Configuração de criptografia de hardware em SEDs Crucial ^® via BitLocker

O Windows® 8.1 e versões mais recentes suportam automaticamente o gerenciamento de chaves de criptografia deSEDs por meio de um aplicativo chamado BitLocker®. Antes de habilitar a criptografia de hardware BitLocker, os requisitos abaixo devem ser atendidos (software de criptografia diferente do BitLocker pode ter requisitos adicionais ou modificados).

Observe que as etapas a seguir permitirão que você ative a criptografia de hardware usando o BitLocker em SEDs Crucial compatíveis com o Microsoft® eDrive. Nem todos os SEDs Crucial são compatíveis com o Microsoft eDrive, por isso é importante confirmar se a unidade é compatível com essa especificação antes de seguir as etapas deste guia. Se você seguir estas etapas em uma unidade que não seja compatível com o Microsoft eDrive, você só poderá habilitar a criptografia de software usando o Bitlocker e não a criptografia de hardware. Se você tiver um SED Crucial série MX500 ou mais antigo, continue com as etapas abaixo. Se você tiver um SED NVMe M.2 Crucial, precisará seguir as informações fornecidas no artigo Habilitar criptografia de hardware para SSDs NVMe® Crucial.

• Módulo TPM: o BitLocker suporta apenas TPM versão 1.2 e 2.0 (ou mais recente). Além disso, você deve usar um driver de TPM fornecido pela Microsoft (observe que o BitLocker também pode funcionar sem um TPM, mas precisará de um pendrive USB para definir a senha). Entre em contato com o fabricante do seu sistema se precisar de ajuda para identificar a disponibilidade do seu TPM.
• UEFI 2.3.1 ou superior: O computador host deve ter no mínimo UEFI 2.3.1 e deve ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. Isso permite que os comandos do protocolo de segurança sejam enviados de e para o SED. Entre em contato com o fabricante do seu computador host se não tiver certeza de que esse requisito foi cumprido.
  
• Inicialização segura: na configuração do sistema de entrada/saída básico (BIOS) do sistema, a Inicialização segura deve estar habilitada. A maioria dos sistemas Windows 8.1 e superiores virá automaticamente habilitada. Entre em contato com o fabricante do sistema para assistência sobre como habilitar isso.
  
• Suporte ao Opal 2.0: o sistema precisa oferecer suporte aos padrões de segurança do Opal 2.0. O padrão Opal 2.0 não é compatível retroativamente; os SEDs Crucial não são compatíveis com o Opal 1.0. Entre em contato com o fabricante do sistema se precisar de ajuda para verificar a conformidade com o Opal do sistema.
  
• Microsoft eDrive: Uma especificação de segurança usada pela Microsoft para habilitar a criptografia de hardware em SEDs usando BitLocker ou políticas de grupo e é baseada nos padrões TCG OPAL e IEEE 1667. Isso só é necessário em um SED ao tentar habilitar a criptografia de hardware usando o BitLocker ou políticas de grupo no SO. Soluções de terceiros podem não exigir estritamente esse recurso para habilitar a criptografia de hardware.
• Modo UEFI: o computador host deve sempre inicializar a partir do UEFI. Qualquer modo de inicialização de "compatibilidade" ou "legado" deve ser desativado. Recomendamos colocar o sistema no modo UEFI apenas antes de instalar o SED Crucial. O CSM (modo de suporte de compatibilidade) também precisa ser desativado. Entre em contato com o fabricante do sistema para obter ajuda com essas configurações. 
  
• Duas partições (uma não criptografada): a SSD deve ter duas partições (unidades com Windows instalado geralmente fazem mesmo assim) e a partição principal a ser criptografada deve ser NTFS. Esta partição secundária não criptografada precisa ter pelo menos 1,5 GB de tamanho. Esta partição é usada para fins de autenticação e é necessária para que a criptografia funcione.
  
• Disco básico: discos dinâmicos não são suportados pelo BitLocker. As unidades Windows 8 e Windows 10 virão configuradas como um disco Básico com layout de partição GPT, que é necessário para usar criptografia de hardware.     
  

