# Entendendo o gerenciamento do BitLocker

## Índice

- [Especificações dos processos do agente](#specification)
- [Coleta inicial de dados de status do BitLocker e detalhes do dispositivo](#collect)
- [Implantação da política do BitLocker](#deploy)
- [Aplicação da política no agente](#enforce)
- [Armazenamento da chave de recuperação](#recoverykey)
- [Palavras-chave nos relatórios do BitLocker](#keywords)

## Especificações dos processos do agente

| Processo do agente | Nome do aplicativo em execução | Consumo de largura de banda (aproximado) | Consumo de CPU (aproximado) | Consumo de memória (aproximado) |
|---|---|---|---|---|
| Implantação da política do BitLocker | dcconfig.exe | 3 KB | 0 - 1% | 5 MB |
| Processo da política do BitLocker | BitlockerMgmt.exe | NA | 0 - 1% | 10 MB |
| Atualização de componente | dcconfig.exe | 1.65 MB | 0 - 1% | 1 MB |

## Coleta inicial de dados de status do BitLocker e detalhes do dispositivo

Após a instalação do agente, o componente do BitLocker será instalado imediatamente. Ele contém os binários para executar as funções do módulo BitLocker no agente. O agente do Endpoint Central então verificará e exibirá o status de criptografia de todas as unidades internas em Computadores Gerenciados na seção Insights do módulo Gerenciamento do BitLocker.

Abaixo estão alguns cenários de limitação relacionados à criptografia de unidades externas e unidades bloqueadas usando ferramentas de terceiros:

- A criptografia de unidades externas não é compatível atualmente com o Endpoint Central.
- Unidades bloqueadas pelo BitLocker nativo do Windows ou por outras ferramentas de criptografia de terceiros serão informadas como descriptografadas e não poderão ser gerenciadas pelo Endpoint Central até serem desbloqueadas com a chave de recuperação. Para gerenciar a criptografia do dispositivo por meio do Endpoint Central, você deve criar e implantar a política de BitLocker do Endpoint Central.

## Implantação da política do BitLocker

![Implantação da política](https://www.manageengine.com/products/desktop-central/help/images/ac-policy-deploy-hw.png)

Depois que uma política do BitLocker for criada, ela poderá ser implantada nas duas opções a seguir:

- **Implantar imediatamente**: a política é enviada imediatamente e aplicada nas máquinas com agente que estão online no momento. Para CGs grandes (mais de 200 máquinas), a política é aplicada inicialmente a 200 máquinas, e o restante seguirá no próximo ciclo de atualização.
- **Implantar**: a política é agendada para o próximo ciclo de atualização de 90 minutos.

De acordo com a política de criptografia ou descriptografia implementada, os dispositivos passarão por criptografia ou descriptografia. O status da implantação da política pode ser visualizado ao detalhar a política aplicada.

## Aplicação da política no agente

O agente iniciará os processos do BitLocker durante seu ciclo de atualização, e sua execução (tempo necessário para concluir a operação, velocidade da operação etc.) será baseada no desempenho de cada máquina individualmente. A criptografia da unidade começará somente depois que a chave de recuperação for armazenada com sucesso no servidor. Em caso de falha na criptografia, consulte a seção **Pré-requisitos de criptografia** para verificar se todos os [pré-requisitos para criptografia](https://www.manageengine.com/br/desktop-central/help/bitlocker-management/bitlocker-pre-requisites.html) foram atendidos.

O seguinte descreve as consequências em máquinas sem TPM, modificações de política, exclusões de política e precedência de conflito de política:

### Efeito em máquinas sem TPM

Para máquinas sem TPM, a criptografia só pode ocorrer mediante o fornecimento de uma frase secreta; podemos ver o prompt de senha que mostramos aos usuários finais. Somente após a senha ser fornecida, iniciamos a criptografia. Para listar os dispositivos sem TPM, navegue até **Gerenciamento do BitLocker -> Insights -> Computadores Gerenciados** e filtre definindo "Indisponível" em **Disponibilidade de TPM**. Além disso, uma única política é suficiente para configurar a definição de criptografia tanto para máquinas com TPM quanto para máquinas sem TPM.

### Efeito das modificações na política do BitLocker

Quaisquer alterações feitas nas configurações de criptografia criarão uma diferença entre a política editada e a política antiga. Isso fará com que todas as máquinas sob a política se descriptografem e se criptografem novamente com as novas configurações. Se as alterações forem apenas nas configurações avançadas, como rotação da chave de recuperação ou backup no controlador de domínio, então somente essas configurações serão aplicadas, sem descriptografia e nova criptografia dos dispositivos.

### Efeito da exclusão da política do BitLocker

No caso de uma política ser excluída, desassociada ou de a máquina ser removida do Escopo de Gerenciamento (SoM), a criptografia das unidades ainda permanecerá intacta. Para descriptografar as unidades, uma política de descriptografia deverá ser implantada.

### Precedência de conflito da política do BitLocker

Quando várias políticas do BitLocker são implantadas no mesmo endpoint, a política implantada mais recentemente entrará em vigor. Você pode verificar qual política está atualmente ativa na seção **Sistemas Gerenciados**, detalhando a visualização do sistema.

