Pianificazione dei requisiti dei criteri di gruppo di MBAM 2.5
Usare le informazioni seguenti per determinare i tipi di protezioni BitLocker che è possibile usare per gestire i computer client di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) nell'organizzazione.
Tipi di protezioni BitLocker supportate da MBAM
MBAM supporta i tipi seguenti di protezioni BitLocker.
| Tipo di unità o volume | Protezioni BitLocker supportate |
|---|---|
| Volumi del sistema operativo |
-
Trusted Platform Module (TPM) - TPM + PIN - TPM + chiave USB : supportata solo quando il volume del sistema operativo viene crittografato prima dell'installazione di MBAM - TPM + PIN + chiave USB : supportato solo quando il volume del sistema operativo viene crittografato prima dell'installazione di MBAM - Password : supportata solo per i dispositivi Windows To Go, le unità dati fisse e i dispositivi Windows 8, Windows 8.1 e Windows 10 che non hanno un TPM - Password numerica : applicata automaticamente come parte della crittografia del volume e non deve essere configurata se non in modalità FIPS in Windows 7 - Agente di recupero dati (DRA) |
| Unità dati fisse |
-
Parola d’ordine - Sblocco automatico - Password numerica : applicata automaticamente come parte della crittografia del volume e non deve essere configurata se non in modalità FIPS in Windows 7 - Agente di recupero dati (DRA) |
| Unità rimovibili |
-
Parola d’ordine - Sblocco automatico - Password numerica : applicata automaticamente come parte della crittografia del volume e non deve essere configurata - Agente di recupero dati (DRA) |
Supporto per i criteri BitLocker per la crittografia dello spazio usato
In MBAM 2.5 SP1, se si abilita La crittografia dello spazio usato tramite i criteri di gruppo di BitLocker, il client MBAM lo rispetta.
Questa impostazione di criteri di gruppo è denominata Imponi tipo di crittografia unità nelle unità del sistema operativo e si trova nel nodo oggetto Criteri di gruppo seguente: Configurazione> computerModelli amministrativi Componenti>>di WindowsUnità BitLocker Crittografia>unità Unità unità. Se si abilita questo criterio e si seleziona il tipo di crittografia come Crittografia solo spazio usato, MBAM rispetta i criteri e BitLocker crittograferà solo lo spazio su disco usato nel volume.
Come ottenere i modelli di Criteri di gruppo di MBAM e modificare le impostazioni
Quando si è pronti per configurare le impostazioni di Criteri di gruppo di MBAM desiderate, seguire questa procedura:
Copiare i modelli di Criteri di gruppo di MBAM dai modelli di Criteri di gruppo MDOP e installarli in un computer in grado di eseguire Console Gestione Criteri di gruppo o Gestione criteri di gruppo avanzata. Per altre informazioni, vedere Copia dei modelli di Criteri di gruppo di MBAM 2.5.
Configurare le impostazioni di Criteri di gruppo che si desidera usare nell'organizzazione. Per altre informazioni, vedere Modifica delle impostazioni dei criteri di gruppo di MBAM 2.5.
Descrizioni delle impostazioni dei criteri di gruppo di MBAM
Il nodo OGGETTO Criteri di gruppo MDOP MBAM (Gestione BitLocker) contiene quattro impostazioni dei criteri globali e quattro nodi dell'oggetto Criteri di gruppo figlio: Gestione client, Unità fissa, Unità del sistema operativo e Unità rimovibile. Le sezioni seguenti descrivono e suggeriscono le impostazioni per le impostazioni dei criteri di gruppo di MBAM.
Importante
Non modificare le impostazioni dei criteri di gruppo nel nodo Crittografia unità BitLocker oppure MBAM non funzionerà correttamente. MBAM configura automaticamente le impostazioni in questo nodo quando si configurano le impostazioni nel nodo MDOP MBAM (Gestione BitLocker).
