Compartilhar via


Criptografia de unidade do BitLocker no Windows 11 para OEMs

A criptografia de unidade BitLocker fornece dados offline e proteção do sistema operacional ao garantir que a unidade não seja violada enquanto o sistema operacional estiver offline. A criptografia de unidade BitLocker usa um TPM, discreto ou firmware, que dá suporte à Raiz Estática de Medida de Confiança, conforme definido pelo Trusted Computing Group.

Criptografia automática de dispositivo BitLocker

A criptografia automática de dispositivo BitLocker usa a tecnologia de criptografia de unidade BitLocker para criptografar automaticamente as unidades internas depois que o usuário conclui a Experiência pronta para uso (OOBE) em dispositivos que cumprem os requisitos de hardware.

Observação

A criptografia automática de dispositivo BitLocker é iniciada durante a Experiência pronta para uso (OOBE). No entanto, a proteção só é habilitada (armada) depois que os usuários entrarem com uma Conta da Microsoft ou uma conta do Azure Active Directory. Até lá, a proteção fica suspensa e os dados não são protegidos. A criptografia automática de dispositivo BitLocker não é habilitada para contas locais, caso em que o BitLocker pode ser habilitado manualmente pelo Painel de controle do BitLocker.

Requisitos de hardware de criptografia automática para dispositivo do BitLocker

Observação

Desde a versão 24H2 do Windows 11, a Microsoft reduziu os requisitos de hardware para a Criptografia automática de dispositivo (Auto-DE) no Windows:

  • O Auto-DE não depende mais da HSTI (interface de teste de segurança de hardware)/Modo Em espera moderno.

  • O Auto-DE será ativado mesmo se forem detectados interfaces/ barramentos de acesso direto à memória (DMA) não confiáveis

Isso significa que os OEMs não precisam adicionar interfaces DMA à chave de registro AllowedBuses: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Esses novos requisitos reduzidos são refletidos automaticamente nos testes de HLK, e não é preciso executar nenhuma ação adicional nos OEMs.

A criptografia automática de dispositivos do BitLocker é habilitada quando:

  • O dispositivo contém um TPM (Trusted Platform Module), TPM 1.2 ou TPM 2.0.
  • A UEFI - Inicialização Segura está habilitada. Consulte Secure Boot para saber mais.
  • A Plataforma de inicialização segura é habilitada
  • A plataforma é compatível com o Modo Em espera moderno ou HSTI (este requisito foi removido desde o Windows 11 24H2)
  • Não há Acesso Direto à Memória (DMA) não permitidas (este requisito foi removido a partir do Windows 11 24H2)

Os testes seguintes devem ser aprovados antes que o Windows 11 habilite a criptografia automática de dispositivo BitLocker. Se você quiser criar um hardware que dê suporte a esse recurso, verifique se o dispositivo é aprovado nestes testes.

  1. TPM: o dispositivo deve incluir um TPM compatível com PCR 7. Consulte System.Fundamentals.TPM20.TPM20.

    • Se a presença de placas expansíveis resultar no carregamento de drivers OROM UEFI pelo BIOS UEFI durante a inicialização, o BitLocker NÃO usará a associação PCR7.
    • Se você estiver executando um dispositivo que não se associa ao PCR7 e o Bitlocker estiver habilitado, não haverá desvantagens de segurança, pois o BitLocker ainda ficará seguro ao usar o perfil regular UEFI PCR (0,2,4,11).
    • Qualquer hash de CA extra (mesmo o Windows Prod CA) antes do bootmgr final do Windows Prod CA impedirá que o BitLocker opte por usar PCR7. Não importa se o hash ou hashes extras são de UEFI CA (ou CA terceirizada da Microsoft) ou outra CA.
  2. Inicialização segura: a Inicialização segura UEFI está ativada. Consulte System.Fundamentals.Firmware.UEFISecureBoot.

