Bitlocker do Windows 11 protege contra Malwares em dual boot de Windows 11?

[Oswaldo Cruz]

Dúvidas sobre criptografar o sistema com BitLocker do Windows 11:

 

a) Qual a diferença entre o BitLocker do Windows 11 e o Open Source VeraCrypt? Ou seja, quais as vantagens, desvantagens de utilizar cada um?

Já utilizei o VeraCrypt para criptografar todo o sistema em algumas máquinas e praticamente nunca tive problema com ele.

 

b) Com o BitLocker do Windows 11 é possível criptografar todo o sistema e só dar boot com senha igual faz o VeraCrypt?

 

c) Em alguns testes que fiz, tive problema com o BitLocker após instalar o segundo sistema em dual boot. O primeiro sistema pediu a chave de recuperação e não dava o boot mesmo digitando a chave corretamente. Com isso o sistema A não iniciou mais e tive que formatar a máquina. Só iniciava o sistema B. Como estava testando, não cheguei a perder nenhum arquivo.

Por que isso ocorreu? Eu não posso ter dual boot de Windows e ambos com BitLocker ativados para todas as unidades? Tem uma ordem para instalar o Windows 11 e só depois ativar o BitLocker? Instalo um e ativo o BitLocker e depois instalo o segundo Windows 11 e ativo o BitLocker?

 

d) Estou com outra dúvida sobre o uso do Bitlocker do Windows e dual boot em um computador com 3 SSD ( um é para o sistema e será particionado, os outros dois SSDs são para backup) nesse cenário:

 

• Sistema Windows 11 A (máquina de trabalho e precisa ser um sistema 100% seguro etc).
• Sistema Windows 11 B (Seria uma máquina de jogos e outras coisas menos importantes, ou seja, menos seguro).

 

O BitLocker me protegeria de ataque contra a máquina A, caso a máquina B pegue algum Malware? Tipo se pegar um ransomware ou trojan, o hacker/malware não teria condições de acessar os arquivos da máquina A?

Sou adepto da segmentação para aumentar a privacidade e segurança, com um dispositivo exclusivo para cada tarefa (um celular para compras online e acessar banco, um computador de jogos, outro pc para trabalho, pc pra visitas etc).

Mas por questão financeira e também de espaço físico, gostaria de aproveitar o mesmo hardware com uma configuração melhor que acabei de comprar para utilizá-lo para trabalho e lazer, mas sem comprometer a segurança da máquina de trabalho.

Dessa forma, seria possível utilizar a sistema A com segurança para fazer compras online, acessar banco e outras tarefas importantes do trabalho tranquilamente sem medo do sistema B, do dual boot, passar vírus para sistema A?

A criptografia do BitLocker no sistema A e dos SSD de backup protege contra ataque dos sistema B para não infectar o sistema A e nem sequestrar os arquivos do sistema A e do backup nos dois SSD dele? A minha ideal é quando o sistema B estivar rodando, eu nunca vou dar digitar a chave de recuperação dos SSD de backup do sistema A.

Nesse cenário a criptografia do bitlocker me protege?

[Oswaldo Cruz]

Caros membros do fórum clube do Hardware,

 

Fiz algumas pesquisas aqui e uns testes e as dúvidas ainda persistem.

 

É possível configurar  o bitlocker para dar boot apenas com senha, tanto no Windows 10 quanto no 11?

 

O Bitlocker protege apenas contra roubo do HD? Se roubar o pc todo ele não protege?

 

E porque as vezes quando damos boot pede a chave de recuperação e mesmo digitando certo ele não entra? Tive esse problema testando em máquinas virtuais e também na máquina real.

 

 

Se alguém puder ajudar, agradeço muito.

 

Em tempo: vocês usuam o bitlocker ou qual outro programa para criptografar o sistema?

[Necklace]

Em 29/10/2023 às 15:17, Oswaldo Cruz disse:

a) Qual a diferença entre o BitLocker do Windows 11 e o Open Source VeraCrypt? Ou seja, quais as vantagens, desvantagens de utilizar cada um?

Já utilizei o VeraCrypt para criptografar todo o sistema em algumas máquinas e praticamente nunca tive problema com ele.

As diferenças são, principalmente, nos métodos de criptografia disponíveis.