Definizioni di Criteri di gruppo globali
In questa sezione vengono descritte le definizioni dei criteri di gruppo globali di MBAM nel nodo criteri di gruppo seguente: Criteri di configurazione computerModelli amministrativiComponenti di WindowsMDOP MBAM (Gestione BitLocker).This section describes MBAM Global group policy definitions at the following GPO node: Computer Configuration >Policies>Administrative Templates> Windows Components > MDOP MBAM (BitLocker Management).
| Nome criterio | Panoramica e impostazioni di Criteri di gruppo suggerite |
|---|---|
| Scegliere il metodo di crittografia dell'unità e il livello di crittografia |
Configurazione suggerita:Abilitata Configurare questo criterio per l'uso di un metodo di crittografia e di un livello di crittografia specifico. Quando questo criterio non è configurato, BitLocker usa il metodo di crittografia predefinito: AES a 128 bit con Diffusore. Nota: un problema con il report Conformità computer BitLocker causa la visualizzazione di "sconosciuto" per il livello di crittografia, anche se si usa il valore predefinito. Per risolvere questo problema, assicurarsi di abilitare questa impostazione e impostare un valore per la potenza di crittografia. - AES a 128 bit con diffusore - solo per Windows 7 - AES 128 per Windows 8, Windows 8.1, Windows 10 e Windows 11 |
| Impedisci sovrascrittura della memoria al riavvio |
Configurazione suggerita:Non configurata Configurare questo criterio per migliorare le prestazioni di riavvio senza sovrascrivere i segreti di BitLocker in memoria al riavvio. Quando questo criterio non è configurato, i segreti di BitLocker vengono rimossi dalla memoria al riavvio del computer. |
| Convalidare la regola di utilizzo del certificato smart card |
Configurazione suggerita:Non configurata Configurare questo criterio per l'uso della protezione BitLocker basata su certificati smart card. Quando questo criterio non è configurato, viene usato l'identificatore di 1.3.6.1.4.1.311.67.1.1 oggetto predefinito per specificare un certificato. |
| Specificare gli identificatori univoci per l'organizzazione |
Configurazione suggerita:Non configurata Configurare questo criterio per l'uso di un agente di recupero dati basato su certificato o del lettore BitLocker To Go. Quando questo criterio non è configurato, il campo Identificazione non viene usato. Se l'azienda richiede misurazioni di sicurezza più elevate, è possibile configurare il campo Identificazione per assicurarsi che tutti i dispositivi USB abbiano questo campo impostato e che siano allineati a questa impostazione di Criteri di gruppo. |
Definizioni dei criteri di gruppo di Gestione client
Questa sezione descrive le definizioni dei criteri di gestione client per MBAM nel nodo oggetto Criteri di gruppo seguente: Criteri di configurazione>> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Gestione client.
È possibile impostare le stesse impostazioni dei criteri di gruppo per le topologie di integrazione stand-alone e System Center Configuration Manager, con un'eccezione: Disabilitare l'impostazione Configura endpoint del servizio Di report sullo stato di MBAM Services > MBAM se si usa la topologia di integrazione di Configuration Manager, come indicato nella tabella seguente.
| Nome criterio | Panoramica e impostazioni di Criteri di gruppo suggerite |
|---|---|
| Configurare i servizi MBAM |
Configurazione suggerita:Abilitata - Endpoint del servizio di ripristino e hardware di MBAM: usare questa impostazione per abilitare la gestione della crittografia BitLocker del client MBAM. Immettere un percorso dell'endpoint simile all'esempio seguente: http/s)://<NOME> server di amministrazione e monitoraggio DI MBAM:<la porta a> cui è associato il servizio Web/MBAMRecoveryAndHardwareService/CoreService.svc. - Selezionare Le informazioni di ripristino di BitLocker da archiviare: questa impostazione dei criteri consente di configurare il servizio di ripristino delle chiavi per eseguire il backup delle informazioni di ripristino di BitLocker. Consente inoltre di configurare un servizio di creazione di report sullo stato per la raccolta di report. Il criterio fornisce un metodo amministrativo per il ripristino dei dati crittografati da BitLocker per evitare la perdita di dati a causa della mancanza di informazioni chiave. Il report sullo stato e l'attività di ripristino delle chiavi vengono inviati automaticamente e in modo invisibile all'utente al percorso del server di report configurato. Se non si configura questa impostazione di criterio o se la si disabilita, le informazioni di ripristino della chiave non vengono salvate e il report di stato e l'attività di ripristino della chiave non vengono