  3. Requisitos de Modo Em espera Moderno ou validação HSTI. (removido a partir do Windows 11 24H2)
    Este requisito é cumprido por um dos seguintes itens:

    • Se estiverem implementados requisitos do Modo Em espera moderno. Isso inclui requisitos para Inicialização Segura UEFI e proteção contra DMA não autorizado.
    • A partir do Windows 10, versão 1703, esse requisito pode ser cumprido por meio do teste de HSTI:
      1. O autoteste de Plataforma de inicialização segura (ou autotestes adicionais conforme configurado no registro) deve ser relatado pelo HSTI como implementado e aprovado.
      2. Excluindo o Thunderbolt, o HSTI não deve relatar nenhum barramento DMA que não seja permitido.
      3. Se o Thunderbolt estiver presente, o HSTI deve informar que o Thunderbolt está configurado com segurança (o nível de segurança deve ser SL1 – "Autorização do usuário" ou superior).
  4. Você deve ter 250 MB de espaço livre adicional para inicializar (e recuperar o Windows, se colocar WinRE na partição do sistema). Para obter mais informações, consulte Partições de sistema e utilitários.

Quando os requisitos listados acima forem cumpridos, as Informações do sistema indicarão que o sistema tem suporte a criptografia automática de dispositivo BitLocker. Esta funcionalidade está disponível na versão 1703 do Windows 10 ou posterior. Veja como verificar as Informações do sistema.

  1. Clique em Iniciar e digite Informações do sistema
  2. Clique com o botão direito do mouse no aplicativo Informações do sistema e clique em Abrir como administrador. Deixe que o aplicativo faça alterações no seu dispositivo clicando em Sim. Alguns dispositivos podem exigir permissões elevadas para mostrar as configurações de criptografia.
  3. No Resumo do Sistema, consulte Suporte à criptografia do dispositivo. O valor indicará se o dispositivo está criptografado ou, se não estiver, os motivos pelos quais ele está desativado.

Barramentos/dispositivos com capacidade de DMA não autorizados detectados

Este status de Informações do sistema no Suporte à criptografia do dispositivo significa que o Windows detectou pelo menos um barramento ou dispositivo externo com capacidade para DMA em potencial que poderá expor uma ameaça de DMA.

Para solucionar esse problema, entre em contato com o(s) IHV(s) para determinar se este dispositivo não tem portas DMA externas. Se for confirmado pelos IHVs que o barramento ou dispositivo só tem DMA interno, o OEM poderá adicioná-lo à lista de permitidos.

Para adicionar um barramento ou dispositivo à lista de permitidos, adicione um valor a uma chave de registro. Para fazer isso, primeiro, você precisa assumir a propriedade da chave de registro AllowedBuses. Siga estas etapas:

  1. Navegue até chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses.

  2. Clique com o botão direito do mouse na chave de registro e selecione Permissões….

  3. Clique em Avançado, clique no link Alterar no campo Proprietário, digite o nome da sua conta de usuário, clique em Verificar nomes e clique em OK três vezes para fechar todas as caixas de diálogo para permissão.

  4. Clique com o botão direito do mouse na chave de registro e selecione Permissões… novamente.

  5. Clique no botão Adicionar..., adicione a sua conta de usuário, clique em Verificar nomes, clique em OK e marque a caixa de seleção em Permitir controle total. Em seguida, clique em OK.

Depois, na chave AllowedBuss, adicione pares de nome/valor de cadeia de caracteres (REG_SZ) para cada barramento com capacidade de DMA sinalizado que seja determinado como seguro:

  • Chave: nome amigável do dispositivo /descrição
  • Value: PCI\VEN_ID&DEV_ID.

Verifique se os IDs correspondem ao resultado do teste HLK. Por exemplo, se você tiver um dispositivo seguro com um nome amigável de "Porta raiz Contoso PCI Express", ID do fornecedor 1022 e ID do dispositivo 157C, você criaria uma entrada de registro chamada Porta raiz Contoso PCI Express como tipo de dados REG_SZ em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Onde o valor = "PCI\VEN_1022&DEV_157C"

Nota: esta chave de registro é ignorada desde o Windows 11 24H2.

