Como o BitLocker funciona sem um módulo TPM no Windows
O BitLocker normalmente usa um Trusted Platform Module (TPM) compatível para ajudar a proteger a unidade do sistema operacional e liberar a chave de criptografia somente quando o ambiente de inicialização parece confiável. Em um computador sem um TPM utilizável, o BitLocker ainda pode criptografar a unidade do Windows, mas precisa usar outro protetor de inicialização.
Na prática, ativar o BitLocker sem TPM significa que o Windows exigirá autenticação antes da inicialização. Dependendo das opções disponíveis na sua edição e no seu hardware, isso pode ser uma senha de inicialização ou uma unidade flash USB que contém uma chave de inicialização do BitLocker. A unidade continua criptografada, mas o computador não consegue desbloqueá-la silenciosamente antes de o Windows iniciar.
Sem TPM, o BitLocker não tem a mesma verificação de integridade de inicialização baseada em hardware. A proteção ainda criptografa a unidade, mas a credencial de inicialização passa a ser muito mais importante.
Os dados ficam criptografados
Os arquivos na unidade do sistema ficam protegidos quando o PC está desligado, perdido, roubado ou quando a unidade é removida do computador.
Entrada na inicialização é obrigatória
Você precisa informar uma senha de inicialização ou inserir uma unidade flash USB com a chave de inicialização antes que o Windows possa iniciar.
A política precisa ser alterada
O Windows bloqueia essa configuração até que a política Permitir BitLocker sem um TPM compatível seja ativada.
Requisitos para ativar o BitLocker sem TPM no Windows 11 ou Windows 10
Antes de alterar as configurações do BitLocker, verifique se o computador e a edição do Windows podem oferecer suporte a essa configuração. Isso é especialmente importante em PCs antigos, computadores montados, máquinas virtuais e notebooks em que o TPM foi desativado no BIOS ou UEFI.
| Requisito | Por que é importante | O que verificar |
|---|---|---|
| Edição do Windows | A Criptografia de Unidade de Disco BitLocker completa está disponível no Windows Pro, Enterprise, Education e em algumas edições corporativas. | Abra winver ou acesse Configurações → Sistema → Sobre. |
| Conta de administrador | Alterar a política do BitLocker e criptografar a unidade do sistema exige permissões elevadas. | Use uma conta que consiga abrir o Windows Terminal, o PowerShell ou o Prompt de Comando como administrador. |
| Armazenamento da chave de recuperação | Se a senha de inicialização ou a chave USB for perdida, a chave de recuperação pode ser a única forma de desbloquear a unidade. | Prepare uma conta Microsoft, uma cópia impressa, uma unidade externa ou uma entrada segura em um gerenciador de senhas. |
| Suporte a inicialização por USB | Se você usar uma chave USB de inicialização, o firmware precisa conseguir ler a unidade USB antes de o Windows iniciar. | Confirme se o armazenamento USB funciona no modo de inicialização BIOS/UEFI e execute a verificação do sistema do BitLocker. |
| Backup dos arquivos importantes | A criptografia altera toda a unidade do sistema, e um erro com as chaves pode impedir o acesso. | Faça backup dos arquivos pessoais antes de ativar o BitLocker na unidade do sistema operacional. |
Nunca armazene a única cópia da chave de recuperação na mesma unidade Windows criptografada. Se a unidade for bloqueada, essa cópia também ficará inacessível.
Como verificar se o seu PC Windows tem um módulo TPM
Primeiro, confirme se o TPM realmente está ausente ou apenas desativado. Muitos PCs modernos têm TPM 2.0 no firmware, mas ele pode estar desligado no BIOS/UEFI ou aparecer com outro nome, como Intel PTT ou AMD fTPM.
Verificar o TPM com tpm.msc
- Pressione Win + R.
- Digite
tpm.msce pressione Enter. - Observe a seção Status.
- Se aparecer O TPM está pronto para uso, o PC tem um TPM funcionando.
- Se aparecer que não foi possível encontrar um TPM compatível, continue com a configuração do BitLocker sem TPM ou verifique primeiro o BIOS/UEFI.
