O Windows Vista vem com um novo recurso chamado Criptografia de Unidade BitLocker que é muito melhor e muito mais forte do que a criptografia no Windows XP. Basicamente ele assegura que os dados em seu computador permanecerão criptografados mesmo se o sistema operacional não estiver rodando, o que impede ataques "offline", tais como a remoção do disco rígido e etc.
É verdadeiramente uma criptografia á nível de hardware, em vez de criptografia por software. O volume do Windows inteiro é criptografado para máxima segurança. Se você tiver dados altamente sensíveis em um laptop ou desktop, você deve usar a proteção do BitLocker.
Antes que você possa realmente usar o BitLocker, existem algumas exigências que terão de ser cumpridas, por isso certifique-se de lê-las:
1. Deve estar executando o Windows Vista (não funciona com o XP)
2. Deve ter uma BIOS compatível com Trusted Computing Group e um chip TPM (Trusted Platform Module). Continue lendo. Mais adiante veremos como saber se seu computador é compatível ou não.
3. Deve ter duas partições NTFS no seu computador (uma para o SO e uma para o volume do sistema). O volume do sistema deve ser a partição ativa.
4. O boot deve ser dado a partir do disco rígido, não do CD, USB ou da rede.
Primeiramente vou analisar a forma de criar duas partições em um disco rígido para o BitLocker.
Se você está lendo isto e o Windows Vista de sua máquina não está particionado em pelo menos duas partições, então você terá de reformatar o computador e reinstalar o Windows Vista, a fim de usar o BitLocker.
O procedimento básico é o de criar uma pequena partição primária de 1.5GB, defini-la como Ativa e, em seguida, criar uma outra partição com o resto do espaço em disco, formatar as duas partições e instalar o Windows Vista nesta partição.
Particionando um disco rígido sem sistema operacional
Inicie o computador usando o CD/DVD do Windows Vista e clique em Avançar na primeira da Instalação do Windows:
Agora, clique em Reparar o computador e, na próxima tela, na caixa de diálogo Opções clique em Recuperação do Sistema, certifique-se de nenhum sistema operacional está selecionado clicando na área vazia abaixo de qualquer uma das entradas.
Em seguida, clique em Prompt de Comando, digite diskpart e pressione Enter para começar o processo de criação das partições.
Agora escreva os seguintes comandos, pressionando Enter depois de cada linha. Os comentários entre parênteses () são apenas notas, que não deve ser digitados:
1. select disk 0
2. clean
3. create partition primary size=1500 (criar uma partição primária de 1.5GB)
4. assign letter=S (atribuindo a letra S ao drive)
5. active (marcando-a como ativa)
6. create partition primary (criar uma outra partição usando o resto do espaço)
7. assign letter=C (atribuindo a letra C ao drive)
8. list volume (você deve ver dois volumes e seus tamanhos, verifique se está correto)
9. exit
10. format c: /y /q /fs:NTFS
11. format s: /y /q /fs:NTFS
12. exit
Agora, quando você voltar às Opções do Sistema de Recuperação, basta fechá-la pressionando o X na parte superior ou pressionando Alt + F4. Agora, clique em Instalar agora para instalar o Windows Vista. Certifique-se de escolher o maior volume, no nosso caso, C, para instalar o sistema operacional.
Habilitando e Configurando o BitLocker
Para poder configurar o BitLocker, você deve ter certeza que está conectado como administrador. Note que estas etapas são para ativar o BitLocker com TPM. Mais adiante vou escrever sobre como usar BitLocker sem TPM.
Ativando o BitLocker
Passo 1: Vá até Iniciar, Painel de Controle e clique em Criptografia de Unidade BitLocker.
Passo 2: Se o UAC surgir, basta clicar em Continuar. Note que, se o disco não estiver particionado corretamente e seu computador não suporta TPM, então você verá uma mensagem de erro como a seguir:
Felizmente, a Microsoft lançou um bom instrumento para tornar o particionamento do disco rígido para o BitLocker super fácil! Não há necessidade de formatar ou qualquer coisa, porém, é apenas para o Windows Vista Ultimate! É parte dos Windows Ultimate Extras e é chamado de Aprimoramento do BitLocker e EFS. É uma atualização opcional que você vai ver na lista de atualizações disponíveis.
