O BitLocker é um sistema de criptografia de unidade integrado ao sistema operacional Microsoft Windows, começando com o Windows Vista em diante. Ele permite que você criptografe discos rígidos, discos removíveis ou partições para protegê-los usando uma senha específica e torná-los inacessíveis a terceiros. A proteção também pode ser configurada para unidades removíveis ou dispositivos USB.
Na verdade, existem também ferramentas de terceiros para criptografar discos e partições, como TrueCrypt ou VeraCrypt (considerada a melhor alternativa para o primeiro e seu sucessor), que também são gratuitas, mas não oferecem essa segurança em termos de padrões e confiabilidade ao longo do tempo. que, em vez disso, pode fornecer uma ferramenta integrada do Windows. O BitLocker protege os dados no computador até mesmo contra roubo, pois o acesso aos arquivos nos discos não será possível sem o conhecimento da senha.
Para ativar o BitLocker no Windows 10, existem diferentes modos de operação . Uma delas requer uma placa-mãe com um chip chamado TPM (Trusted Platform Module)versão 1.2. Este chip é usado para armazenar senhas de segurança. O fato das senhas serem salvas em um meio físico, diferente do disco, garante uma segurança considerável. No entanto, é possível ativar e usar o BitLocker mesmo em computadores sem o chip TPM, como veremos mais adiante, embora essa solução possa ser menos segura que a anterior.
Como habilitar o BitLocker para proteger dados em uma partição:
Em nosso exemplo, mostramos como ativar o BitLocker em uma única partição de disco (o que pode ser útil para proteger arquivos ou programas específicos). Aqui usamos o software gratuito “Macrorit Partition Expert”, mas podemos usar qualquer outro software freeware para criar partições. Selecione uma partição e, com o botão direito do mouse, clique em “Mover / Redimensionar”. Remova 100 GB de uma partição existente:
Crie a nova partição atribuindo um sistema de arquivos, um rótulo e uma letra de unidade:
Ao clicar em “Apply” na barra de ferramentas, o software criará a nova partição. Se você criar a nova partição no disco em que o sistema operacional está instalado, deverá reiniciar a máquina. Lembre-se de criar uma partição/espaço em disco na parte livre do disco rígido, nunca mova a instalação do Windows se estiver criando este espaço onde ele está instalado, evitando danificar o sistema operacional em execução.
Neste ponto, basta clicar com o botão direito na nova unidade e selecionar “Ativar BitLocker”, um formulário aparecerá para escolher o modo com o qual proteger os dados. Em nosso exemplo, escolhemos a opção de desbloqueio por senha:
Depois de definir a senha e clicar em “Next”, o BitLocker pede que você escolha o modo de recuperação de senha.
As opções de recuperação incluem:
- Conta Microsoft;
- Pendrive USB;
- Arquivo;
- Impressão;
No exemplo atual, escolhemos salvar a chave de recuperação no arquivo. Por motivos óbvios de segurança, o arquivo deve ser movido do PC e armazenado em outro dispositivo
Em seguida, o BitLocker permite escolher se deseja criptografar toda a unidade ou apenas os dados contidos nela. Nós escolhemos proteger a unidade inteira.
Selecione “New Encryption mode”, clique em “Next” e depois em “Start Encryption”. O BitLocker iniciará o processo de criptografia da unidade.
Ao criptografar todo o disco, o processo será mais lento.
Após o processo, o ícone da unidade de disco será marcado com um cadeado amarelo, para indicar que o disco deve ser desbloqueado antes de ser usado.
Para desbloqueá-lo basta clicar nele e digitar a senha solicitada.
Use o BitLocker mesmo em computadores sem um chip TPM
Para usar a proteção do BitLocker mesmo em computadores sem um chip TPM, é necessário interagir nas diretivas do sistema. Com este modo, a proteção está no nível do software, portanto, menos eficaz que a proteção do hardware do chip.
Ativando a proteção e verificando a opção “Allow BitLocker without a compatible TPM”, poderemos definir uma senha de acesso ou optar por salvar as credenciais em um suporte USB. O acesso aos dados será garantido inserindo a senha toda vez ou inserindo um pendrive na inicialização do PC.