Verificar o TPM com PowerShell
Get-Tpm
Se TpmPresent for False, o Windows não detecta um TPM no momento. Se TpmPresent for True, mas TpmReady for False, o módulo existe, mas pode precisar ser ativado, inicializado ou corrigido.
Se o computador tem TPM, mas ele está desativado, ativar o TPM no BIOS/UEFI geralmente é melhor do que usar o BitLocker sem TPM. O BitLocker baseado em TPM pode desbloquear com mais conveniência e oferecer proteção mais forte do estado de inicialização.
Ativar a política “Permitir BitLocker sem um TPM compatível”
Por padrão, o Windows pode mostrar o erro Este dispositivo não pode usar um Trusted Platform Module quando você tenta criptografar a unidade do sistema operacional. Para permitir o BitLocker sem TPM, altere primeiro uma configuração da Política de Grupo Local.
- Pressione Win + R, digite
gpedit.msce pressione Enter. - Acesse Configuração do Computador → Modelos Administrativos → Componentes do Windows → Criptografia de Unidade de Disco BitLocker → Unidades do Sistema Operacional.
- Clique duas vezes em Exigir autenticação adicional na inicialização.
- Selecione Habilitado.
- Marque Permitir BitLocker sem um TPM compatível (exige uma senha ou uma chave de inicialização em uma unidade flash USB).
- Deixe as opções relacionadas ao TPM inalteradas, a menos que você também esteja configurando o BitLocker para computadores que têm TPM.
- Clique em Aplicar e depois em OK.
Forçar a atualização da política
Você pode reiniciar o Windows ou executar este comando em um Prompt de Comando elevado:
gpupdate /forceA configuração crítica é Exigir autenticação adicional na inicialização. A caixa de seleção dentro dessa política é o que permite o BitLocker em uma unidade do sistema operacional sem um TPM compatível.
Como ativar o BitLocker sem TPM depois de alterar a política
Depois que a política for ativada, inicie o BitLocker pelo Painel de Controle. Esse método é mais seguro para a maioria dos usuários porque o Windows mostra o assistente de configuração, pergunta onde salvar a chave de recuperação e pode executar uma verificação do sistema antes do início da criptografia.
Abrir a Criptografia de Unidade de Disco BitLocker
- Pressione Win + R.
- Digite
control /name Microsoft.BitLockerDriveEncryptione pressione Enter. - Encontre a unidade do sistema operacional, normalmente
C:. - Clique em Ativar BitLocker.
- Escolha o método de inicialização oferecido pelo assistente: senha ou chave USB de inicialização.
- Salve a chave de recuperação fora da unidade do sistema criptografada.
- Escolha Criptografar somente o espaço em disco usado para um PC novo, ou Criptografar a unidade inteira para um PC que já continha dados pessoais.
- Selecione o modo de criptografia mais recente para unidades internas do sistema no Windows 10/11, a menos que você precise de compatibilidade com versões antigas do Windows.
- Execute a verificação do sistema do BitLocker quando ela for oferecida e reinicie o PC.
A verificação do sistema do BitLocker confirma que o método de inicialização selecionado funciona antes que o Windows se comprometa totalmente com o processo de inicialização criptografada. Isso é especialmente importante ao usar uma chave USB de inicialização.
BitLocker sem TPM: senha de inicialização vs chave USB de inicialização
Quando o TPM não está disponível, o protetor de inicialização se torna a chave prática para a unidade do sistema criptografada. Escolha uma opção que você consiga usar de forma confiável sempre que o computador iniciar.
| Opção | Como funciona | Vantagens | Riscos |
|---|---|---|---|
| Senha de inicialização | Você digita uma senha antes de o Windows iniciar. | Não exige unidade USB. É mais simples para notebooks e viagens. | Uma senha fraca reduz a segurança. Senhas esquecidas exigem a chave de recuperação. |
| Chave USB de inicialização | O Windows lê um arquivo de chave especial em uma unidade flash USB antes de inicializar. | Não é necessário digitar senha na inicialização. Útil para desktops fixos em ambientes controlados. | A unidade USB pode ser perdida, copiada, danificada ou deixada inserida no PC. |
| Chave de recuperação | Uma chave de emergência de 48 dígitos desbloqueia a unidade quando o protetor normal de inicialização falha. | É o recurso essencial se a autenticação de inicialização falhar. | Se ela for perdida, os dados criptografados podem se tornar irrecuperáveis. |
Recomendado
- Use uma senha de inicialização longa se o assistente oferecer autenticação de inicialização baseada em senha.
