Processo de recuperação do BitLocker

Se um dispositivo ou unidade não conseguir desbloquear com o mecanismo BitLocker configurado, os utilizadores poderão recuperá-lo automaticamente. Se a recuperação automática não for uma opção ou se o utilizador não souber como proceder, o suporte técnico deverá ter procedimentos para obter informações de recuperação de forma rápida e segura.

Este artigo descreve o processo de obtenção de informações de recuperação do BitLocker para Microsoft Entra dispositivos associados, Microsoft Entra associados híbridos e associados ao Active Directory. Presume-se que o leitor já está familiarizado com a configuração de dispositivos para criar automaticamente cópias de segurança das informações de recuperação do BitLocker e das opções de recuperação do BitLocker disponíveis. Para obter mais informações, veja o artigo Descrição geral da recuperação do BitLocker .

Auto-recuperação

A palavra-passe de recuperação e a chave de recuperação do BitLocker para uma unidade do sistema operativo ou uma unidade de dados fixa podem ser guardadas num ou mais dispositivos USB, impressos, guardados no Microsoft Entra ID ou no AD DS.

Dica

Guardar chaves de recuperação BitLocker no Microsoft Entra ID ou no AD DS é uma abordagem recomendada. Dessa forma, um administrador ou suporte técnico do BitLocker pode ajudar os utilizadores a obter as chaves.

Se a recuperação automática incluir a utilização de uma palavra-passe ou de uma chave de recuperação armazenada numa pen USB, os utilizadores têm de ser avisados para não armazenarem a pen USB no mesmo local que o dispositivo, especialmente durante a viagem. Por exemplo, se o dispositivo e os itens de recuperação estiverem no mesmo saco, seria fácil para um utilizador não autorizado aceder ao dispositivo. Outra política a considerar é fazer com que os utilizadores contactem o suporte técnico antes ou depois de realizarem a recuperação automática para que a causa raiz possa ser identificada.

Não é possível armazenar uma chave de recuperação em nenhuma das seguintes localizações:

  • A unidade que está a ser encriptada
  • O diretório raiz de uma unidade não móvel
  • Um volume encriptado

Recuperação automática com palavra-passe de recuperação

Se tiver acesso à chave de recuperação, introduza os 48 dígitos no ecrã de recuperação pré-inicial.

  • Se estiver a ter problemas ao introduzir a palavra-passe de recuperação no ecrã de recuperação pré-inicial ou já não conseguir iniciar o dispositivo, pode ligar a unidade a outro dispositivo como uma unidade secundária. Para obter mais informações sobre o processo de desbloqueio, consulte Desbloquear uma unidade
  • Se desbloquear com a palavra-passe de recuperação não funcionar, pode utilizar a ferramenta de Reparação do BitLocker para recuperar o acesso à unidade

Recuperação automática no Microsoft Entra ID

Se as chaves de recuperação do BitLocker estiverem armazenadas no Microsoft Entra ID, os utilizadores podem aceder às mesmas com o seguinte URL: https://myaccount.microsoft.com. No separador Dispositivos , os utilizadores podem selecionar um dispositivo Windows que possuem e selecionar a opção Ver Chaves BitLocker.

Observação

Por predefinição, os utilizadores podem obter as respetivas chaves de recuperação BitLocker a partir de Microsoft Entra ID. Este comportamento pode ser modificado com a opção Restringir os utilizadores de recuperarem as chaves BitLocker para os respetivos dispositivos. Para obter mais informações, veja Restringir as permissões predefinidas dos utilizadores membros.

Recuperação automática com pen USB

Se os utilizadores guardarem a palavra-passe de recuperação numa pen USB, podem ligar a unidade a um dispositivo bloqueado e seguir as instruções. Se a chave tiver sido guardada como um ficheiro de texto na pen, os utilizadores têm de utilizar um dispositivo diferente para ler o ficheiro de texto.

