Visão geral do BitLocker

O BitLocker é um recurso de segurança do Windows que fornece criptografia para volumes inteiros, abordando as ameaças de roubo ou exposição de dispositivos perdidos, roubados ou desativados inadequadamente.

Aplicações práticas

Os dados em um dispositivo perdido ou roubado são vulneráveis ao acesso não autorizado, seja executando uma ferramenta de ataque de software contra ele ou transferindo o disco rígido do dispositivo para um dispositivo diferente. O BitLocker ajuda a mitigar o acesso não autorizado a dados, aprimorando as proteções de arquivos e do sistema, tornando os dados inacessíveis quando dispositivos protegidos pelo BitLocker são desativados ou reciclados.

BitLocker e TPM

O BitLocker fornece proteção máxima quando usado com um TPM (Trusted Platform Module), que é um componente de hardware comum instalado em dispositivos Windows. O TPM funciona com o BitLocker para garantir que um dispositivo não tenha sido adulterado enquanto o sistema estiver offline.

Além do TPM, o BitLocker pode bloquear o processo normal de inicialização até que o usuário forneça um PIN (número de identificação pessoal) ou insira um dispositivo removível que contenha uma chave de inicialização. Essas medidas de segurança fornecem autenticação multifator e garantia de que o dispositivo não pode iniciar ou retomar da hibernação até que o PIN ou a chave de inicialização corretos sejam apresentados.

Em dispositivos que não têm um TPM, o BitLocker ainda pode ser usado para criptografar a unidade do sistema operacional. Essa implementação requer que o usuário:

  • use uma chave de inicialização, que é um arquivo armazenado em uma unidade removível que é usada para iniciar o dispositivo ou ao retomar da hibernação
  • use uma senha. Essa opção não é segura, pois está sujeita a ataques de força bruta, pois não há uma lógica de bloqueio de senha. Como tal, a opção de senha é desencorajada e desabilitada por padrão

Ambas as opções não fornecem a verificação de integridade do sistema de pré-inicialização oferecida pelo BitLocker com um TPM.

Tela de pré-inicialização do BitLocker com a chave de inicialização:

Tela de pré-inicialização do BitLocker com PIN:

Tela de pré-inicialização do BitLocker com senha:

Captura de tela da tela de pré-inicialização do BitLocker solicitando a inserção de uma chave de inicialização.

Captura de tela da tela de pré-inicialização do BitLocker solicitando a inserção de um PIN.

Captura de tela da tela de pré-inicialização do BitLocker solicitando a inserção de uma senha.

Requisitos de sistema

O BitLocker tem os seguintes requisitos:

  • Para que o BitLocker use a integridade do sistema marcar fornecida por um TPM, o dispositivo deve ter versões TPM 1.2 ou posteriores. Se um dispositivo não tiver um TPM, salvar uma chave de inicialização em uma unidade removível será obrigatório ao habilitar o BitLocker

  • Um dispositivo com um TPM também deve ter um firmware BIOS ou UEFI compatível com o Grupo de Computação Confiável (TCG). O firmware BIOS ou UEFI estabelece uma cadeia de confiança para a inicialização de pré-inicialização e deve incluir suporte para a Medida de Confiança estática especificada pelo TCG. Um computador sem um TPM não requer firmware compatível com TCG

  • O firmware BIOS ou UEFI do sistema (para dispositivos TPM e não TPM) deve dar suporte à classe de dispositivo de armazenamento em massa USB e ler arquivos em uma unidade USB no ambiente de pré-inicialização

    Observação

    O TPM 2.0 não tem suporte nos modos CSM (Legacy and Compatibility Support Module) do BIOS. Os dispositivos com TPM 2.0 devem ter o modo BIOS configurado apenas como UEFI nativo. As opções Herdada e CSM devem ser desabilitadas. Para obter mais segurança, habilite o recurso de inicialização segura .