- Use uma unidade flash USB dedicada se você escolher uma chave de inicialização.
- Mantenha pelo menos uma cópia da chave de recuperação offline.
- Teste a primeira reinicialização antes de confiar na configuração.
Evite
- Não armazene a chave de recuperação apenas em
C:. - Não deixe uma chave USB de inicialização permanentemente inserida em um notebook.
- Não use senhas curtas, óbvias, reutilizadas ou compartilhadas.
- Não altere as configurações de inicialização do BIOS imediatamente após ativar a criptografia, a menos que você tenha a chave de recuperação.
Como fazer backup da chave de recuperação do BitLocker antes de criptografar
A chave de recuperação é o seu método de acesso de emergência. Se o Windows não conseguir usar a senha de inicialização ou a chave de inicialização, ele poderá solicitar a chave de recuperação de 48 dígitos antes de desbloquear a unidade.
Locais seguros para armazenar a chave de recuperação
- Salve-a na sua conta Microsoft se o assistente oferecer essa opção.
- Imprima a chave e guarde a cópia em papel em um local seguro.
- Salve-a em uma unidade externa separada que não esteja criptografada pela mesma configuração do BitLocker.
- Armazene-a em um gerenciador de senhas confiável como uma nota segura.
- Para PCs de trabalho, siga a política da sua organização para backup da chave de recuperação.
Locais inseguros para armazenar a chave de recuperação
- A área de trabalho, a pasta Documentos ou a pasta Downloads na mesma unidade Windows criptografada.
- Uma captura de tela armazenada apenas no mesmo computador.
- Um arquivo de texto desprotegido chamado
bitlocker key.txtem uma unidade USB compartilhada. - Uma pasta na nuvem que sincroniza automaticamente com contas que você não controla.
Se o BitLocker estiver configurado corretamente e você perder tanto o protetor normal de inicialização quanto a chave de recuperação, o Windows não consegue simplesmente ignorar a criptografia. Talvez seja possível reinstalar o Windows, mas os arquivos criptografados no volume bloqueado não serão recuperáveis sem um protetor válido.
Comandos úteis para o BitLocker sem TPM
Estes comandos ajudam a verificar o status, confirmar os protetores e monitorar a criptografia. Execute o Prompt de Comando, o PowerShell ou o Windows Terminal como administrador.
Verificar o status do BitLocker
manage-bde -status C:Mostrar os protetores do BitLocker para a unidade do sistema
manage-bde -protectors -get C:Verificar o BitLocker com PowerShell
Get-BitLockerVolume -MountPoint "C:"Abrir o applet do BitLocker no Painel de Controle
control /name Microsoft.BitLockerDriveEncryptionAtualizar a Política de Grupo
gpupdate /forceSe você usa scripts para implantação do BitLocker, teste-os primeiro em uma máquina não crítica. Protetores de inicialização, armazenamento da chave de recuperação, comportamento do firmware e diferenças entre edições do Windows podem alterar o resultado.
O que fazer se o gpedit.msc estiver ausente no Windows?
Se o gpedit.msc estiver ausente, verifique primeiro a edição do Windows. As edições Windows Home geralmente não incluem o Editor de Política de Grupo Local e também não oferecem a experiência completa de gerenciamento do BitLocker usada nas edições Pro, Enterprise e Education. Alguns dispositivos com Windows Home oferecem suporte à Criptografia de Dispositivo, mas isso não é o mesmo que configurar manualmente o BitLocker completo sem TPM.
