Com os novos recursos do Windows 10, a produtividade dos usuários aumentou os trancos e barrancos. Isso é porque Windows 10 introduziu sua abordagem como "Mobile first, Cloud first". Não é nada, mas a integração de dispositivos móveis com a tecnologia de nuvem. O Windows 10 oferece o gerenciamento moderno de dados usando soluções de gerenciamento de dispositivos baseados em nuvem, como Microsoft Enterprise Mobility Suite (EMS). Com isso, os usuários podem acessar seus dados de qualquer lugar e a qualquer momento. No entanto, esse tipo de dados também precisa de uma boa segurança, o que é possível com Bitlocker.
Criptografia BitLocker para segurança de dados em nuvem
A configuração de criptografia do Bitlocker já está disponível nos dispositivos móveis do Windows 10. No entanto, esses dispositivos precisavam ter InstantGo capacidade de automatizar a configuração. Com o InstantGo, o usuário pode automatizar a configuração no dispositivo, além de fazer o backup da chave de recuperação para a conta do Azure AD do usuário.
Mas agora os dispositivos não precisarão mais do recurso InstantGo. Com o Windows 10 Creators Update, todos os dispositivos do Windows 10 terão um assistente no qual os usuários serão solicitados a iniciar a criptografia do Bitlocker, independentemente do hardware usado. Isso foi principalmente o resultado do feedback dos usuários sobre a configuração, onde eles desejavam ter essa criptografia automatizada sem que os usuários fizessem nada. Assim, agora a criptografia do Bitlocker tornou-se automático e independente de hardware.
Como funciona a criptografia do Bitlocker?
Quando o usuário final inscreve o dispositivo e é um administrador local, o MSI TriggerBitlocker faz o seguinte:
- Implanta três arquivos em C: Arquivos de Programas (x86) BitLockerTrigger
- Importa uma nova tarefa agendada com base no Enable_Bitlocker.xml incluído
A tarefa agendada será executada todos os dias às 14h e fará o seguinte:
- Execute Enable_Bitlocker.vbs cujo principal objetivo é chamar Enable_BitLocker.ps1 e certifique-se de executar minimizado.
-
Por sua vez, Enable_BitLocker.ps1 criptografará a unidade local e armazenará a chave de recuperação no Azure AD e no OneDrive for Business (se configurado)
A chave de recuperação é armazenada somente quando alterada ou não presente
Os usuários que não fazem parte do grupo de administração local precisam seguir um procedimento diferente. Por padrão, o primeiro usuário que associa um dispositivo ao Azure AD é um membro do grupo de administradores local. Se um segundo usuário, que faz parte do mesmo inquilino do AAD, fizer logon no dispositivo, ele será um usuário padrão.
Essa bifurcação é necessária quando uma conta do Gerenciador de Inscrição de Dispositivo cuida da associação do Azure AD antes de entregar o dispositivo ao usuário final. Para esses usuários modificados MSI (TriggerBitlockerUser) foi dada a equipe do Windows. É um pouco diferente dos usuários admin locais:
A tarefa agendada do BitlockerTrigger será executada no Contexto do Sistema e irá:
- Copie a chave de recuperação para a conta do AD do Azure do usuário que ingressou no dispositivo para o AAD.
- Copie a chave de recuperação para Systemdrive temp (normalmente, C: Temp) temporariamente.
Um novo script MoveKeyToOD4B.ps1 é apresentado e corre diariamente através de uma tarefa agendada chamada MoveKeyToOD4B. Esta tarefa agendada é executada no contexto dos usuários. A chave de recuperação será movida de systemdrive temp para a pasta de recuperação do OneDrive for Business.
Para os cenários administrativos não locais, os usuários precisam implantar o arquivo TriggerBitlockerUser via Em sintonia para o grupo de usuários finais. Isso não é implantado no grupo / conta do Gerenciador de registro de dispositivos usado para associar o dispositivo ao Azure AD.
Para obter o acesso à chave de recuperação, os usuários precisam acessar um dos seguintes locais:
- Conta do Azure AD
- Uma pasta de recuperação no OneDrive for Business (se configurado).
Os usuários são sugeridos para recuperar a chave de recuperação via https://myapps.microsoft.com e navegue até o perfil deles ou na pasta de recuperação do OneDrive for Business.
Para obter mais informações sobre como habilitar a criptografia do Bitlocker, leia o blog completo no Microsoft TechNet.
Posts relacionados:
- Perguntas e respostas da entrevista em Cloud Computing
- Recurso Microsoft BitLocker no Windows 10/8/7
- Alterar o local padrão para salvar a chave de recuperação do BitLocker
- Por que a Microsoft armazena sua Chave de Criptografia de Dispositivo do Windows 10 no OneDrive
- A Criptografia de Unidade de Disco BitLocker não pode ser usada porque arquivos críticos do sistema BitLocker estão ausentes ou corrompidos
