Como configurar a criptografia BitLocker no Windows

bitlocker-locked-drive-icon

O BitLocker é uma ferramenta incorporada ao Windows que permite criptografar um disco rígido inteiro para maior segurança. Veja como configurá-lo.

Quando o TrueCrypt fechou a loja de forma controversa, eles recomendaram que seus usuários fizessem a transição do TrueCrypt para o BitLocker ou Veracrypt . O BitLocker já existe no Windows há tempo suficiente para ser considerado maduro e é um  produto de criptografia geralmente bem visto pelos profissionais de segurança. Neste artigo, vamos falar sobre como você pode configurá-lo em seu PC.

Nota : BitLocker Drive Encryption e BitLocker To Go requerem uma edição Professional ou Enterprise do Windows 8 ou 10, ou a versão Ultimate do Windows 7. No entanto, a partir do Windows 8.1, as edições Home e Pro do Windows incluem um recurso de “Criptografia de Dispositivo” (um recurso também incluído no Windows 10) que funciona de forma semelhante. Recomendamos a criptografia de dispositivo se o seu computador oferecer suporte, BitLocker para usuários Pro que não podem usar a criptografia de dispositivo e VeraCrypt para pessoas que usam uma versão doméstica do Windows em que a criptografia de dispositivo não funciona.

Criptografar uma unidade inteira ou criar um contêiner criptografado?

Muitos guias por aí falam sobre a criação de um contêiner BitLocker que funciona muito como o tipo de contêiner criptografado que você pode criar com produtos como TrueCrypt ou Veracrypt. É um nome um pouco impróprio, mas você pode conseguir um efeito semelhante. O BitLocker funciona criptografando unidades inteiras. Pode ser a unidade do sistema, uma unidade física diferente ou um disco rígido virtual (VHD) que existe como um arquivo e está montado no Windows.

A diferença é amplamente semântica. Em outros produtos de criptografia, você geralmente cria um contêiner criptografado e, a seguir, monta-o como uma unidade no Windows quando precisa usá-lo. Com o BitLocker, você cria um disco rígido virtual e, em seguida, o criptografa. Se você quiser usar um contêiner em vez de, digamos, criptografar seu sistema ou unidade de armazenamento existente, consulte nosso guia para criar um arquivo de contêiner criptografado com o BitLocker .

Neste artigo, vamos nos concentrar em habilitar o BitLocker para uma unidade física existente.

Como criptografar uma unidade com o BitLocker

Para usar o BitLocker para uma unidade, tudo o que você realmente precisa fazer é habilitá-lo, escolher um método de desbloqueio – senha, PIN e assim por diante – e definir algumas outras opções. Antes de entrarmos nisso, no entanto, você deve saber que usar a criptografia de disco completo do BitLocker em uma unidade do sistema geralmente requer um computador com um Módulo de plataforma confiável (TPM) na placa-mãe do seu PC. Este chip gera e armazena as chaves de criptografia que o BitLocker usa. Se o seu PC não tiver um TPM, você pode usar a Política de Grupo para habilitar o uso do BitLocker sem um TPM . É um pouco menos seguro, mas ainda mais seguro do que não usar criptografia.

Recomendado:  O que há de novo na atualização de novembro de 2019 do Windows 10, já disponível

Você pode criptografar uma unidade que não seja do sistema ou removível sem TPM e sem ter que habilitar a configuração de Política de Grupo.

Nessa nota, você também deve saber que existem dois tipos de criptografia de unidade BitLocker que você pode habilitar:

  • Criptografia de unidade de disco BitLocker : às vezes chamada apenas de BitLocker, é um recurso de “criptografia de disco completo” que criptografa uma unidade inteira. Quando o seu PC é inicializado, o carregador de inicialização do Windows é carregado a partir da partição reservada do sistema e solicita o método de desbloqueio – por exemplo, uma senha. O BitLocker então descriptografa a unidade e carrega o Windows. A criptografia é transparente de outra forma – seus arquivos aparecem como normalmente seriam em um sistema não criptografado, mas são armazenados no disco de forma criptografada. Você também pode criptografar outras unidades além da unidade do sistema.
  • BitLocker To Go : você pode criptografar unidades externas – como unidades flash USB e discos rígidos externos – com o BitLocker To Go. Você será solicitado a informar o método de desbloqueio – por exemplo, uma senha – ao conectar a unidade ao computador. Se alguém não tiver o método de desbloqueio, não poderá acessar os arquivos da unidade.