    O sistema operacional instalado no hardware no modo Herdado impede que o sistema operacional inicialize quando o modo BIOS é alterado para UEFI. Use a ferramenta mbr2gpt.exe antes de alterar o modo BIOS, que prepara o sistema operacional e o disco para dar suporte à UEFI.

  • O disco rígido deve ser particionado com pelo menos duas unidades:

    • A unidade do sistema operacional (ou unidade de inicialização) contém o sistema operacional e seus arquivos de suporte. Ele deve ser formatado com o sistema de arquivos NTFS

    • A unidade do sistema contém arquivos necessários para inicializar, descriptografar e carregar o sistema operacional. O BitLocker não está habilitado nesta unidade. Para que o BitLocker funcione, a unidade do sistema:

      • não deve ser criptografado
      • deve ser diferente da unidade do sistema operacional
      • deve ser formatado com o sistema de arquivos FAT32 em computadores que usam firmware baseado em UEFI ou com o sistema de arquivos NTFS em computadores que usam firmware BIOS
      • É recomendável que seja de aproximadamente 350 MB de tamanho. Depois que o BitLocker estiver ativado, ele deverá ter aproximadamente 250 MB de espaço livre

      Importante

      Quando instalado em um novo dispositivo, o Windows cria automaticamente as partições necessárias para o BitLocker.

      Se a unidade foi preparada como um único espaço contíguo, o BitLocker exigirá um novo volume para manter os arquivos de inicialização. BdeHdCfg.exe pode criar o volume. Para obter mais informações sobre como usar a ferramenta, consulte Bdehdcfg na Referência de Command-Line.

Observação

Ao instalar o componente opcional BitLocker em um servidor, o recurso de Armazenamento Aprimorado deve ser instalado. O recurso é usado para dar suporte a unidades criptografadas por hardware.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte à habilitação do BitLocker:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença de habilitação do BitLocker são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Observação

Os requisitos de licenciamento para habilitação do BitLocker são diferentes dos requisitos de licenciamento para o gerenciamento do BitLocker. Para saber mais, examine o guia de instruções: configurar o BitLocker.

Criptografia do dispositivo

A criptografia do dispositivo é um recurso do Windows que fornece uma maneira simples para alguns dispositivos habilitar a criptografia BitLocker automaticamente. A criptografia de dispositivo está disponível em todas as versões do Windows e requer que um dispositivo atenda aos requisitos de segurança de Espera Moderna ou HSTI. A criptografia de dispositivo não pode ter portas acessíveis externamente que permitem o acesso ao DMA.

Importante

A criptografia do dispositivo criptografa apenas a unidade do sistema operacional e as unidades fixas, ela não criptografa unidades externas/USB.

Ao contrário de uma implementação padrão do BitLocker, a criptografia de dispositivo é habilitada automaticamente para que o dispositivo sempre esteja protegido. Quando uma instalação limpo do Windows é concluída e a experiência fora de caixa é concluída, o dispositivo é preparado para o primeiro uso. Como parte dessa preparação, a criptografia do dispositivo é inicializada na unidade do sistema operacional e unidades de dados fixas no computador com uma chave clara que é equivalente ao estado suspenso padrão do BitLocker. Nesse estado, a unidade é mostrada com um ícone de aviso no Windows Explorer. O ícone de aviso amarelo é removido depois que o protetor TPM é criado e a chave de recuperação é apoiada.