Recuperação de suporte técnico

Se um utilizador não tiver uma opção de recuperação self-service, o suporte técnico deverá conseguir ajudar o utilizador com uma das seguintes opções:

  • Se o dispositivo estiver Microsoft Entra associado ou Microsoft Entra associado híbrido, as informações de recuperação do BitLocker podem ser obtidas a partir de Microsoft Entra ID
  • Se o dispositivo estiver associado a um domínio, as informações de recuperação podem ser obtidas a partir do Active Directory
  • Se o dispositivo estiver configurado para utilizar uma DRA, a unidade encriptada pode ser montada noutro dispositivo como uma unidade de dados para que o DRA consiga desbloquear a unidade

Aviso

A cópia de segurança da palavra-passe de recuperação do BitLocker para Microsoft Entra ID ou AD DS pode não ocorrer automaticamente. Os dispositivos devem ser configurados com definições de política para ativar a cópia de segurança automática, conforme descrito no artigo Descrição geral da recuperação do BitLocker .

A lista seguinte pode ser utilizada como um modelo para criar um processo de recuperação para obtenção de palavra-passe de recuperação pelo suporte técnico.

☑️ Passo do processo de recuperação Detalhes
🔲 Verificar a identidade do usuário A pessoa que está a pedir a palavra-passe de recuperação deve ser verificada como o utilizador autorizado desse dispositivo. Também deve verificar se o dispositivo para o qual o utilizador forneceu o nome pertence ao utilizador.
🔲 Registar o nome do dispositivo O nome do dispositivo do utilizador pode ser utilizado para localizar a palavra-passe de recuperação no Microsoft Entra ID ou no AD DS.
🔲 Registar o ID da chave de recuperação O ID da chave de recuperação pode ser utilizado para localizar a palavra-passe de recuperação no Microsoft Entra ID ou no AD DS. O ID da chave de recuperação é apresentado no ecrã de recuperação pré-inicial.
🔲 Localizar a palavra-passe de recuperação Localize a palavra-passe de recuperação do BitLocker com o nome do dispositivo ou o ID da chave de recuperação do Microsoft Entra ID ou do AD DS.
🔲 Análise da causa raiz Antes de dar ao utilizador a palavra-passe de recuperação, as informações devem ser do coletor para determinar por que motivo a recuperação é necessária. As informações podem ser utilizadas para efetuar a análise da causa raiz.
🔲 Indique ao utilizador a palavra-passe de recuperação Uma vez que a palavra-passe de recuperação de 48 dígitos é longa e contém uma combinação de dígitos, o utilizador pode ouvir mal ou escrever mal a palavra-passe. O console de recuperação em tempo de inicialização usa números de soma de verificação internos para detectar erros de entrada em cada bloco de 6 dígitos da senha de recuperação de 48 dígitos e oferece ao usuário a oportunidade de corrigir esses erros.
🔲 Rodar a palavra-passe de recuperação Se a rotação automática de palavras-passe estiver configurada, Microsoft Entra e Microsoft Entra dispositivos associados híbridos geram uma nova palavra-passe de recuperação e armazenam-na no Microsoft Entra ID. Um administrador também pode acionar a rotação de palavras-passe a pedido com Microsoft Intune ou Microsoft Configuration Manager.

Recuperação de suporte técnico no Microsoft Entra ID

Existem algumas funções Microsoft Entra ID que permitem a um administrador delegado ler palavras-passe de recuperação do BitLocker a partir dos dispositivos no inquilino. Embora seja comum as organizações utilizarem as funções incorporadas de Administrador de Dispositivos da Cloud ou Administrador de Suporte Técnico Microsoft Entra ID existentes, também pode criar uma função personalizada, delegando o acesso às chaves do BitLocker com a microsoft.directory/bitlockerKeys/key/read permissão . As funções podem ser delegadas para aceder às palavras-passe de recuperação do BitLocker para dispositivos em Unidades Administrativas específicas.

Observação

Quando os dispositivos que utilizam o Windows Autopilot são reutilizados para aderir ao Entra e existe um novo proprietário do dispositivo, esse novo proprietário do dispositivo tem de contactar um administrador para adquirir a chave de recuperação BitLocker para esse dispositivo. Os administradores com âmbito de função ou unidade administrativa personalizada perderão o acesso às chaves de recuperação do BitLocker para os dispositivos que foram submetidos a alterações de propriedade do dispositivo. Estes administradores no âmbito terão de contactar um administrador sem âmbito para as chaves de recuperação. Para obter mais informações, consulte o artigo Localizar o utilizador principal de um dispositivo Intune.