Usar o BitLocker para criptografar uma unidade de disco ou partição é uma prática altamente recomendada para proteger dados confidenciais, tanto do ponto de vista do GDPR como simplesmente para evitar roubo de credenciais.
Casos de uso:
Use o BitLocker para proteger dados do Gerenciador de Conexão de Área de Trabalho Remota (RDCMan)
O Remote Desktop Connection Manager é um utilitário gratuito desenvolvido pela Microsoft, amplamente usado por administradores de rede, que permite gerenciar várias conexões de área de trabalho remota em uma única interface de usuário.
RDCMan permite que você salve grupos e mais objetos de servidor para se conectar. Também é possível salvar as credenciais de login para evitar digitá-las em todas as conexões. No entanto, os arquivos do RDCMan, que também contêm as credenciais, são salvos no disco e, considerando que a Microsoft não forneceu o utilitário de “Master Password”, qualquer invasor que tenha acesso ao computador pode facilmente se conectar a máquinas remotas abrindo o RDCMan. O uso do BitBlocker com a proteção de uma unidade de disco dedicada a salvar arquivos RDCMan (Remote Desktop Connection Manager) pode ser considerado um método obrigatório para proteger dados de conexão contra acesso não autorizado. O seguinte é o erro do RDCMan ao tentar acessar seus arquivos, protegidos dentro de uma unidade criptografada:
Use o Iperius para fazer backup de pastas e arquivos de um disco protegido pelo BitLocker:
A proteção de dados com o BitLocker também impede o acesso ao software de backup que pretende copiar arquivos de um disco protegido. Isso obviamente também se aplica ao Iperius Backup . Se você não remover a proteção da unidade, o Iperius mostrará o seguinte erro nos logs de backup.
Obviamente, ao desbloquear a unidade de disco, o backup será executado com êxito, mas isso causará alguns problemas quando precisarmos realizar backups automáticos, já que desbloquear o disco requer intervenção explícita do usuário. Uma solução é executar um script com o Iperius antes do backup (podemos configurá-lo nas opções de operação de backup, painel “Outros processos”), onde podemos inserir um comando que desbloqueia a unidade antes do backup, como no exemplo a seguir:
manage-bde -unlock D: -RecoveryPassword LA-TUA-RECOVERY-KEY
Então, no final do backup, o Iperius pode executar outro script que bloqueia a unidade novamente:
manage-bde -lock D:
No entanto, é inútil sugerir esse método inseguro, mantendo um script em um disco com uma senha clara para descriptografar o disco protegido pelo BitLocker. Uma maneira mais segura de fazer backup de unidades de disco rígido criptografadas com o BitLocker é usar o modo de backup de imagem da unidade.
Imagem de Disco de Unidade com o Iperius em uma unidade de disco protegida com BitLocker:
Neste diferente cenário que encontramos no Iperius Drive Image Backup. O backup é executado com sucesso tanto no caso de uma unidade bloqueada quanto no caso de uma unidade desbloqueada. Subseqüentemente, quando o arquivo de imagem “.vhdx” for restaurado, se a unidade foi bloqueada na origem, ela será restaurada com o bloqueio ativo, e vice-versa será restaurada desbloqueada:
O Iperius pode, portanto, ser considerado um excelente software para clonar um disco rígido ou SSD com o BitLocker. Além disso, o Iperius permite restaurar um disco criptografado pelo BitLocker, seguindo o procedimento mostrado no seguinte tutorial: www.iperiusbackup.net/bitlocker-recovery-restore-drive-image-backup-protetto-con-bitlocker-con -iperius
Veja também: Backup de Imagem de Unidade, P2V e Clonagem de Disco com Iperius
O mesmo acontecerá ao executar uma Imagem da Unidade do Windows (a imagem da unidade compatível com o Backup do Windows que o Iperius executa por meio da interface wbadmin). Situação que realmente trouxe algumas críticas, dado que o sistema de backup do Windows avisa explicitamente que o backup em disco não será criptografado. No entanto, a segurança pode ser garantida salvando o backup, ou seja, o arquivo de imagem VHDX, em um caminho criptografado ou inacessível, exceto por meio de autenticação.
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
**********************************************************************************
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
*****************************************