Visão geral da criptografia de dispositivos Bitlocker no Windows

A Microsoft inclui instrumentação no Windows 11 e Windows 10 que permitem ao sistema operacional gerenciar totalmente o TPM. Não há necessidade de entrar no BIOS, e todos os cenários que exigiam um reinício foram eliminados.

Resumo

A criptografia de dispositivo Bitlocker é um recurso no Windows 11 e Windows 10 que fornece criptografia para dados sobre dispositivos. Ajuda a proteger os dados do acesso não autorizado, tornando -os acessíveis apenas a usuários autorizados. Anteriormente, permitindo que o Bitlocker exigisse acessar o BIOS do dispositivo e os reinicializações múltiplas, mas com as versões mais recentes do Windows, esse processo foi simplificado.

Pontos chave:

1. A criptografia ajuda a proteger os dados, permitindo o acesso apenas a indivíduos autorizados.
2. A criptografia de dispositivo Bitlocker está disponível no Windows 11 e Windows 10.
3. Com as versões mais recentes do Windows, o TPM Management está totalmente integrado ao sistema operacional.
4. Não há necessidade de acessar o BIOS do dispositivo ou executar reinicializações para gerenciamento de TPM.
5. A criptografia padrão de bitlocker pode ser usada se a criptografia do dispositivo não estiver disponível.
6. A criptografia de dispositivo pode não estar disponível na edição do Windows 10 Home.

Perguntas e respostas:

1. O que é criptografia de dispositivo Bitlocker?

A criptografia de dispositivos Bitlocker é um recurso no Windows 11 e Windows 10 que fornece criptografia para dados sobre dispositivos, protegendo -o do acesso não autorizado.

2. Como funciona a criptografia do dispositivo Bitlocker?

A criptografia de dispositivo Bitlocker usa algoritmos de criptografia para converter dados em um formato ilegível e requer autenticação para descriptografar e acessar os dados.

3. A criptografia de dispositivos Bitlocker está disponível em todas as versões do Windows?

A criptografia de dispositivo Bitlocker está disponível no Windows 11 e Windows 10, mas pode não estar disponível no Windows 10 Home Edition.

4. Como o TPM é gerenciado no Windows 11 e Windows 10?

O Windows 11 e o Windows 10 incluem instrumentação que permite ao sistema operacional gerenciar totalmente o TPM sem a necessidade de acessar o BIOS do dispositivo ou executar reinicializações.

5. Qual é a alternativa à criptografia do dispositivo se não estiver disponível?

Se a criptografia do dispositivo não estiver disponível, os usuários poderão ativar a criptografia padrão do bitlocker.

6. Existem limitações para usar a criptografia de dispositivo Bitlocker?

A disponibilidade da criptografia de dispositivo Bitlocker pode variar dependendo da versão do Windows sendo usada. Por exemplo, pode não estar disponível no Windows 10 Home Edition.

7. Pode criptografar arquivos individuais ou apenas unidades inteiras?

Bitlocker pode criptografar unidades inteiras e arquivos individuais, proporcionando flexibilidade na proteção de dados.

8. Como posso ativar a criptografia de dispositivos no Windows?

Para ativar a criptografia de dispositivos no Windows, siga estas etapas:

1. Faça login no Windows com uma conta de administrador.
2. Selecione Iniciar> Configurações> Privacidade e Segurança> Criptografia de dispositivo.
3. Se a criptografia do dispositivo estiver desligada, ligue -o.

9. Como posso ativar a criptografia padrão de bitlocker?

Para ativar a criptografia padrão do Bitlocker no Windows, siga estas etapas:

1. Faça login no seu dispositivo Windows com uma conta de administrador.
2. Na caixa de pesquisa na barra de tarefas, digite “Gerencie Bitlocker” e selecione -a nos resultados. Como alternativa, selecione Iniciar> Configurações> Privacidade e Segurança> Criptografia de dispositivo> Criptografia de unidade Bitlocker.

10. Quais são os benefícios de usar a criptografia de dispositivo Bitlocker?

Alguns benefícios do uso da criptografia de dispositivos Bitlocker incluem:

• Proteção de dados contra acesso não autorizado.
• Armazenamento seguro de informações confidenciais ao viajar.
• Soluções simplificadas e utilizáveis ​​para proteção de dados.
• Integração do gerenciamento de TPM no sistema operacional, eliminando a necessidade de acessar o BIOS do dispositivo.

11. Quais são as preocupações de proteção de dados abordadas pelo Windows?

O Windows aborda várias preocupações de proteção de dados, como:

• Protegendo dados em repouso através da criptografia.
• Impedindo o acesso não autorizado a informações confidenciais.
• Fornecer medidas de segurança transparentes para evitar o desvio do usuário.
• Preparando -se para a criptografia de unidade e arquivo para garantir uma implantação rápida e suave.

12. Que medidas podem ser tomadas para se preparar para a criptografia de unidade e arquivo?

Para se preparar para a criptografia de unidade e arquivo no Windows 11 e Windows 10, você pode seguir as seguintes etapas:

• Verifique se o TPM está ativado ou habilitá -lo, se necessário.
• Planejar e testar estratégias de implantação de criptografia.
• Eduque os usuários sobre a importância da proteção de dados.
• Implementar medidas de segurança que são perfeitas e transparentes para os usuários.

13. Por que a segurança transparente é importante para a proteção de dados?

Medidas de segurança transparentes são importantes para a proteção de dados para garantir que os usuários não enfrentem atrasos ou dificuldades enquanto acessam seus dados. Se as medidas de segurança forem pesadas, os usuários podem tentar ignorá -los, comprometendo a segurança dos dados.

14. Quais foram os desafios no pré-provisionamento do TPM no Windows 7?

No Windows 7, o pré-provisionamento do TPM exigia acessar as configurações de firmware BIOS ou UEFI do dispositivo para ativar o TPM. Também pode exigir um ou mais reinicializações, tornando o processo complicado.

