top of page
Foto do escritorAndré Penatti

Guia para implantar o BitLocker em sua organização



Deseja se proteger contra perda acidental de um laptop esquecido? A criptografia de dados pode salvar o dia.


O BitLocker é um complemento útil para o sistema operacional Windows, pois ajuda as organizações a proteger os dados e economizar dinheiro porque não precisam investir em software especial de criptografia de disco de terceiros.


Soluções de terceiros, como ESET DESLock +, podem ser mais caras, mas também oferecem mais poder e flexibilidade para organizações maiores. Os departamentos de TI das organizações costumam relutar em implementar novos recursos de segurança devido à complexidade inerentemente mais alta e às despesas gerais de manutenção que as novas soluções de segurança podem apresentar. Além disso, novas soluções de criptografia trazem um certo fator de medo administrativo para administradores e operadores, que pode ser mais difícil de lidar em um ambiente de pequenas empresas.


Destacamos três etapas críticas neste artigo às quais você deve prestar atenção se estiver pensando em implantar o BitLocker em seu ambiente Windows. Nosso objetivo é fornecer a você uma estrutura e criar confiança para que você possa proteger seu ambiente e dados com melhores práticas e criptografia. O BitLocker está disponível nas edições Ultimate e Enterprise do Vista e Windows 7 e em todas as edições Server 2008 e Server 2008 R2, Server 2012 e Windows 10 Pro.


Escolha o método de desbloqueio correto

A força da proteção que o BitLocker oferece depende em grande parte do mecanismo de autenticação que ele usa para desbloquear o acesso a uma unidade protegida pelo BitLocker. Esse mecanismo de autenticação é conhecido como método de desbloqueio.


Antes de uma unidade ser desbloqueada, o BitLocker autêntica a unidade com base nos dados de identificação que o usuário ou o sistema operacional fornece e que autoriza o BitLocker a desbloquear o acesso à unidade. O BitLocker oferece suporte a diferentes métodos de desbloqueio com base no conhecimento do usuário sobre um segredo, presença de um componente de hardware ou chaves de software ou uma combinação de todos os três. Você pode selecionar o método de desbloqueio ao configurar o BitLocker.


Os métodos de desbloqueio disponíveis diferem para unidades do sistema operacional e para unidades de dados fixas ou removíveis. Por exemplo, apenas uma unidade de sistema operacional pode ser protegida usando um Trusted Platform Module (TPM), um chip de segurança especial que faz parte da maioria das placas-mãe de PC atuais. Em uma unidade do sistema operacional, você pode escolher um dos seguintes métodos de desbloqueio:


- TPM apenas

- Chave de inicialização apenas

- TPM + código PIN

- TPM + chave de inicialização

- TPM + código PIN + chave de inicialização


Os três últimos métodos de desbloqueio oferecem a melhor proteção. Os métodos de desbloqueio que envolvem um PIN exigem que o usuário forneça um código PIN no momento da inicialização do sistema. Quando uma chave de inicialização está envolvida, no momento da inicialização o usuário deve inserir um token USB que contém a chave de inicialização.



Em uma unidade de dados fixa ou removível, você pode escolher os três métodos de desbloqueio a seguir: senha, smart card + PIN ou automático. Para unidades de dados, o método de desbloqueio de cartão inteligente + PIN oferece a proteção mais forte.


Quando você usa um método de desbloqueio baseado em TPM para proteger a unidade do sistema operacional, o BitLocker fornece verificações de integridade para arquivos críticos do sistema, além da criptografia de dados, na inicialização. Por outro lado, o uso de um TPM adiciona complexidade e sobrecarga de configuração e gerenciamento. Por exemplo, o TPM deve ser ativado no BIOS. Na maioria dos sistemas, isso só pode ser feito depois de definir uma senha do BIOS. A arquitetura TPM também requer que uma senha de proprietário seja definida antes que o TPM possa ser usado. A senha do proprietário permite limpar e desabilitar um TPM e normalmente é propriedade de um administrador de sistema.


Ao considerar a implantação do BitLocker com um TPM, você deve certificar-se de que seus computadores tenham um chip TPM versão 1.2 e um BIOS compatível com o TPM versão 1.2 ou especificações posteriores. Para verificar se um computador inclui um chip TPM operacional que pode ser usado para o BitLocker, verifique o snap-in Gerenciamento de TPM (tpm.msc).