segnalati al server. Quando questa impostazione è impostata su Password di ripristino e pacchetto di chiavi, viene eseguito automaticamente il backup automatico e automatico del pacchetto della chiave e del pacchetto della chiave nel percorso del server di ripristino delle chiavi configurato. - Immettere la frequenza di controllo dello stato del client in minuti: questa impostazione dei criteri gestisce la frequenza con cui il client controlla i criteri di protezione e lo stato di BitLocker nel computer client. Questo criterio gestisce anche la frequenza con cui lo stato di conformità del client viene salvato nel server. Il client controlla i criteri di protezione e lo stato di BitLocker nel computer client ed esegue anche il backup della chiave di ripristino client alla frequenza configurata. Impostare questa frequenza in base al requisito impostato dall'azienda sulla frequenza di controllo dello stato di conformità del computer e sulla frequenza con cui eseguire il backup della chiave di ripristino client. - Endpoint del servizio di report sullo stato di MBAM: - Per MBAM in una topologia autonoma: è necessario configurare questa impostazione per abilitare la gestione della crittografia BitLocker del client MBAM. Immettere un percorso dell'endpoint simile all'esempio seguente: http/s)://<Nome> server di amministrazione e monitoraggio DI MBAM:<la porta a> cui è associato il servizio Web/MBAMComplianceStatusService/StatusReportingService.svc. - Per MBAM nella topologia di integrazione di Configuration Manager: disabilitare questa impostazione. |
| Configurare i criteri di esenzione utente |
Configurazione suggerita:Non configurata Questa impostazione di criterio consente di configurare un indirizzo del sito Web, un indirizzo di posta elettronica o un numero di telefono che indica a un utente di richiedere un'esenzione dalla crittografia BitLocker. Se si abilita questa impostazione di criterio e si specifica un indirizzo del sito Web, un indirizzo di posta elettronica o un numero di telefono, gli utenti visualizzano una finestra di dialogo con istruzioni su come richiedere un'esenzione dalla protezione BitLocker. Per altre informazioni sull'abilitazione delle esenzioni dalla crittografia BitLocker per gli utenti, vedere Come gestire le esenzioni dalla crittografia BitLocker degli utenti. Se si disabilita o non si configura questa impostazione di criterio, le istruzioni per la richiesta di esenzione non vengono visualizzate agli utenti. Nota: l'esenzione utente viene gestita per utente, non per computer. Se più utenti accedono allo stesso computer e un utente non è esente, il computer viene crittografato. |
| Configurare il programma di miglioramento dell'esperienza del cliente |
Configurazione suggerita:Abilitata Questa impostazione di criterio consente di configurare il modo in cui gli utenti di MBAM possono partecipare al programma Analisi utilizzo software. Questo programma raccoglie informazioni sull'hardware del computer e sul modo in cui gli utenti usano MBAM senza interrompere il loro lavoro. Le informazioni consentono a Microsoft di identificare le funzionalità di MBAM da migliorare. Microsoft non usa queste informazioni per identificare o contattare gli utenti di MBAM. Se si abilita questa impostazione di criterio, gli utenti possono partecipare al programma Analisi utilizzo software. Se si disabilita questa impostazione di criterio, gli utenti non possono partecipare al programma Analisi utilizzo software. Se non si configura questa impostazione di criterio, gli utenti possono partecipare al programma Analisi utilizzo software. |
| Specificare l'URL per il collegamento Criteri di sicurezza |
Configurazione suggerita:Abilitata Usare questa impostazione di criterio per specificare un URL visualizzato agli utenti finali come collegamento denominato "Criteri di sicurezza aziendali". Il collegamento punta ai criteri di sicurezza interni dell'azienda e fornisce agli utenti finali informazioni sui requisiti di crittografia. Il collegamento viene visualizzato quando agli utenti viene richiesto da MBAM di crittografare un'unità. Se si abilita questa impostazione di criterio, è possibile configurare l'URL per il collegamento Criteri di sicurezza. Se si disabilita o non si configura questa impostazione di criterio, il collegamento Criteri di sicurezza non viene visualizzato agli utenti. |
Correzione delle definizioni dei criteri di gruppo di unità
Questa sezione descrive le definizioni dei criteri di unità fisse per l'amministrazione e il monitoraggio di Microsoft BitLocker nel nodo oggetto Criteri di gruppo seguente: Criteri di configurazione>> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Unità fissa.