15. Como o Windows 11 e o Windows 10 simplificam o TPM Management?

Windows 11 e Windows 10 simplificam o gerenciamento de TPM, integrando -o totalmente ao sistema operacional, eliminando a necessidade de acessar o BIOS do dispositivo ou executar reinicializações.

Visão geral da criptografia de dispositivos Bitlocker no Windows

A Microsoft inclui instrumentação no Windows 11 e Windows 10 que permitem ao sistema operacional gerenciar totalmente o TPM. Não há necessidade de entrar no BIOS, e todos os cenários que exigiam um reinício foram eliminados.

Ligue a criptografia do dispositivo

A criptografia ajuda a proteger os dados do seu dispositivo para que só possam ser acessados ​​por pessoas que têm autorização. Se a criptografia do dispositivo não estiver disponível no seu dispositivo, você poderá ativar a criptografia padrão do Bitlocker.

Ligue a criptografia do dispositivo

1. Entre no Windows com uma conta de administrador (talvez seja necessário sair e voltar para mudar de conta). Para mais informações, consulte Crie uma conta local ou administrador no Windows.
2. Selecione Começar >Configurações >Privacidade e segurança >Criptografia de dispositivo. Se Criptografia de dispositivo Não aparece, não está disponível. Você pode usar a criptografia padrão de bitlocker. Abra a criptografia de dispositivo nas configurações.
3. Se Criptografia de dispositivo está desligado, desligue Sobre.

Ligue a criptografia padrão de bitlocker

1. Faça login no seu dispositivo Windows com uma conta de administrador (talvez seja necessário sair e voltar para mudar de conta). Para mais informações, consulte Crie uma conta local ou administrador no Windows.
2. Na caixa de pesquisa na barra de tarefas, digite Gerencie Bitlocker e depois selecione -o na lista de resultados. Ou selecione Começar >Configurações >Privacidade e segurança >Criptografia de dispositivo >Criptografia de unidade bitlocker.

Quero saber mais e descobrir se o seu dispositivo suporta criptografia de dispositivo? Consulte a criptografia do dispositivo no Windows.

A criptografia ajuda a proteger os dados do seu dispositivo para que só possam ser acessados ​​por pessoas que têm autorização. Se a criptografia do dispositivo não estiver disponível no seu dispositivo, você poderá ativar a criptografia padrão do Bitlocker. (Observe que o Bitlocker não está disponível no Windows 10 Home Edition.)

Ligue a criptografia do dispositivo

1. Entre no Windows com uma conta de administrador (talvez seja necessário sair e voltar para mudar de conta). Para mais informações, consulte Crie uma conta local ou administrador no Windows.
2. Selecione os Começar Botão e selecione Configurações >Atualização e segurança >Criptografia de dispositivo. Se Criptografia de dispositivo Não aparece, não está disponível. Você pode usar a criptografia padrão de bitlocker. Abra a criptografia de dispositivo nas configurações.
3. Se a criptografia do dispositivo estiver desligada, selecione Ligar.

Ligue a criptografia padrão de bitlocker

1. Faça login no seu dispositivo Windows com uma conta de administrador (talvez seja necessário sair e voltar para mudar de conta). Para mais informações, consulte Crie uma conta local ou administrador no Windows.
2. Na caixa de pesquisa na barra de tarefas, digite Gerencie Bitlocker e depois selecione -o na lista de resultados. Ou selecione o Começar botão, e depois sob Sistema Windows, Selecione Painel de controle. No painel de controle, selecione Sistema e Segurança, e então abaixo Criptografia de unidade bitlocker, Selecione Gerencie Bitlocker.

Quero saber mais e descobrir se o seu dispositivo suporta criptografia de dispositivo? Consulte a criptografia do dispositivo no Windows.

Visão geral da criptografia de dispositivos Bitlocker no Windows

Este artigo explica como a criptografia do dispositivo Bitlocker pode ajudar a proteger os dados em dispositivos executando Windows. Veja Bitlocker para obter uma visão geral e uma lista de artigos.

Quando os usuários viajam, os dados confidenciais de sua organização vão com eles. Onde quer que os dados confidenciais sejam armazenados, eles devem ser protegidos contra o acesso não autorizado. O Windows tem um longo histórico de fornecer soluções de proteção de dados de restos que se protegem contra atacantes nefastos, começando com o sistema de arquivos de criptografia no sistema operacional Windows 2000. Mais recentemente, o Bitlocker forneceu criptografia para unidades completas e unidades portáteis. O Windows melhora constantemente a proteção de dados, melhorando as opções existentes e fornecendo novas estratégias.

Proteção de dados no Windows 11, Windows 10 e Windows 7

A tabela abaixo lista preocupações específicas de proteção de dados e como elas são abordadas no Windows 11, Windows 10 e Windows 7.

Prepare -se para a criptografia de unidade e arquivo

O melhor tipo de medidas de segurança é transparente para o usuário durante a implementação e uso. Toda vez que há um possível atraso ou dificuldade por causa de um recurso de segurança, há uma forte probabilidade de que os usuários tentem ignorar a segurança. Essa situação é especialmente verdadeira para a proteção de dados, e esse é um cenário que as organizações precisam evitar. Seja planejando criptografar volumes inteiros, dispositivos removíveis ou arquivos individuais, o Windows 11 e o Windows 10 atendem a essas necessidades, fornecendo soluções simplificadas e utilizáveis. De fato, várias etapas podem ser tomadas com antecedência para se preparar para a criptografia de dados e tornar a implantação rápida e suave.

TPM pré-provisionamento

No Windows 7, a preparação do TPM ofereceu alguns desafios:

• Ligando o TPM necessário para entrar no firmware BIOS ou UEFI do dispositivo. Ligar o TPM no dispositivo exige que alguém entre fisicamente nas configurações de firmware BIOS ou UEFI do dispositivo para ativar o TPM ou instalar um driver no Windows para ativar o TPM no Windows.
• Quando o TPM está ativado, pode exigir um ou mais reinicializações.