Para usá-lo, vá em Iniciar >> Programas >> Acessórios >> Ferramentas do sistema >> BitLocker e escolha Ferramenta de preparação.... Siga as instruções e reinicie seu computador. Depois disso, se você ainda estiver recebendo a mensagem dizendo que não foi localizado um TPM, você terá que atualizar a BIOS da placa mãe se ela realmente suportá-lo ou você terá que seguir as etapas para habilitar o BitLocker sem TPM, que veremos mais adiante.
Por enquanto, vou assumir que os dois possíveis problemas foram resolvidos e você pode clicar em Ativar o BitLocker.
Passo 3: Agora, em Salvar a senha de recuperação, escolha onde pretende guardar a senha que pode ser usada para recuperar todos os seus arquivos criptografados, caso alguma coisa dê errada no futuro.
É melhor guardar a senha em vários locais, para você estar certo de poder recuperar seus dados mesmo quando um deles é perdido ou apagado.
Passo 4: Agora em Criptografar o volume do disco selecionado, marque a caixa Executar a Verificação do Sistema do BitLocker e clique em Continuar.
Prossiga e reinicie o computador quando solicitado. Durante o boot, será verificado se o computador é compatível com o BitLocker e o preparará para a criptografia. Se tudo estiver bem, você verá a barra de progresso da criptografia aparecer.
Depois que tudo estiver pronto, todo o volume do sistema operacional estará criptografado, juntamente com uma única senha recuperação. Quando você logar na próxima vez, não haverá nenhuma diferença. É isso! Você ativou com sucesso o BitLocker no seu computador!
Ativando o BitLocker em um computador sem TPM
Se você não tiver um TPM, você verá a seguinte mensagem de erro na tela do BitLocker:
“Não foi localizado um TPM. É necessário um TPM para ativar o BitLocker. Se o computador tiver um, contate o fabricante do computador para obter um BIOS compatível com o BitLocker”.
Se você não tiver um TPM, você ainda pode usar o BitLocker, mas você terá que fazer um ajuste na política de grupo:
Passo 1: Abra o editor de diretivas de grupo. Vá em Iniciar >> Executar, digite gpedit.msc e tecle Enter:
Etapa 2: Agora vá até a seguinte definição de diretiva no Editor de Diretiva de Grupo Local:
Diretiva Computador Local >> Configurações do Computador >> Modelos Administrativos >> Componentes do Windows >> Criptografia de Unidade de Disco BitLocker
Passo 3: Agora, no painel do lado direito, dê um duplo clique sobre a seguinte configuração:
Configuração do Painel de Controle: Habilitar opções avançadas de inicialização
Passo 4: Agora clique no botão Ativado e certifique-se que a opção Permitir BitLocker sem um TPM compatível está marcada. Clique em OK quando terminar e feche o editor.
Passo 5: Vá para o prompt de comando e digite o seguinte comando: gpupdate /force. Isto atualizará todas as políticas relacionadas com o computador imediatamente.
Por último, abra o Painel de controle e vá para a Criptografia de Unidade de Disco BitLocker, e veremos que o ponto de exclamação exigindo um TPM sumiu. Agora você pode ativar o BitLocker como descrevi anteriormente.
Como recuperar uma unidade protegida pelo BitLocker em caso problemas
Então, o que pode eventualmente dar errado com o BitLocker e que poderia fazer você perder todos os seus dados? 4 coisas:
* Ocorre um erro devido ao TPM
* O TPM é acidentalmente apagado e o computador é desligado
* O TPM é acidentalmente desligado e o computador é desligado
* Um arquivo de inicialização é modificado e/ou danificado
Quando algo dá errado, o computador iniciará no Modo de Recuperação do sistema. A fim de recuperar o acesso aos seus dados e ao sistema operacional, você tem que fornecer a senha de recuperação que você salvaou anteriormente. Use as teclas de função (F1 a F10) para inserir a senha manualmente.
Passo 1: Ligue o computador. O Console de recuperação do BitLocker será exibido:
Passo 2: Se você salvou a senha para uma unidade USB, será solicitado que insira a unidade no computador. Faça isso e, em seguida, pressione ESC. O computador será reiniciado e você poderá acessar o Windows.
Passo 3: Se você não a salvou em um drive USB, terá que digitar a senha manualmente.
Apenas tenha certeza de que a unidade USB não é inicializável pois o Windows não irá detectá-la. Como foi dito anteriormente, não guarde a senha de recuperação em um único local.
Autor: SandroCE / Fórum do BABOO