| Edição do Windows | Configuração do BitLocker sem TPM | Ação recomendada |
|---|---|---|
| Windows Pro | Compatível por meio da Política de Grupo Local e da Criptografia de Unidade de Disco BitLocker. | Use gpedit.msc, ative a política de autenticação na inicialização e depois inicie o BitLocker. |
| Windows Enterprise / Education | Compatível e frequentemente gerenciado por política de TI, Intune ou Active Directory. | Consulte o administrador antes de alterar os protetores de inicialização. |
| Windows Home | A configuração completa do BitLocker normalmente não está disponível. | Use a Criptografia de Dispositivo se houver suporte, ou atualize para a edição Pro se precisar do gerenciamento completo do BitLocker. |
Existem alterações de política do BitLocker baseadas no Registro, mas usar a Política de Grupo Local é mais claro, mais seguro e mais fácil de auditar. Para a maioria dos usuários domésticos, o problema de ausência do gpedit.msc geralmente significa que a edição do Windows não oferece suporte ao fluxo de trabalho pretendido do BitLocker.
Corrigir problemas do BitLocker sem TPM no Windows
Os problemas mais comuns são causados por política não aplicada, edição do Windows sem suporte, firmware que não consegue ler a chave USB de inicialização ou erros no backup da chave de recuperação.
| Problema | Causa provável | Correção |
|---|---|---|
| Este dispositivo não pode usar um Trusted Platform Module | A política necessária está desativada ou ainda não foi atualizada. | Ative Exigir autenticação adicional na inicialização, marque a caixa para uso sem TPM e execute gpupdate /force ou reinicie. |
| A opção BitLocker está ausente | Windows Home, falta de direitos de administrador ou recurso BitLocker desativado em um PC gerenciado. | Verifique a edição do Windows com winver e abra o Painel de Controle como administrador. |
| A chave USB de inicialização não é detectada antes do boot | O firmware não consegue ler a unidade USB, o suporte a inicialização por USB está desativado ou a porta não está disponível no modo pré-boot. | Tente outra porta USB, ative o suporte a USB no BIOS/UEFI, use uma unidade USB FAT32 simples e execute a verificação do sistema do BitLocker. |
| O prompt da chave de recuperação aparece após mudanças no BIOS | A configuração de inicialização foi alterada após a criptografia. | Insira a chave de recuperação, verifique a ordem de boot e suspenda o BitLocker antes de futuras atualizações de firmware. |
| A senha ou chave funciona em uma inicialização, mas não em outra | Layout do teclado, suporte ao teclado antes do boot, chave USB danificada ou caminho de inicialização alterado. | Use caracteres simples nas senhas de inicialização, teste outro teclado ou porta USB e mantenha uma cópia da chave de recuperação disponível. |
Dica segura de manutenção
Antes de atualizações de BIOS, alterações na ordem de boot, clonagem de disco, trabalho com partições ou grandes mudanças de firmware, suspenda temporariamente o BitLocker e retome a proteção depois que a manutenção terminar.
manage-bde -protectors -disable C:
manage-bde -protectors -enable C:Perguntas frequentes sobre BitLocker sem TPM
Q Posso ativar o BitLocker sem TPM no Windows 11? ▼
Q O BitLocker sem TPM é tão seguro quanto o BitLocker com TPM? ▼
Q Preciso de uma unidade flash USB para usar o BitLocker sem TPM? ▼
Q Por que o Windows ainda diz que o TPM é obrigatório depois que alterei a política? ▼
gpupdate /force, reinicie e confirme o caminho da política em Unidades do Sistema Operacional.
Q O Windows Home pode ativar o BitLocker sem TPM? ▼
Q O que devo fazer se eu perder a chave USB de inicialização? ▼
🔐 Resumo: ative o BitLocker sem TPM com cuidado
Para ativar o BitLocker sem um módulo TPM, primeiro abra gpedit.msc, habilite Exigir autenticação adicional na inicialização e marque Permitir BitLocker sem um TPM compatível. Depois disso, ative o BitLocker pelo Painel de Controle e escolha o método de inicialização oferecido pelo assistente.
A regra de segurança mais importante é simples: faça backup da chave de recuperação antes do início da criptografia e mantenha essa chave fora da unidade Windows criptografada. Sem TPM, sua senha de inicialização ou chave USB de inicialização se torna crítica, e a chave de recuperação é o método de acesso de emergência caso a autenticação de inicialização falhe.