Isso tornou a preparação do TPM no Windows 7 problemático. Se a equipe de TI estiver provisionando novos PCs, eles podem lidar com as etapas necessárias para preparar um TPM. No entanto, se o Bitlocker precisava ser ativado em dispositivos que já estão nas mãos dos usuários, esses usuários provavelmente lutariam com os desafios técnicos. O usuário ligaria para o suporte ou deixaria o Bitlocker desativado.

A Microsoft inclui instrumentação no Windows 11 e Windows 10 que permitem ao sistema operacional gerenciar totalmente o TPM. Não há necessidade de entrar no BIOS, e todos os cenários que exigiam um reinício foram eliminados.

Implantar criptografia de disco rígido

Bitlocker é capaz de criptografar discos rígidos inteiros, incluindo unidades de sistema e dados. O pré-provisionamento do Bitlocker pode reduzir drasticamente o tempo necessário para provisionar novos PCs com o Bitlocker ativado. Com o Windows 11 e o Windows 10, os administradores podem ativar o Bitlocker e o TPM no ambiente de pré-instalação do Windows antes de instalar o Windows ou como parte de uma sequência de tarefas de implantação automatizada sem qualquer interação do usuário. Combinado com o espaço de disco usado apenas criptografia e uma unidade mais vazia (porque o Windows ainda não está instalado), leva apenas alguns segundos para ativar o bitlocker.

Com versões anteriores do Windows, os administradores tiveram que ativar o Bitlocker depois que o Windows foi instalado. Embora esse processo possa ser automatizado, o Bitlocker precisaria criptografar toda a unidade, um processo que poderia levar de várias horas a mais de um dia, dependendo do tamanho e do desempenho da unidade, o que atrasou a implantação. A Microsoft melhorou esse processo através de vários recursos no Windows 11 e Windows 10.

Criptografia de dispositivo Bitlocker

Começando no Windows 8.1, o Windows permite automaticamente a criptografia de dispositivos Bitlocker em dispositivos que suportam o modo de espera moderno. Com o Windows 11 e o Windows 10, a Microsoft oferece suporte a criptografia de dispositivos Bitlocker em uma gama muito mais ampla de dispositivos, incluindo os dispositivos que são modernos, e dispositivos que executam a edição em casa do Windows 10 ou Windows 11.

A Microsoft espera que a maioria dos dispositivos no futuro passe os requisitos para a criptografia de dispositivos Bitlocker que fará. A criptografia de dispositivo Bitlocker protege ainda mais o sistema, implementando transparentemente a criptografia de dados em todo o dispositivo.

Ao contrário de uma implementação padrão de bitlocker, a criptografia de dispositivo Bitlocker é ativada automaticamente para que o dispositivo seja sempre protegido. A lista a seguir descreve como a criptografia do dispositivo BitLocker é ativada automaticamente:

• Quando uma instalação limpa do Windows 11 ou Windows 10 é concluída e a experiência fora da caixa é concluída, o computador está preparado para o primeiro uso. Como parte desta preparação, a criptografia de dispositivo Bitlocker é inicializada na unidade do sistema operacional e unidades de dados fixas no computador com uma chave clara que é o equivalente ao estado suspenso de bitlocker padrão. Nesse estado, a unidade é mostrada com um ícone de aviso no Windows Explorer. O ícone de aviso amarelo é removido após a criação do protetor TPM e a chave de recuperação é backup, conforme explicado nos seguintes pontos de bala.
• Se o dispositivo não estiver unido, uma conta da Microsoft que foi concedida privilégios administrativos no dispositivo é necessária. Quando o administrador usa uma conta da Microsoft para fazer login, a chave clara é removida, uma chave de recuperação é carregada na conta on -line da Microsoft e um protetor de TPM é criado. Se um dispositivo exigir a chave de recuperação, o usuário será orientado a usar um dispositivo alternativo e navegar para um URL de acesso à chave de recuperação para recuperar a chave de recuperação usando suas credenciais de conta da Microsoft.
• Se o usuário usar uma conta de domínio para fazer login, a chave transparente não será removida até que o usuário se junte ao dispositivo em um domínio e a chave de recuperação será backup com sucesso nos serviços de domínio do Active Directory (AD DS). As configurações de política de grupo a seguir devem estar ativadas para que a chave de recuperação seja backup de anúncios: Configuração do computador >Modelos Administrativos >Componentes do Windows >Criptografia de unidade bitlocker >Unidades do sistema operacional >Não habilite o Bitlocker até que as informações de recuperação sejam armazenadas em anúncios para unidades de sistema operacional Com essa configuração, a senha de recuperação é criada automaticamente quando o computador se junta ao domínio e, em seguida, a tecla de recuperação é backup de anúncios, o protetor TPM é criado e a chave clara é removida.
• Semelhante a fazer login com uma conta de domínio, a chave clara é removida quando o usuário assina em uma conta de anúncio do Azure no dispositivo. Conforme descrito no ponto de bala acima, a senha de recuperação é criada automaticamente quando o usuário autentica para o Azure AD. Em seguida, a chave de recuperação é apoiada no Azure AD, o protetor TPM é criado e a chave clara é removida.

A Microsoft recomenda que a criptografia de dispositivo Bitlocker automaticamente em todos os sistemas que o suportam. No entanto, o processo automático de criptografia de dispositivos Bitlocker pode ser evitado alterando a seguinte configuração do registro:

• Sub-chave: Hkey_local_machine \ system \ currentControlset \ control \ bitlocker
• Tipo: Reg_dword
• Valor: PreventDeviceEncryption igual a 1 (verdadeiro)

Os administradores podem gerenciar dispositivos de domínio que possuem criptografia de dispositivo Bitlocker ativado pela Microsoft Bitlocker Administration and Monitoring (MBAM). Nesse caso, a criptografia de dispositivo BitLocker disponibiliza automaticamente opções de bitlocker adicionais. Nenhuma conversão ou criptografia é necessária e o MBAM pode gerenciar o conjunto completo de políticas de bitlocker se for necessária alguma alteração de configuração.