Como muitas organizações ainda têm computadores mais antigos que não têm um TPM e você não pode simplesmente adicionar um TPM a um computador, a Microsoft incluiu o método de desbloqueio de chave de inicialização apenas para unidades de sistema operacional. Para usar esse método de desbloqueio, você deve certificar-se de que os usuários tenham uma unidade USB e que o BIOS do computador suporte a leitura de dispositivos USB durante a inicialização do computador. Para obter mais informações sobre como configurar o BitLocker sem um TPM, leia “Usando o BitLocker sem um módulo de plataforma confiável”.


Quando você planeja desbloquear suas unidades de dados protegidas por BitLocker com um cartão inteligente, deve certificar-se de que seus usuários tenham certificados compatíveis com BitLocker carregados em um cartão inteligente. Para gerar esses certificados, você pode usar uma autoridade de certificação (CA), criar certificados autoassinados ou configurar um certificado EFS existente para uso com o BitLocker. Ao usar cartões inteligentes, também é recomendável que você tenha um software de gerenciamento de cartão inteligente instalado. Você pode, por exemplo, usar a funcionalidade de gerenciamento de cartão inteligente oferecida pelo Microsoft ForeFront Identity Manager (FIM). Quando você considerar o uso de cartões inteligentes, recomendo que leia com atenção os artigos “Usando certificados com BitLocker” e “Usando cartão inteligente com BitLocker” no Microsoft TechNet.


Crie uma estratégia de recuperação sólida

Uma ferramenta de criptografia como o BitLocker requer uma estratégia de recuperação robusta. O BitLocker força você a definir um método de recuperação durante a configuração, isso permitirá que você recupere o acesso aos dados em uma unidade criptografada quando a unidade não puder ser acessada. por exemplo, se os métodos de desbloqueio originais escolhidos que foram discutidos na seção anterior falharem.


Em uma unidade do sistema operacional, você precisará de um método de recuperação quando um usuário esquecer o PIN ou perder o token USB que contém a chave de inicialização ou se o TPM registrar alterações de integridade nos arquivos do sistema. Para unidades de dados, você precisará de um método de recuperação quando um usuário esquecer a senha ou perder o smart card. Além disso, se uma unidade de dados protegida estiver configurada para desbloqueio automático, você precisará de um método de recuperação se a chave de desbloqueio automático armazenada no computador for acidentalmente perdida, por exemplo, após uma falha no disco rígido ou reinstalação.


O BitLocker oferece suporte a três métodos de recuperação: uma senha de recuperação, uma chave de recuperação e um agente de recuperação de dados (DRA).


Uma senha de recuperação é uma senha numérica de 48 bits gerada durante a configuração do BitLocker. Você pode salvar a senha de recuperação em um arquivo, que você preferencialmente armazena em uma unidade removível. Você também pode imprimir a senha ou salvá-la automaticamente no Active Directory (AD). Se você deseja armazenar automaticamente as senhas de recuperação no AD, deve certificar-se de que todos os computadores podem se conectar ao seu AD ao habilitar o BitLocker. O armazenamento de informações de recuperação do BitLocker no AD é baseado em uma extensão de esquema do AD que cria atributos extras para anexar informações de recuperação do BitLocker a objetos de computador AD. Os controladores de domínio (DCs) do Server 2008 e Server 2008 R2 incluem essa extensão por padrão. No Windows Server 2003, você deve instalar a extensão de esquema específica do BitLocker.


Para facilitar a exibição e a recuperação das senhas de recuperação do BitLocker do AD, a Microsoft fornece uma extensão de snap-in MMC AD Users and Computers (ADUC). Ele adiciona uma guia Recuperação do BitLocker às propriedades do objeto de computador AD. A guia mostra todas as senhas de recuperação do BitLocker associadas a um objeto de computador específico. Para o Server 2008 R2, a ferramenta BitLocker Active Directory Recovery Password Viewer é um recurso opcional incluído no Remote Server Administration Toolkit (RSAT). Para o Server 2008, esta extensão pode ser baixada aqui.


