Página inicial » Entendendo o Gerenciamento do BitLocker

Entendendo o gerenciamento do BitLocker

Índice

Especificações dos processos do agente

Processo do agenteNome do aplicativo em execuçãoConsumo de largura de banda (aproximado)Consumo de CPU (aproximado)Consumo de memória (aproximado)
Implantação da política do BitLockerdcconfig.exe3 KB0 - 1%5 MB
Processo da política do BitLockerBitlockerMgmt.exeNA0 - 1%10 MB
Atualização de componentedcconfig.exe1.65 MB0 - 1%1 MB

 

Coleta inicial de dados de status do BitLocker e detalhes do dispositivo

Após a instalação do agente, o componente do BitLocker será instalado imediatamente. Ele contém os binários para executar as funções do módulo BitLocker no agente. O agente do Endpoint Central então verificará e exibirá o status de criptografia de todas as unidades internas em Computadores Gerenciados na seção Insights do módulo Gerenciamento do BitLocker.

Abaixo estão alguns cenários de limitação relacionados à criptografia de unidades externas e unidades bloqueadas usando ferramentas de terceiros:

  • A criptografia de unidades externas não é compatível atualmente com o Endpoint Central.
  • Unidades bloqueadas pelo BitLocker nativo do Windows ou por outras ferramentas de criptografia de terceiros serão informadas como descriptografadas e não poderão ser gerenciadas pelo Endpoint Central até serem desbloqueadas com a chave de recuperação. Para gerenciar a criptografia do dispositivo por meio do Endpoint Central, você deve criar e implantar a política de BitLocker do Endpoint Central.

Implantação da política do BitLocker

Implantação da política

Depois que uma política do BitLocker for criada, ela poderá ser implantada nas duas opções a seguir:

  • Implantar imediatamente: a política é enviada imediatamente e aplicada nas máquinas com agente que estão online no momento. Para CGs grandes (mais de 200 máquinas), a política é aplicada inicialmente a 200 máquinas, e o restante seguirá no próximo ciclo de atualização.
  • Implantar: a política é agendada para o próximo ciclo de atualização de 90 minutos.

De acordo com a política de criptografia ou descriptografia implementada, os dispositivos passarão por criptografia ou descriptografia. O status da implantação da política pode ser visualizado ao detalhar a política aplicada.

Aplicação da política no agente

O agente iniciará os processos do BitLocker durante seu ciclo de atualização, e sua execução (tempo necessário para concluir a operação, velocidade da operação etc.) será baseada no desempenho de cada máquina individualmente. A criptografia da unidade começará somente depois que a chave de recuperação for armazenada com sucesso no servidor. Em caso de falha na criptografia, consulte a seção Pré-requisitos de criptografia para verificar se todos os pré-requisitos para criptografia foram atendidos.

O seguinte descreve as consequências em máquinas sem TPM, modificações de política, exclusões de política e precedência de conflito de política:

  • Efeito em máquinas sem TPM

    Para máquinas sem TPM, a criptografia só pode ocorrer mediante o fornecimento de uma frase secreta; podemos ver o prompt de senha que mostramos aos usuários finais. Somente após a senha ser fornecida, iniciamos a criptografia. Para listar os dispositivos sem TPM, navegue até Gerenciamento do BitLocker -> Insights -> Computadores Gerenciados e filtre definindo 'Indisponível' em Disponibilidade de TPM. Além disso, uma única política é suficiente para configurar a definição de criptografia tanto para máquinas com TPM quanto para máquinas sem TPM.

  • Efeito das modificações na política do BitLocker

    Quaisquer alterações feitas nas configurações de criptografia criarão uma diferença entre a política editada e a política antiga. Isso fará com que todas as máquinas sob a política se descriptografem e se criptografem novamente com as novas configurações. Se as alterações forem apenas nas configurações avançadas, como rotação da chave de recuperação ou backup no controlador de domínio, então somente essas configurações serão aplicadas, sem descriptografia e nova criptografia dos dispositivos.