Layout de partição de criptografia de unidades BitLocker

A criptografia de unidades BitLocker usa uma partição do sistema separada da partição do Windows. A partição do sistema BitLocker deve cumprir os seguintes requisitos.

  • A partição do sistema BitLocker está configurada como a partição ativa.
  • A partição do sistema BitLocker não pode ser criptografada.
  • A partição do sistema BitLocker deve ter pelo menos 250 MB de espaço livre, além de qualquer espaço usado pelos arquivos necessários. Essa partição de sistema adicional pode ser usada para hospedar o Ambiente de Recuperação do Windows (RE) e ferramentas OEM (fornecidas pelo OEM), desde que a partição ainda cumpra o requisito de 250 MB de espaço livre.

Para obter mais informações, consulte Partições do sistema e do utilitário e Discos rígidos e partições.

Desativar a criptografia automática de dispositivos do BitLocker

Os OEMs podem escolher desativar a criptografia de dispositivo e implementar sua própria tecnologia de criptografia em um dispositivo no lugar. Para desativar a criptografia automática de dispositivo do BitLocker, você pode usar um arquivo Autônomo e definir PreventDeviceEncryption como True.

Como alternativa, você pode atualizar a chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker:

Valor: PreventDeviceEncryption igual a True (1).

Não recomendamos configurar esta chave de registro em dispositivos com o recurso Recall."

Solução de problemas de testes HLK do BitLocker

A triagem fica muito mais simples quando você sabe as seguintes informações sobre o dispositivo em teste:

  1. Especificação de TPM (por exemplo, 1.2, 2.0)
  2. Perfil de PCR do BitLocker (por exemplo, 7, 11 ou 0, 2, 4, 11)
  3. Se a máquina não for AOAC ou AOAC (por exemplo, dispositivos Surface são máquinas AOAC)

Estas informações são recomendadas, mas não obrigatórias para fazer a triagem.

Geralmente, os problemas de HLK do BitLocker estão relacionados a um destes fatores: interpretação incorreta dos resultados do teste ou problemas de vinculação de PCR7.

Interpretação incorreta dos resultados dos testes

Um teste de HLK consiste em diversas etapas de teste. Algumas etapas do teste podem falhar sem implicar no sucesso/falha do teste geral. Consulte isto aqui para obter mais informações sobre como interpretar a página de resultados. Se algumas etapas de teste falharem, mas o teste geral for aprovado (conforme indicado por uma marca de verificação verde ao lado do nome do teste), pare aqui. O teste foi feito com sucesso e você não precisa tomar nenhuma ação.

Etapas da triagem:

  1. Confirme que você esteja executando o teste correto no computador. Clique com o botão direito do mouse em qualquer etapa do teste com falha da > Infraestrutura > Logs do Coletor, > conferindo dentro do RUNTIMEBLOCK.xml se há um item IsAOAC. Se IsAOAC=true e você estiver executando um teste que não seja AOAC, desconsidere a falha e não execute o teste no computador. Se for preciso, entre em contato com a equipe de Suporte da Microsoft para obter uma errata para passar a playlist.

    Captura de tela do teste com falha. O item Is A O A C está selecionado.

  2. Determine se está sendo um filtro aplicado ao teste. O HLK pode sugerir um filtro automaticamente para um teste mapeado incorretamente. Um filtro é exibido como uma marca de seleção verde em um círculo ao lado de uma etapa de teste. Observação: alguns filtros podem mostrar que as etapas de teste subsequentes falharam ou foram canceladas. Examine as informações estendidas sobre o filtro expandindo a etapa de teste com o ícone especial. Se o filtro disser para desconsiderar a falha do teste, pare por aqui.

Captura de tela de filtros

Problemas de PCR7

Um problema comum do BitLocker que é específico para os dois testes PCR7 é uma falha na conexão ao PCR7.

Etapas da triagem:

  1. Encontre a mensagem de erro nos logs do HLK. Expanda a etapa de teste em falha e examine o log Te.wtl. Você também pode acessar este log clicando com o botão direito do mouse em uma etapa de teste > Logs de tarefas > Te.wtl. Continue seguindo as etapas de triagem caso veja este erro:

    Captura de tela da mensagem de erro em logs H L K.

