Pianificazione dei requisiti dei Criteri di gruppo per MBAM 2.0

Articolo
12/17/2014

Aggiornamento: aprile 2013

Si applica a: Microsoft BitLocker Administration and Monitoring 2.0

Per gestire i computer client di Microsoft BitLocker Administration and Monitoring (MBAM), è necessario considerare i tipi di protezione BitLocker che si desidera supportare nell'organizzazione e quindi configurare le impostazioni corrispondenti di Criteri di gruppo da applicare. In questo argomento vengono descritte le impostazioni di Criteri di gruppo disponibili quando si utilizza Microsoft BitLocker Administration and Monitoring per gestire la crittografia unità BitLocker nell'organizzazione.

MBAM supporta i seguenti tipi di protezioni BitLocker per le unità del sistema operativo: Trusted Platform Module (TPM), TPM e PIN, TPM più chiave USB, TPM e PIN più chiave USB, password, password numerica e agente recupero dati. La protezione con password è supportata solo per i dispositivi Windows To Go e i dispositivi Windows 8 che non dispongono di un TPM. MBAM supporta le protezioni con TPM più chiave USB e TPM e PIN più chiave USB solo quando il volume del sistema operativo è crittografato prima dell'installazione di MBAM.

MBAM supporta i seguenti tipi di protezioni BitLocker per le unità dati fisse: password, sblocco automatico, password numerica e agente recupero dati.

La protezione con password numerica viene applicata automaticamente come parte di crittografia del volume e non è necessario configurarla.

Importante

Le impostazioni predefinite dell'oggetto Criteri di gruppo (GPO) della crittografia unità BitLocker di Windows non vengono utilizzate da MBAM e se abilitate, possono causare conflitti. Per abilitare MBAM per gestire BitLocker, è necessario definire le impostazioni di Criteri di gruppo di MBAM solo dopo aver installato il modello di Criteri di gruppo di MBAM.

I PIN di avvio avanzati possono contenere caratteri quali lettere maiuscole e minuscole e numeri. A differenza di BitLocker, MBAM non supporta l'utilizzo di simboli e spazi per i PIN avanzati.

Installare il modello di Criteri di gruppo di MBAM in un computer in grado di eseguire Console Gestione Criteri di gruppo (GPMC) o la tecnologia MDOP Gestione avanzata Criteri di gruppo (AGPM). Per modificare le impostazioni di GPO che abilitano la funzionalità di MBAM, è necessario installare prima il modello di Criteri di gruppo di MBAM, aprire GPMC o AGPM per modificare l'oggetto Criteri di gruppo (GPO) applicabile e quindi passare al nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP.

Il nodo GPO di MBAM (Gestione BitLocker) di MDOP contiene rispettivamente quattro impostazioni di criteri globali e quattro nodi figlio di impostazioni oggetto Criteri di gruppo: Gestione client, Unità fissa, Unità del sistema operativo e Unità rimovibile. Le sezioni seguenti includono le definizioni e le impostazioni dei criteri consigliate per facilitare la pianificazione dei requisiti relativi alle impostazioni dell'oggetto Criteri di gruppo di MBAM.

Nota

Per ulteriori informazioni su come configurare le impostazioni minime consigliate dell'oggetto Criteri di gruppo per abilitare la gestione della crittografia BitLocker tramite MBAM, vedere Come MBAM 2.0 di modificare le impostazioni di GPO.

Definizioni dei criteri globali

In questa sezione sono illustrate le definizioni dei criteri globali di MBAM disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP.

