Configuração da criptografia BitLocker

Licença: Bridge

Aplicável para: Windows Desktop

Esta seção contém os seguintes tópicos:

Configuração da criptografia BitLocker

A criptografia BitLocker é um recurso que impinge a criptografia em discos rígidos e unidades removíveis dos dispositivos para proteção dos dados. A configuração do Bridge é obrigatória para o gerenciamento da criptografia BitLocker. Consulte Bridge para mais detalhes. A configuração da criptografia BitLocker ajuda a configurar as definições de criptografia nos dispositivos.

Procedimento

  1. Na aba Configuração, clique em +Adicionar.

  2. Selecione a configuração Criptografia BitLocker. A página Criptografia BitLocker é exibida.

  3. No campo Nome, insira um nome apropriado para a criptografia BitLocker.

  4. Clique no link +Adicionar descrição para adicionar uma descrição para a configuração. Esse campo é opcional.

  5. Na seção Configuração, configure as definições a seguir:

    Configuração

    Descrição
    Método e tipo de criptografia

    Selecione o tipo do algoritmo de criptografia com base no tamanho da chave de criptografia. As seguintes opções estão disponíveis:

    • AES-CBL de 128 bits

    • AES-CBL de 256 bits

    Criptografar todas as unidades de hardware

    Clique no botão de alternar para ATIVAR ou DESATIVAR a configuração de criptografia de todas as unidades de hardware.

    Se alguma unidade de hardware já estiver criptografada em um dispositivo, a edição dessa configuração não será aplicada, pois o processo de criptografia não pode ser revertido por meio de edição.
    Selecionar unidades Selecione as unidades que precisam ser criptografadas. Exemplo: C:

    Clique em +Adicionar para adicionar mais unidades.

    Esse campo não será exibido se você tiver ativado a configuração Criptografar todas as unidades de hardware.
    Criptografia baseada em hardware para tipos de unidade

    Trusted Platform Module (TPM) é um chip na placa-mãe do computador que auxilia na criptografia resistente à adulteração. Ao usar a criptografia BitLocker ou criptografia do dispositivo em um computador com TPM, parte da chave é armazenada no TPM. É possível escolher as seguintes opções de configuração de criptografia baseada em hardware na lista suspensa:

    • Exigir TPM na inicialização

    • Exigir PIN de inicialização com TPM

    • Não usar TPM

    A opção TPM é aplicável somente a unidades do SO e o TPM versão 1.2 ou mais recente.

    Se você aplicar uma configuração de criptografia baseada em hardware a um dispositivo, não será mais possível editar essa configuração no dispositivo.

    Se um dispositivo já estiver configurado com uma configuração BitLocker, não será possível aplicar uma segunda configuração BitLocker com uma opção de TPM diferente.
    Selecione as seguintes opções de configuração (opcional):

    • Negar acesso de gravação às unidades fixas não protegidas pelo BitLocker

    • Negar acesso de gravação às unidades removíveis não protegidas pelo BitLocker
    Ação de dispositivo pré-criptografado

    Selecione qualquer uma das seguintes opções para definir como lidar com uma unidade que não está totalmente descriptografada ou que já tem um protetor de chave.

    • Interromper criptografia - interrompe a criptografia se alguma das unidades selecionadas já estiver criptografada.
    • Descriptografar a unidade selecionada que não tenha uma senha de recuperação armazenada no Ivanti Neurons for MDM - selecione essa opção para limitar a aplicação apenas às unidades que não tenham uma senha de recuperação no Ivanti Neurons for MDM.
    Opções de recuperação

    A opção de recuperação é usada quando o usuário esquece a senha. É possível recuperar a senha na página de detalhes do dispositivo. é possível configurar as seguintes opções de recuperação:

    • Desativar recuperação

    • Usar senha e armazenar no AD

    • Usar senha e armazenar no AD e no MobileIron

    Intervalo de reinicialização Depois de enviar a configuração por push ao dispositivo, ele solicita uma reinicialização. A criptografia inicia após a reinicialização. Para configurar o intervalo de reinicialização da lista suspensa, selecione uma duração de tempo que o dispositivo deve levar para reinicializar. O intervalo mínimo de reinicialização é 1 minuto e o intervalo máximo de reinicialização é 120 minutos (2 horas).
    Mensagem de reinicialização

    Insira a mensagem de reinicialização a ser exibida no dispositivo.