| Nome criterio | Panoramica e impostazioni di Criteri di gruppo suggerite |
|---|---|
| Correzione delle impostazioni di crittografia dell'unità dati |
Configurazione suggerita:Abilitata Questa impostazione di criterio consente di gestire se le unità dati fisse devono essere crittografate. Se è necessario crittografare il volume del sistema operativo, selezionare Abilita unità dati fissa di sblocco automatico. Quando si abilita questo criterio, non è necessario disabilitare il criterio Configura l'uso della password per unità dati fisse a meno che non si abiliti o non richieda l'uso del blocco automatico per le unità dati fisse. Se è necessario usare il blocco automatico per le unità dati fisse, è necessario configurare i volumi del sistema operativo da crittografare. Se si abilita questa impostazione di criterio, gli utenti devono inserire tutte le unità dati fisse nella protezione BitLocker e le unità dati vengono quindi crittografate. Se non si configura questa impostazione di criterio, agli utenti non è richiesto di inserire unità dati fisse nella protezione BitLocker. Se si applica questo criterio dopo la crittografia delle unità dati fisse, l'agente MBAM decrittografa le unità dati fisse crittografate. Se si disabilita questa impostazione di criterio, gli utenti non possono inserire le proprie unità dati fisse nella protezione BitLocker. |
| Negare l'accesso in scrittura alle unità fisse non protette da BitLocker |
Configurazione suggerita:Non configurata Questa impostazione di criterio determina se è necessaria la protezione BitLocker per le unità dati fisse che devono essere scrivibili in un computer. Questa impostazione di criterio viene applicata quando si attiva BitLocker. Quando il criterio non è configurato, tutte le unità dati fisse nel computer vengono montate con l'autorizzazione di lettura/scrittura. |
| Consentire l'accesso alle unità fisse protette da BitLocker da versioni precedenti di Windows |
Configurazione suggerita:Non configurata Abilitare questo criterio in modo che le unità fisse con il file system FAT possano essere sbloccate e visualizzate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Quando i criteri sono abilitati o non configurati, è possibile sbloccare le unità fisse formattate con il file system FAT e visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Questi sistemi operativi dispongono dell'autorizzazione di sola lettura per le unità protette da BitLocker. Quando il criterio è disabilitato, le unità fisse formattate con il file system FAT non possono essere sbloccate e il relativo contenuto non può essere visualizzato nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. |
| Configurare l'uso della password per le unità fisse |
Configurazione suggerita:Non configurata Usare questo criterio per specificare se è necessaria una password per sbloccare le unità dati fisse protette da BitLocker. Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. BitLocker consente agli utenti di sbloccare un'unità con una delle protezioni disponibili nell'unità. Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un volume. Se si disabilita questa impostazione di criterio, agli utenti non è consentito usare una password. Quando i criteri non sono configurati, le password sono supportate con le impostazioni predefinite, che non includono i requisiti di complessità delle password e che richiedono solo otto caratteri. Per una maggiore sicurezza, abilitare questo criterio e quindi selezionare Richiedi password per unità dati fissa, selezionare Richiedi complessità password e impostare la lunghezza minima della password desiderata. Se si disabilita questa impostazione di criterio, agli utenti non è consentito usare una password. Se non si configura questa impostazione di criterio, le password sono supportate con le impostazioni predefinite, che non includono i requisiti di complessità delle password e che richiedono solo otto caratteri. |
| Scegliere come ripristinare le unità fisse protette da BitLocker |
Configurazione suggerita:Non configurata Configurare questo criterio per abilitare l'agente di recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services (AD DS). Quando i criteri non sono configurati, l'agente di recupero dati BitLocker è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. MBAM non richiede il backup delle informazioni di ripristino in Active Directory Domain Services. |
| Impostazioni di imposizione dei criteri di crittografia |
Configurazione suggerita:Abilitata Usare questa impostazione di criterio per configurare il numero di giorni in cui le unità dati fisse possono rimanere non conformi fino a quando non vengono forzate a rispettare i criteri di MBAM. Gli utenti non possono posticipare l'azione richiesta o richiedere un'esenzione dopo il periodo di tolleranza. Il periodo di tolleranza inizia quando l'unità dati fissa viene determinata come non conforme. Tuttavia, i criteri fissi dell'unità dati non vengono applicati fino a quando l'unità del sistema operativo non è conforme. Se il periodo di tolleranza scade e l'unità dati fissa non è ancora conforme, gli utenti non hanno la possibilità di posticipare o richiedere un'esenzione. Se il processo di crittografia richiede l'input dell'utente, viene visualizzata una finestra di dialogo che gli utenti non possono chiudere finché non forniscono le informazioni necessarie. Immettere 0 in Configurare il numero di giorni di periodo di tolleranza di non conformità per le unità fisse per forzare l'avvio del processo di crittografia immediatamente dopo la scadenza del periodo di tolleranza per l'unità del sistema operativo. Se si disabilita o non si configura questa impostazione, gli utenti non sono costretti a rispettare i criteri di MBAM. Se non è necessaria alcuna interazione dell'utente per aggiungere una protezione, la crittografia inizia in background dopo la scadenza del periodo di tolleranza. |
Definizioni dei criteri di gruppo unità del sistema operativo
Questa sezione descrive le definizioni dei criteri di unità del sistema operativo per l'amministrazione e il monitoraggio di Microsoft BitLocker nel nodo oggetto Criteri di gruppo seguente: Criteri di configurazione>> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Unità del sistema operativo.
