Configuração de criptografia de hardware em SEDs Crucial^® via BitLocker

O Windows® 8.1 e versões mais recentes suportam automaticamente o gerenciamento de chaves de criptografia deSEDs por meio de um aplicativo chamado BitLocker®. Antes de habilitar a criptografia de hardware BitLocker, os requisitos abaixo devem ser atendidos (software de criptografia diferente do BitLocker pode ter requisitos adicionais ou modificados).

• Módulo TPM: o BitLocker suporta apenas TPM versão 1.2 e 2.0 (ou mais recente). Além disso, você deve usar um driver de TPM fornecido pela Microsoft® (observe que o BitLocker também pode funcionar sem um TPM, mas precisará de um pendrive USB para definir a senha). Entre em contato com o fabricante do seu sistema se precisar de ajuda para identificar a disponibilidade do seu TPM.
• UEFI 2.3.1 ou superior: O computador host deve ter no mínimo UEFI 2.3.1 e deve ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. Isso permite que os comandos do protocolo de segurança sejam enviados de e para o SED. Entre em contato com o fabricante do seu computador host se não tiver certeza de que esse requisito foi cumprido.
  
• Inicialização segura: na configuração do sistema de entrada/saída básico (BIOS) do sistema, a Inicialização segura deve estar habilitada. A maioria dos sistemas Windows 8.1 e superiores virá automaticamente habilitada. Entre em contato com o fabricante do sistema para assistência sobre como habilitar isso.
  
• Suporte ao Opal 2.0: o sistema precisa oferecer suporte aos padrões de segurança do Opal 2.0. O padrão Opal 2.0 não é compatível retroativamente; os SEDs Crucial não são compatíveis com o Opal 1.0. Entre em contato com o fabricante do sistema se precisar de ajuda para verificar a conformidade com o Opal do sistema.
  
• Modo UEFI: o computador host deve sempre inicializar a partir do UEFI. Qualquer modo de inicialização de "compatibilidade" ou "legado" deve ser desativado. Recomendamos colocar o sistema no modo UEFI apenas antes de instalar o SED Crucial. O CSM (modo de suporte de compatibilidade) também precisa ser desativado. Entre em contato com o fabricante do sistema para obter ajuda com essas configurações. 
  
• Duas partições (uma não criptografada): a SSD deve ter duas partições (unidades com Windows instalado geralmente fazem mesmo assim) e a partição principal a ser criptografada deve ser NTFS. Esta partição secundária não criptografada precisa ter pelo menos 1,5 GB de tamanho. Esta partição é usada para fins de autenticação e é necessária para que a criptografia funcione.
  
• Disco básico: discos dinâmicos não são suportados pelo BitLocker. As unidades Windows 8 e Windows 10 virão configuradas como um disco Básico com layout de partição GPT, que é necessário para usar criptografia de hardware.     
  

Recomenda-se que a UEFI do sistema host seja configurada para aceitar adequadamente o SED antes de instalá-lo fisicamente, conforme descrito no exemplo abaixo. Os detalhes da configuração do sistema variam de sistema para sistema, assim como os nomes de várias funções. No entanto, eles são semelhantes o suficiente para que um único exemplo seja suficiente. Para mais detalhes sobre configurações específicas de UEFI, entre em contato com o fabricante do seu computador.

1. Ativar a Inicialização segura. O Microsoft Secure Boot é um requisito para executar qualquer sistema Windows 8.1 ou 10. Qualquer computador que tenha sido configurado de fábrica para Windows 8.1/10 (como mostrado por um adesivo do Windows 8/10) já terá a Inicialização segura habilitada. Se o sistema host foi originalmente configurado para Windows 7 ou um sistema operacional anterior, verifique se a Inicialização segura está habilitada, conforme mostrado abaixo.

2. Suporte ao modo de inicialização UEFI/CSM. O sistema do computador host deve estar no modo somente UEFI, conforme mostrado abaixo. Normalmente, o CSM será desativado automaticamente no modo somente UEFI; no entanto, isso deve ser verificado e o CSM deve ser desativado, se necessário.

3. Instale o Windows 8.1/10. O método mais direto de implementação da criptografia de hardware é realizar uma instalação limpa e nova do sistema operacional. As versões BitLocker nas edições Windows 8.x e 10 Enterprise e Professional suportam criptografia de hardware em SEDs. Nenhuma etapa especial é necessária para esta função; siga o processo normal de instalação do SO descrito pela Microsoft.  Depois que o SO for instalado, vá para a seção Habilitar BitLocker. 
   Observação: nas configurações de prioridade de inicialização do BIOS, o sistema deve ser configurado para inicializar a SSD primeiro, você não pode ter opções de USB ou CD antes dele.
4. Clonagem do sistema.  Como os SEDs Crucial são compatíveis com eDrive, ativar o BitLocker cria partições especiais, que são necessárias para colocar os recursos do eDrive em vigor. Quando uma SSD ativada por eDrive é clonada, essas partições especiais podem não ser copiadas corretamente para a unidade de destino. A unidade de destino pode funcionar, mas isso não é considerado um processo válido e pode causar problemas de desempenho latentes. Se o disco de origem tiver sido criptografado usando a criptografia de software no BitLocker, primeiro verifique se o BitLocker está desligado antes de iniciar a clonagem da imagem em um SED Crucial. Se estiver usando o BitLocker no modo de criptografia de software no sistema de origem, será necessário um processo de descriptografia para desativar o BitLocker. Isso pode levar várias horas, dependendo da quantidade de dados do usuário e do SO na unidade.

1. Pressione a tecla Windows (geralmente entre <Ctrl> e <Alt>); em seguida, digite Este PC e pressione Enter .
2. Clique com o botão direito do mouse no ícone da unidade do sistema e selecione Ligar BitLocker no menu pop-up.

3. Em seguida, uma caixa de status confirmando que o BitLocker está configurando será exibida, juntamente com uma barra de status. Isso será concluído momentaneamente.
4. Selecione uma das opções para salvar sua chave de recuperação descrita pela Microsoft. Embora a Crucial não tenha opção preferida aqui, não negligencie esta etapa. Em algumas circunstâncias, essa pode ser a única maneira de recuperar dados da sua SSD. A Crucial não tem métodos de backdoor de fábrica para recuperar dados se uma chave de autenticação ou senha for perdida. Depois que a chave for salva, selecione Avançar para continuar.
   

5. O BitLocker perguntará: Está tudo pronto para criptografar esta unidade?Depois de clicar em Continuar, será necessário reiniciar o sistema para concluir o processo.

6. Depois que a reinicialização estiver concluída, você verá no ícone do cadeado do BitLocker na unidade do sistema que o BitLocker está habilitado.

O vídeo abaixo ilustra o processo na íntegra.