O centro de administração do Microsoft Entra permite que os administradores obtenham palavras-passe de recuperação do BitLocker. Para saber mais sobre o processo, consulte Ver ou copiar chaves BitLocker. Outra opção para aceder às palavras-passe de recuperação do BitLocker é utilizar o microsoft API do Graph, o que pode ser útil para soluções integradas ou com scripts. Para obter mais informações sobre esta opção, consulte Get bitlockerRecoveryKey.

No exemplo seguinte, utilizamos o cmdlet Get-MgInformationProtectionBitlockerRecoveryKey do PowerShell do Microsoft Graph para criar uma função do PowerShell que obtém palavras-passe de recuperação de Microsoft Entra ID:

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

Depois de a função ser carregada, pode ser utilizada para obter palavras-passe de recuperação do BitLocker para um dispositivo específico. Exemplo:

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

Observação

Para dispositivos geridos por Microsoft Intune, as palavras-passe de recuperação do BitLocker podem ser obtidas a partir das propriedades do dispositivo no centro de administração do Microsoft Intune. Para obter mais informações, veja Ver detalhes das chaves de recuperação.

Recuperação de suporte técnico no Active Directory Domain Services

Para exportar uma palavra-passe de recuperação do AD DS, tem de ter acesso de leitura a objetos armazenados no AD DS. Por predefinição, apenas os Administradores de Domínio têm acesso às informações de recuperação do BitLocker, mas o acesso pode ser delegado a principais de segurança específicos.

Para facilitar a obtenção de palavras-passe de recuperação do BitLocker do AD DS, pode utilizar a ferramenta Visualizador de Palavras-passe de Recuperação do BitLocker . A ferramenta está incluída nas Ferramentas de Administração Remota do Servidor (RSAT) e é uma extensão para o snap-in Usuários e Computadores do Active Directory Consola de Gestão da Microsoft (MMC).

Com o Visualizador de Palavras-passe de Recuperação do BitLocker, pode:

  • Verifique as propriedades do objeto de computador do Active Directory para obter as palavras-passe de recuperação do BitLocker associadas
  • Procurar palavra-passe de recuperação do BitLocker no Active Directory em todos os domínios na floresta do Active Directory

Os seguintes procedimentos descrevem as tarefas mais comuns executadas com o Visualizador de Palavras-passe de Recuperação bitLocker.

Ver as palavras-passe de recuperação de um objeto de computador
  1. Abra Usuários e Computadores do Active Directory snap-in MMC e selecione o contentor ou UO no qual os objetos do computador estão localizados
  2. Clique com o botão direito do rato no objeto do computador e selecione Propriedades
  3. Na caixa de diálogo Propriedades , selecione o separador Recuperação BitLocker para ver as palavras-passe de recuperação do BitLocker associadas ao computador
Localizar uma palavra-passe de recuperação com um ID de palavra-passe
  1. No Usuários e Computadores do Active Directory, clique com o botão direito do rato no contentor de domínio e selecione Localizar Palavra-passe de Recuperação do BitLocker
  2. Na caixa de diálogo Localizar Palavra-passe de Recuperação do BitLocker , escreva os primeiros oito carateres da palavra-passe de recuperação na caixa ID da Palavra-passe (primeiros 8 carateres) e selecione Procurar

Agentes de Recuperação de Dados

Se os dispositivos estiverem configurados com um DRA, o Suporte Técnico pode utilizar o DRA para desbloquear a unidade. Assim que a unidade BitLocker estiver ligada a um dispositivo que tenha a chave privada do certificado DRA, a unidade pode ser desbloqueada com o manage-bde.exe comando .

Por exemplo, para listar o DRA configurado para uma unidade protegida pelo BitLocker, utilize o seguinte comando:

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

Se a chave privada do certificado com um thumbprint de estiver disponível no arquivo de f46563b1d4791d5bd827f32265341ff9068b0c42 certificados local, um administrador pode utilizar o seguinte comando para desbloquear a unidade com o protetor DRA:

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

Tarefas de pós-recuperação

Quando um volume é desbloqueado com uma palavra-passe de recuperação:

  • um evento é escrito no Registo de Eventos
  • as medições de validação da plataforma são repostas no TPM para corresponder à configuração atual
  • a chave de encriptação é libertada e está pronta para encriptação/desencriptação no momento em que os dados são escritos/lidos de e para o volume

Depois que o volume é desbloqueado, o BitLocker se comporta da mesma maneira, independentemente de como o acesso foi concedido.