A criptografia de dispositivo Bitlocker usa o método de criptografia XTS-AES de 128 bits. Se um método de criptografia diferente e/ou força cifra for necessária, mas o dispositivo já estiver criptografado, ele deve primeiro ser descriptografado antes que o novo método de criptografia e/ou força cifra possa ser aplicada. Depois que o dispositivo foi descriptografado, diferentes configurações de bitlocker podem ser aplicadas.

Espaço de disco usado apenas criptografia

Bitlocker nas versões anteriores do Windows pode levar muito tempo para criptografar uma unidade, pois ele criptografou todos os bytes no volume, incluindo áreas que não tinham dados. Criptografar todos os bytes no volume, incluindo áreas que não tinham dados são conhecidas como criptografia de disco completo. A criptografia de disco completa ainda é a maneira mais segura de criptografar uma unidade, especialmente se uma unidade já houver dados confidenciais que foram movidos ou excluídos desde então. Se uma unidade anteriormente tivesse dados confidenciais que foram movidos ou excluídos, traços dos dados confidenciais poderiam permanecer em partes da unidade marcadas como não utilizadas.

Para reduzir o tempo de criptografia, o Bitlocker no Windows 11 e o Windows 10 permitem que os usuários escolham criptografar apenas as áreas do disco que contêm dados. Áreas do disco que não contêm dados e estão vazias não serão criptografadas. Quaisquer novos dados são criptografados à medida que são criados. Dependendo da quantidade de dados na unidade, essa opção pode reduzir o tempo inicial de criptografia em mais de 99 %.

Exercite -se cautela ao criptografar apenas o espaço usado em um volume existente no qual dados confidenciais podem já ter sido armazenados em um estado não criptografado. Ao usar a criptografia de espaço usada, os setores onde os dados não criptografados são armazenados podem ser recuperados através de ferramentas de recuperação de disco até que elas sejam substituídas por novos dados criptografados. Por outro lado, o criptografia usou apenas o espaço em um volume totalmente novo pode diminuir significativamente o tempo de implantação sem o risco de segurança, porque todos os novos dados serão criptografados, pois estão gravados no disco.

Suporte de disco rígido criptografado

Os SEDs estão disponíveis há anos, mas a Microsoft não conseguiu apoiar seu uso com algumas versões anteriores do Windows, porque as unidades não tinham importantes recursos de gerenciamento de chaves. A Microsoft trabalhou com fornecedores de armazenamento para melhorar os recursos de hardware, e agora o bitlocker suporta a próxima geração de seds, que são chamados de discos rígidos criptografados.

Os discos rígidos criptografados fornecem recursos criptográficos a bordo para criptografar dados sobre unidades. Esse recurso melhora o desempenho da unidade e do sistema descarregando cálculos criptográficos do processador do PC para a própria unidade. Os dados são rapidamente criptografados pela unidade usando hardware dedicado e criado para propósitos. Se planeja usar a criptografia de tração inteira com o Windows 11 ou o Windows 10, a Microsoft recomenda pesquisar fabricantes e modelos de disco rígido para determinar se algum de seus discos rígidos criptografados atende aos requisitos de segurança e orçamento.

Para obter mais informações sobre discos rígidos criptografados, consulte o disco rígido criptografado.

Pré -Boot Information Protection

Uma implementação eficaz da proteção de informações, como a maioria dos controles de segurança, considera a usabilidade e a segurança. Os usuários normalmente preferem uma experiência de segurança simples. De fato, quanto mais transparente uma solução de segurança se torna, maior a probabilidade de os usuários se conformar.

É crucial que as organizações protejam as informações em seus PCs, independentemente do estado do computador ou da intenção dos usuários. Essa proteção não deve ser complicada para os usuários. Uma situação indesejável e anteriormente comum é quando o usuário é solicitado para entrada durante a pré-boot e depois novamente durante o Windows assinando. Desafiar os usuários para a entrada mais de uma vez devem ser evitados.

Windows 11 e Windows 10 podem permitir uma verdadeira experiência SSO do ambiente de pré -boot em dispositivos modernos e, em alguns casos. O TPM isoladamente é capaz de proteger com segurança a chave de criptografia Bitlocker enquanto estiver em repouso e pode desbloquear com segurança a unidade do sistema operacional. Quando a chave está em uso e, portanto, na memória, uma combinação de recursos de hardware e Windows pode proteger a chave e impedir o acesso não autorizado por meio de ataques a frio. Embora outras contramedidas, como o desbloqueio baseadas em pinos, estejam disponíveis, elas não são tão fáceis de usar; Dependendo da configuração dos dispositivos, eles podem não oferecer segurança adicional quando se trata de proteção contra chaves. Para obter mais informações, consulte Contrafeases de Bitlocker.

Gerenciar senhas e pinos

Quando o Bitlocker é ativado em uma unidade de sistema e o PC possui um TPM, os usuários podem ser obrigados a digitar um pino antes que o Bitlocker desbloqueie a unidade. Esse requisito de pino pode impedir um invasor que tenha acesso físico a um PC de chegar ao login do Windows, o que torna quase impossível para o invasor acessar ou modificar dados do usuário e arquivos do sistema.

Exigir um alfinete na startup é um recurso de segurança útil, pois atua como um segundo fator de autenticação. No entanto, essa configuração vem com alguns custos. Um dos custos mais significativos é a necessidade de alterar o pino regularmente. Nas empresas que usavam o Bitlocker com o Windows 7 e o sistema operacional Windows Vista, os usuários tiveram que entrar em contato com os administradores de sistemas para atualizar seu pino ou senha do Bitlocker. Esse requisito não apenas aumentou os custos de gerenciamento, mas tornou os usuários menos dispostos a mudar seu pino ou senha de bitlocker regularmente.

Os usuários do Windows 11 e Windows 10 podem atualizar seus pinos e senhas Bitlocker, sem credenciais do administrador. Esse recurso não apenas reduzirá os custos de suporte, mas também pode melhorar a segurança, porque incentiva os usuários a mudar seus pinos e senhas com mais frequência. Além disso, os dispositivos modernos de espera não exigem um alfinete para startup: eles são projetados para começar com pouca frequência e têm outras mitigações em vigor que reduzem ainda mais a superfície de ataque do sistema.

