Configurare BitLocker

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Per configurare BitLocker, è possibile usare una delle opzioni seguenti:

• Provider di servizi di configurazione (CSP): questa opzione viene comunemente usata per i dispositivi gestiti da una soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune. Il provider di servizi di configurazione BitLocker viene usato per configurare BitLocker e per segnalare lo stato di diverse funzioni BitLocker alla soluzione MDM. Con Microsoft Intune, è possibile usare lo stato di BitLocker nei criteri di conformità, combinandoli con l'accesso condizionale. L'accesso condizionale può impedire o concedere l'accesso a servizi come Exchange Online e SharePoint Online, in base allo stato di BitLocker. Per altre informazioni sulle opzioni di Intune per configurare e monitorare BitLocker, vedere gli articoli seguenti:
  • Gestire i criteri di BitLocker per i dispositivi Windows con Intune
  • Monitorare la crittografia dei dispositivi con Intune
  • Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune
• Criteri di gruppo: questa opzione può essere usata per i dispositivi aggiunti a un dominio di Active Directory e non gestiti da una soluzione di gestione dei dispositivi. I criteri di gruppo possono essere usati anche per i dispositivi che non sono aggiunti a un dominio di Active Directory, usando l'editor criteri di gruppo locale
• Microsoft Configuration Manager: questa opzione può essere usata per i dispositivi gestiti da Microsoft Configuration Manager tramite l'agente di gestione BitLocker. Per altre informazioni sulle opzioni per configurare BitLocker tramite Microsoft Configuration Manager, vedere Distribuire la gestione di BitLocker

Nota

Windows Server non supporta la configurazione di BitLocker usando CSP o Microsoft Configuration Manager. Usare invece l'oggetto Criteri di gruppo.

Anche se molte delle impostazioni dei criteri di BitLocker possono essere configurate usando sia CSP che oggetto Criteri di gruppo, alcune impostazioni sono disponibili solo usando una delle opzioni. Per informazioni sulle impostazioni dei criteri disponibili sia per CSP che per l'oggetto Criteri di gruppo, vedere la sezione Impostazioni dei criteri di BitLocker.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano la gestione di BitLocker:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sì	Sì	Sì	Sì

I diritti di licenza di gestione di BitLocker sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
No	Sì	Sì	Sì	Sì

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Impostazioni dei criteri di BitLocker

Questa sezione descrive le impostazioni dei criteri per configurare BitLocker tramite il provider di servizi di configurazione (CSP) e criteri di gruppo (GPO).

Importante

La maggior parte delle impostazioni dei criteri di BitLocker viene applicata quando BitLocker è inizialmente attivato per un'unità. La crittografia non viene riavviata se le impostazioni cambiano.

Elenco delle impostazioni dei criteri

L'elenco delle impostazioni è ordinato alfabeticamente e organizzato in quattro categorie:

• Impostazioni comuni: impostazioni applicabili a tutte le unità protette da BitLocker
• Unità del sistema operativo: impostazioni applicabili all'unità in cui è installato Windows
• Unità dati fisse: impostazioni applicabili a qualsiasi unità locale, ad eccezione dell'unità del sistema operativo
• Unità dati rimovibili: impostazioni applicabili a qualsiasi unità rimovibile

Selezionare una delle schede per visualizzare l'elenco delle impostazioni disponibili:

Impostazioni comuni

Nella tabella seguente sono elencati i criteri di BitLocker applicabili a tutti i tipi di unità, che indicano se sono applicabili tramite il provider di servizi di configurazione (CSP) e/o criteri di gruppo (GPO). Selezionare il nome del criterio per altri dettagli.