## Armazenamento da chave de recuperação

A chave de recuperação será criada e atualizada no servidor antes da criptografia. A criptografia começará somente depois que o servidor confirmar que a chave de recuperação foi atualizada com segurança no servidor. O Endpoint Central também oferece suporte à atualização da chave de recuperação no Active Directory e no Azure AD.

Mesmo depois que o computador for removido do SoM ou se tornar um computador não gerenciado em uma licença limitada, a chave de recuperação será mantida no servidor por até um ano, se a opção **Retenção da chave de recuperação** estiver habilitada na seção Recuperar chave de recuperação. Ao desabilitar, a(s) chave(s) de recuperação dos computadores removidos será(ão) descartada(s) após 30 dias. Qualquer técnico que acessar a chave de recuperação terá suas ações registradas no Visualizador de Log de Ações devido à natureza sensível da chave.

Se a opção **Rotação periódica das chaves de recuperação** estiver habilitada em uma política, as chaves de recuperação dessas máquinas serão atualizadas com novas chaves após o período definido no agente e serão enviadas ao servidor durante o próximo ciclo de atualização. Isso será feito nos intervalos regulares especificados para maior segurança. Além disso, se uma chave de recuperação tiver sido acessada, ela será alterada no agente na próxima reinicialização da máquina.

### Redefinindo a senha do BitLocker

A chave de criptografia, como o PIN, senha ou frase secreta, pode ser redefinida ao fazer login usando a chave de recuperação. Nos casos em que o usuário final esquece a chave de criptografia, o ideal é fornecer a ele a chave de recuperação. Ao fazer login usando a chave de recuperação, o usuário verá um prompt para reconfigurar ou modificar sua senha ou PIN.

## Palavras-chave nos relatórios do BitLocker

![Palavras-chave do relatório do BitLocker](https://www.manageengine.com/products/desktop-central/help/images/bitlocker-keywords.png)

- **Tipo de unidade**: indica se a unidade é uma "unidade do SO" ou "unidade de dados".
- **Status da criptografia**: mostra o status da criptografia das unidades e sua porcentagem.
- **Status de proteção**: o status de proteção indica se o BitLocker está ativo no momento. Quando o status é exibido como **Habilitado**, isso indica que o BitLocker está ativo. Se for exibido como **Desabilitado**, então o BitLocker não está ativo, e a proteção pode estar descriptografada, suspensa ou pausada. Se uma unidade totalmente criptografada mostrar "Desabilitado", isso indica que o BitLocker está em estado suspenso. O módulo BitLocker do Endpoint Central não suspende a criptografia do BitLocker. As possíveis causas para essa suspensão podem ser:
  - O recurso [Criptografia de Dispositivo do Windows](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/#device-encryption), que criptografa automaticamente a unidade em uma instalação nova do sistema operacional e permanece suspenso até que a chave de recuperação seja salva em backup.
  - A criptografia pode ter sido suspensa manualmente.
  - Um software de terceiros relacionado ao BitLocker pode ter causado a suspensão.

  Implantar a política de criptografia por meio do Endpoint Central reativará a proteção do BitLocker.
- **Desbloqueio automático**: esse recurso desbloqueia automaticamente as unidades de dados assim que a unidade do SO é desbloqueada durante o login. Como resultado, essas unidades aparecem como se estivessem desbloqueadas. Esse é o comportamento padrão do BitLocker. Somente unidades de dados terão essa opção habilitada.
- **Método de criptografia**: o algoritmo usado para criptografia.
- **Nível de criptografia**: se o nível de criptografia for exibido como **Espaço total criptografado**, isso indica que todas as partes da unidade estão criptografadas. Se for exibido como **Espaço usado criptografado**, apenas as partes usadas das unidades estarão criptografadas. Novos conteúdos serão criptografados automaticamente quando adicionados.
- **Status de bloqueio**: indica se a unidade está bloqueada ou desbloqueada. Normalmente, ela permanece desbloqueada, a menos que seja bloqueada manualmente ou devido a interrupções manuais. Por exemplo, quando um sistema criptografado com BitLocker é desligado, as unidades são bloqueadas. Ao ligá-lo, as unidades são desbloqueadas. Durante esse cenário, o status não pode ser atualizado no console do servidor, pois a máquina está desligada. Portanto, o status geralmente permanece como desbloqueado no console do servidor. Se a unidade estiver bloqueada antes da política de BitLocker do Endpoint Central, a criptografia da unidade não será possível.
- **Tamanho da unidade**: o tamanho da unidade.
- **Protetor**: um protetor é uma chave que permite acesso a dados criptografados em um dispositivo Windows. Cada unidade também possui um protetor de senha numérica, que serve como a Chave de Recuperação. Além disso, as unidades de dados possuem uma "chave externa" para fins de desbloqueio automático. Abaixo estão os vários protetores aplicados à unidade para a política:
  1. **Somente TPM**: Trusted Platform Module
  2. **TPM e PIN**: TPM+PIN
  3. **TPM e PIN aprimorado**: TPM+PIN

     **Observação**: Tanto TPM+PIN aprimorado quanto TPM+PIN exibirão o protetor apenas como TPM+PIN. Isso ocorre porque o recurso BitLocker inclui apenas o protetor TPM+PIN, e TPM+PIN aprimorado é uma extensão do protetor TPM+PIN.
  4. **Frase secreta**: Passphrase
- **Identificador da chave de recuperação**: o identificador da chave de recuperação associada a uma unidade.