Para obter mais informações sobre como funciona a segurança de startups e as contramedidas que o Windows 11 e o Windows 10 fornecem, consulte Protect Bitlocker de ataques pré-boot.

Configure o desbloqueio da rede

Algumas organizações têm requisitos de segurança de dados específicos para localização. Requisitos de segurança de dados específicos da localização são mais comuns em ambientes onde dados de alto valor são armazenados em PCs. O ambiente de rede pode fornecer proteção de dados crucial e aplicar autenticação obrigatória. Portanto, a política afirma que esses PCs não devem deixar o prédio ou ser desconectado da rede corporativa. Salvaguardas, como bloqueios de segurança física e geofencing, podem ajudar a aplicar essa política como controles reativos. Além dessas salvaguardas, é necessário um controle de segurança proativo que concede acesso aos dados apenas quando o PC está conectado à rede corporativa é necessária.

O Network Desblock permite que os PCs protegidos por Bitlocker iniciem automaticamente quando conectados a uma rede corporativa com fio na qual os serviços de implantação do Windows são executados. Sempre que o PC não está conectado à rede corporativa, um usuário deve digitar um pino para desbloquear a unidade (se o desbloqueio baseado em pinos estiver ativado). O Network Desbloqueia requer a seguinte infraestrutura:

• PCs clientes que possuem firmware de firmware extensível (UEFI) Versão 2.3.1 ou posterior, que suporta o Dynamic Host Configuration Protocol (DHCP)
• Um servidor executando pelo menos o Windows Server 2012 com a função Windows Deployment Services (WDS)
• Um servidor com a função de servidor DHCP instalada

Para obter mais informações sobre como configurar o recurso de desbloqueio da rede, consulte Bitlocker: como ativar o desbloqueio da rede.

Administração e monitoramento do Microsoft Bitlocker

Parte do Microsoft Desktop Optimization Pack, Microsoft Bitlocker Administration and Monitoring (MBAM) facilita o gerenciamento e o suporte ao Bitlocker e o Bitlocker para ir. MBAM 2.5 Com o Service Pack 1, a versão mais recente, possui os seguintes recursos principais:

• Permite que os administradores automatizem o processo de criptografar volumes em computadores clientes em toda.
• Permite que os oficiais de segurança determine rapidamente o estado de conformidade de computadores individuais ou mesmo da própria empresa.
• Fornece relatórios centralizados e gerenciamento de hardware com gerente de configuração da Microsoft.
• Reduz a carga de trabalho no suporte técnico para ajudar os usuários finais com solicitações de recuperação de bitlocker.
• Permite que os usuários finais recuperem dispositivos criptografados de forma independente usando o portal de autoatendimento.
• Permite que os oficiais de segurança auditem facilmente o acesso às informações da chave de recuperação.
• Empowers Usuários do Windows Enterprise a continuar trabalhando em qualquer lugar com a garantia de que seus dados corporativos estão protegidos.
• Aplica as opções de política de criptografia Bitlocker que estão definidas para a empresa.
• Integra -se às ferramentas de gerenciamento existentes, como o Microsoft Configuration Manager.
• Oferece uma experiência de usuário de recuperação customizável.
• Suporta o Windows 11 e o Windows 10.

As empresas poderiam usar o MBAM para gerenciar computadores clientes com o Bitlocker que é realizado no domínio local até que o suporte convencional terminou em julho de 2019, ou poderiam receber suporte estendido até abril de 2026.

No futuro, a funcionalidade do MBAM será incorporada ao gerente de configuração. Para mais informações, consulte Plano para gerenciamento de bitlocker.

As empresas que não usam o gerenciador de configurações podem usar os recursos internos do Azure AD e Microsoft Intune para administração e monitoramento. Para obter mais informações, consulte a criptografia do dispositivo Monitor com o Intune.

Opinião

Envie e veja o feedback para

Como ativar a criptografia de disco integral no Windows 10

Chris Hoffman

Chris Hoffman
Editor chefe

Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek. Consulte Mais informação.

Atualizado em 12 de julho de 2018, 12:51 EDT | 4 min de leitura

O Windows 10 às vezes usa criptografia por padrão e às vezes não’t – it’é complicado. Aqui’s Como verificar se o seu Windows 10 PC’s armazenamento é criptografado e como criptografá -lo se não for’t. Criptografia não é’T sobre parar a NSA – it’S sobre proteger seus dados confidenciais, caso você perca seu PC, o que é algo que todos precisam. Ao contrário de todos os outros sistemas operacionais de consumidores modernos – MacAs, Chrome OS, iOS e Android – Windows 10 ainda não’T oferecem ferramentas de criptografia integradas para todos. Você pode ter que pagar pela edição profissional do Windows 10 ou usar uma solução de criptografia de terceiros.

Se o seu computador suportar: Criptografia de dispositivo do Windows

RELACIONADO: Windows 8.Eu começarei a criptografar discos rígidos por padrão: tudo o que você precisa saber Muitos novos PCs que são enviados com o Windows 10 terão automaticamente “Criptografia de dispositivo” habilitado. Este recurso foi introduzido pela primeira vez no Windows 8.1, e existem requisitos específicos de hardware para isso. Nem todo PC terá esse recurso, mas alguns terão. Lá’S Outra limitação também – ele realmente criptografa sua unidade se você entrar no Windows com uma conta da Microsoft. Sua chave de recuperação é enviada para a Microsoft’S servidores. Isso ajudará você a recuperar seus arquivos, se você puder’T faça login no seu PC. (É também por isso que o FBI provavelmente não está’muito preocupado com esse recurso, mas nós’apenas recomendo a criptografia como um meio de proteger seus dados de ladrões de laptop aqui. Se você’Estou preocupado com a NSA, você pode querer usar uma solução de criptografia diferente.)

A criptografia de dispositivo também será ativada se você se inscrever em uma organização’s domínio. Por exemplo, você pode assinar um domínio de propriedade de seu empregador ou escola. Sua chave de recuperação seria enviada para sua organização’s servidores de domínio. No entanto, isso não’T aplicar à pessoa comum’S PC – apenas os PCs unidos a domínios.