Bitlocker por padrão, utiliza AES-128 e pode ser configurado para ser AES-256, que é o padrão tanto para empresas quanto para governos.

Veracrypt, além de ter suporte aos métodos já citados, também conta com Serpent, Twofish, Camellia, e Kuznyechik.

Além disso, ele conta com criptografia em cascata, o que, de forma didática, meio que seria uma dupla/tripla criptografia.

 

As vantagens do Bitlocker, ao meu ver, seriam a alta compatibilidade com o Windows, e uso do TPM; além de ter opções fáceis de recuperação do sistema.

No caso do Veracrypt, a falta dessas vantagens podem ser, justamente, o seu diferencial, pois o torna mais privado.

 

No quesito segurança, ambos são equivalentes. O software de criptografia mais seguro é o LUKS.

 

Em 29/10/2023 às 15:17, Oswaldo Cruz disse:

b) Com o BitLocker do Windows 11 é possível criptografar todo o sistema e só dar boot com senha igual faz o VeraCrypt?

 

Sim, além disso você também pode usar Hardware keys, como o seu pendrive e criar vários pendrives de backup com essa chave de inicialização (não confunda com a de recuperação).

 

Em 29/10/2023 às 15:17, Oswaldo Cruz disse:

c) Em alguns testes que fiz, tive problema com o BitLocker após instalar o segundo sistema em dual boot. O primeiro sistema pediu a chave de recuperação e não dava o boot mesmo digitando a chave corretamente. Com isso o sistema A não iniciou mais e tive que formatar a máquina. Só iniciava o sistema B. Como estava testando, não cheguei a perder nenhum arquivo.

Por que isso ocorreu? Eu não posso ter dual boot de Windows e ambos com BitLocker ativados para todas as unidades? Tem uma ordem para instalar o Windows 11 e só depois ativar o BitLocker? Instalo um e ativo o BitLocker e depois instalo o segundo Windows 11 e ativo o BitLocker?

As partições de inicialização poderiam estar mal formatadas.

Por exemplo, você poderia estar tentando inicializar o sistema A, criptografado, mas dando boot pelo sistema B, criando assim um conflito.

No caso, você deve se atentar a ter duas partições EFI de inicialização e não apenas uma. Dual boot funciona "melhor" em sistemas diferentes, e mesmo assim criará conflitos. O certo seria um sistema por computador, ou pelo menos um sistema por disco rígido.

Em 29/10/2023 às 15:17, Oswaldo Cruz disse:

O BitLocker me protegeria de ataque contra a máquina A, caso a máquina B pegue algum Malware? Tipo se pegar um ransomware ou trojan, o hacker/malware não teria condições de acessar os arquivos da máquina A?

 

Depende do quão compartilhada é a sua máquina e se o disco/partição com Bitlocker está inicializado ou não.

 

Se os arquivos estão criptografados, você não terá perigo de ser roubado (estou assumindo que você tem uma boa senha), mas um ransomware pode facilmente criptografar um arquivo previamente criptografado, então você os perderia do mesmo jeito.

 

Um vírus potente pode fazer qualquer estrago no seu PC, mas nunca ouvi falar sobre um disco em dual-boot sofrer com ataques no sistema vizinho.

 

Contudo, não se apavore, afinal, no geral, você só consegue mexer numa partição bitlocker caso você conheça a senha.

Se não souber, só resta formatar, e isso não é comum com ransomwares, afinal eles querem "roubar" seus arquivos e exigir algum pagamento como extorsão, logo, apagar não seria opção viável, mas quem sabe, né?

Em 06/11/2023 às 22:37, Oswaldo Cruz disse:

O Bitlocker protege apenas contra roubo do HD? Se roubar o pc todo ele não protege?

 

As chaves contidas no seu TPM são locais, se um ladrão roubar seu computador, ele terá essas chaves fisicamente.

Porém, no seu caso, elas apenas servem como identicação e não como "senhas".

Se você utiliza uma senha no seu bitlocker, você estará seguro.

 

Assista esse vídeo sobre um SSD criptografado com TPM-only e sem senha:

 

Agora, se seu computador utiliza fTPM, que é o TPM integrado no CPU, eu desconheço de ataques que utilizem essa "vulnerabilidade", logo esse contexto do vídeo é bastante específico.

 

Entretanto, como o veracrypt não utiliza de TPM então nem isso você teria que se preocupar.

