Encriptação de Drives Removíveis com o “BitLocker To Go”
O Windows BitLocker é a solução da Microsoft para encriptar volumes de disco (i.e. encripta a partição inteira e não arquivos individualmente)). Ele está integrado ao Windows Vista e funciona de forma transparente para o usuário e as aplicações, que nem percebem que os dados estão sendo cifrados e decrifrados pelo sistema.
No Windows 7 o BitLocker “tradicional” vem com uma série de melhorias:
¦ O Windows 7 já é instalado por default com o particionamento de disco pronto para o BitLocker. Uma partição de boot de 200 ou 400MB é criada automaticamente sempre que o Windows 7 é instalado, fazendo que não seja mais necessário reparticionar o disco para ativar o BitLocker. Esta partição fica “invisível” para o usuário, sem uma letra de drive designada para ela.
¦ O BitLocker permite agora que a organização defina um Agente de Recuperação de Dados (DRA), uma chave que tem acesso a todos os dados encriptados. Nas versões anteriores a única opção para uma organização gerenciar os dados encriptados era o arquivamento das chaves no Active Directory.
¦ A organização pode definir políticas de complexidade e tamanho mínimo para o PIN.
¦ O upgrade do Vista para o Windows 7 pode ser feito diretamente, sem precisar decriptar o disco.
Mas a grande novidade do Windows 7 em relação a proteção de dados é o BitLocker To Go, um novo recurso que permite a encriptação de drives removíveis. Enquanto o BitLocker tradicional protege laptops e outros sistemas contra perda e roubo, o BitLocker To Go vai proteger os dados que estão gravados em “pen drives” e discos USB externos que hoje proliferam nas empresas e que são muito mais fáceis de serem perdidos ou roubados.
O BitLocker To Go é compatível tanto com drivers NTFS ou como FAT, e para usá-lo basta ativar o usuário ligar o BitLocker como mostrado na figura acima. A proteção do acesso pode ser feito tanto através de uma senha (passphrase) digitada na hora de acessar o drive, como também por um smart card. E como conveniência para o usuário, para discos protegidos por passphrase o sistema pode lembrar a senha e desbloquear automaticamente o drive quando ele for inserido.
Para organizações o BitLocker To Go tem ainda alguns recursos interessantes:
¦ Da mesma forma que o BitLocker tradicional, o BitLocker To Go permite que seja definido um Agente de Recuperação de Dados com acesso aos drives encriptados na empresa. Este Agente de Recuperação de Dados (um certificado digital) pode estar armazenado em um smart card.
¦ O meu recurso favorito: a organização pode definir políticas obrigado o uso do BitLocker To Go nos seus sistemas.
Neste caso qualquer drive removível que seja conectado ao sistema fica como read only a não ser que o BitLocker seja ativado, garantindo que os dados só possam ser gravados de forma encriptada em dispositivos móveis. (Obviamente você também tem a opção de só permitir read only mesmo com BitLocker, ou ainda de nem aceitar dispositivos removíveis).
O BitLocker To Go faz parte do Windows 7 e está já no Beta 1 lançado hoje para o público. Um último ponto e importante ponto sobre isso – quer dizer que eu vou precisar de um Windows 7 para acessar os meus pen drives encriptados? Não! A Microsoft vai portar o suporte ao BitLocker To Go também para o Windows XP e Windows Vista permitindo que eles possam ler os drives protegidos. Mais sobre isso em breve.