Para verificar se a criptografia do dispositivo está ativada, abra o aplicativo de configurações, navegue para o sistema> sobre e procure um “Criptografia de dispositivo” Configuração na parte inferior do painel. Se você não for’T vejo qualquer coisa sobre criptografia de dispositivo aqui, seu pc não’t Suporte ao dispositivo Criptografia e TI’não está ativado. Se a criptografia do dispositivo estiver ativada – ou se você puder habilitá -la, fazendo login com uma conta da Microsoft – você’verei uma mensagem dizendo isso aqui.

Para usuários do Windows Pro: Bitlocker

RELACIONADO: Você deve atualizar para a edição profissional do Windows 10? Se a criptografia do dispositivo não estiver’T ativado – ou se você quiser uma solução de criptografia mais poderosa que também pode criptografar unidades USB removíveis, por exemplo – você’eu quero usar bitlocker. Microsoft’S Ferramenta de criptografia Bitlocker fez parte do Windows para várias versões agora, e isso’é geralmente bem considerado. No entanto, a Microsoft ainda restringe o Bitlocker a edições profissionais, corporativas e educacionais do Windows 10. O Bitlocker é mais seguro em um computador que contém hardware TPM (Trusted Platform Module), o que a maioria dos PCs modernos faz. Você pode verificar rapidamente se o seu PC possui hardware TPM no Windows ou verificar com seu computador’s fabricante se você’não tenho certeza. Se você construiu seu próprio PC, poderá adicionar um chip TPM a ele. Procure um chip TPM que’s vendido como um módulo complementar. Você’precisará de um que suporta a placa -mãe exata dentro do seu PC. RELACIONADO: Como usar o Bitlocker sem um módulo de plataforma confiável (TPM) O Windows normalmente diz que o Bitlocker requer um TPM, mas lá’S uma opção oculta que permite ativar o Bitlocker sem um TPM. Você’terei que usar uma unidade flash USB como um “chave de inicialização” Isso deve estar presente em cada inicialização se você ativar esta opção. Se você já possui uma edição profissional do Windows 10 instalada no seu PC, pode pesquisar “Bitlocker” no menu Iniciar e usar o painel de controle Bitlocker para ativá -lo. Se você atualizou gratuitamente no Windows 7 Professional ou Windows 8.1 Profissional, você deve ter Windows 10 Professional.

Se você não for’T Tenha uma edição profissional do Windows 10, você pode pagar US $ 99 para atualizar sua casa do Windows 10 para o Windows 10 Professional. Basta abrir o aplicativo de configurações, navegar para atualizar e segurança> Ativação e clicar no “Vá para a loja” botão. Você’Ganhe acesso ao Bitlocker e os outros recursos que o Windows 10 Professional inclui.

O especialista em segurança Bruce Schneier também gosta de uma ferramenta proprietária de criptografia de disco completo para Windows chamado BestCrypt. Isto’está totalmente funcional no Windows 10 com hardware moderno. No entanto, essa ferramenta custa US $ 99 – o mesmo preço que uma atualização para o Windows 10 Professional – para atualizar o Windows para aproveitar o Bitlocker pode ser uma escolha melhor.

Para todos os outros: Veracrypt

RELACIONADO: 3 alternativas ao agora extinto TrueCrypt para suas necessidades de criptografia Gastar outros US $ 99 apenas para criptografar seu disco rígido para alguma segurança adicional pode ser uma venda difícil quando os PCs modernos do Windows geralmente custam apenas algumas centenas de dólares em primeiro lugar. Você não’É preciso pagar o dinheiro extra por criptografia, porque o bitlocker não é’t A única opção. Bitlocker é a opção mais integrada e bem apoiada-mas existem outras ferramentas de criptografia que você pode usar. O Venerável TrueCrypt, uma ferramenta de criptografia de disco completo de código aberto que não está mais sendo desenvolvido, tem alguns problemas com o Windows 10 PCs. Pode’t Encrypt GPT System Partions e inicialize -os usando UEFI, uma configuração que a maioria dos PCs do Windows 10 usa. No entanto, o Veracrypt-uma ferramenta de criptografia de disco completo de código aberto com base no código-fonte TrueCrypt-suporta a criptografia de partição do sistema EFI como nas versões 1.18a e 1.19.

Em outras palavras, o Veracrypt deve permitir que você criptografa seu PC Windows 10’S Partição do sistema gratuitamente. RELACIONADO: Como garantir arquivos sensíveis no seu PC com veracrypt TrueCrypt’Os desenvolvedores foram famosamente fechados para o desenvolvimento e declararam TrueCrypt vulnerável e inseguro de usar, mas o júri ainda está divulgado se isso é verdade. Grande parte da discussão sobre isso se concentra se a NSA e outras agências de segurança têm uma maneira de quebrar essa criptografia de código aberto. Se você’apenas criptografar seu disco rígido para que os ladrões possam’t Access seus arquivos pessoais se eles roubarem seu laptop, você não’Temos que se preocupar com isso. TrueCrypt deve ser mais do que seguro o suficiente. O projeto Veracrypt também fez melhorias de segurança e deve ser potencialmente mais seguro do que o TrueCrypt. Se você’Recripção de apenas alguns arquivos ou sua partição inteira do sistema, ele’s o que recomendamos. Nós’D gosto de ver a Microsoft dar a mais usuários do Windows 10 acesso ao bitlocker – ou pelo menos estender a criptografia de dispositivo para que possa ser ativada em mais PCs. Os computadores Windows modernos devem ter ferramentas de criptografia integradas, assim como todos os outros sistemas operacionais de consumo modernos fazem. Usuários do Windows 10 não devem’É preciso pagar um software extra ou caçar de terceiros para proteger seus dados importantes se seus laptops forem perdidos ou roubados.