O segundo método de recuperação usa uma chave de recuperação de 256 bits que você pode salvar em um token USB ou em outro local. Semelhante a uma senha de recuperação, uma chave de recuperação permite que os usuários recuperem o acesso à sua unidade protegida sem intervenção do administrador. Ao usar uma chave de recuperação, os usuários devem inserir um token USB ou fornecer um ponteiro para outro local de chave durante a recuperação.


O terceiro método de recuperação, baseado em um agente de recuperação de dados (DRA), sempre requer a intervenção de um membro do departamento de TI. Este método utiliza um certificado especial emitido para um administrador DRA dedicado em sua organização. A impressão digital do certificado DRA é distribuída a todos os dispositivos protegidos por BitLocker usando as configurações de GPO para garantir que apenas o administrador com um certificado DRA e uma chave privada correspondentes possam recuperar as informações.


Os administradores podem usar as configurações de GPO para definir quais métodos de recuperação são necessários, proibidos ou opcionais. Por exemplo, os administradores podem usar GPOs para exigir que a senha de recuperação para a unidade do sistema operacional seja armazenada no AD. E os administradores também podem usar as configurações de GPO para determinar se uma senha de recuperação pode ser salva em um arquivo no disco, impressa ou exibida como texto.


Selecione um método de fácil implantação

Em ambientes de TI maiores, você pode automatizar a implantação e configuração do BitLocker usando um script fornecido pela Microsoft. O script é denominado EnableBitLocker.vbs e chama os provedores de Instrumentação de Gerenciamento do Windows (WMI) para administração de BitLocker e TPM. Você pode usar o script como está ou personalizá-lo para atender melhor às necessidades da sua organização.


Para executar o script, você pode aproveitar um script de inicialização que é aplicado usando configurações de GPO ou uma ferramenta de distribuição de software, como Microsoft Systems Management Server (SMS) ou System Center Configuration Manager (SCCM). O script de implantação WMI de amostra EnableBitLocker.vbs pode ser baixado da página Recursos de amostra de implantação do BitLocker no MSDN.


Antes de implantar a proteção BitLocker para uma unidade de sistema operacional, pode ser necessário verificar o particionamento do disco nos sistemas de destino. Em uma unidade de sistema operacional, o BitLocker requer uma partição de sistema separada e ativa. Esta é uma partição não criptografada que contém os arquivos necessários para iniciar o sistema operacional. No Windows 7, uma partição de sistema ativa separada é criada automaticamente como parte do processo de instalação do Windows. Em sistemas que foram atualizados de uma versão anterior do Windows ou em sistemas que vêm pré-configurados com uma única partição, o assistente de configuração do BitLocker reconfigurar automaticamente a unidade de destino para o BitLocker criando a partição de sistema separada e ativa.


Mas você não quer usar o assistente de configuração do BitLocker para preparar centenas ou mesmo milhares de seus sistemas com uma única configuração de partição para o BitLocker. Nesses casos, você deseja usar o script Microsoft WMI para habilitar o BitLocker. Antes de chegar lá, você também pode usar uma ferramenta especial chamada ferramenta de linha de comando de preparação de unidade do BitLocker (BdeHdCfg), fornecida pela Microsoft, para preparar as unidades dos sistemas para o BitLocker. Você pode encontrar mais informações sobre essa ferramenta na Referência de parâmetro BdeHdCfg.


Para implantações menores do BitLocker, aconselho você a usar a ferramenta de linha de comando do BitLocker Manage-bde.exe para configurar o BitLocker. Essa ferramenta foi projetada para habilitar o BitLocker em um computador por vez e para ajudar na administração depois que o BitLocker for habilitado. Mais uma vez, antes de usar Manage-bde.exe para habilitar o BitLocker em uma unidade do sistema operacional, você pode precisar preparar o disco rígido para o BitLocker executando a ferramenta de linha de comando de preparação da unidade BitLocker.


Faça da maneira certa

O BitLocker é uma tecnologia de segurança muito poderosa que atingiu um bom nível de maturidade. Requer um planejamento cuidadoso e um design que dá atenção especial à seleção do método de desbloqueio correto, à definição de uma estratégia de recuperação sólida e à escolha de um método de implantação fácil. Com essas três etapas em mente, você está no caminho certo para a confiança do BitLocker.

1.385 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page