Partilhar via

Guia de operações do BitLocker

Existem diferentes ferramentas e opções para gerir e operar o BitLocker:

  • o módulo bitLocker do PowerShell
  • as ferramentas de encriptação de unidade bitLocker
  • Painel de Controle

As ferramentas de encriptação de unidade BitLocker e o módulo BitLocker PowerShell podem ser utilizados para realizar quaisquer tarefas que possam ser realizadas através do Painel de Controlo do BitLocker. São adequados para utilização para implementações automatizadas e outros cenários de scripting.
O applet do Painel de Controlo do BitLocker permite que os utilizadores executem tarefas básicas, como ativar o BitLocker numa unidade e especificar métodos de desbloqueio e métodos de autenticação. O applet do Painel de Controlo do BitLocker é adequado para utilizar para tarefas bitLocker básicas.

Este artigo descreve as ferramentas de gestão do BitLocker e como utilizá-las, fornecendo exemplos práticos.

Módulo bitLocker do PowerShell

O módulo BitLocker powerShell permite que os administradores integrem facilmente as opções do BitLocker em scripts existentes. Para obter uma lista dos cmdlets incluídos no módulo, a respetiva descrição e sintaxe, veja o artigo de referência do PowerShell do BitLocker.

Ferramentas de encriptação de unidade BitLocker

As ferramentas de encriptação de unidade BitLocker incluem as duas ferramentas de linha de comandos:

  • A Ferramenta de Configuração (manage-bde.exe) pode ser utilizada para criar scripts de operações do BitLocker, oferecendo opções que não estão presentes no applet do Painel de Controlo do BitLocker. Para obter uma lista completa das manage-bde.exe opções, veja a referência Manage-bde
  • A Ferramenta de Reparação (repair-bde.exe) é útil para cenários de recuperação após desastre, nos quais uma unidade protegida por BitLocker não pode ser desbloqueada normalmente ou utilizar a consola de recuperação

Applet do Painel de Controlo do BitLocker

Encriptar volumes com o Painel de Controlo do BitLocker (selecione Iniciar, introduza BitLocker, selecione Gerir BitLocker) é o número de utilizadores que irão utilizar o BitLocker. O nome do applet do Painel de Controlo do BitLocker é Encriptação de Unidade BitLocker. A applet suporta a encriptação do sistema operativo, dados fixos e volumes de dados amovíveis. O Painel de Controlo do BitLocker organiza as unidades disponíveis na categoria adequada com base na forma como o dispositivo se comunica ao Windows. Apenas os volumes formatados com letras de unidade atribuídas aparecem corretamente no applet do Painel de Controlo do BitLocker.

Utilizar o BitLocker no Explorador do Windows

O Explorador do Windows permite que os utilizadores iniciem o Assistente de Encriptação de Unidade BitLocker ao clicar com o botão direito do rato num volume e selecionar Ativar o BitLocker. Esta opção está disponível em computadores cliente por predefinição. Nos servidores, a funcionalidade BitLocker e a funcionalidade Desktop-Experience têm primeiro de ser instaladas para que esta opção esteja disponível. Depois de selecionar Ativar o BitLocker, o assistente funciona exatamente como quando é iniciado com o Painel de Controlo do BitLocker.

Verificar o estado do BitLocker

Para verificar o estado do BitLocker de um determinado volume, os administradores podem ver o estado da unidade no applet do Painel de Controlo do BitLocker, no Explorador do Windows, manage-bde.exe na ferramenta de linha de comandos ou nos cmdlets do Windows PowerShell. Cada opção oferece diferentes níveis de detalhe e facilidade de utilização.

Siga as instruções abaixo para verificar o estado do BitLocker, selecionando a ferramenta à sua escolha.