Nome criterio	CSP	GPO
Consenti crittografia utente standard	✅	❌
Scegliere la cartella predefinita per la password di ripristino	❌	✅
Scegliere il metodo di crittografia dell'unità e il livello di crittografia	✅	✅
Configurare la rotazione delle password di ripristino	✅	❌
Disabilitare nuovi dispositivi DMA quando il computer è bloccato	❌	✅
Impedisci sovrascrittura della memoria al riavvio	❌	✅
Specificare gli identificatori univoci per l'organizzazione	✅	✅
Richiedere la crittografia del dispositivo	✅	❌
Convalidare la conformità delle regole di utilizzo dei certificati smart card	❌	✅

Consenti crittografia utente standard

Con questo criterio è possibile applicare i criteri Richiedi crittografia dei dispositivi per gli scenari in cui i criteri vengono applicati mentre l'utente connesso corrente non dispone di diritti amministrativi.

Importante

L'avviso Consenti per altri criteri di crittografia dischi deve essere disabilitato per consentire la crittografia utente standard.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO	Non disponibile

Scegliere la cartella predefinita per la password di ripristino

Specificare il percorso predefinito visualizzato quando l'installazione guidata di Crittografia unità BitLocker richiede all'utente di immettere il percorso di una cartella in cui salvare la password di ripristino. È possibile specificare un percorso completo o includere le variabili di ambiente del computer di destinazione nel percorso:

• Se il percorso non è valido, l'installazione guidata di BitLocker visualizza la visualizzazione cartella di primo livello del computer
• Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker visualizza la visualizzazione cartella di primo livello del computer quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella

Nota

Questa impostazione di criterio non impedisce all'utente di salvare la password di ripristino in un'altra cartella.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Scegliere il metodo di crittografia dell'unità e il livello di crittografia

Con questo criterio, è possibile configurare un algoritmo di crittografia e il livello di crittografia delle chiavi per unità dati fisse, unità del sistema operativo e unità dati rimovibili singolarmente.

Impostazioni consigliate: XTS-AES algoritmo per tutte le unità. La scelta delle dimensioni della chiave, a 128 bit o a 256 bit dipende dalle prestazioni del dispositivo. Per unità disco rigido e CPU più performanti, scegliere la chiave a 256 bit, per quelli con prestazioni inferiori usare 128.

Importante

Le dimensioni delle chiavi potrebbero essere richieste dalle autorità di regolamentazione o dal settore.

Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il metodo di crittografia predefinito di XTS-AES 128-bit.

Nota

Questo criterio non si applica alle unità crittografate. Le unità crittografate usano il proprio algoritmo, impostato dall'unità durante il partizionamento.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Configurare la rotazione delle password di ripristino

Con questo criterio è possibile configurare una rotazione numerica delle password di ripristino all'uso per il sistema operativo e le unità fisse in Microsoft Entra dispositivi aggiunti e Microsoft Entra aggiunti ibridi.

I valori possibili sono:

• 0: la rotazione delle password di ripristino numerico è disattivata
• 1: la rotazione numerica delle password di ripristino al momento dell'uso è attivata per Microsoft Entra dispositivi aggiunti. Questo è anche il valore predefinito
• 2: la rotazione delle password di ripristino numerico al momento dell'uso è attiva sia per i dispositivi aggiunti Microsoft Entra che per i dispositivi aggiunti Microsoft Entra ibridi

Nota

Il criterio è efficace solo quando è configurato l'ID Micropsoft Entra o il backup di Active Directory per la password di ripristino

• Per unità del sistema operativo: abilitare Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo
• Per le unità fisse: abilitare "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO	Non disponibile

Disabilitare nuovi dispositivi DMA quando il computer è bloccato

Se abilitata, questa impostazione di criterio blocca l'accesso diretto alla memoria (DMA) per tutte le porte PCI collegabili a caldo fino a quando un utente non accede a Windows.

Dopo l'accesso di un utente, Windows enumera i dispositivi PCI connessi alle porte PCI Thunderbolt host. Ogni volta che l'utente blocca il dispositivo, DMA viene bloccato sulle porte PCI Thunderbolt con plug-in a caldo senza dispositivi figlio, fino a quando l'utente non accede di nuovo.