Nome del criterio	Informazioni generali e impostazione consigliata
Scegli metodo di crittografia dell'unità e livello di codifica	Configurazione consigliata: Non configurato Configurare questo criterio per utilizzare un metodo di crittografia e un livello di codifica specifici. Quando questo criterio non è configurato, BitLocker utilizzerà il metodo di crittografia predefinito AES 128 bit con diffusione o il metodo di crittografia specificato dallo script di configurazione.
Non sovrascrivere la memoria al riavvio	Configurazione consigliata: Non configurato Configurare questo criterio per migliorare le prestazioni di riavvio senza sovrascrivere i segreti BitLocker in memoria al riavvio. Quando questo criterio non è configurato, i segreti BitLocker vengono rimossi dalla memoria al riavvio del computer.
Convalida conformità a regola di utilizzo dei certificati smart card	Configurazione consigliata: Non configurato Configurare questo criterio per utilizzare la protezione BitLocker basata su certificati smart card. Quando questo criterio non è configurato, per specificare un certificato viene utilizzato un identificatore di oggetto predefinito 1.3.6.1.4.1.311.67.1.1.
Fornisci identificatori univoci per l'organizzazione	Configurazione consigliata: Non configurato Configurare questo criterio per utilizzare un agente recupero dati basato su certificati o il lettore BitLocker To Go. Quando questo criterio non è configurato, il campo Identificazione non viene utilizzato. Se la società richiede misure di sicurezza maggiori, è consigliabile configurare il campo Identificazione per essere sicuri che tutti i dispositivi USB siano stati impostati e che siano allineati a questa impostazione di Criteri di gruppo.

Definizioni dei criteri di Gestione client

In questa sezione sono illustrate le definizioni dei criteri di Gestione client per Microsoft BitLocker Administration and Monitoring disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP\Gestione client.

Nome del criterio	Informazioni generali e impostazioni consigliate
Configura servizi MBAM	Configurazione consigliata: Abilitato Endpoint del servizio di hardware e ripristino MBAM. Utilizzare questa impostazione per abilitare la gestione della crittografia BitLocker del client di MBAM. Inserire un percorso di endpoint simile all'esempio seguente: http://<Nome del server Administration and Monitoring MBAM>:<porta del servizio Web associata a>/MBAMRecoveryAndHardwareService/CoreService.svc. Selezionare le informazioni di ripristino di BitLocker da archiviare. Questa impostazione di criteri consente di configurare il servizio di recupero chiavi per eseguire il backup delle informazioni di ripristino di BitLocker. Consente inoltre di configurare il servizio di creazione report di stato per la raccolta dei report di conformità e controllo. Fornisce un metodo amministrativo per il ripristino dei dati crittografati da BitLocker in modo da evitare che vadano persi per mancanza di informazioni sulle chiavi. Le attività relative al recupero chiavi e ai report di stato verranno inviate in modo automatico e invisibile al percorso del server di report configurato. Se non si configura o si disabilita questa impostazione di criteri, le informazioni sul recupero chiavi non verranno salvate e le attività relative al recupero chiavi e ai report di stato non verranno inviate al server. Quando questo criterio è impostato su Recupera password e pacchetto della chiave, il backup della password di ripristino e del pacchetto della chiave verrà eseguito in modo automatico e invisibile al percorso del server di report configurato. Immettere frequenza stato controllo client in (minuti). Questa impostazione di criteri consente di gestire la frequenza con cui il client controlla i criteri di protezione BitLocker e lo stato nel computer client. Consente inoltre di gestire la frequenza con cui lo stato di conformità del client viene salvato nel server. Il client controlla i criteri di protezione BitLocker e lo stato nel computer client. Esegue inoltre il backup della chiave di ripristino del client in base alla frequenza configurata. Impostare questo valore a seconda dei requisiti aziendali stabiliti per la frequenza di controllo dello stato di conformità del computer e del backup della chiave di ripristino del client. Endpoint del servizio di creazione report di stato MBAM. È necessario configurare questa impostazione per attivare la gestione della crittografia BitLocker del client di MBAM. Inserire un percorso di endpoint simile all'esempio seguente: http://<Nome del server Administration and Monitoring MBAM>:<porta del servizio Web associata a>/MBAMComplianceStatusService/StatusReportingService.svc.
Configura criterio di esenzione utente	Configurazione consigliata: Non configurato Questa impostazione di criteri consente di configurare un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono che un utente può utilizzare per richiedere un'esenzione dalla crittografia BitLocker. Se si abilita questa impostazione di criteri e si specifica un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono, agli utenti verrà visualizzata una finestra di dialogo contenente istruzioni su come richiedere un'esenzione dalla protezione BitLocker. Per ulteriori informazioni su come abilitare le esenzioni della crittografia BitLocker per gli utenti, vedere Come gestire le esenzioni dalla crittografia BitLocker degli utenti. Se si disabilita o non si configura questa impostazione di criteri, le istruzioni per la richiesta di esenzione non verranno visualizzate. Nota L'esenzione utente viene gestita per utente, non per computer. Se più utenti effettuano l'accesso allo stesso computer e un utente qualsiasi non è esente, il computer verrà crittografato.
Configurazione di Analisi utilizzo software	Questa impostazione di criteri consente di configurare in che modo gli utenti di MBAM possono partecipare all'Analisi utilizzo software. Questo programma raccoglie le informazioni sull'hardware del computer e il modo in cui gli utenti utilizzano MBAM senza interromperli mentre lavorano. Queste informazioni consentono a Microsoft di identificare le funzionalità di MBAM da migliorare. Microsoft non utilizza queste informazioni per identificare o contattare gli utenti di MBAM. Se si abilita questa impostazione di criteri, gli utenti possono partecipare all'Analisi utilizzo software. Se, invece, si disabilita questa impostazione di criteri, gli utenti non possono partecipare all'Analisi utilizzo software. Se non si configura questa impostazione di criteri, gli utenti potranno partecipare all'Analisi utilizzo software in un secondo tempo.