• › Como fazer o Windows desligar mais rápido
• › Como pular a lixeira para excluir arquivos no Windows 10
• › Como criptografar seu mac’s acionamento do sistema, dispositivos removíveis e arquivos individuais
• › Como verificar se o seu computador tem um chip de módulo de plataforma (TPM) confiável (TPM)
• › Como criptografar o seu sistema Windows Drive com Veracrypt
• › Como proteger a senha Documentos e PDFs com o Microsoft Office
• › A segurança perfeita do computador é um mito. Mas isso’ainda é importante
• › A Disney está puxando seus próprios shows e filmes da Disney+ e Hulu

Chris Hoffman
Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek.
Leia a biografia completa »

Guia do Bitlocker: Como usar esta ferramenta de criptografia do Windows para proteger seus dados

Criptografar todos os dados em um PC do Windows é uma precaução crucial de segurança. Windows 10 e Windows 11 incluem as mesmas opções de criptografia fortes, com edições de negócios tendo o melhor conjunto de ferramentas de gerenciamento. Aqui está um guia prático.

Escrito por Ed Bott, editor sênior colaborador em 23 de março de 2022

Se o seu PC fosse perdido ou roubado, você provavelmente se encolheria ao custo de substituí -lo. Mas isso não é nada comparado ao que você perderia se alguém tivesse acesso irrestrito aos dados nesse dispositivo. Mesmo que eles não consigam fazer login usando sua conta de usuário do Windows, um ladrão poderá inicializar de um dispositivo removível e navegar no conteúdo do sistema acionamento com impunidade.

A maneira mais eficaz de parar esse cenário de pesadelo é criptografar todo o dispositivo, para que seu conteúdo esteja disponível apenas para você ou alguém com a chave de recuperação.

Windows 11 Perguntas frequentes

Tudo que você precisa saber

O que há de novo no Windows 11? Quais são seus requisitos mínimos de hardware? Quando seu PC será elegível para a atualização? Temos as respostas para suas perguntas.

Todas as edições do Windows 10 e Windows 11 incluem o XTS-AES Opções de criptografia de dispositivo de 128 bits que são robustas o suficiente para proteger até mesmo os ataques mais determinados. Usando ferramentas de gerenciamento, você pode aumentar a força de criptografia para XTS-AES 256.

Em dispositivos modernos, o código de criptografia também executa verificações de integridade do sistema pré-inicialização que detectam tentativas de ignorar o carregador de inicialização.

Bitlocker é o nome da marca que a Microsoft usa para as ferramentas de criptografia disponíveis nas edições de negócios do Windows (desktop e servidor). Um subconjunto limitado, mas ainda eficaz dos recursos de criptografia de dispositivos Bitlocker, também está disponível nas edições Windows 10 e Windows 11 Home. Veja como garantir que seus dados sejam protegidos.

Quais são os requisitos de hardware para o bitlocker?

O recurso de hardware mais importante necessário para suportar a criptografia de dispositivo Bitlocker é um chip de módulo de plataforma confiável, ou TPM. O dispositivo também precisa suportar o recurso moderno de espera (anteriormente conhecido como instantgo).

Praticamente todos os dispositivos que foram originalmente fabricados para o Windows 10 atendem a esses requisitos. Todos os dispositivos compatíveis com o Windows 11, sem exceção, atendem a esses requisitos.

Como o Bitlocker funciona no Windows 10 e no Windows 11?

Em todos os dispositivos que atendem aos requisitos de hardware Bitlocker (consulte a seção anterior para obter detalhes), a criptografia de dispositivo é automaticamente ativada. A configuração do Windows cria automaticamente as partições necessárias e inicializa a criptografia na unidade do sistema operacional com uma chave clara. Para concluir o processo de criptografia, você deve executar uma das seguintes etapas:

• Entrar no uso de uma conta da Microsoft que possui direitos de administrador no dispositivo. Essa ação remove a chave clara, envia uma chave de recuperação para a conta OneDrive do usuário e criptografa os dados na unidade do sistema. Observe que esse processo acontece automaticamente e funciona em qualquer edição do Windows 10 ou Windows 11.
• Entrar usando uma conta do Active Directory em um domínio do Windows ou em uma conta do Azure Active Directory. A configuração requer uma edição comercial do Windows 10 ou Windows 11 (Pro, Enterprise ou Education), e a chave de recuperação é salva em um local disponível para o Domínio ou Administrador AAD.
• Se você entrar no uso de uma conta local em um dispositivo executando uma edição comercial do Windows 10 ou Windows 11, precisar.

Em unidades de estado sólido auto-criptografadas que suportam criptografia de hardware, o Windows descarrega o trabalho de criptografar e descriptografar dados para o hardware. Observe que uma vulnerabilidade nesse recurso, divulgada pela primeira vez em novembro de 2018, poderia expor dados sob determinadas circunstâncias. Nesses casos, você precisará de uma atualização de firmware para o SSD; Em unidades mais antigas onde essa atualização não está disponível, você pode mudar para a criptografia de software usando as instruções neste Microsoft Security Advisory: Orientação para configurar o Bitlocker para aplicar a criptografia de software.

Observe que o Windows 10 e o Windows 11 ainda suportam o recurso de sistema de arquivos criptografado muito mais antigo. Este é um sistema de criptografia baseado em arquivos e pastas que foi introduzido com o Windows 2000. Para praticamente todo o hardware moderno, o Bitlocker é uma escolha superior.

Zdnet Recomenda

O melhor gerente de senhas: uso comercial e pessoal

Todo mundo precisa de um gerenciador de senhas. Se você estiver disposto a pagar uma taxa mensal ou anual, essas opções valem a pena.

Como faço para gerenciar a criptografia de bitlocker?

Na maioria das vezes, o Bitlocker é um recurso de conjunto e esquece. Depois de ativar a criptografia para uma unidade, não requer manutenção. Você pode, no entanto, usar ferramentas incorporadas no sistema operacional para executar uma variedade de tarefas de gerenciamento.