Para determinar o estado atual de um volume, pode utilizar o Get-BitLockerVolume cmdlet , que fornece informações sobre o tipo de volume, protetores, estado de proteção e outros detalhes. Por exemplo:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Ativar o BitLocker

Unidade de SO com protetor TPM

O exemplo seguinte mostra como ativar o BitLocker numa unidade do sistema operativo utilizando apenas o protetor TPM e sem chave de recuperação:

Enable-BitLocker C: -TpmProtector

Unidade de SO com proteção TPM e chave de arranque

O exemplo seguinte mostra como ativar o BitLocker numa unidade do sistema operativo com o TPM e os protetores de chaves de arranque .

Partindo do princípio de que a letra da unidade do SO é C: e a pen USB é a letra E:de unidade , eis o comando:

Se optar por ignorar o teste de hardware do BitLocker, a encriptação é iniciada imediatamente sem a necessidade de um reinício.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Após o reinício, o ecrã de pré-arranque do BitLocker é apresentado e a chave de arranque USB tem de ser inserida antes de o sistema operativo poder ser iniciado:

Captura de ecrã do ecrã de pré-arranque do BitLocker a pedir uma pen USB com a chave de arranque.

Volumes de dados

Os volumes de dados utilizam um processo semelhante à encriptação como volumes do sistema operativo, mas não necessitam de proteções para que a operação seja concluída.

Adicione os protetores pretendidos antes de encriptar o volume. O exemplo seguinte adiciona um protetor de palavra-passe ao E: volume com a variável $pw como palavra-passe. A $pw variável é mantida como um valor SecureString para armazenar a palavra-passe definida pelo utilizador:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Observação

O cmdlet BitLocker requer o GUID do protetor de chaves entre aspas para ser executado. Certifique-se de que todo o GUID, com chavetas, está incluído no comando .

Exemplo: Utilizar o PowerShell para ativar o BitLocker com um protetor TPM

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

Exemplo: utilize o PowerShell para ativar o BitLocker com um protetor TPM+PIN, neste caso com um PIN definido como 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Gerir protetores BitLocker

A gestão de protetores BitLocker consiste em adicionar, remover e criar cópias de segurança de protetores.

Protetores BitLocker geridos com as seguintes instruções, selecionando a opção mais adequada às suas necessidades.

Listar protetores

A lista de protetores disponíveis para um volume (C: no exemplo) pode ser listada ao executar o seguinte comando:

(Get-BitLockerVolume -mountpoint C).KeyProtector

Adicionar protetores

Adicionar um protetor de palavra-passe de recuperação

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Adicionar um protetor de palavra-passe

Um protetor comum para um volume de dados é o protetor de palavras-passe. No exemplo seguinte, é adicionado um protetor de palavra-passe a um volume.

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Adicionar um protetor do Active Directory

O protetor do Active Directory é um protetor baseado em SID que pode ser adicionado ao sistema operativo e aos volumes de dados, embora não desbloqueie os volumes do sistema operativo no ambiente de pré-arranque. O protetor requer que o SID da conta de domínio ou grupo se ligue ao protetor. O BitLocker pode proteger um disco com suporte para clusters ao adicionar um protetor baseado em SID para o Objeto de Nome de Cluster (CNO) que permite que o disco faça a ativação pós-falha e desbloqueie corretamente para qualquer computador membro do cluster.

Importante

O protetor baseado em SID requer a utilização de um protetor adicional, como TPM, PIN, chave de recuperação, etc. quando utilizado em volumes do sistema operativo.

Observação

Esta opção não está disponível para dispositivos associados ao Microsoft Entra.

Neste exemplo, um protetor baseado em SID de domínio é adicionado a um volume anteriormente encriptado. O utilizador conhece o SID da conta de utilizador ou grupo que pretende adicionar e utiliza o seguinte comando:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Para adicionar o protetor a um volume, é necessário o SID do domínio ou o nome do grupo precedido pelo domínio e uma barra invertida. No exemplo seguinte, a conta CONTOSO\Administrador é adicionada como um protetor ao volume de dados G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para utilizar o SID para a conta ou grupo, o primeiro passo é determinar o SID associado ao principal de segurança. Para obter o SID específico de uma conta de utilizador no Windows PowerShell, utilize o seguinte comando:

Get-ADUser -filter {samaccountname -eq "administrator"}

Observação

A utilização deste comando requer a funcionalidade RSAT-AD-PowerShell.