| Nome criterio | Panoramica e impostazioni di Criteri di gruppo suggerite |
|---|---|
| Impostazioni di crittografia delle unità del sistema operativo |
Configurazione suggerita:Abilitata Questa impostazione di criterio consente di gestire se l'unità del sistema operativo deve essere crittografata. Per una maggiore sicurezza, è consigliabile disabilitare le impostazioni dei criteri seguenti nelleimpostazioni di sospensione di System>Power Management> quando vengono abilitate con la protezione TPM + PIN:
In un computer con un TPM compatibile, è possibile usare due tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare solo il TPM per l'autenticazione oppure può anche richiedere l'immissione di un PIN (Personal Identification Number). Se si abilita questa impostazione di criterio, gli utenti devono inserire l'unità del sistema operativo nella protezione BitLocker e l'unità viene quindi crittografata. Se si disabilita questo criterio, gli utenti non possono inserire l'unità del sistema operativo nella protezione BitLocker. Se si applica questo criterio dopo la crittografia dell'unità del sistema operativo, l'unità viene quindi decrittografata. Se non si configura questo criterio, l'unità del sistema operativo non deve essere inserita nella protezione BitLocker. |
| Consenti PIN avanzati per l'avvio |
Configurazione suggerita:Non configurata Usare questa impostazione di criterio per configurare se i PIN di avvio avanzati vengono usati con BitLocker. I PIN di avvio avanzati consentono l'uso di caratteri, tra cui lettere maiuscole e minuscole, simboli, numeri e spazi. Questa impostazione di criterio viene applicata quando si attiva BitLocker. Se si abilita questa impostazione di criterio, tutti i nuovi PIN di avvio di BitLocker impostati consentiranno all'utente finale di creare PIN avanzati. Tuttavia, non tutti i computer possono supportare pin avanzati nell'ambiente di preavvia. È consigliabile che gli amministratori valutino se i sistemi sono compatibili con questa funzionalità prima di abilitarne l'uso. Selezionare la casella di controllo Richiedi PIN solo ASCII per rendere i PIN avanzati più compatibili con i computer che limitano il tipo o il numero di caratteri che possono essere immessi nell'ambiente di avvio preliminare. Se si disabilita o non si configura questa impostazione di criterio, i PIN avanzati non vengono usati. |
| Scegliere come ripristinare le unità del sistema operativo protette da BitLocker |
Configurazione suggerita:Non configurata Configurare questo criterio per abilitare l'agente di recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services (AD DS). Quando questo criterio non è configurato, l'agente di recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. L'operazione MBAM non richiede il backup delle informazioni di ripristino in Servizi di dominio Active Directory. |
| Configurare l'uso delle password per le unità del sistema operativo |
Configurazione suggerita:Non configurata Usare questa impostazione di criterio per impostare i vincoli per le password usate per sbloccare le unità del sistema operativo protette da BitLocker. Se le protezioni non TPM sono consentite nelle unità del sistema operativo, è possibile effettuare il provisioning di una password, applicare i requisiti di complessità alla password e configurare una lunghezza minima per la password. Affinché l'impostazione del requisito di complessità sia efficace, è anche necessario abilitare l'impostazione dei criteri di gruppo "Password deve soddisfare i requisiti di complessità" disponibile in Configurazione > computer Impostazioni di Windows Impostazioni > di > sicurezza Criteri > account Criteri password. Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un volume. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità. Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare i requisiti di complessità alla password, selezionare Richiedi complessità password. |
| Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware basate su BIOS |
Configurazione suggerita:Non configurata Questa impostazione di criterio consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) del computer protegge la chiave di crittografia BitLocker. Questa impostazione di criterio non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già attivato con la protezione TPM. Importante: Questa impostazione di criteri di gruppo si applica solo ai computer con configurazioni BIOS o ai computer con firmware UEFI con un modulo del servizio di compatibilità (CSM) abilitato. I computer che usano una configurazione del firmware UEFI nativa archiviano valori diversi nei registri di configurazione della piattaforma (PCR). Usare l'impostazione dei criteri di gruppo "Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo" per configurare il profilo PCR TPM per i computer che usano firmware UEFI nativo. Se si abilita questa impostazione di criterio prima di attivare BitLocker, è possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre la protezione BitLocker è attiva, il TPM non rilascia la chiave di crittografia per sbloccare l'unità e il computer visualizza invece la console di ripristino di BitLocker e richiede di specificare la password di ripristino o la chiave di ripristino per sbloccare l'unità. Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di installazione. |
