Política de dispositivo BitLocker
O Windows 10 e o Windows 11 incluem um recurso de criptografia de disco chamado BitLocker, que oferece proteções adicionais de arquivo e sistema contra acesso não autorizado a um dispositivo Windows perdido ou roubado. Para maior proteção, você pode usar o BitLocker com chips Trusted Platform Module (TPM), versão 1.2 ou posterior. Um chip TPM lida com operações criptográficas e gera, armazena e limita o uso de chaves criptográficas.
A partir do Windows 10, build 1703, as políticas de MDM podem controlar o BitLocker. Você usa a política de dispositivo BitLocker no XenMobile® para configurar as definições disponíveis no assistente do BitLocker em dispositivos Windows 10 e Windows 11. Por exemplo, em um dispositivo com o BitLocker ativado, o BitLocker pode perguntar aos usuários como eles desejam desbloquear sua unidade na inicialização, como fazer backup de sua chave de recuperação e como desbloquear uma unidade fixa. As configurações da política de dispositivo BitLocker também configuram se devem:
- Ativar o BitLocker em dispositivos sem um chip TPM.
- Mostrar opções de recuperação na interface do BitLocker.
- Negar acesso de gravação a uma unidade fixa ou removível quando o BitLocker não estiver ativado.
Nota:
Depois que a criptografia BitLocker é iniciada em um dispositivo, você não pode alterar as configurações do BitLocker no dispositivo posteriormente implantando uma política de dispositivo BitLocker atualizada.
Para adicionar ou configurar esta política, vá para Configurar > Políticas de Dispositivo. Para obter mais informações, consulte Políticas de dispositivo.
Requisitos
-
A política de dispositivo BitLocker requer o Windows 10 ou Windows 11 Enterprise edition.
-
Antes de implantar a política de dispositivo BitLocker, prepare seu ambiente para o uso do BitLocker. Para obter informações detalhadas da Microsoft, incluindo requisitos de sistema e configuração do BitLocker, consulte BitLocker e os artigos sob esse nó.
Configurações de Windows Desktop e Tablet
-
Exigir que o dispositivo seja criptografado: Determina se os usuários devem ser solicitados a ativar a criptografia BitLocker no Windows Desktop ou Tablet. Se Ativado, o dispositivo mostra uma mensagem após a conclusão do registro, indicando que a empresa exige a criptografia do dispositivo. Se Desativado, o usuário não é solicitado e o BitLocker usa as configurações da política. O padrão é Desativado.
-
Configurar métodos de criptografia: Determina os métodos de criptografia a serem usados para tipos de unidade específicos. Se Desativado, o assistente do BitLocker solicita ao usuário o método de criptografia a ser usado para um tipo de unidade. O método de criptografia para todas as unidades é padronizado para XTS-AES de 128 bits. O método de criptografia para unidades removíveis é padronizado para AES-CBC de 128 bits. Se Ativado, o BitLocker usa o método de criptografia especificado na política. Se Ativado, estas configurações extras aparecem: Unidade do sistema operacional, Unidade fixa e Unidade removível. Escolha o método de criptografia padrão para cada tipo de unidade. O padrão é Desativado.
-
Exigir autenticação adicional na inicialização: Especifica a autenticação adicional necessária durante a inicialização do dispositivo. Também especifica se deve permitir o BitLocker em dispositivos que não possuem um chip TPM. Se Desativado, dispositivos sem TPM não podem usar a criptografia BitLocker. Para obter informações sobre TPM, consulte o artigo da Microsoft, Visão geral da tecnologia Trusted Platform Module. Se Ativado, as seguintes configurações extras aparecem. O padrão é Desativado.
-
Bloquear BitLocker em dispositivos sem chip TPM: Em um dispositivo sem chip TPM, o BitLocker exige que os usuários criem uma senha de desbloqueio ou uma chave de inicialização. A chave de inicialização é armazenada em uma unidade USB, que o usuário deve conectar ao dispositivo antes da inicialização. A senha de desbloqueio tem um mínimo de oito caracteres. O padrão é Desativado.
-
Inicialização TPM: Em um dispositivo com TPM, existem quatro modos de desbloqueio: Somente TPM, TPM + PIN, TPM + Chave e TPM + PIN + Chave. A inicialização TPM é para o modo Somente TPM, no qual as chaves de criptografia são armazenadas no chip TPM. Este modo não exige que o usuário forneça mais dados de desbloqueio. O dispositivo do usuário desbloqueia automaticamente durante a reinicialização, usando a chave de criptografia do chip TPM. O padrão é Permitir TPM.
-
PIN de inicialização TPM: Esta configuração é o modo de desbloqueio TPM + PIN. Um PIN pode ter até 20 dígitos. Use a configuração Comprimento mínimo do PIN para especificar o comprimento mínimo do PIN. Um usuário configura um PIN durante a configuração do BitLocker e fornece o PIN durante a inicialização do dispositivo.