As ferramentas mais simples estão disponíveis na interface gráfica do Windows, mas apenas se você estiver executando edições pro ou corporativas. Abra o arquivo explorador, clique com o botão direito do mouse em qualquer ícone de unidade e clique em Gerenciar Bitlocker. Isso o leva a uma página em que você pode ligar ou desativar o Bitlocker; Se o Bitlocker já estiver ativado para a unidade do sistema, você poderá suspender a criptografia temporariamente ou fazer backup de sua chave de recuperação daqui. Você também pode gerenciar a criptografia em unidades removíveis e em unidades internas secundárias. Em um sistema executando o Windows Home Edition, você encontrará um botão on-off nas configurações. No Windows 10, procure em atualização e recuperação> Criptografia de dispositivo. No Windows 11, essa configuração está em privacidade e segurança> Criptografia de dispositivo. Uma mensagem de aviso aparecerá se a criptografia do dispositivo não tiver sido ativada por se inscrever em uma conta da Microsoft.

Para um conjunto de ferramentas muito maior, abra um prompt de comando e use uma das duas ferramentas administrativas de bitlocker embutidas, gerencia-se ou repare-bde, com um de seus interruptores disponíveis. O mais simples e útil deles é Gerencie -bde -status, que exibe o status de criptografia de todas as unidades disponíveis. Observe que este comando funciona em todas as edições, incluindo Windows 10 e Windows 11 Home.

Para uma lista completa de comutadores, digite Gerenciar-BDE -? ou reparo-bde -?

Finalmente, o Windows PowerShell inclui um conjunto completo de cmdlets de bitlocker. Use Get-BitlockVolume, por exemplo, para ver o status de todas as unidades fixas e removíveis no sistema atual. Para uma lista completa dos cmdlets Bitlocker disponíveis, consulte a página de documentação do PowerShell Bitlocker.

Como eu salvo e uso uma chave de recuperação de bitlocker?

Em circunstâncias normais, você desbloqueia sua unidade automaticamente ao entrar no Windows usando uma conta autorizada para esse dispositivo. Se você tentar acessar o sistema de qualquer outra maneira, como inicialização de uma unidade de configuração do Windows 10 ou Windows 11 ou de uma unidade de inicialização USB baseada em Linux, você será solicitado a uma chave de recuperação para acessar a unidade atual. Você também pode ver um aviso para uma chave de recuperação se uma atualização de firmware mudou o sistema de uma maneira que o TPM não reconheça.

Como administrador do sistema em uma organização, você pode usar uma chave de recuperação (manualmente ou com a assistência do software de gerenciamento) para acessar dados em qualquer dispositivo pertencente à sua organização, mesmo que o usuário não faça mais parte da organização.

A chave de recuperação é um número de 48 dígitos que desbloqueia a unidade criptografada nessas circunstâncias. Sem essa chave, os dados da unidade permanecem criptografados. Se o seu objetivo é reinstalar as janelas em preparação para reciclar um dispositivo, você pode pular a entrada da chave e os dados antigos serão completamente ilegíveis após a conclusão da configuração.

Sua chave de recuperação é armazenada automaticamente na nuvem se você ativou a criptografia de dispositivo com uma conta da Microsoft. Para encontrar a chave, vá para https: // onedrive.com/recuperação e entre na conta da Microsoft associada. (Observe que esta opção funciona em um telefone celular.) Expanda a listagem para qualquer dispositivo para ver detalhes adicionais e uma opção para excluir a chave salva.

Se você ativou a criptografia Bitlocker, juntando -se ao seu dispositivo Windows 10 ou Windows 11 com uma conta de anúncios do Azure, você encontrará a tecla de recuperação listada no seu perfil de anúncio do Azure. Vá para Configurações> Contas> Suas informações e clique em Gerenciar minhas contas. Se você está usando um dispositivo que não está registrado no Azure AD, vá para https: // conta.ActiveDirectory.Windows Azure.com/perfil e faça login com suas credenciais de anúncios do Azure.

Encontre o nome do dispositivo sob o cabeçalho Dispositivos e Atividades e clique em Get Bitlocker Teclas para visualizar a tecla de recuperação desse dispositivo. Observe que sua organização deve permitir que esse recurso para que as informações estejam disponíveis para você.

Finalmente, nas edições de negócios do Windows 10 ou Windows 11, você pode imprimir ou salvar uma cópia da chave de recuperação e armazenar o arquivo ou a impressão (ou ambos) em um local seguro. Use as ferramentas de gerenciamento disponíveis no File Explorer para acessar essas opções. Use esta opção se você ativou a criptografia de dispositivo com uma conta da Microsoft e preferir não ter a chave de recuperação disponível no OneDrive.

Posso usar o Bitlocker para criptografar unidades removíveis?

Os dispositivos de armazenamento removíveis também precisam de criptografia. Isso inclui unidades flash USB, bem como cartões microSD que podem ser usados ​​em alguns PCs. É aí que trabalha Bitlocker para ir.

Para ativar a criptografia Bitlocker para uma unidade removível, você deve estar executando uma edição comercial do Windows 10 ou Windows 11. Você pode desbloquear esse dispositivo em um dispositivo executando qualquer edição.

Como parte do processo de criptografia, você precisa definir uma senha que será usada para desbloquear a unidade. Você também precisa salvar a chave de recuperação para a unidade. (Não é salvo automaticamente em uma conta em nuvem.)

Finalmente, você precisa escolher um modo de criptografia. Use a nova opção Modo de Criptografia (XTS-AES) se você planeja usar o dispositivo exclusivamente no Windows 10 ou Windows 11. Escolha Modo Compatível para uma unidade Você pode abrir em um dispositivo executando uma versão anterior do Windows.

Na próxima vez que você inserir esse dispositivo em um PC Windows, você será solicitado a senha. Clique em mais opções e selecione a caixa de seleção para desbloquear automaticamente o dispositivo, se desejar acesso fácil aos seus dados em um dispositivo confiável que você controla.

Essa opção é especialmente útil se você estiver usando um cartão microSD para capacidade de armazenamento expandido em um dispositivo como um Surface Pro. Depois de entrar, todos os seus dados estão imediatamente disponíveis. Se você perder a unidade removível ou for roubada, seus dados serão inacessíveis para o ladrão.