| Configurare il profilo di convalida della piattaforma TPM |
Configurazione suggerita:Non configurata Questa impostazione di criterio consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) del computer protegge la chiave di crittografia BitLocker. Questa impostazione di criterio non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già stato attivato con la protezione TPM. Se si abilita questa impostazione di criterio prima di attivare BitLocker, è possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre la protezione BitLocker è attiva, il TPM non rilascia la chiave di crittografia per sbloccare l'unità e il computer visualizza invece la console di ripristino di BitLocker e richiede di specificare la password di ripristino o la chiave di ripristino per sbloccare l'unità. Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di installazione. |
| Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo |
Configurazione suggerita:Non configurata Questa impostazione di criterio consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) del computer protegge la chiave di crittografia BitLocker. Questa impostazione di criterio non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già attivato con la protezione TPM. Importante: Questa impostazione di Criteri di gruppo si applica solo ai computer con una configurazione del firmware UEFI nativa. Se si abilita questa impostazione di criterio prima di attivare BitLocker, è possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre la protezione BitLocker è attiva, il TPM non rilascia la chiave di crittografia per sbloccare l'unità e il computer visualizza invece la console di ripristino di BitLocker e richiede di specificare la password di ripristino o la chiave di ripristino per sbloccare l'unità. Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di installazione. |
| Reimpostare i dati di convalida della piattaforma dopo il ripristino di BitLocker |
Configurazione suggerita:Non configurata Usare questa impostazione di criterio per controllare se i dati di convalida della piattaforma vengono aggiornati all'avvio di Windows dopo il ripristino di BitLocker. Se si abilita questa impostazione di criterio, i dati di convalida della piattaforma vengono aggiornati all'avvio di Windows dopo il ripristino di BitLocker. Se disabiliti questa impostazione di criterio, i dati di convalida della piattaforma non vengono aggiornati quando Windows viene avviato dopo il ripristino di BitLocker. Se non si configura questa impostazione di criterio, i dati di convalida della piattaforma vengono aggiornati quando Windows viene avviato dopo il ripristino di BitLocker. |
| Usare il profilo di convalida dei dati di configurazione di avvio avanzato |
Configurazione suggerita:Non configurata Questa impostazione di criterio consente di scegliere impostazioni bcd (Boot Configuration Data) specifiche da verificare durante la convalida della piattaforma. Se si abilita questa impostazione di criterio, è possibile aggiungere altre impostazioni, rimuovere le impostazioni predefinite o entrambe. Se disabiliti questa impostazione di criterio, il computer ripristina un profilo BCD simile al profilo BCD predefinito usato da Windows 7. Se non si configura questa impostazione di criterio, il computer verifica le impostazioni bcd di Windows predefinite. Nota: Quando BitLocker usa l'avvio protetto per la convalida dell'integrità dei dati di configurazione di avvio e della piattaforma, come definito dai criteri "Consenti l'avvio protetto per la convalida dell'integrità", il criterio "Usa profilo di convalida dati configurazione di avvio avanzato" viene ignorato. L'impostazione che controlla il debug di avvio (0x16000010) viene sempre convalidata e non ha alcun effetto se è inclusa nei campi specificati. |
| Impostazioni di imposizione dei criteri di crittografia |