  • Efeito da exclusão da política do BitLocker

    No caso de uma política ser excluída, desassociada ou de a máquina ser removida do Escopo de Gerenciamento (SoM), a criptografia das unidades ainda permanecerá intacta. Para descriptografar as unidades, uma política de descriptografia deverá ser implantada.

  • Precedência de conflito da política do BitLocker

    Quando várias políticas do BitLocker são implantadas no mesmo endpoint, a política implantada mais recentemente entrará em vigor. Você pode verificar qual política está atualmente ativa na seção Sistemas Gerenciados, detalhando a visualização do sistema.

Armazenamento da chave de recuperação

A chave de recuperação será criada e atualizada no servidor antes da criptografia. A criptografia começará somente depois que o servidor confirmar que a chave de recuperação foi atualizada com segurança no servidor. O Endpoint Central também oferece suporte à atualização da chave de recuperação no Active Directory e no Azure AD.

Mesmo depois que o computador for removido do SoM ou se tornar um computador não gerenciado em uma licença limitada, a chave de recuperação será mantida no servidor por até um ano, se a opção Retenção da chave de recuperação estiver habilitada na seção Recuperar chave de recuperação. Ao desabilitar, a(s) chave(s) de recuperação dos computadores removidos será(ão) descartada(s) após 30 dias. Qualquer técnico que acessar a chave de recuperação terá suas ações registradas no Visualizador de Log de Ações devido à natureza sensível da chave.

Se a opção Rotação periódica das chaves de recuperação estiver habilitada em uma política, as chaves de recuperação dessas máquinas serão atualizadas com novas chaves após o período definido no agente e serão enviadas ao servidor durante o próximo ciclo de atualização. Isso será feito nos intervalos regulares especificados para maior segurança. Além disso, se uma chave de recuperação tiver sido acessada, ela será alterada no agente na próxima reinicialização da máquina.

Redefinindo a senha do BitLocker

A chave de criptografia, como o PIN, senha ou frase secreta, pode ser redefinida ao fazer login usando a chave de recuperação. Nos casos em que o usuário final esquece a chave de criptografia, o ideal é fornecer a ele a chave de recuperação. Ao fazer login usando a chave de recuperação, o usuário verá um prompt para reconfigurar ou modificar sua senha ou PIN.

Palavras-chave nos relatórios do BitLocker

Palavras-chave do relatório do BitLocker

  • Tipo de unidade: indica se a unidade é uma "unidade do SO" ou "unidade de dados".
  • Status da criptografia: mostra o status da criptografia das unidades e sua porcentagem.

  • Status de proteção: o status de proteção indica se o BitLocker está ativo no momento. Quando o status é exibido como Habilitado, isso indica que o BitLocker está ativo. Se for exibido como Desabilitado, então o BitLocker não está ativo, e a proteção pode estar descriptografada, suspensa ou pausada. Se uma unidade totalmente criptografada mostrar "Desabilitado", isso indica que o BitLocker está em estado suspenso. O módulo BitLocker do Endpoint Central não suspende a criptografia do BitLocker. As possíveis causas para essa suspensão podem ser:

    • O recurso Criptografia de Dispositivo do Windows, que criptografa automaticamente a unidade em uma instalação nova do sistema operacional e permanece suspenso até que a chave de recuperação seja salva em backup.
    • A criptografia pode ter sido suspensa manualmente.
    • Um software de terceiros relacionado ao BitLocker pode ter causado a suspensão.

    Implantar a política de criptografia por meio do Endpoint Central reativará a proteção do BitLocker.