Configura servizi MBAM

Configurazione consigliata: Abilitato

Endpoint del servizio di hardware e ripristino MBAM. Utilizzare questa impostazione per abilitare la gestione della crittografia BitLocker del client di MBAM. Inserire un percorso di endpoint simile all'esempio seguente: http://<Nome del server Administration and Monitoring MBAM>:<porta del servizio Web associata a>/MBAMRecoveryAndHardwareService/CoreService.svc.
Selezionare le informazioni di ripristino di BitLocker da archiviare. Questa impostazione di criteri consente di configurare il servizio di recupero chiavi per eseguire il backup delle informazioni di ripristino di BitLocker. Consente inoltre di configurare il servizio di creazione report di stato per la raccolta dei report di conformità e controllo. Fornisce un metodo amministrativo per il ripristino dei dati crittografati da BitLocker in modo da evitare che vadano persi per mancanza di informazioni sulle chiavi. Le attività relative al recupero chiavi e ai report di stato verranno inviate in modo automatico e invisibile al percorso del server di report configurato.

Se non si configura o si disabilita questa impostazione di criteri, le informazioni sul recupero chiavi non verranno salvate e le attività relative al recupero chiavi e ai report di stato non verranno inviate al server. Quando questo criterio è impostato su Recupera password e pacchetto della chiave, il backup della password di ripristino e del pacchetto della chiave verrà eseguito in modo automatico e invisibile al percorso del server di report configurato.
Immettere frequenza stato controllo client in (minuti). Questa impostazione di criteri consente di gestire la frequenza con cui il client controlla i criteri di protezione BitLocker e lo stato nel computer client. Consente inoltre di gestire la frequenza con cui lo stato di conformità del client viene salvato nel server. Il client controlla i criteri di protezione BitLocker e lo stato nel computer client. Esegue inoltre il backup della chiave di ripristino del client in base alla frequenza configurata.

Impostare questo valore a seconda dei requisiti aziendali stabiliti per la frequenza di controllo dello stato di conformità del computer e del backup della chiave di ripristino del client.
Endpoint del servizio di creazione report di stato MBAM. È necessario configurare questa impostazione per attivare la gestione della crittografia BitLocker del client di MBAM. Inserire un percorso di endpoint simile all'esempio seguente: http://<Nome del server Administration and Monitoring MBAM>:<porta del servizio Web associata a>/MBAMComplianceStatusService/StatusReportingService.svc.

Configura criterio di esenzione utente

Configurazione consigliata: Non configurato

Questa impostazione di criteri consente di configurare un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono che un utente può utilizzare per richiedere un'esenzione dalla crittografia BitLocker.

Se si abilita questa impostazione di criteri e si specifica un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono, agli utenti verrà visualizzata una finestra di dialogo contenente istruzioni su come richiedere un'esenzione dalla protezione BitLocker. Per ulteriori informazioni su come abilitare le esenzioni della crittografia BitLocker per gli utenti, vedere Come gestire le esenzioni dalla crittografia BitLocker degli utenti.

Se si disabilita o non si configura questa impostazione di criteri, le istruzioni per la richiesta di esenzione non verranno visualizzate.

Nota

L'esenzione utente viene gestita per utente, non per computer. Se più utenti effettuano l'accesso allo stesso computer e un utente qualsiasi non è esente, il computer verrà crittografato.

