Hoje em dia a segurança dos dados em computadores perdidos ou roubados é uma grande preocupação crescente entre os profissionais de segurança e empresas. Sem dúvida alguma, qualquer tipo de informação de uma empresa é considerada valiosa. Em outras palavras, o valor do ativo material é muito menor que o valor da própria informação. A perda dessa informação pode ser um fator decisivo para o fracasso de uma empresa.

 

A Criptografia de Unidade BitLocker é um recurso de proteção de dados que está disponível no Windows Vista Enterprise, Windows Vista Ultimate e Windows Server 2008. O BitLocker surgiu com o objetivo de suprir essa necessidade da segurança da informação, ou seja, lidar com as ameaças reais de roubo ou divulgação de dados do hardware de um computador perdido, roubado ou desativado de maneira inadequada. E, além disso, implementando uma solução integrada ao Sistema Operacional Windows, sem necessidade de custos extras.

 

Um disco protegido pelo BitLocker impede que um terceiro tenha acesso as nossas informações.

 

A forma de utilização recomendada para o BitLocker é em conjunto com o Módulo de Plataforma Confiável (TPM 1.2 - Trusted Platform Module) para proteger os dados do usuário e garantir que um computador com o Windows Vista não seja acessado quando o sistema estiver off-line. O TPM é um chip que vem instalado na maioria das placas mãe atuais, e é nesse chip que as chaves de criptografia são armazenadas. Caso você não possua um chip TPM, também poderá utilizar o BitLocker. Nesse caso você poderá utilizar uma unidade Flash USB.

 

Todos os computadores que possuem um chip TPM tem a capacidade de criar chaves criptográficas. Essas chaves são criptografadas de uma forma que apenas o próprio TPM consegue descriptografá-la. Esse processe é chamado de encapsulamento e impede que as chaves sejam divulgadas para usuários não autorizados. Cada TPM possui uma chave mestre de encapsulamento, a qual é chamada de SRK (Chave Raiz de Armazenamento). Tudo isso para garantir que a chave privada não seja exposta.

 

E o que realmente faz o BitLocker? Esse recurso criptografa todo o volume do Windows, incluindo arquivos do usuário, arquivos do sistema, arquivos de swap e de hibernação.

 

A verificação da integridade de componentes de inicialização remotos ajuda a assegurar que a descriptografia dos dados seja realizada somente se esses componentes não estiverem corrompidos e se a unidade criptografa estiver localizada no computador original. Ou seja, todas as vezes que o Windows é iniciado é verificada a integridade de processo de inicialização do Windows através de uma comparação de hashes.

 

Podemos ainda utilizar um PIN em conjunto com o TPM. O PIN é nada mais que uma senha que o usuário pode definir. Com isso, temos uma camada a mais de segurança.

 

EFS ou BitLocker

 

Existe uma série de diferenças entre esses dois recursos do Windows, voltados para a criptografia. Basicamente, o EFS é utilizado para criptografas pastas e arquivos pessoais dos usuários. Já o BitLocker tem a capacidade de proteger alem desses arquivos, a própria instalação do Windows Vista.

 

Seguem abaixo alguns detalhes:

 

• O EFS faz apenas a criptografia de arquivos e pastas pessoais. O BitLocker criptografa todo o volume no qual o Windows Vista está instalado.

• O EFS realiza a criptografia baseada em contas de usuário, mais especificamente, nos certificados associados com essas contas. O BitLocker não depende de contas de usuário, ou seja, se estiver habilitado será aplicado para todos os usuários.

• O EFS não exige nenhum hardware adicionar, enquanto o BitLocker precisa de um chip TPM ou uma unidade Flash USB.

• Para utilizar o EFS você não precisa possuir direitos administrativos. Para ativar e configurar o BitLocker você precisa de poderes administrativos.

Fabiano, podemos usar ambos os recursos em conjunto? Sim, e sem dúvidas a segurança da informação agradece. Quando falamos em segurança temos o conceito de proteção em camadas, ou seja, barreiras que vamos criando para proteger nossas informações. Com o EFS temos uma camada menos segura, onde apenas alguns arquivos estarão protegidos. Já o BitLocker nos oferece uma camada mais segura, onde todo o volume de sistema é protegido, com uma tecnologia bastante aperfeiçoada.

 

 

Requisitos para utilização do BitLocker

 

Para que você possa utilizar o BitLocker os seguintes requisitos precisam ser atendidos:

 

• Windows Vista Enterprise ou Windows Vista Ultimate.

• O computador precisa ter um chip TPM. Caso não tenha você poderá utilizar um disco removível USB.

• O disco do computador deve ter pelo menos duas partições. Se você criar uma nova partição depois de já ter instalado o Windows, será preciso reinstalar o Windows antes de ativar o BitLocker. Se você ainda não tem duas partições, pode usar a Ferramenta de Preparação de Unidades de Disco BitLocker para ajudar a preparar o sistema para BitLocker criando a segunda partição necessária. Se você estiver usando o Windows Vista Ultimate, você poderá baixar e instalar essa ferramenta nos Extras do Ultimate. Uma vez instalada a ferramenta, digite BitLocker na caixa Pesquisar do menu Iniciar e clique duas vezes em Ferramenta de Preparação de Unidades de Disco BitLocker para executá-la. Após a execução da ferramenta, é necessário reiniciar o computador para ativar o BitLocker.

• As partições precisam estar formatadas com o NTFS.

• A BIOS do computador deve ser compatível com o TPM e oferecer suporte a leitura de dispositivos USB durante a inicialização.

Fabiano, e como é que eu sei se o meu computador possui um chip TPM? Geralmente essa informação é fornecida pelos próprios fabricantes das placas mãe. Mas no Windows Vista temos um utilitário que nos mostra essa informação.

 

Exemplo prático – Verificar se um computador possui o chip TPM.

 

a)    Efetue logon com uma conta de usuário que possua direitos administrativos.

 

b)    Abra o Painel de Controle, Criptografia de Unidade BitLocker.

 

c)    Na tela que será exibida você pode identificar se o seu computador possui ou não um chip TPM. Vejam na imagem abaixo que o computador não possui o chip TPM.

 

 

Recomendo que vocês estudem mais esse fantástico recurso de segurança. Para isso recomendo os links abaixo:

• http://technet.microsoft.com/pt-br/windows/aa905065.aspx

• http://technet.microsoft.com/en-us/library/cc766200.aspx

• http://technet.microsoft.com/en-us/library/cc732774.aspx

• http://technet.microsoft.com/en-us/library/cc766015.aspx

• http://technet.microsoft.com/en-us/library/cc722352.aspx