Recomenda-se que a UEFI do sistema host seja configurada para aceitar adequadamente o SED antes de instalá-lo fisicamente, conforme descrito no exemplo abaixo. Os detalhes da configuração do sistema variam de sistema para sistema, assim como os nomes de várias funções. No entanto, eles são semelhantes o suficiente para que um único exemplo seja suficiente. Para mais detalhes sobre configurações específicas de UEFI, entre em contato com o fabricante do seu computador.

1. Ativar a Inicialização segura. O Microsoft Secure Boot é um requisito para executar o Windows 8.1 ou qualquer sistema mais recente. Qualquer computador que tenha sido configurado de fábrica para Windows 8.1/10/11 (como mostrado por um adesivo do Windows 8/10/11) já terá a Inicialização segura habilitada. Se o sistema host foi originalmente configurado para Windows 7 ou um sistema operacional anterior, verifique se a Inicialização segura está habilitada, conforme mostrado abaixo.

2. Suporte ao modo de inicialização UEFI/CSM. O sistema do computador host deve estar no modo somente UEFI, conforme mostrado abaixo. Normalmente, o CSM será desativado automaticamente no modo somente UEFI; no entanto, isso deve ser verificado e o CSM deve ser desativado, se necessário.

3. Instale o Windows 8.1/10/11. O método mais direto de implementação da criptografia de hardware é realizar uma instalação limpa e nova do sistema operacional. As versões BitLocker nas edições Windows 8.x, 10 e 11 Enterprise e Professional suportam a criptografia de hardware em SEDs. Nenhuma etapa especial é necessária para esta função; siga o processo normal de instalação do SO descrito pela Microsoft.  Depois que o SO for instalado, vá para a seção Habilitar BitLocker. 
   Observação: nas configurações de prioridade de inicialização do BIOS, o sistema deve ser configurado para inicializar a SSD primeiro, você não pode ter opções de USB ou CD antes dele.
4. Clonagem do sistema.  Como os SEDs Crucial são compatíveis com eDrive, ativar o BitLocker cria partições especiais, que são necessárias para colocar os recursos do eDrive em vigor. Quando uma SSD ativada por eDrive é clonada, essas partições especiais podem não ser copiadas corretamente para a unidade de destino. A unidade de destino pode funcionar, mas isso não é considerado um processo válido e pode causar problemas de desempenho latentes. Se o disco de origem tiver sido criptografado usando a criptografia de software no BitLocker, primeiro verifique se o BitLocker está desligado antes de iniciar a clonagem da imagem em um SED Crucial. Se estiver usando o BitLocker no modo de criptografia de software no sistema de origem, será necessário um processo de descriptografia para desativar o BitLocker. Isso pode levar várias horas, dependendo da quantidade de dados do usuário e do SO na unidade.

1. Pressione a tecla Windows (geralmente entre <Ctrl> e <Alt>); em seguida, digite Este PC e pressione Enter .
2. Clique com o botão direito do mouse no ícone da unidade do sistema e selecione Ligar BitLocker no menu pop-up.

3. Em seguida, uma caixa de status confirmando que o BitLocker está configurando será exibida, juntamente com uma barra de status. Isso será concluído momentaneamente.
4. Selecione uma das opções para salvar sua chave de recuperação descrita pela Microsoft. Embora a Crucial não tenha opção preferida aqui, não negligencie esta etapa. Em algumas circunstâncias, essa pode ser a única maneira de recuperar dados da sua SSD. A Crucial não tem métodos de backdoor de fábrica para recuperar dados se uma chave de autenticação ou senha for perdida. Depois que a chave for salva, selecione Avançar para continuar.
   

5. O BitLocker perguntará: Está tudo pronto para criptografar esta unidade?Depois de clicar em Continuar, será necessário reiniciar o sistema para concluir o processo.

6. Depois que a reinicialização estiver concluída, você verá no ícone do cadeado do BitLocker na unidade do sistema que o BitLocker está habilitado.

O vídeo abaixo ilustra o processo na íntegra.