# Criação da Política do BitLocker

## Índice

- [Executar Criptografia e Descriptografia](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#encrypt)
- [Configurações de Criptografia](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#settings)
- [Criptografia da Unidade do SO](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#osdrive)
- [Criptografia de Dados no Espaço Utilizado](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#useddata)
- [Algoritmos de Criptografia](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#algorithms)

A criptografia de dados é crucial para a segurança da rede corporativa. Gerenciar a criptografia do BitLocker em vários dispositivos é desafiador, mas o módulo BitLocker do Endpoint Central oferece uma solução simplificada para proteger as unidades.

O módulo de [gerenciamento do BitLocker](https://www.manageengine.com/products/desktop-central/bitlocker-management.html) permite criar políticas de criptografia personalizadas para proteger os dispositivos da rede. Você pode escolher entre criptografia da unidade completa, da unidade do SO ou apenas do espaço utilizado para otimizar a proteção de dados com base nos requisitos individuais de cada dispositivo. O módulo oferece suporte a dispositivos com e sem TPM para autenticação e disponibiliza controle granular sobre os algoritmos de criptografia. Opções específicas estão disponíveis para Windows 10 e versões posteriores, bem como para sistemas Windows 8.1 e anteriores. Este documento orienta você na criação e configuração dessas definições de criptografia.

## Executar Criptografia ou Descriptografia

Você pode implementar processos de criptografia ou descriptografia para endpoints usando políticas do BitLocker.

**OBSERVAÇÃO** - Siga os [pré-requisitos de criptografia](https://www.manageengine.com/br/desktop-central/help/bitlocker-management/bitlocker-pre-requisites.html) do BitLocker antes de implantar uma política de criptografia.

1. Navegue até o módulo BitLocker no console do Endpoint Central → Criação de Política → Criar Política
2. Forneça um nome para sua política e, se necessário, adicione uma descrição
3. Ative a opção Criptografia da Unidade. Ao habilitá-la, a criptografia da unidade será implementada; ao desabilitá-la, a descriptografia será implementada quando a política for implantada.

![Criação de Política do BitLocker](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto1.png)

## Configurações de Criptografia

As políticas do BitLocker protegem os dispositivos por meio de autenticação robusta, variando conforme a máquina possui ou não um Trusted Platform Module (TPM). Você pode otimizar a criptografia da unidade combinando diferentes algoritmos: criptografia de unidade completa, criptografia da unidade do SO ou criptografia do espaço utilizado. Para maior flexibilidade, as opções de criptografia são adaptadas para Windows 10 e versões posteriores, bem como para sistemas Windows 8.1 e anteriores.

### Tipo de autenticação para máquinas com TPM

A autenticação para máquinas com TPM pode ser habilitada escolhendo qualquer uma das três opções fornecidas, conforme mostrado na imagem.

![Tipo de autenticação para máquinas com TPM](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto2.png)

- **Somente TPM**: As unidades são desbloqueadas com autenticação TPM; nenhuma entrada do usuário é necessária.
- **TPM e PIN**: A autenticação TPM é seguida pela autenticação por PIN (o PIN pode conter apenas dígitos, com comprimento máximo de 6 a 20 caracteres), que deve ser fornecido na inicialização.
- **TPM e PIN avançado**: A autenticação TPM é seguida pela autenticação por PIN avançado (o PIN avançado deve conter de 6 a 20 caracteres, incluindo caracteres alfanuméricos e especiais), que deve ser fornecido na inicialização.

### Tipo de autenticação para máquinas sem TPM

![Tipo de autenticação para máquinas sem TPM](https://www.manageengine.com/products/desktop-central/images/Bitlocker-howto3.png)

Para máquinas sem TPM, a autenticação é habilitada apenas com uma frase secreta, solicitando que o usuário a insira na inicialização.

Você pode otimizar a criptografia da unidade com as configurações fornecidas pelas políticas do BitLocker. É possível aplicar políticas combinando os três algoritmos de criptografia a seguir:

- Criptografia completa das unidades
- Criptografia das unidades do SO
- Criptografia do espaço utilizado nas suas unidades

### Criptografia completa das unidades

Para criptografar todas as unidades e espaços, habilite apenas a configuração **Criptografia da Unidade**. Certifique-se de que as opções **Criptografar somente a unidade do SO** e **Criptografar somente o espaço utilizado** estejam desabilitadas.