-
Chave de inicialização TPM: Esta configuração é o modo de desbloqueio TPM + Chave. A chave de inicialização é armazenada em uma unidade USB ou outra unidade removível, que o usuário deve conectar ao dispositivo antes da inicialização.
-
Chave e PIN de inicialização TPM: Esta configuração é o modo de desbloqueio TPM + PIN + Chave.
Se o desbloqueio for bem-sucedido, o sistema operacional começa a carregar. Se o desbloqueio falhar, o dispositivo entra no modo de recuperação.
-
-
Comprimento mínimo do PIN: O comprimento mínimo do PIN de inicialização do TPM. O padrão é 6.
-
Configurar recuperação da unidade do SO: Se a etapa de desbloqueio falhar, o BitLocker solicita ao usuário a chave de recuperação configurada. Esta configuração configura as opções de recuperação da unidade do sistema operacional disponíveis para os usuários se eles não tiverem a senha de desbloqueio ou a chave de inicialização USB. O padrão é Desativado.
-
Permitir agente de recuperação de dados baseado em certificado: Especifica se deve permitir um agente de recuperação de dados baseado em certificado. Adicione um agente de recuperação de dados de Políticas de Chave Pública, que está no Console de Gerenciamento de Política de Grupo (GPMC) ou no Editor de Política de Grupo Local. Para obter mais informações sobre agentes de recuperação de dados, consulte o artigo da Microsoft, Configurações de Política de Grupo do BitLocker. O padrão é Desativado.
-
Criar senha de recuperação de 48 bits para recuperação da unidade do SO: Especifica se deve permitir ou exigir que os usuários usem uma senha de recuperação. O BitLocker gera a senha e a armazena em um arquivo ou conta do Microsoft Cloud. O padrão é Permitir senha de 48 dígitos.
-
Criar chave de recuperação de 256 bits: Especifica se deve permitir ou exigir que os usuários usem uma chave de recuperação. Uma chave de recuperação é um arquivo BEK, que é armazenado em uma unidade USB. O padrão é Permitir chave de recuperação de 256 bits.
-
Ocultar opções de recuperação da unidade do SO: Especifica se deve mostrar ou ocultar as opções de recuperação na interface do BitLocker. Se Ativado, nenhuma opção de recuperação aparece na interface do BitLocker. Nesse caso, registre o dispositivo no Active Directory, salve as opções de recuperação no Active Directory e defina Salvar informações de recuperação no AD DS como Ativado. O padrão é Desativado.
-
Salvar informações de recuperação no AD DS: Especifica se deve salvar as opções de recuperação no Active Directory Domain Services. O padrão é Desativado.
-
Configurar informações de recuperação armazenadas no AD DS: Especifica se deve armazenar a senha de recuperação do BitLocker ou a senha de recuperação e o pacote de chaves no Active Directory Domain Services. O armazenamento do pacote de chaves oferece suporte à recuperação de dados de uma unidade fisicamente corrompida. O padrão é Fazer backup da senha de recuperação.
-
Ativar BitLocker após armazenar informações de recuperação no AD DS: Especifica se deve impedir que os usuários ativem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação do BitLocker no Active Directory seja bem-sucedido. Se Ativado, um dispositivo deve ser associado a um domínio antes de iniciar o BitLocker. O padrão é Desativado.
-
-
Personalizar mensagem e URL de recuperação de pré-inicialização: Especifica se o BitLocker mostra uma mensagem e URL personalizados na tela de recuperação. Se Ativado, as seguintes configurações extras aparecem: Usar mensagem e URL de recuperação padrão, Usar mensagem e URL de recuperação vazios, Usar mensagem de recuperação personalizada e Usar URL de recuperação personalizada. Se Desativado, a mensagem e o URL de recuperação padrão são exibidos. O padrão é Desativado.
-
Configurar recuperação de unidade fixa: Configura as opções de recuperação para usuários de uma unidade fixa criptografada com BitLocker. O BitLocker não exibe uma mensagem aos usuários sobre a criptografia de unidade fixa. Para desbloquear uma unidade durante a inicialização, um usuário fornece uma senha ou cartão inteligente. As configurações de desbloqueio da inicialização, que não estão nesta política, aparecem na interface do BitLocker quando um usuário ativa a criptografia BitLocker em uma unidade fixa. Para obter informações sobre as configurações relacionadas, consulte Configurar recuperação da unidade do SO, anteriormente nesta lista. O padrão é Desativado.
-
Bloquear acesso de gravação a unidades fixas que não usam BitLocker: Se Ativado, os usuários podem gravar em unidades fixas somente quando essas unidades são criptografadas com BitLocker. O padrão é Desativado.
-
Bloquear acesso de gravação a unidades removíveis que não usam BitLocker: Se Ativado, os usuários podem gravar em unidades removíveis somente quando essas unidades são criptografadas com BitLocker. Configure esta definição de acordo com se sua organização permite acesso de gravação em outras unidades removíveis da organização. O padrão é Desativado.
-
Solicitar outra criptografia de disco: Permite desativar o prompt de aviso para outra criptografia de disco em dispositivos. O padrão é Desativado.