I dispositivi già enumerati quando il dispositivo è stato sbloccato continueranno a funzionare fino a quando non vengono scollegate o il sistema non viene riavviato o ibernato.

Questa impostazione di criterio viene applicata solo quando BitLocker o la crittografia del dispositivo è abilitata.

Importante

Questo criterio non è compatibile con la protezione DMA del kernel. È consigliabile disabilitare questo criterio se il sistema supporta la protezione DMA del kernel, in quanto La protezione DMA del kernel offre una maggiore sicurezza per il sistema. Per altre informazioni su Kernel DMA Protection, vedere Kernel DMA Protection.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Impedisci sovrascrittura della memoria al riavvio

Questa impostazione di criterio viene usata per controllare se la memoria del computer viene sovrascritta al riavvio del dispositivo. I segreti di BitLocker includono materiale chiave usato per crittografare i dati.

• Se si abilita questa impostazione di criterio, la memoria non viene sovrascritta al riavvio del computer. La prevenzione della sovrascrittura della memoria può migliorare le prestazioni di riavvio, ma aumenta il rischio di esporre i segreti di BitLocker.
• Se si disabilita o non si configura questa impostazione di criterio, i segreti di BitLocker vengono rimossi dalla memoria al riavvio del computer.

Nota

Questa impostazione di criterio si applica solo quando è abilitata la protezione BitLocker.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Specificare gli identificatori univoci per l'organizzazione

Questa impostazione di criterio consente di associare identificatori aziendali univoci a un'unità crittografata con BitLocker. Gli identificatori vengono archiviati come campo di identificazione e campo di identificazione consentito:

• Il campo di identificazione consente di associare un identificatore aziendale univoco alle unità protette da BitLocker. Questo identificatore viene aggiunto automaticamente alle nuove unità protette da BitLocker e può essere aggiornato nelle unità esistenti protette da BitLocker usando crittografia unità BitLocker: strumento di configurazione (manage-bde.exe)
• Il campo di identificazione consentito viene usato in combinazione con l'impostazione dei criteri Nega accesso in scrittura alle unità rimovibili non protette da BitLocker per controllare l'uso di unità rimovibili nell'organizzazione. Si tratta di un elenco delimitato da virgole di campi di identificazione dell'organizzazione o di altre organizzazioni esterne. È possibile configurare i campi di identificazione nelle unità esistenti usando manage-bde.exe.

Se si abilita questa impostazione di criterio, è possibile configurare il campo di identificazione nell'unità protetta da BitLocker e qualsiasi campo di identificazione consentito usato dall'organizzazione. Quando un'unità protetta da BitLocker viene montata su un altro dispositivo abilitato per BitLocker, il campo di identificazione e il campo di identificazione consentito vengono usati per determinare se l'unità proviene da un'organizzazione diversa.

Se si disabilita o non si configura questa impostazione di criterio, il campo di identificazione non è obbligatorio.

Importante

I campi di identificazione sono necessari per la gestione degli agenti di recupero dati basati su certificati nelle unità protette da BitLocker. BitLocker gestisce e aggiorna gli agenti di recupero dati basati su certificati solo quando il campo di identificazione è presente in un'unità ed è identico al valore configurato nel dispositivo. Il campo di identificazione può essere di qualsiasi valore pari o inferiore a 260 caratteri.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ IdentificationField
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Richiedere la crittografia del dispositivo

Questa impostazione di criterio determina se BitLocker è obbligatorio:

• Se abilitata, la crittografia viene attivata in tutte le unità in modo invisibile all'utente o invisibile all'utente in base all'avviso consenti per altri criteri di crittografia del disco
• Se disabilitato, BitLocker non è disattivato per l'unità di sistema, ma smette di richiedere all'utente di attivare BitLocker.

Nota

In genere, BitLocker segue la configurazione dei criteri di crittografia Choose drive encryption e encryption strength . Tuttavia, questa impostazione di criterio verrà ignorata per le unità fisse auto-crittografanti e le unità del sistema operativo auto-crittografanti.