Configurazione suggerita:Abilitata Usare questa impostazione di criterio per configurare il numero di giorni in cui gli utenti possono posticipare la conformità ai criteri MBAM per l'unità del sistema operativo. Il periodo di tolleranza inizia quando il sistema operativo viene rilevato per la prima volta come non conforme. Dopo la scadenza di questo periodo di tolleranza, gli utenti non possono posticipare l'azione richiesta o richiedere un'esenzione. Se il processo di crittografia richiede l'input dell'utente, viene visualizzata una finestra di dialogo che gli utenti non possono chiudere finché non forniscono le informazioni necessarie. Se si disabilita o non si configura questa impostazione, gli utenti non sono costretti a rispettare i criteri di MBAM. Se non è necessaria alcuna interazione dell'utente per aggiungere una protezione, la crittografia inizia in background dopo la scadenza del periodo di tolleranza. |
| Configurare il messaggio e l'URL di ripristino di preavavio |
Configurazione suggerita:Non configurata Abilitare questa impostazione di criterio per configurare un messaggio di ripristino personalizzato o per specificare un URL che viene quindi visualizzato nella schermata di ripristino di BitLocker di avvio precedente quando l'unità del sistema operativo è bloccata. Questa impostazione è disponibile solo nei computer client che eseguono Windows 11 e Windows 10. Quando questo criterio è abilitato, è possibile selezionare una di queste opzioni per il messaggio di ripristino di preavvio:
|
Definizioni dei criteri di gruppo unità rimovibile
Questa sezione descrive le definizioni dei criteri di gruppo unità rimovibili per l'amministrazione e il monitoraggio di Microsoft BitLocker nel nodo oggetto Criteri di gruppo seguente:Criteri> di configurazione> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Unità rimovibile.
| Nome criterio | Panoramica e impostazioni di Criteri di gruppo suggerite |
|---|---|
| Controllare l'uso di BitLocker nelle unità rimovibili |
Configurazione suggerita:Abilitata Questo criterio controlla l'uso di BitLocker nelle unità dati rimovibili. Selezionare Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili per consentire agli utenti di eseguire l'installazione guidata di BitLocker in un'unità dati rimovibile. Selezionare Consenti agli utenti di sospendere e decrittografare BitLocker nelle unità dati rimovibili per consentire agli utenti di rimuovere la crittografia delle unità BitLocker dall'unità o di sospendere la crittografia durante l'esecuzione della manutenzione. Quando questo criterio è abilitato e si seleziona Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili, il client MBAM salva le informazioni di ripristino sulle unità rimovibili nel server di ripristino delle chiavi MBAM e consente agli utenti di ripristinare l'unità in caso di perdita della password. |
| Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker |
Configurazione suggerita:Non configurata Abilitare questo criterio per consentire solo l'autorizzazione di scrittura per le unità protette da BitLocker. Quando questo criterio è abilitato, tutte le unità dati rimovibili nel computer richiedono la crittografia prima che sia consentita l'autorizzazione di scrittura. |
| Consentire l'accesso alle unità rimovibili protette da BitLocker da versioni precedenti di Windows |
Configurazione suggerita:Non configurata Abilitare questo criterio per consentire lo sblocco e la visualizzazione di unità fisse con il file system FAT nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Quando questo criterio non è configurato, le unità rimovibili formattate con il file system FAT possono essere sbloccate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 e il relativo contenuto può essere visualizzato. Questi sistemi operativi dispongono dell'autorizzazione di sola lettura per le unità protette da BitLocker. Quando il criterio è disabilitato, le unità rimovibili formattate con il file system FAT non possono essere sbloccate e il relativo contenuto non può essere visualizzato nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. |
| Configurare l'uso della password per le unità dati rimovibili |
Configurazione suggerita:Non configurata Abilitare questo criterio per configurare la protezione delle password nelle unità dati rimovibili. Quando questo criterio non è configurato, le password sono supportate con le impostazioni predefinite, che non includono i requisiti di complessità delle password e che richiedono solo otto caratteri. Per una maggiore sicurezza, è possibile abilitare questo criterio e selezionare Richiedi password per l'unità dati rimovibile, selezionare Richiedi complessità password e impostare la lunghezza minima preferita della password. |
| Scegliere come ripristinare le unità rimovibili protette da BitLocker |
Configurazione suggerita:Non configurata Configurare questo criterio per abilitare l'agente di recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services (AD DS). Se impostato su Non configurato, l'agente di ripristino dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. L'operazione MBAM non richiede il backup delle informazioni di ripristino in Servizi di dominio Active Directory. |