Configurazione di Analisi utilizzo software

Questa impostazione di criteri consente di configurare in che modo gli utenti di MBAM possono partecipare all'Analisi utilizzo software. Questo programma raccoglie le informazioni sull'hardware del computer e il modo in cui gli utenti utilizzano MBAM senza interromperli mentre lavorano. Queste informazioni consentono a Microsoft di identificare le funzionalità di MBAM da migliorare. Microsoft non utilizza queste informazioni per identificare o contattare gli utenti di MBAM.

Se si abilita questa impostazione di criteri, gli utenti possono partecipare all'Analisi utilizzo software.

Se, invece, si disabilita questa impostazione di criteri, gli utenti non possono partecipare all'Analisi utilizzo software.

Se non si configura questa impostazione di criteri, gli utenti potranno partecipare all'Analisi utilizzo software in un secondo tempo.

Definizioni dei criteri per unità fissa

In questa sezione sono illustrate le definizioni dei criteri per l'unità fissa di Microsoft BitLocker Administration and Monitoring disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP\Unità fissa.

Nome del criterio	Informazioni generali e impostazione consigliata
Impostazioni crittografia dell'unità dati fissa	Configurazione consigliata: Abilitato Questa impostazione di criteri consente di stabilire se le unità fisse debbano essere crittografate. Se è necessario crittografare il volume del sistema operativo, selezionare l'opzione Consenti sblocco automatico. Quando si abilita questo criterio, è necessario non disabilitare il criterio Configura l'utilizzo della password per le unità dati fisse a meno che l'uso di sblocco automatico per le unità dati fisse non sia consentito o richiesto. Se si richiede l'utilizzo di sblocco automatico per le unità dati fisse, è necessario configurare i volumi del sistema operativo da crittografare. Se si abilita questa impostazione di criteri, agli utenti verrà richiesto di proteggere con BitLocker tutte le unità fisse, che di conseguenza verranno crittografate. Se non si configura questa impostazione di criteri, agli utenti non verrà richiesto di proteggere con BitLocker le unità fisse. Se si applica questo criterio dopo che le unità dati fisse sono stati crittografate, l'agente di MBAM decrittograferà le unità fisse crittografate. Se si disattiva questa impostazione di criteri , gli utenti non potrannno proteggere le unità fisse con BitLocker.
Nega accesso in scrittura per unità fisse non protette da BitLocker	Configurazione consigliata: Non configurato Questa impostazione di criterio determina se è necessario proteggere con BitLocker le unità fisse di un computer in modo che siano scrivibili. Questa impostazione di criteri viene applicata quando si attiva BitLocker. Quando il criterio non è configurato, tutte le unità dati fisse del computer vengono montate con accesso in lettura e scrittura.
Consenti accesso a unità dati fisse protette con BitLocker da precedenti versioni di Windows	Configurazione consigliata: Non configurato Abilitare il criterio per consentire alle unità fisse con il file system FAT di essere sbloccate e visualizzate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Quando il criterio è abilitato o non configurato, è possibile sbloccare le unità fisse formattate con il file system FAT e visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. In questi sistemi operativi è consentito l'accesso in sola lettura alle unità protette con BitLocker. Quando il criterio è disabilitato, non sarà possibile sbloccare le unità fisse formattate con il file system FAT e non sarà possibile visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Configura utilizzo delle password per unità dati fisse	Configurazione consigliata: Non configurato Utilizzare questo criterio per specificare se è necessaria una password per sbloccare le unità dati fisse protette con BitLocker. Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. BitLocker consente agli utenti di sbloccare un'unità con qualsiasi protezione disponibile nell'unità. Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un volume. Se si disabilita questa impostazione di criteri, gli utenti non possono utilizzare una password. Quando questo criterio non è configurato, le password sono supportate con le impostazioni predefinite, che non prevedono requisiti di complessità e richiedono solo otto caratteri. Per una maggiore sicurezza abilitare questo criterio e selezionare Richiedi password per unità dati fissa, Richiedi complessità della password e quindi impostare il valore desiderato per la lunghezza minima della password. Se si disabilita questa impostazione di criteri, gli utenti non possono utilizzare una password. Se questa impostazione di criterio non è configurata, le password sono supportate con le impostazioni predefinite, che non prevedono requisiti di complessità e richiedono solo otto caratteri.
Scegli modalità di ripristino delle unità fisse protette con BitLocker	Configurazione consigliata: Non configurato Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. Se questo criterio non è configurato, l'agente recupero dati BitLocker è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. Per MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Definizioni dei criteri per le unità del sistema operativo

In questa sezione sono illustrate le definizioni dei criteri per le unità di sistema operativo di Microsoft BitLocker Administration and Monitoring disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP\Unità del sistema operativo.