No Windows 7 a 10, você realmente não precisa se preocupar em fazer a seleção sozinho. O Windows lida com as coisas nos bastidores, e a interface que você usará para habilitar o BitLocker não parece diferente. Se você acabar desbloqueando uma unidade criptografada no Windows XP ou Vista, verá a marca BitLocker to Go, então achamos que você deveria pelo menos saber sobre isso.

Então, com isso resolvido, vamos ver como isso realmente funciona.

Etapa um: habilitar o BitLocker para uma unidade

A maneira mais fácil de habilitar o BitLocker para uma unidade é clicar com o botão direito do mouse na unidade em uma janela do Explorador de Arquivos e escolher o comando “Ativar BitLocker”. Se você não vir essa opção em seu menu de contexto, provavelmente não possui uma edição Pro ou Enterprise do Windows e precisará buscar outra solução de criptografia.

Simples assim. O assistente que aparece mostra a seleção de várias opções, que dividimos nas seções a seguir.

Etapa dois: escolha um método de desbloqueio

A primeira tela que você verá no assistente “BitLocker Drive Encryption” permite que você escolha como desbloquear sua unidade. Você pode selecionar várias maneiras diferentes de desbloquear a unidade.

Se você estiver criptografando a unidade do sistema em um computador que  não possui um TPM, poderá desbloquear a unidade com uma senha ou uma unidade USB que funcione como uma chave. Selecione seu método de desbloqueio e siga as instruções para esse método (insira uma senha ou conecte sua unidade USB).

Recomendado:  Como limpar o cache do YouTube

Se o seu computador não tiver um TPM, você verá opções adicionais para desbloquear sua unidade de sistema. Por exemplo, você pode configurar o desbloqueio automático na inicialização (quando o computador obtém as chaves de criptografia do TPM e descriptografa a unidade automaticamente). Você também pode  usar um PIN em vez de uma senha ou até mesmo escolher opções biométricas, como uma impressão digital.

Se você estiver criptografando uma unidade removível ou não pertencente ao sistema, verá apenas duas opções (tenha ou não um TPM). Você pode desbloquear a unidade com uma senha ou um cartão inteligente (ou ambos).

Etapa três: faça backup de sua chave de recuperação

O BitLocker fornece uma chave de recuperação que você pode usar para acessar seus arquivos criptografados caso perca sua chave principal – por exemplo, se você esquecer sua senha ou se o PC com TPM morrer e você precisar acessar a unidade de outro sistema.

Você pode salvar a chave em sua conta da Microsoft , uma unidade USB, um arquivo ou até mesmo imprimi-lo. Essas opções são as mesmas, quer você esteja criptografando uma unidade do sistema ou que não seja do sistema.

Se você fizer backup da chave de recuperação em sua conta da Microsoft, poderá acessar a chave posteriormente em https://onedrive.live.com/recoverykey . Se você usar outro método de recuperação, certifique-se de manter esta chave segura – se alguém obtiver acesso a ela, poderá descriptografar sua unidade e ignorar a criptografia.

Você também pode fazer backup de sua chave de recuperação de várias maneiras, se desejar. Basta clicar em cada opção que deseja usar e seguir as instruções. Quando terminar de salvar suas chaves de recuperação, clique em “Avançar” para prosseguir.

Observação : se você estiver criptografando uma unidade USB ou outra unidade removível, não terá a opção de salvar sua chave de recuperação em uma unidade USB. Você pode usar qualquer uma das outras três opções.

Etapa quatro: criptografar e desbloquear a unidade

O BitLocker criptografa automaticamente novos arquivos à medida que você os adiciona, mas você deve escolher o que acontece com os arquivos atualmente em sua unidade. Você pode criptografar a unidade inteira – incluindo o espaço livre – ou apenas criptografar os arquivos de disco usados ​​para acelerar o processo. Essas opções também são as mesmas, quer você esteja criptografando uma unidade do sistema ou não.