  • Desbloqueio automático: esse recurso desbloqueia automaticamente as unidades de dados assim que a unidade do SO é desbloqueada durante o login. Como resultado, essas unidades aparecem como se estivessem desbloqueadas. Esse é o comportamento padrão do BitLocker. Somente unidades de dados terão essa opção habilitada.
  • Método de criptografia: o algoritmo usado para criptografia.
  • Nível de criptografia: se o nível de criptografia for exibido como Espaço total criptografado, isso indica que todas as partes da unidade estão criptografadas. Se for exibido como Espaço usado criptografado, apenas as partes usadas das unidades estarão criptografadas. Novos conteúdos serão criptografados automaticamente quando adicionados.
  • Status de bloqueio: indica se a unidade está bloqueada ou desbloqueada. Normalmente, ela permanece desbloqueada, a menos que seja bloqueada manualmente ou devido a interrupções manuais. Por exemplo, quando um sistema criptografado com BitLocker é desligado, as unidades são bloqueadas. Ao ligá-lo, as unidades são desbloqueadas. Durante esse cenário, o status não pode ser atualizado no console do servidor, pois a máquina está desligada. Portanto, o status geralmente permanece como desbloqueado no console do servidor. Se a unidade estiver bloqueada antes da política de BitLocker do Endpoint Central, a criptografia da unidade não será possível.
  • Tamanho da unidade: o tamanho da unidade.
  • Protetor: um protetor é uma chave que permite acesso a dados criptografados em um dispositivo Windows. Cada unidade também possui um protetor de senha numérica, que serve como a Chave de Recuperação. Além disso, as unidades de dados possuem uma 'chave externa' para fins de desbloqueio automático. Abaixo estão os vários protetores aplicados à unidade para a política:
    1. Somente TPM: Trusted Platform Module
    2. TPM e PIN: TPM+PIN

    3. TPM e PIN aprimorado: TPM+PIN

      Observação: Tanto TPM+PIN aprimorado quanto TPM+PIN exibirão o protetor apenas como TPM+PIN. Isso ocorre porque o recurso BitLocker inclui apenas o protetor TPM+PIN, e TPM+PIN aprimorado é uma extensão do protetor TPM+PIN.

    4. Frase secreta: Passphrase
  • Identificador da chave de recuperação: o identificador da chave de recuperação associada a uma unidade.

Trusted by

Solução Unificada de Gerenciamento e Segurança de Endpoints
Gerenciamento de PatchImplantação de SoftwareGestão de ativosGerenciamento de dispositivos móveisFerramentas e configuraçõesSegurança de EndpointsImplantação de SO
  • » Processo de Gerenciamento de Patch
  • » Gerenciamento de Patches do Windows
  • » Gerenciamento de Patches do Mac
  • » Gerenciamento de Patches Linux
  • » Implantação de Patch
  • » Implantando patches que não são da Microsoft
  • » Atualização de antivírus
  • » Gerenciamento de Patches de Terceiros
  • » Atualizações do Windows
  • » Implantação do Service Pack
  • » Relatórios de gerenciamento de patches
  • » Repositório de Software
  • » Instalação de software
  • » Implantação de software do Windows
  • » Implantação de Software Mac
  • » Portal de Autoatendimento
  • » Processo de Gestão de Ativos de TI
  • » Medição de software
  • » Gerenciamento de garantia
  • » Conformidade de licença de software
  • » Software Proibido
  • » Aplicação de Blocos
  • » Ativos de Software
  • » Ativos de hardware
  • » Rastreamento de Software
  • » Gerenciamento de dispositivos móveis para dispositivos iOS
  • » Gerenciamento de dispositivos móveis para Android
  • » Gerenciamento de dispositivos móveis para Windows
  • » Gerenciamento de aplicações móveis (MAM)
  • » Traga seu próprio dispositivo (BYOD)
  • » Compartilhamento remoto da área de trabalho
  • » Ferramenta Shutdown & Wake On
  • » Ferramenta de bate-papo
  • » Verificar disco e limpar disco
  • » Script personalizado
  • » Gerenciamento de dispositivos USB
  • » Gerenciamento de energia
  • » Gerenciamento de vulnerabilidades e mitigação de ameaças
  • » Segurança de browser
  • » Controle de dispositivos
  • » Controle de aplicações
  • »Gerenciamento do BitLocker
  • » Métodos de implantação avançados e automatizados
  • » Implantação Independente de Hardware
  • » Imaginação de disco moderno
  • » Migração do Windows 10
  • » Implantação remota de SO
  • » Personalizar a implantação do SO