Nome del criterio	Informazioni generali e impostazione consigliata
Impostazioni crittografia dell'unità del sistema operativo	Configurazione consigliata: Abilitato Questa impostazione di criteri consente di stabilire se l'unità del sistema operativo debba essere crittografata. Per una maggiore sicurezza, è consigliabile disabilitare le seguenti impostazioni di criteri in Sistema/Risparmio energia/Impostazioni relative alla modalità sospensione se abilitate con protezione TPM e PIN: Consenti stati di standby (S1-S3) durante la sospensione (Alimentazione da rete elettrica) Consenti stati di standby (S1-S3) durante la sospensione (A batteria) Se si esegue Microsoft Windows 8 o versione successiva e si vuole usare BitLocker in un computer senza TPM, selezionare la casella di controllo Consenti BitLocker senza un TPM compatibile. In questa modalità è necessaria una password per l'avvio. Se si dimentica la password, è necessario utilizzare una delle opzioni di ripristino di BitLocker per accedere all'unità. In un computer con un TPM compatibile, all'avvio possono essere utilizzati due tipi di metodi di autenticazione per fornire ulteriore protezione ai dati crittografati. Quando il computer viene avviato, è possibile utilizzare solo il TPM per l'autenticazione oppure può anche essere necessario inserire un PIN. Se si abilita questa impostazione di criterio, gli utenti devono proteggere con Bitlocker l'unità del sistema operativo. In questo modo l'unità verrà crittografata. Se si disabilita questo criterio, gli utenti non possono proteggere con BitLocker l'unità del sistema operativo. Se si applica questo criterio dopo che l'unità del sistema operativo è stata crittografata, l'unità verrà decrittografata. Se non si configura questo criterio, non è necessario proteggere con BitLocker l'unità del sistema operativo.
Configurazione profilo di convalida della piattaforma TPM	Configurazione consigliata: Non configurato Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM protegge la chiave di crittografia di BitLocker. Se il computer non dispone di un TPM compatibile o se BitLocker è già stato abilitato con protezione TPM, questa impostazione di criteri non è applicabile. Quando l'impostazione di criterio non è configurata, il TPM utilizza il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.
Scegli modalità di ripristino delle unità di sistema operativo protette con BitLocker	Configurazione consigliata: Non configurato Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. Quando questo criterio non è configurato, l'agente recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. Per il funzionamento di MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Impostazioni crittografia dell'unità del sistema operativo

Configurazione consigliata: Abilitato

Questa impostazione di criteri consente di stabilire se l'unità del sistema operativo debba essere crittografata.

Per una maggiore sicurezza, è consigliabile disabilitare le seguenti impostazioni di criteri in Sistema/Risparmio energia/Impostazioni relative alla modalità sospensione se abilitate con protezione TPM e PIN:

Consenti stati di standby (S1-S3) durante la sospensione (Alimentazione da rete elettrica)
Consenti stati di standby (S1-S3) durante la sospensione (A batteria)

Se si esegue Microsoft Windows 8 o versione successiva e si vuole usare BitLocker in un computer senza TPM, selezionare la casella di controllo Consenti BitLocker senza un TPM compatibile. In questa modalità è necessaria una password per l'avvio. Se si dimentica la password, è necessario utilizzare una delle opzioni di ripristino di BitLocker per accedere all'unità.

In un computer con un TPM compatibile, all'avvio possono essere utilizzati due tipi di metodi di autenticazione per fornire ulteriore protezione ai dati crittografati. Quando il computer viene avviato, è possibile utilizzare solo il TPM per l'autenticazione oppure può anche essere necessario inserire un PIN.

Se si abilita questa impostazione di criterio, gli utenti devono proteggere con Bitlocker l'unità del sistema operativo. In questo modo l'unità verrà crittografata.

