de política, o BitLocker não poderá utilizar a encriptação baseada em hardware com unidades de dados amovíveis e a encriptação baseada em software BitLocker será utilizada por predefinição quando a unidade for encriptada.
Se não configurar esta definição de política, o BitLocker utilizará a encriptação baseada em software, independentemente da disponibilidade de encriptação baseada em hardware.
Observação
A definição Escolher método de encriptação de unidade e política de força de cifra não se aplica à encriptação baseada em hardware. O algoritmo de encriptação utilizado pela encriptação baseada em hardware é definido quando a unidade é particionada. Por predefinição, o BitLocker utiliza o algoritmo configurado na unidade para encriptar a unidade.
A opção Restringir algoritmos de encriptação e conjuntos de cifras permitidos para encriptação baseada em hardware permite-lhe restringir os algoritmos de encriptação que o BitLocker pode utilizar com a encriptação de hardware. Se o algoritmo definido para a unidade não estiver disponível, o BitLocker desativa a utilização da encriptação baseada em hardware. Os algoritmos de encriptação são especificados por identificadores de objeto (OID). Por exemplo:
- AES 128 no modo CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 no modo CBC OID:
2.16.840.1.101.3.4.1.42
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Esta definição de política especifica se é necessária uma palavra-passe para desbloquear unidades de dados amovíveis protegidas pelo BitLocker. Se optar por permitir a utilização de uma palavra-passe, pode exigir que seja utilizada uma palavra-passe, impor requisitos de complexidade e configurar um comprimento mínimo.
Importante
Para que a definição de requisito de complexidade seja eficaz, a definição de política de grupo Palavra-passe tem de cumprir os requisitos de complexidade localizados em Configuração> do ComputadorDefinições> deSegurança Políticas> deConta Políticas> de Conta, também tem de estar ativada.
Se ativar esta definição de política, os utilizadores podem configurar uma palavra-passe que cumpra os requisitos que definir. Para impor requisitos de complexidade na palavra-passe, selecione Exigir complexidade:
- Quando definida como Exigir complexidade, é necessária uma ligação a um controlador de domínio quando o BitLocker está ativado para validar a complexidade da palavra-passe
- Quando definida como Permitir complexidade, é tentada uma ligação a um controlador de domínio para validar que a complexidade cumpre as regras definidas pela política. Se não forem encontrados controladores de domínio, a palavra-passe é aceite independentemente da complexidade real da palavra-passe e a unidade será encriptada utilizando essa palavra-passe como um protetor
- Quando definida como Não permitir complexidade, a complexidade da palavra-passe não é validada
As palavras-passe têm de ter, pelo menos, 8 carateres. Para configurar um comprimento mínimo maior para a palavra-passe, especifique o número pretendido de carateres em Comprimento mínimo da palavra-passe
Se desativar ou não configurar esta definição de política, a restrição de comprimento predefinida de oito carateres aplica-se às palavras-passe da unidade do sistema operativo e não ocorrem verificações de complexidade.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Esta definição de política permite-lhe especificar se os smart cards podem ser utilizados para autenticar o acesso do utilizador às unidades de dados amovíveis protegidas pelo BitLocker.
- Se ativar esta definição de política, os smart cards podem ser utilizados para autenticar o acesso do utilizador à unidade
- Pode exigir uma autenticação de smart card ao selecionar a opção Exigir a utilização de smart cards em unidades de dados amovíveis
- Se desativar esta definição de política, os utilizadores não poderão utilizar smart cards para autenticar o acesso às unidades de dados amovíveis protegidas pelo BitLocker
- Se não configurar esta definição de política, os smart cards podem ser utilizados para autenticar o acesso do utilizador a uma unidade protegida pelo BitLocker
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Controlar a utilização do BitLocker em unidades amovíveis
Esta definição de política controla a utilização do BitLocker em unidades de dados amovíveis.
Quando esta definição de política estiver ativada, pode selecionar definições de propriedades que controlam a forma como os utilizadores podem configurar o BitLocker:
-
Selecione Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis para permitir que o utilizador execute o assistente de configuração do BitLocker numa unidade de dados amovível
-
Selecione Permitir que os utilizadores suspendam e desencriptem o BitLocker em unidades de dados amovíveis para permitir que o utilizador remova a encriptação BitLocker da unidade ou suspenda a encriptação enquanto a manutenção é efetuada
Se desativar esta definição de política, os utilizadores não poderão utilizar o BitLocker em unidades de disco amovíveis.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesConfigureBDE |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Esta definição de política configura se a proteção do BitLocker é necessária para que um dispositivo possa escrever dados numa unidade de dados amovível.
Se ativar esta definição de política:
- todas as unidades de dados amovíveis que não estejam protegidas pelo BitLocker são montadas como só de leitura
- se a unidade estiver protegida pelo BitLocker, é montada com acesso de leitura e escrita
- se a opção Negar acesso de escrita a dispositivos configurados noutra organização estiver selecionada, apenas as unidades com campos de identificação correspondentes aos campos de identificação do computador recebem acesso de escrita
- Quando é acedida uma unidade de dados amovível, é verificada a procura de campos de identificação válidos e campos de identificação permitidos. Estes campos são definidos pela definição de política (Indique os identificadores exclusivos da sua organização)[]
Se desativar ou não configurar esta definição de política, todas as unidades de dados amovíveis no computador são montadas com acesso de leitura e escrita.
Observação
Esta definição de política é ignorada se as definições de política Discos Amovíveis: Negar acesso de escrita estiverem ativadas.
Importante
Se você habilitar essa política:
- A utilização do BitLocker com a chave de arranque do TPM ou a chave TPM e o PIN têm de ser proibidos
- A utilização de chaves de recuperação tem de ser permitida
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesRequireEncryption |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Impor o tipo de encriptação de unidade em unidades de dados amovíveis
Esta definição de política controla a utilização do BitLocker em unidades de dados amovíveis.
Quando ativa esta definição de política, a opção de tipo de encriptação não é oferecida no assistente de configuração do BitLocker:
- Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado
- Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado
Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pede ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.
Observação
Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso.
Esta política é ignorada ao encolher ou expandir um volume e o controlador BitLocker utiliza o método de encriptação atual. Por exemplo, quando uma unidade que está a utilizar a encriptação Apenas Espaço Utilizado é expandida, o novo espaço livre não é apagado como uma unidade que utiliza encriptação Completa. O utilizador pode apagar o espaço livre numa unidade Apenas Espaço Utilizado com o seguinte comando: manage-bde.exe -w. Se o volume diminuir, não é tomada nenhuma ação para o novo espaço livre.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesEncryptionType |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsEncriptação >de Unidade BitLockerUnidades de Dados Amovíveis |
Unidades amovíveis excluídas da encriptação
Configurações comuns
Unidade do sistema operativo
Unidades de dados fixas