Encriptação do disco com Bitlocker e sem TPM

Quem anda com um portátil está sempre sob o risco de ficar sem ele e que outro possa ganhar acesso aos seus dados. Se os dados forem confidenciais os danos poderão ser significativos e até irrecuperáveis.

Podemos achar que como já temos uma senha de acesso definida, os dados estarão seguros. Só que, essa senha só é um impedimento num ambiente controlado e onde quem está a tentar aceder não tem completa liberdade de ação. É suficiente com iniciar o computador a partir dum dispositivo USB ou um DVD com um outro sistema operativo para ganhar acesso de forma quase imediata. E se tivermos o arranque do sistema bloqueado pela BIOS, sempre podemos abrir o portátil e retirar o disco para o ligar a um outro sistema. Com os meios habituais, portanto, não temos a informação segura.

A forma mais segura de proteger os nossos dados é mesmo encriptando-os.

Vamos explicar passo a passo como encriptar o disco de arranque completamente.

Se clicamos com o botão direito sobre a unidade que pretendemos encriptar, teremos a opção de ativar o BitLocker.

bitlocker-01

Se aparecer a seguinte mensagem «This device can’t use a Trusted Platform Module. Your administrator must set the “Allow BitLocker without a compatible TPM” option in the “Require additional authentication at startup policy for OS volumes.» é porque não temos um chip especializado para a gestão de criptografia (como costuma ser o caso quando o portátil incorpora um leitor de impressões digitais).

bitlocker-02

Se for esse o caso, ainda podemos ultrapassar esta limitação e desabilitar o requisito para esta plataforma com os seguintes passos:

1. Abrir o editor de políticas locais de grupo com “gpedit.msc”

bitlocker-03-02

2. Navegar até a seguinte chave: Computer Configuration > Administrative Templates > Windows Components > Bit Locker Drive Encryption > Operating System Drives

bitlocker-04

3. Fazer duplo clique em “Require additional authentication at startup” e habilitar o parâmetro. Com esta opção, de cada vez que iniciarmos o computador iremos precisar duma senha ou bem um dispositivo USB com uma chave.

bitlocker-05

4. Fechamos o editor e podemos continuar com o processo.

 
Clicamos novamente com o botão direito sobre a unidade que pretendemos encriptar e clicamos a opção de ativar o BitLocker. Será pedido como queremos desbloquear o disco no início: podemos escolher entre inserir um dispositivo USB ou inserir uma senha.

bitlocker-06

A opção do dispositivo USB é mais cómoda, mas poderá ser mais arriscada porque temos que ter o dispositivo sempre connosco. Se este for esquecido, danificado, perdido, etc. não conseguiremos usar o computador. Se o dispositivo nos for roubado juntamente com o computador, estragamos o propósito de todo este esforço.

Se optarmos por usar uma senha, no seguinte passo temos a opção de introduzir uma:

bitlocker-07

Também é criada uma chave de recuperação, que podemos usar para desbloquear o computador em caso de esquecermos a senha. São oferecidas as opções de guardar na conta Microsoft, num outro dispositivo USB, num ficheiro (num disco distinto daquele que estamos a querer encriptar) ou imprimi-la.

bitlocker-08

Podemos escolher se queremos encriptar o espaço usado do disco ou o disco inteiro. A opção mais segura (embora possa demorar mais) é a de encriptar o disco inteiro.

bitlocker-09

Num último passo, e antes de encriptar os dados, temos a opção de validar que as chaves de recuperação estão acessíveis.

bitlocker-10

Reiniciamos o computador e logo no início, teremos o seguinte ecrã onde inserir a nossa senha (se foi este o método de verificação escolhido).

bitlocker-11

Uma palavra de aviso: alguns computadores arrancam com a configuração do teclado em inglês americano, e se tivermos símbolos, acentos, etc. na nossa senha, os símbolos lidos poderão não se corresponder com os símbolos mostrados no nosso teclado. Por exemplo, a tecla “ç” no teclado português corresponde à tecla “;” no teclado americano. Se carregarmos na tecla Insert (“Ins”, “Insert”) poderemos ver a senha como está a ser lida.
Se esquecermos a senha, podemos usar a tecla “Esc” para usarmos as chaves de recuperação.

Após reiniciar o computador, os dados passarão a ser encriptados.

bitlocker-12

 

E neste ponto já temos os dados encriptados. De cada vez que iniciarmos o computador será pedida uma senha.

A encriptação pode ser gerida em Painel de Controlo\Sistema e Segurança\Encriptação de Unidade BitLocker. Podemos alterar a senha, e até desencriptar completamente o disco.