Se si disabilita questo criterio, gli utenti non possono proteggere con BitLocker l'unità del sistema operativo. Se si applica questo criterio dopo che l'unità del sistema operativo è stata crittografata, l'unità verrà decrittografata.

Se non si configura questo criterio, non è necessario proteggere con BitLocker l'unità del sistema operativo.

Configurazione profilo di convalida della piattaforma TPM

Configurazione consigliata: Non configurato

Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM protegge la chiave di crittografia di BitLocker. Se il computer non dispone di un TPM compatibile o se BitLocker è già stato abilitato con protezione TPM, questa impostazione di criteri non è applicabile.

Quando l'impostazione di criterio non è configurata, il TPM utilizza il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.

Scegli modalità di ripristino delle unità di sistema operativo protette con BitLocker

Configurazione consigliata: Non configurato

Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory.

Quando questo criterio non è configurato, l'agente recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Per il funzionamento di MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Definizioni dei criteri per le unità rimovibili

In questa sezione sono illustrate le definizioni dei criteri per le unità rimovibili di Microsoft BitLocker Administration and Monitoring disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP\Unità rimovibile.

Nome del criterio	Informazioni generali e impostazione consigliata
Configura utilizzo di BitLocker in unità dati rimovibili	Configurazione consigliata: Abilitato Questa criterio consente di definire le modalità di utilizzo di BitLocker nelle unità dati rimovibili. Abilitare l'opzione Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili per consentire agli utenti di eseguire la configurazione guidata BitLocker in un'unità dati rimovibile. Abilitare l'opzione Consenti agli utenti di sospendere e decrittografare BitLocker su unità dati rimovibili per consentire agli utenti di rimuovere Crittografia unità BitLocker dall'unità o di sospenderla durante le attività di manutenzione. Quando questo criterio è abilitato e l'opzione Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili è selezionata, il client di MBAM salva le informazioni di ripristino sulle unità rimovibili nel server di recupero delle chiavi di MBAM e consente agli utenti di ripristinare l'unità in caso di smarrimento della password.
Nega accesso in scrittura per unità rimovibili non protette da BitLocker	Configurazione consigliata: Non configurato Abilitare questo criterio per consentire il solo accesso in scrittura alle unità protette da BitLocker. Quando questo criterio è abilitato, tutte le unità dati rimovibili del computer devono essere crittografate prima che sia consentito l'accesso in scrittura.
Consenti accesso a unità dati rimovibili protette con BitLocker da precedenti versioni di Windows	Configurazione consigliata: Non configurato Abilitare il criterio per consentire alle unità fisse con il file system FAT di essere sbloccate e visualizzate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Quando il criterio non è configurato, è possibile sbloccare le unità fisse formattate con il file system FAT e visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. In questi sistemi operativi è consentito l'accesso in sola lettura alle unità protette con BitLocker. Quando il criterio è disabilitato, non sarà possibile sbloccare le unità rimovibili formattate con il file system FAT e non sarà possibile visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Configura l'utilizzo della password per le unità dati rimovibili	Configurazione consigliata: Non configurato Abilitare questo criterio per configurare la protezione tramite password per le unità dati rimovibili. Quando questo criterio non è configurato, le password sono supportate con le impostazioni predefinite, che non prevedono requisiti di complessità e richiedono solo otto caratteri. Per una maggiore sicurezza è possibile abilitare questo criterio e selezionare Richiedi password per unità dati rimovibile, selezionare Richiedi complessità della password e quindi impostare il valore desiderato per la lunghezza minima della password.
Scegli modalità di ripristino delle unità rimovibili protette con BitLocker	Configurazione consigliata: Non configurato Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. Quando il criterio è impostato su Non configurato, l'agente recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. Per il funzionamento di MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Vedere anche

Concetti

Prerequisiti per la distribuzione di MBAM 2.0

-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----

Condividi tramite

Pianificazione dei requisiti dei Criteri di gruppo per MBAM 2.0

Definizioni dei criteri globali

Definizioni dei criteri di Gestione client

Definizioni dei criteri per unità fissa

Definizioni dei criteri per le unità del sistema operativo

Definizioni dei criteri per le unità rimovibili

Vedere anche

Concetti

Risorse aggiuntive