  • Se o dispositivo estiver Microsoft Entra ingressado ou o domínio do Active Directory for ingressado, a chave clara será removida depois que a chave de recuperação fizer backup com êxito em Microsoft Entra ID ou Active Directory Domain Services (AD DS). As seguintes configurações de política devem ser habilitadas para que a chave de recuperação seja apoiada: escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
    • Para Microsoft Entra dispositivos ingressados: a senha de recuperação é criada automaticamente quando o usuário se autentica para Microsoft Entra ID, em seguida, a chave de recuperação é apoiada para Microsoft Entra ID, o protetor TPM é criado e a chave clara é removida
    • Para dispositivos ingressados no AD DS: a senha de recuperação é criada automaticamente quando o computador entra no domínio. A chave de recuperação é então apoiada no AD DS, o protetor TPM é criado e a chave clara é removida
  • Se o dispositivo não estiver Microsoft Entra ingressado ou o domínio do Active Directory ingressado, será necessária uma conta microsoft com privilégios administrativos no dispositivo. Quando o administrador usa uma conta da Microsoft para entrar, a chave limpa é removida, uma chave de recuperação é carregada para a conta da Microsoft online e um protetor TPM é criado. Se um dispositivo exigir a chave de recuperação, o usuário será guiado a usar um dispositivo alternativo e navegar até uma URL de acesso de chave de recuperação para recuperar a chave de recuperação usando suas credenciais de conta Microsoft
  • Se um dispositivo usa apenas contas locais, ele permanecerá desprotegido, mesmo que os dados sejam criptografados

Importante

A criptografia do dispositivo usa o XTS-AES 128-bit método de criptografia, por padrão. Caso configure uma configuração de política para usar um método de criptografia diferente, você pode usar a Página de Status de Registro para evitar que o dispositivo inicie a criptografia com o método padrão. O BitLocker tem uma lógica que não começa a criptografar até o final do OOBE, depois que a fase de configuração do dispositivo da Página de Status de Registro for concluída. Essa lógica dá a um dispositivo tempo suficiente para receber as configurações de política do BitLocker antes de iniciar a criptografia.

Se um método de criptografia diferente e/ou força de codificação for necessário, mas o dispositivo já estiver criptografado, ele deverá primeiro ser descriptografado antes que o novo método de criptografia e/ou a força da criptografia possam ser aplicados. Depois que o dispositivo for descriptografado, você poderá aplicar diferentes configurações do BitLocker.

Se um dispositivo não se qualificar inicialmente para criptografia de dispositivo, mas uma alteração for feita que faça com que o dispositivo se qualifique (por exemplo, ativando a Inicialização Segura), a criptografia do dispositivo habilita o BitLocker automaticamente assim que ele o detecta.

Você pode marcar se um dispositivo atende aos requisitos de criptografia de dispositivo no aplicativo Informações do Sistema (msinfo32.exe). Se o dispositivo atender aos requisitos, as Informações do Sistema mostrarão uma linha que diz:

Item Valor
Suporte à criptografia de dispositivo Atende aos pré-requisitos

Diferença entre o BitLocker e a criptografia do dispositivo

  • A criptografia do dispositivo ativa o BitLocker automaticamente em dispositivos qualificados para criptografia de dispositivo, com a chave de recuperação automaticamente em backup até Microsoft Entra ID, AD DS ou a conta Microsoft do usuário
  • A criptografia do dispositivo adiciona uma configuração de criptografia de dispositivo no aplicativo Configurações, que pode ser usada para ativar ou desativar a criptografia do dispositivo
    • A interface do usuário de configurações não mostra a criptografia do dispositivo habilitada até que a criptografia seja concluída

Captura de tela do aplicativo Configurações mostrando o painel de criptografia do dispositivo.

Observação

Se a criptografia do dispositivo estiver desativada, ela não se habilitará automaticamente no futuro. O usuário deve habilitá-lo manualmente em Configurações

Desabilitar a criptografia do dispositivo

É recomendável manter a criptografia do dispositivo ativada para todos os sistemas que o dão suporte. No entanto, você pode impedir o processo de criptografia automática do dispositivo alterando a seguinte configuração de registro:

Caminho Nome Tipo Valor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker PreventDeviceEncryption REG_DWORD 0x1

Para obter mais informações sobre criptografia de dispositivo, consulte Requisitos de hardware de criptografia de dispositivo BitLocker.

Próximas etapas

Saiba mais sobre tecnologias e recursos para proteger contra ataques na chave de criptografia BitLocker:

Contramedidas do BitLocker >