Mesmo assim, recomendo que continue com o bitlocker, pois ele é mais fácil de utilizar e, se bem configurado, é tão seguro quanto o veracrypt.

 

Apenas certfique-se de:

1. Ter uma senha com 20+ caracteres
2. Guardar pelo menos duas chaves de recuperação
3. Nunca utilizar usuários com privilégios para navegação, pois a chave de recuperação está sempre 1-click-away de um administrador do sistema

[Oswaldo Cruz]

@Necklace  Obrigado por responder!

 

Citação

 

As diferenças são, principalmente, nos métodos de criptografia disponíveis.

Bitlocker por padrão, utiliza AES-128 e pode ser configurado para ser AES-256, que é o padrão tanto para empresas quanto para governos.

Veracrypt, além de ter suporte aos métodos já citados, também conta com Serpent, Twofish, Camellia, e Kuznyechik.

Além disso, ele conta com criptografia em cascata, o que, de forma didática, meio que seria uma dupla/tripla criptografia.

 

As vantagens do Bitlocker, ao meu ver, seriam a alta compatibilidade com o Windows, e uso do TPM; além de ter opções fáceis de recuperação do sistema.

No caso do Veracrypt, a falta dessas vantagens podem ser, justamente, o seu diferencial, pois o torna mais privado.

 

No quesito segurança, ambos são equivalentes. O software de criptografia mais seguro é o LUKS.

 

Entendi. Obrigado! Pesquisei sobre o Luks e vi que ele é para Linux.

 

 

Citação

Sim, além disso você também pode usar Hardware keys, como o seu pendrive e criar vários pendrives de backup com essa chave de inicialização (não confunda com a de recuperação).

Entendi. Só essa parte da senha que não aparece essa opção na hora de utilizar ne todo o  sistema. Tipo pra dar boot só após digitar a senha.

 

 

Citação

 

Depende do quão compartilhada é a sua máquina e se o disco/partição com Bitlocker está inicializado ou não.

 

Se os arquivos estão criptografados, você não terá perigo de ser roubado (estou assumindo que você tem uma boa senha), mas um ransomware pode facilmente criptografar um arquivo previamente criptografado, então você os perderia do mesmo jeito.

 

Um vírus potente pode fazer qualquer estrago no seu PC, mas nunca ouvi falar sobre um disco em dual-boot sofrer com ataques no sistema vizinho.

 

Contudo, não se apavore, afinal, no geral, você só consegue mexer numa partição bitlocker caso você conheça a senha.

Se não souber, só resta formatar, e isso não é comum com ransomwares, afinal eles querem "roubar" seus arquivos e exigir algum pagamento como extorsão, logo, apagar não seria opção viável, mas quem sabe, né?

 

 

Entendi! Obrigado pela informações!

 

Citação

 

As chaves contidas no seu TPM são locais, se um ladrão roubar seu computador, ele terá essas chaves fisicamente.

Porém, no seu caso, elas apenas servem como identicação e não como "senhas".

Se você utiliza uma senha no seu bitlocker, você estará seguro.

 

Essa parte que eu não tinha entendido antes, mas agora está mais claro pra mim. o Chip tpm te dá esse conforto de criptografar mas sem exigir senha. Isso é bem pratico em algumas situações, mas em caso de roubo ou furto do pc/notebook, não adianta muito! Melhor sempre com senha mesmo.

 

Citação

 

Agora, se seu computador utiliza fTPM, que é o TPM integrado no CPU, eu desconheço de ataques que utilizem essa "vulnerabilidade", logo esse contexto do vídeo é bastante específico.

 

Entretanto, como o veracrypt não utiliza de TPM então nem isso você teria que se preocupar.

Mesmo assim, recomendo que continue com o bitlocker, pois ele é mais fácil de utilizar e, se bem configurado, é tão seguro quanto o veracrypt.

 

Apenas certfique-se de:

Ter uma senha com 20+ caracteres

Guardar pelo menos duas chaves de recuperação

Nunca utilizar usuários com privilégios para navegação, pois a chave de recuperação está sempre 1-click-away de um administrador do sistema

 

 

Entendi obrigado. Vou tentar usar com um pendrive para liberar o acesso. Vou pesquisar mais aqui sobre. E sempre conta de usuário limitado para navegar!