    Se aplicável, a senha ou o PIN de inicialização também é exibido ao usuário. O usuário pode anotá-lo para inseri-lo quando solicitado após a reinicialização.

  6. Clique em Avançar.

  7. Selecione uma das opções a seguir para distribuir as configurações para os dispositivos.

    Configuração

    Descrição
    Ativar essa configuração Selecionar a caixa de seleção permite esta configuração para os dispositivos selecionados. Desmarcar a caixa de seleção, exclui a configuração, se já aplicada nos dispositivos.
    Todos os dispositivos Distribui as configurações para todos os dispositivos.
    Nenhum dispositivo Retém as configurações a serem distribuídas para o(s) dispositivo(s).
    Personalizada Distribui as configurações para um grupo definido de dispositivos. Marque a caixa de seleção ao lado do tipo de dispositivo para o qual deseja distribuir as configurações. Como alternativa, você pode procurar grupos de dispositivos digitando o nome do grupo no campo Pesquisar grupos de dispositivos. Se desejar criar um novo grupo de dispositivos, clique no link Criar novo grupo de dispositivos na parte inferior da página. Consulte Grupos de dispositivos para obter mais informações.

    Quando você seleciona a categoria do dispositivo, pode observar os detalhes (NOME, NÚMERO DE TELEFONE e TIPO DE DISPOSITIVO) na lista de usuários do dispositivo para a categoria selecionada na seção Resumo da distribuição.

  8. Clique em Concluído para enviar por push a configuração para os dispositivos selecionados.

Visualização das configurações do BitLocker

É possível visualizar as configurações do BitLocker definidas na página de detalhes do Dispositivo (Dispositivos>Dispositivos>[Nome do dispositivo]) sob a seção Configurações do Bitlocker. Por padrão, os detalhes estão ocultos.

Você pode visualizar os seguintes detalhes clicando no ícone de visualização (em formato de olho) ao lado de cada campo:

Configuração

Descrição
Senha de recuperação

Quando esta opção é selecionada, a senha de recuperação é gerada pelo Windows e transmitida ao Ivanti Neurons for MDM após o envio da configuração do BitLocker. Se o dispositivo passar pelo modo de recuperação, o usuário será solicitado a inserir essa senha.

A mesma senha de recuperação deve ser utilizada se várias unidades foram criptografadas.

A senha de recuperação será publicada somente se a opção de recuperação Usar senha e armazenar no AD e no MobileIron estiver selecionada.
PIN Exibe o PIN de inicialização de 6 dígitos. O PIN será exibido somente se a opção Exigir PIN de inicialização com TPM estiver selecionada na configuração do BitLocker.
Senha de inicialização
A senha de inicialização definida para o dispositivo. A senha de inicialização será exibida somente se a opção Não usar TPM estiver selecionada na configuração do BitLocker.
Versão do TPM
Exibe a versão do TPM configurado.

Alguns campos podem exibir N/A com base nas definições presentes na configuração do BitLocker.

  • O status da criptografia é exibido no status de criptografia do dispositivo na página de detalhes do dispositivo.
  • A mesma senha ou PIN de inicialização será usada para todas as unidades do dispositivo no qual o BitLocker deve ser aplicado.
  • Se você criar uma configuração para criptografar uma segunda unidade de um dispositivo que já tenha uma unidade criptografada e uma senha de recuperação salva, a senha antiga será substituída. Então, recomendamos que a opção Senha de recuperação seja usada somente para uma unidade no dispositivo.