I volumi di dati fissi crittografabili vengono trattati in modo analogo ai volumi del sistema operativo, ma devono soddisfare altri criteri per poter essere crittografati:

• Non deve essere un volume dinamico
• Non deve essere una partizione di ripristino
• Non deve essere un volume nascosto
• Non deve essere una partizione di sistema
• Non deve essere supportato dall'archiviazione virtuale
• Non deve avere un riferimento nell'archivio BCD

Nota

Quando si usano questi criteri per la crittografia invisibile all'utente, è supportata solo la crittografia completa del disco. Per la crittografia non invisibile all'utente, il tipo di crittografia dipenderà dal criterio Imponi tipo di crittografia unità nelle unità del sistema operativo e Imponi tipo di crittografia unità nei criteri di unità dati fisse configurati nel dispositivo.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO	Non disponibile

Convalidare la conformità delle regole di utilizzo dei certificati smart card

Questa impostazione di criterio viene usata per determinare quale certificato usare con BitLocker associando un identificatore di oggetto (OID) da un certificato smart card a un'unità protetta da BitLocker. L'identificatore dell'oggetto viene specificato nell'utilizzo avanzato della chiave (EKU) di un certificato.

BitLocker può identificare quali certificati possono essere usati per autenticare un certificato utente in un'unità protetta da BitLocker associando l'identificatore di oggetto nel certificato all'identificatore dell'oggetto definito da questa impostazione di criterio. L'OID predefinito è 1.3.6.1.4.1.311.67.1.1.

Se si abilita questa impostazione di criterio, l'identificatore dell'oggetto specificato nel campo Identificatore oggetto deve corrispondere all'identificatore dell'oggetto nel certificato della smart card. Se si disabilita o non si configura questa impostazione di criterio, viene usato l'OID predefinito.

Nota

BitLocker non richiede che un certificato abbia un attributo EKU; tuttavia, se uno è configurato per il certificato, deve essere impostato su un identificatore di oggetto che corrisponde all'identificatore di oggetto configurato per BitLocker.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Unità del sistema operativo

Nome criterio	CSP	GPO
Consentire ai dispositivi conformi a InstantGo o HSTI di rifiutare esplicitamente il PIN pre-avvio	✅	✅
Consenti PIN avanzati per l'avvio	✅	✅
Consenti sblocco di rete all'avvio	❌	✅
Consenti avvio protetto per la convalida dell'integrità	❌	✅
Consenti avviso per la crittografia di altri dischi	✅	❌
Scegliere come ripristinare le unità del sistema operativo protette da BitLocker	✅	✅
Configurare la lunghezza minima del PIN per l'avvio	✅	✅
Configurare il messaggio e l'URL di ripristino prima dell'avvio	✅	✅
Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware basate su BIOS	❌	✅
Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo	❌	✅
Configurare l'uso della crittografia basata su hardware per le unità del sistema operativo	❌	✅
Configurare l'uso delle password per le unità del sistema operativo	❌	✅
Non consentire agli utenti standard di modificare il PIN o la password	✅	✅
Abilitare l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei contratti di servizio	✅	✅
Applicare il tipo di crittografia delle unità nelle unità del sistema operativo	✅	✅
Richiedere l'autenticazione aggiuntiva all'avvio	✅	✅
Reimpostare i dati di convalida della piattaforma dopo il ripristino di BitLocker	❌	✅
Usare il profilo di convalida dei dati di configurazione di avvio avanzato	❌	✅

Consentire ai dispositivi conformi a InstantGo o HSTI di rifiutare esplicitamente il PIN di preavavire

Questa impostazione dei criteri consente agli utenti nei dispositivi conformi a InstantGo o a Microsoft Hardware Security Test Interface (HSTI) di non disporre di un PIN per l'autenticazione di preavcio.