![Criptografia da Unidade](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto4.png)

### Criptografia das unidades do SO

Para criptografar somente a unidade do SO, habilite a opção **Criptografar somente a unidade do SO** nas Configurações de Criptografia. Isso garante que apenas a unidade do SO seja criptografada, enquanto todas as outras unidades de dados permanecem descriptografadas.

![Criptografia da Unidade do SO](https://www.manageengine.com/products/desktop-central/images/bitlocker-how-to5.png)

### Criptografia do espaço utilizado nas unidades

Para criptografar somente o espaço utilizado, habilite a opção **Criptografar somente o espaço utilizado** nas configurações de criptografia. Isso criptografará apenas o espaço utilizado nas suas unidades, deixando o espaço livre descriptografado.

![Criptografia da Unidade pelo Espaço Utilizado](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto6.png)

## Algoritmos de Criptografia

O BitLocker oferece configurações para criptografar máquinas com diferentes algoritmos. Conjuntos específicos de algoritmos estão disponíveis para Windows 10 e superior e para Windows 8.1 e inferior. O método padrão é baseado no Objeto de Política de Grupo (GPO) configurado anteriormente ou no método de criptografia associado ao sistema operacional do seu equipamento.

### Algoritmos de criptografia para máquinas com Windows 10 e superior

Os algoritmos disponíveis incluem AES_128, AES_256, XTS_AES_128 e XTS_AES_256. Para desempenho ideal, use a criptografia padrão da Microsoft. Existem opções mais fortes para necessidades de conformidade, mas esteja ciente de que elas podem deixar o computador mais lento.

![Criptografia para Windows 10 e superior](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto8.png)

### Método de criptografia para máquinas com Windows 8.1 e inferior

Os algoritmos disponíveis incluem AES_128 e AES_256. Para desempenho ideal, use a criptografia padrão da Microsoft. Existem opções mais fortes para necessidades de conformidade, mas esteja ciente de que elas podem deixar o computador mais lento.

![Criptografia para Windows 8.1 e inferior](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto9.png)

### Configurações de senha

- **Permitir que os usuários ignorem a solicitação de senha**: Esta opção permite que os administradores definam um período específico durante o qual os usuários podem ignorar a solicitação de senha clicando em "Cancelar."

  ![bitlocker pass-1](https://www.manageengine.com/products/desktop-central/images/bitlocker-pass-1.png)

  Após esse período, o botão "Cancelar" é desabilitado, exigindo a criação de uma senha do BitLocker para garantir que todos os sistemas permaneçam criptografados e em conformidade.

  ![bitlocker pass-2](https://www.manageengine.com/products/desktop-central/help/images/bitlocker-pass-2.png)

- **Aplicar imediatamente**: Esta opção exige que os usuários definam uma senha imediatamente e não permite que eles cancelem ou fechem a janela "Criar Senha" até que o processo seja concluído.

**Observação**: Se o tipo de autenticação para dispositivos com TPM estiver definido como "Somente TPM" e o tipo de autenticação para dispositivos sem TPM estiver definido como "Proteção desativada", a opção de configuração de senha não ficará visível, pois não há autenticação configurada.

### Configurações Avançadas

As políticas do BitLocker também incluem configurações avançadas para adiar a criptografia, configurar atualizações da chave de recuperação e definir um período de rotação.

![Configurações Avançadas](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto10.png)

- **Atualizar a chave de recuperação para o controlador de domínio**: Ative esta opção para atualizar uma nova chave de recuperação no controlador de domínio, garantindo que uma lista consolidada de chaves de recuperação seja mantida no Active Directory. Se desabilitada, as chaves de recuperação estarão disponíveis apenas no servidor do produto.
- **Permitir rotação periódica da chave de recuperação**: Ative esta opção para especificar um período de rotação para a chave de recuperação. Recomenda-se especificar um período de rotação como precaução adicional de segurança, após o qual as chaves de recuperação antigas serão substituídas por novas. Novas chaves de recuperação substituirão automaticamente as antigas após o número especificado de dias.  
  Para redefinir chaves de recuperação que já foram usadas, modifique a política do BitLocker implantada e habilite esta configuração. Especifique o período de rotação de sete dias. Isso iniciará a geração automática de novas chaves de recuperação a cada sete dias, a partir do momento em que a modificação da política entrar em vigor.

Depois de configurar as definições, você pode salvar como rascunho ou publicar diretamente. A política criada pode ser visualizada na lista de políticas na guia Criação de Política.

Se você tiver mais dúvidas, consulte nossa seção de [Perguntas Frequentes](https://www.manageengine.com/products/desktop-central/help/bitlocker-management/bitlocker-faq.html#createfaq) para obter mais informações.