Observação

Se mover um volume de SO com um protetor TPM para um dispositivo diferente e desbloqueá-lo com um protetor de recuperação, o BitLocker vincular-se-á ao novo TPM. Devolver o volume ao dispositivo original pedirá o protetor de recuperação devido ao erro de correspondência do TPM. Uma vez desbloqueado utilizando novamente o protetor de recuperação, o volume será novamente vinculado ao dispositivo original.

Se um dispositivo tiver vários eventos de palavra-passe de recuperação, um administrador deve efetuar uma análise pós-recuperação para determinar a causa raiz da recuperação. Em seguida, atualize a validação da plataforma BitLocker para impedir a introdução de uma palavra-passe de recuperação sempre que o dispositivo é iniciado.

Determinar a causa raiz da recuperação

Se um utilizador precisar de recuperar a unidade, é importante determinar a causa que iniciou a recuperação o mais rapidamente possível. Analisar corretamente o estado do computador e detetar adulteração pode revelar ameaças que têm implicações mais amplas para a segurança empresarial.

Embora um administrador possa investigar remotamente a causa da recuperação em alguns casos, o utilizador poderá ter de levar o dispositivo que contém a unidade recuperada no site para analisar ainda mais a causa. Eis algumas perguntas que podem ser utilizadas para ajudar a determinar a causa principal da recuperação:

☑️ Pergunta
🔲 Que modo de proteção do BitLocker está configurado (TPM, TPM + PIN, TPM + chave de arranque, apenas chave de arranque)?
🔲 Se o modo TPM estiver configurado, a recuperação foi causada por uma alteração do ficheiro de arranque?
🔲 Que perfil PCR está a ser utilizado no dispositivo?
🔲 O usuário simplesmente esqueceu o PIN ou perdeu a chave de inicialização?
🔲 Se a recuperação foi causada por uma alteração do ficheiro de arranque, o ficheiro de arranque será alterado devido a uma ação de utilizador pretendida (por exemplo, atualização do BIOS) ou a um software malicioso?
🔲 Quando é que o utilizador conseguiu iniciar o dispositivo pela última vez com êxito e o que poderia ter acontecido ao dispositivo desde então?
🔲 O utilizador poderá ter encontrado software malicioso ou ter deixado o dispositivo sem supervisão desde o último arranque bem-sucedido?

Para ajudar a responder a estas perguntas, pode utilizar o manage-bde.exe -status comando para ver o modo de configuração e proteção atual. Analise o registo de eventos para encontrar eventos que ajudem a indicar o motivo pelo qual a recuperação foi iniciada (por exemplo, se ocorreu uma alteração de ficheiro de arranque).

Resolva a causa raiz

Depois de identificar a causa da recuperação, a proteção do BitLocker pode ser reposta para evitar a recuperação em cada arranque.

Os detalhes da reposição podem variar de acordo com a causa da recuperação. Se não for possível determinar a causa raiz ou se um software malicioso ou um rootkit infectar o dispositivo, o suporte técnico deve aplicar políticas de vírus de melhores práticas para reagir adequadamente.

Observação

A reposição do perfil de validação do BitLocker pode ser efetuada ao suspender e retomar o BitLocker.

Causa raiz

Etapas

PIN desconhecido

Se um utilizador se tiver esquecido do PIN, o PIN tem de ser reposto com sessão iniciada no computador para impedir que o BitLocker inicie a recuperação sempre que o computador é reiniciado.

Para evitar a continuação da recuperação devido a um PIN desconhecido:

  1. Desbloquear o dispositivo com a palavra-passe de recuperação
  2. No bitLocker Painel de Controle applet, expanda a unidade e, em seguida, selecione Alterar PIN
  3. Na caixa Criptografia de Unidade de Disco BitLocker, selecione Redefinir um PIN esquecido. Se a conta com sessão iniciada não for uma conta de administrador, tem de fornecer credenciais administrativas
  4. Na caixa de diálogo reposição do PIN, forneça e confirme o novo PIN a ser utilizado e, em seguida, selecione Concluir
  5. O novo PIN pode ser utilizado da próxima vez que a unidade precisar de ser desbloqueada

Chave de inicialização perdida

Se a pen USB que contém a chave de arranque for perdida, pode desbloquear a unidade com a chave de recuperação. Em seguida, pode criar um novo arranque com o PowerShell, a Linha de Comandos ou o BitLocker Painel de Controle applet.