  2. Execute msinfo32 como administrador e verifique o Estado de inicialização segura/Configuração PCR7. O teste deve ser executado com a Inicialização segura ativada. Se a conexão PCR7 não for compatível, execute o teste HLK PCR herdado apropriado. Se a conexão PCR7 não for possível, continue seguindo as etapas de triagem.

  3. Examine os logs de erros. Clique com o botão direito do mouse na tarefa de teste > Arquivos adicionais. Normalmente, o problema da conexão PCR7 é resultado de medições incorretas em PCR7.

    1. Logs de eventos. O log Microsoft-BitLocker-Management contém informações de erro valiosas sobre por que o PCR7 não pode ser usado. O teste HLK do BitLocker só deve ser executado em um computador se o BitLocker estiver instalado. Os logs de eventos devem ser verificados na máquina que os gera.
    2. Logs de inicialização medidos. Eles também podem ser encontrados em C:\Windows\Logs\MeasuredBoot
  4. Analise o log de inicialização medido com TBSLogGenerator.exe ou equivalente. No controlador HLK, TBSLogGenerator.exe é encontrado no diretório de testes HLK onde você instalou o HLK. Por exemplo, C:\Arquivos de programas (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe."

    1. Caminho TBSLogGenerator.exe -lf <para o log de inicialização medido>> OutputLog.txt
    2. Em OutputLog.txt, pesquise por "PCR[07]" e examine as medidas, listadas em ordem. A primeira medição deve se parecer assim:

Captura de tela da lista de medidas em Log de saída ponto t x t.

O BitLocker espera determinadas raízes estáticas de medições de confiança raiz estática de medições de confiança no PCR7, e qualquer variação nessas medições geralmente proíbe a conexão ao PCR7. Os valores a seguir devem ser medidos (em ordem e sem medições desconhecidas entre eles) no PCR7:

  • O conteúdo da variável SecureBoot
  • O conteúdo da variável PK
  • O conteúdo da variável KEK
  • O conteúdo da variável EFI_IMAGE_SECURITY_DATABASE (DB)
  • O conteúdo da variável EFI_IMAGE_SECURITY_DATABASE1 (DBX)
  • (opcional, mas EV_SEPARATOR comum)
  • Entradas no EFI_IMAGE_SECURITY_DATABASE que são usadas para validar Drivers EFI ou aplicativos de inicialização EFI no caminho de inicialização. O BitLocker espera somente uma entrada aqui.

Problemas comuns com o log de inicialização medido:

  • Modo de depuração UEFI ativado
  • Variáveis PK ou KEK ausentes: a medição PK/KEK não tem dados (por exemplo, 4 bytes de 0s)
  • Signatário não confiável da UEFI CA

Certos problemas de inicialização medidos podem ser corrigidos pelo testador, como a execução com o modo de depuração UEFI ativado. Outros problemas podem exigir uma errata. Nesse caso, você deve entrar em contato com a equipe de Suporte da Microsoft para obter orientação.

Aplicar atualizações de firmware a dispositivos

Além de executar testes HLK, os OEMs devem testar atualizações de firmware com o BitLocker ativado. Para evitar que os dispositivos iniciem a recuperação desnecessariamente, siga estas diretrizes para aplicar as atualizações de firmware:

  1. Somente suspenda o BitLocker (obrigatório para dispositivos conectados ao PCR[07] se a atualização do firmware alterar a política de Inicialização segura)
  2. Aplicar a atualização
  3. Reinicie o dispositivo
  4. Retomar o BitLocker

A atualização de firmware deve exigir que o dispositivo suspenda o Bitlocker somente por um curto período, e o dispositivo deve reiniciar o mais rápido possível. O BitLocker pode ser suspenso programaticamente antes de ser desativado usando o DisableKeyProtectors method no WMI-In (Instrumentação de Gerenciamento do Windows)