Dica

Pode encontrar informações sobre a associação de utilizador e grupo com sessão iniciada localmente com: whoami.exe /all.

Remover protetores

Para remover protetores existentes num volume, utilize o Remove-BitLockerKeyProtector cmdlet . Tem de ser fornecido um GUID associado ao protetor a remover.

Os comandos seguintes devolvem a lista de protetores de chaves e GUIDS:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Ao utilizar estas informações, o protetor de chave para um volume específico pode ser removido com o comando :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Observação

O cmdlet BitLocker requer o GUID do protetor de chaves entre aspas para ser executado. Certifique-se de que todo o GUID, com chavetas, está incluído no comando .

Observação

Tem de ter, pelo menos, um método de desbloqueio para quaisquer unidades encriptadas pelo BitLocker.

Suspender e retomar

Algumas alterações de configuração podem exigir a suspensão do BitLocker e, em seguida, retomá-la após a alteração ser aplicada.

Suspenda e retome o BitLocker com as seguintes instruções, selecionando a opção mais adequada às suas necessidades.

Suspender o BitLocker

Suspend-BitLocker -MountPoint D

Retomar o BitLocker

Resume-BitLocker -MountPoint D

Repor e criar uma cópia de segurança de uma palavra-passe de recuperação

É recomendado invalidar uma palavra-passe de recuperação após a utilização. Neste exemplo, o protetor de palavra-passe de recuperação é removido da unidade do SO, foi adicionado um novo protetor e é efetuada uma cópia de segurança do Microsoft Entra ID ou do Active Directory.

Remova todas as palavras-passe de recuperação do volume do SO:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Adicione um protetor de palavra-passe de recuperação BitLocker para o volume do SO:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Obtenha o ID da nova palavra-passe de recuperação:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Observação

Estes passos seguintes não são necessários se a definição de política Escolher como as unidades do sistema operativo protegidas pelo BitLocker podem ser recuperadas estiver configurada para Exigir a cópia de segurança do BitLocker para o AD DS.

Copie o ID da palavra-passe de recuperação do resultado.

Com o GUID do passo anterior, substitua o {ID} no seguinte comando e utilize o seguinte comando para fazer uma cópia de segurança da palavra-passe de recuperação para o ID do Microsoft Entra:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Em alternativa, utilize o seguinte comando para fazer uma cópia de segurança da palavra-passe de recuperação para o Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Observação

As chavetas {} têm de ser incluídas na cadeia de ID.

Desativar o BitLocker

Desativar o BitLocker desencripta e remove quaisquer protetores associados dos volumes. A desencriptação deve ocorrer quando a proteção já não é necessária e não como um passo de resolução de problemas.

Desative o BitLocker com as seguintes instruções, selecionando a opção mais adequada às suas necessidades.

O Windows PowerShell oferece a capacidade de desencriptar várias unidades numa só passagem. No exemplo seguinte, o utilizador tem três volumes encriptados, que pretende desencriptar.

Com o comando Disable-BitLocker, podem remover todos os protetores e encriptação ao mesmo tempo sem a necessidade de mais comandos. Um exemplo deste comando é:

Disable-BitLocker

Para evitar especificar cada ponto de montagem individualmente, utilize o -MountPoint parâmetro numa matriz para sequenciar o mesmo comando numa linha, sem que seja necessária uma entrada de utilizador adicional. Exemplo:

Disable-BitLocker -MountPoint C,D

Desbloquear uma unidade

Se ligar uma unidade como uma unidade secundária a um dispositivo e tiver a chave de recuperação BitLocker, pode desbloquear uma unidade ativada para BitLocker com as seguintes instruções.

No exemplo seguinte, a D unidade é a que pretende desbloquear. Selecione a opção mais adequada às suas necessidades.

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

Para obter mais informações, veja Unlock-BitLocker