Criptografia e proteção de dados

• Aplica-se a:

  Windows 11

Quando as pessoas viajam com os seus PCs, as suas informações confidenciais viajam com eles. Onde quer que os dados confidenciais sejam armazenados, têm de ser protegidos contra acesso não autorizado, seja através de roubo de dispositivos físicos ou de aplicações maliciosas.

BitLocker

O BitLocker é uma funcionalidade de proteção de dados que se integra com o sistema operativo para fazer face às ameaças de roubo ou exposição de dados de dispositivos perdidos, roubados ou desativados incorretamente. Utiliza o algoritmo AES no modo XTS ou CBC com comprimentos de chave de 128 bits ou 256 bits para encriptar dados no volume. Durante a configuração inicial, quando o BitLocker é ativado durante o OOBE e o utilizador inicia sessão na conta Microsoft pela primeira vez, o BitLocker guarda automaticamente a palavra-passe de recuperação na conta Microsoft para obtenção, se necessário. Os utilizadores também têm a opção de exportar a palavra-passe de recuperação se ativarem manualmente o BitLocker. O conteúdo da chave de recuperação pode ser guardado no armazenamento na nuvem no OneDrive ou no Azure^[4].

Para organizações, o BitLocker pode ser gerido através da política de grupo ou com uma solução de gestão de dispositivos, como Microsoft Intune^[3]. Fornece encriptação para o SO, dados fixos e unidades de dados amovíveis (BitLocker To Go), através de tecnologias como Hardware Security Test Interface (HSTI), Modern Standby, UEFI Secure Boot e TPM.

Novidades no Windows 11, versão 24H2

O ecrã de recuperação pré-inicial do BitLocker inclui a sugestão da conta Microsoft (MSA), se a palavra-passe de recuperação for guardada num MSA. Esta sugestão ajuda o utilizador a compreender que conta MSA foi utilizada para armazenar informações da chave de recuperação.

Saiba mais

• Visão geral do BitLocker

BitLocker To Go

BitLocker To Go refere-se ao BitLocker em unidades de dados amovíveis. O BitLocker To Go inclui a encriptação de pen USB, cartões SD e unidades de disco rígido externas. As unidades podem ser desbloqueadas através de uma palavra-passe, certificado numa card inteligente ou palavra-passe de recuperação.

Saiba mais

• BitLocker FAQ

Criptografia do dispositivo

A encriptação de dispositivos é uma funcionalidade do Windows que simplifica o processo de ativação da encriptação BitLocker em determinados dispositivos. Garante que apenas a unidade do SO e as unidades fixas são encriptadas, enquanto as unidades externas/USB permanecem desencriptadas. Além disso, os dispositivos com portas acessíveis externamente que permitem o acesso DMA não são elegíveis para encriptação de dispositivos. Ao contrário da implementação padrão do BitLocker, a encriptação de dispositivos é ativada automaticamente para garantir a proteção contínua. Assim que uma instalação limpo do Windows estiver concluída e a experiência pronta a utilizar estiver concluída, o dispositivo será preparado para a primeira utilização com a encriptação já implementada.

As organizações têm a opção de desativar a encriptação de dispositivos a favor de uma implementação completa do BitLocker. Isto permite um controlo mais granular sobre as políticas e definições de encriptação, garantindo que os requisitos de segurança específicos da organização são cumpridos.

Novidades no Windows 11, versão 24H2

Os pré-requisitos de encriptação de dispositivos do DMA e HSTI/Modern Standby são removidos. Esta alteração torna mais dispositivos elegíveis para encriptação de dispositivos automática e manual.

Saiba mais

• Encriptação de dispositivos

Disco Rígido Criptografado

Os discos rígidos encriptados são uma classe de discos rígidos que são autocriptados ao nível do hardware. Permitem a encriptação de hardware de disco completo e são transparentes para o utilizador. Estas unidades combinam os benefícios de segurança e gestão fornecidos pelo BitLocker, com o poder das unidades de encriptação automática.

Ao transferir as operações criptográficas para o hardware, os discos rígidos criptografados aumentam o desempenho do BitLocker e reduzem o uso da CPU e o consumo de energia. Como os discos rígidos criptografados criptografam dados rapidamente, a implantação do BitLocker pode ser expandida entre dispositivos corporativos com pouco ou nenhum impacto na produtividade.

Os discos rígidos encriptados permitem:

• Desempenho suave: o hardware de encriptação integrado no controlador de unidade permite que a unidade funcione a uma taxa de dados completa sem degradação do desempenho
• Segurança forte baseada em hardware: a encriptação está sempre ativada e as chaves de encriptação nunca saem do disco rígido. A unidade autentica o utilizador independentemente do sistema operativo antes de desbloquear
• Facilidade de utilização: a encriptação é transparente para o utilizador e o utilizador não precisa de a ativar. Os discos rígidos encriptados são facilmente apagados com uma chave de encriptação de inclusão. Não é necessário encriptar novamente os dados na unidade
• Menor custo de propriedade: não é necessário que a nova infraestrutura faça a gestão de chaves de encriptação, uma vez que o BitLocker utiliza a infraestrutura existente para armazenar informações de recuperação. O dispositivo funciona de forma mais eficiente porque os ciclos do processador não precisam de ser utilizados para o processo de encriptação

Saiba mais

• Disco Rígido Criptografado

Criptografia de dados

A Encriptação de Dados Pessoais é um mecanismo de encriptação autenticado pelo utilizador concebido para proteger o conteúdo do utilizador. A Encriptação de Dados Pessoais utiliza Windows Hello para Empresas como o respetivo esquema de autenticação moderno, com pin ou métodos de autenticação biométrica. As chaves de encriptação utilizadas pela Encriptação de Dados Pessoais são armazenadas em segurança no contentor Windows Hello. Quando um utilizador inicia sessão com Windows Hello, o contentor é desbloqueado, disponibilizando as chaves para desencriptar o conteúdo do utilizador.

A versão inicial da Encriptação de Dados Pessoais no Windows 11, versão 22H2, introduziu um conjunto de APIs públicas que as aplicações podem adotar para salvaguardar o conteúdo.

Novidades no Windows 11, versão 24H2

A Encriptação de Dados Pessoais é ainda melhorada com a Encriptação de Dados Pessoais para pastas conhecidas, que expande a proteção para as pastas do Windows: Documentos, Imagens e Ambiente de Trabalho.

Saiba mais

• Criptografia de dados

encriptação de Email

Email encriptação permite que os utilizadores protejam mensagens de e-mail e anexos para que apenas os destinatários pretendidos com uma identificação digital (ID) ou certificado possam lê-los^[8]. Os utilizadores também podem assinar digitalmente uma mensagem, que verifica a identidade do remetente e garante que a mensagem não foi adulterada.

A nova aplicação Outlook incluída no Windows 11 suporta vários tipos de encriptação de e-mail, incluindo Criptografia de Mensagens do Microsoft Purview, S/MIME e Gestão de Direitos de Informação (IRM).

Ao utilizar Extensões de Correio da Internet (S/MIME) Seguras/Multiusos, os utilizadores podem enviar mensagens encriptadas a pessoas dentro da organização e a contactos externos que tenham os certificados de encriptação adequados. Os destinatários só podem ler mensagens encriptadas se tiverem as chaves de desencriptação correspondentes. Se for enviada uma mensagem encriptada aos destinatários cujos certificados de encriptação não estão disponíveis, o Outlook pede-lhe para remover estes destinatários antes de enviar o e-mail.

Saiba mais

• S/MIME para assinatura de mensagens e encriptação no Exchange Online
• Introdução ao novo Outlook para Windows
• encriptação de Email