Se você estiver configurando o BitLocker em um novo PC, criptografe apenas o espaço em disco usado – é muito mais rápido. Se você estiver configurando o BitLocker em um PC que está usando há algum tempo, deve criptografar a unidade inteira para garantir que ninguém possa recuperar os arquivos excluídos .

Depois de fazer sua seleção, clique no botão “Avançar”.

Etapa cinco: escolher um modo de criptografia (somente Windows 10)

Se estiver usando o Windows 10, você verá uma tela adicional que permite escolher um método de criptografia. Se você estiver usando o Windows 7 ou 8, pule para a próxima etapa.

Recomendado:  O que é um URL (Uniform Resource Locator)?

O Windows 10 introduziu um novo método de criptografia denominado XTS-AES. Ele fornece integridade e desempenho aprimorados em relação ao AES usado no Windows 7 e 8. Se você sabe que a unidade que está criptografando só será usada em PCs com Windows 10, vá em frente e escolha a opção “Novo modo de criptografia”. Se você acha que pode precisar usar a unidade com uma versão mais antiga do Windows em algum momento (especialmente importante se for uma unidade removível), escolha a opção “Modo compatível”.

Qualquer que seja a opção escolhida (e novamente, essas são as mesmas para unidades do sistema e não), vá em frente e clique no botão “Avançar” quando terminar e, na próxima tela, clique no botão “Iniciar criptografia”.

Etapa seis: finalizando

O processo de criptografia pode levar de segundos a minutos ou até mais, dependendo do tamanho da unidade, da quantidade de dados que você está criptografando e se você escolheu criptografar o espaço livre.

Se você estiver criptografando a unidade do sistema, será solicitado que execute uma verificação do sistema BitLocker e reinicie o sistema. Certifique-se de que a opção esteja selecionada, clique no botão “Continuar” e reinicie o PC quando solicitado. Depois que o PC é reiniciado pela primeira vez, o Windows criptografa a unidade.

Se você estiver criptografando uma unidade removível ou sem sistema, o Windows não precisa reiniciar e a criptografia começa imediatamente.

Seja qual for o tipo de unidade que você está criptografando, você pode verificar o ícone do BitLocker Drive Encryption na bandeja do sistema para ver seu progresso e pode continuar a usar o computador enquanto as unidades estão sendo criptografadas – o desempenho será mais lento.

Desbloqueando seu disco

Se a unidade do seu sistema estiver criptografada, o desbloqueio depende do método escolhido (e se o seu PC tem um TPM). Se você tem um TPM e optou por desbloquear a unidade automaticamente, não notará nada diferente – você apenas inicializará o Windows como sempre. Se você escolher outro método de desbloqueio, o Windows solicitará que você desbloqueie a unidade (digitando sua senha, conectando sua unidade USB ou qualquer outro).

bitlocker-unlock-prompt-at-boot

E se você perdeu (ou esqueceu) seu método de desbloqueio, pressione Escape na tela de prompt para inserir sua chave de recuperação .

Se você criptografou uma unidade removível ou não pertencente ao sistema, o Windows solicitará que você desbloqueie a unidade ao acessá-la pela primeira vez após iniciar o Windows (ou quando você conectá-la ao PC, se for uma unidade removível). Digite sua senha ou insira seu smart card e a unidade deve ser desbloqueada para que você possa usá-la.

No File Explorer, as unidades criptografadas mostram um cadeado dourado no ícone (à esquerda). Esse bloqueio muda para cinza e aparece desbloqueado quando você desbloqueia a unidade (à direita).

Você pode gerenciar uma unidade bloqueada – alterar a senha, desligar o BitLocker, fazer backup de sua chave de recuperação ou executar outras ações – na janela do painel de controle do BitLocker. Clique com o botão direito em qualquer unidade criptografada e selecione “Gerenciar BitLocker” para ir diretamente para essa página.


Como toda criptografia, o BitLocker adiciona alguma sobrecarga. O FAQ oficial do BitLocker da Microsoft diz que “Geralmente, impõe uma sobrecarga de desempenho de porcentagem de um dígito.” Se a criptografia é importante para você porque você tem dados confidenciais – por exemplo, um laptop cheio de documentos comerciais – a segurança aprimorada vale a pena a compensação de desempenho.