Para obter exemplos sobre como adicionar protetores BitLocker, veja o guia de operações do BitLocker

Alterações nos arquivos de inicialização

Este erro ocorre se o firmware for atualizado. O BitLocker deve ser suspenso antes de efetuar alterações ao firmware. Em seguida, a proteção deve ser retomada após a conclusão da atualização de firmware. Suspender o BitLocker impede que o dispositivo entre no modo de recuperação. No entanto, se ocorrerem alterações quando a proteção do BitLocker estiver ativada, a palavra-passe de recuperação pode ser utilizada para desbloquear a unidade e o perfil de validação da plataforma é atualizado para que a recuperação não ocorra da próxima vez.

Para obter exemplos sobre como suspender e retomar protetores BitLocker, veja o guia de operações do BitLocker

Rodar palavras-passe

Os administradores podem configurar uma definição de política para ativar a rotação automática de palavras-passe de recuperação para Microsoft Entra dispositivos associados e Microsoft Entra híbridos associados.
Quando a rotação automática de palavras-passe de recuperação está ativada, os dispositivos rodam automaticamente a palavra-passe de recuperação depois de a palavra-passe ser utilizada para desbloquear a unidade. Este comportamento ajuda a impedir que a mesma palavra-passe de recuperação seja utilizada várias vezes, o que pode ser um risco de segurança.

Para obter mais informações, veja Configurar a rotação de palavras-passe de recuperação.

Outra opção é iniciar a rotação de palavras-passe de recuperação para dispositivos individuais remotamente com Microsoft Intune ou Microsoft Configuration Manager.

Para saber mais sobre como rodar palavras-passe de recuperação do BitLocker com Microsoft Intune ou Microsoft Configuration Manager, consulte:

Ferramenta de Reparação do BitLocker

Se os métodos de recuperação abordados anteriormente neste documento não desbloquearem o volume, a ferramenta de Reparação do BitLocker (repair-bde.exe) pode ser utilizada para desencriptar o volume ao nível do bloco. A ferramenta utiliza o pacote de chaves BitLocker para ajudar a recuperar dados encriptados de unidades gravemente danificadas.

Os dados recuperados podem então ser utilizados para recuperar dados encriptados, mesmo que a palavra-passe de recuperação correta não desbloqueie o volume danificado. Recomenda-se que guarde a palavra-passe de recuperação, uma vez que um pacote de chaves não pode ser utilizado sem a palavra-passe de recuperação correspondente.

Utilize a ferramenta de Reparação nas seguintes condições:

  • A unidade é encriptada com o BitLocker
  • O Windows não inicia ou o ecrã de recuperação do BitLocker não é iniciado
  • Não existe uma cópia de segurança dos dados contidos na unidade encriptada

Observação

Os danos na unidade podem não estar relacionados com o BitLocker. Por conseguinte, é recomendado experimentar outras ferramentas para ajudar a diagnosticar e resolve o problema com a unidade antes de utilizar a Ferramenta de Reparação do BitLocker. O Ambiente de Recuperação do Windows (Windows RE) fornece mais opções para reparar o Windows.

Existem as seguintes limitações para Repair-bde:

  • não consegue reparar uma unidade que falhou durante o processo de encriptação ou desencriptação
  • assume que, se a unidade tiver alguma encriptação, a unidade está totalmente encriptada

Para obter uma lista completa das repair-bde.exe opções, consulte a referência Repair-bde.

Observação

Para exportar um pacote de chaves do AD DS, tem de ter acesso de leitura às palavras-passe de recuperação do BitLocker e aos pacotes de chaves armazenados no AD DS. Por predefinição, apenas os Administradores de Domínio têm acesso às informações de recuperação do BitLocker, mas o acesso pode ser delegado a outras pessoas.