Il criterio sostituisce il criterio Richiedi PIN di avvio con TPM e Richiedi chiave di avvio e PIN con le opzioni TPM del criterio Richiedi autenticazione aggiuntiva all'avvio su hardware conforme.

• Se si abilita questa impostazione di criterio, gli utenti nei dispositivi conformi a InstantGo e HSTI possono attivare BitLocker senza autenticazione di avvio preliminare
• Se il criterio è disabilitato o non configurato, si applicano le opzioni Richiedi autenticazione aggiuntiva all'avvio

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Consenti PIN avanzati per l'avvio

Questa impostazione consente l'uso di PIN avanzati quando viene usato un metodo di sblocco che include un PIN.

I PIN di avvio avanzati consentono l'uso di caratteri (tra cui lettere maiuscole e minuscole, simboli, numeri e spazi).

Importante

Non tutti i computer supportano caratteri PIN avanzati nell'ambiente di avvio preliminare. È consigliabile che gli utenti eseguano un controllo di sistema durante l'installazione di BitLocker per verificare che i caratteri PIN avanzati possano essere usati.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnhancedPIN
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Consenti sblocco di rete all'avvio

Questa impostazione di criterio controlla se un dispositivo protetto da BitLocker connesso a una rete lan (LAN) cablata attendibile può creare e usare protezioni chiave di rete nei computer abilitati per TPM per sbloccare automaticamente l'unità del sistema operativo all'avvio del computer.

Se si abilita questo criterio, i dispositivi configurati con un certificato di sblocco di rete BitLocker possono creare e usare le protezioni della chiave di rete. Per usare una protezione della chiave di rete per sbloccare il computer, è necessario effettuare il provisioning del computer e del server di sblocco di rete crittografia unità BitLocker con un certificato di sblocco di rete. Il certificato Sblocco di rete viene usato per creare protezioni con chiave di rete e protegge le informazioni scambiate con il server per sbloccare il computer.

L'impostazione Criteri di gruppo Configurazione> computerImpostazioni di windows Impostazioni>>di sicurezzaCriteri> chiave pubblicaBitLocker Drive Encryption Network Unlock Certificate può essere usata nel controller di dominio per distribuire il certificato ai computer dell'organizzazione. Questo metodo di sblocco usa il TPM nel computer, in modo che i computer che non hanno un TPM non possano creare protezioni chiave di rete per sbloccare automaticamente con sblocco di rete.

Se si disabilita o non si configura questa impostazione di criterio, i client BitLocker non saranno in grado di creare e usare le protezioni delle chiavi di rete.

Nota

Per garantire affidabilità e sicurezza, i computer devono avere anche un PIN di avvio TPM che può essere usato quando il computer è disconnesso dalla rete cablata o dal server all'avvio.

Per altre informazioni sulla funzionalità sblocco di rete, vedere BitLocker: Come abilitare lo sblocco di rete

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Consenti avvio protetto per la convalida dell'integrità

Questa impostazione di criterio consente di configurare se l'avvio protetto è consentito come provider di integrità della piattaforma per le unità del sistema operativo BitLocker.

L'avvio protetto garantisce che l'ambiente di preavvio del dispositivo carichi solo il firmware firmato digitalmente dagli editori di software autorizzati.

• Se si abilita o non si configura questa impostazione di criterio, BitLocker usa l'avvio protetto per l'integrità della piattaforma se la piattaforma è in grado di convalidare l'integrità basata su avvio protetto
• Se si disabilita questa impostazione di criterio, BitLocker usa la convalida dell'integrità della piattaforma legacy, anche nei sistemi in grado di convalidare l'integrità basata su avvio protetto

Quando questo criterio è abilitato e l'hardware è in grado di usare l'avvio protetto per gli scenari BitLocker, l'impostazione dei criteri Usa configurazione di avvio avanzata del profilo di convalida dei dati viene ignorata e l'avvio protetto verifica le impostazioni bcd in base all'impostazione dei criteri di avvio protetto, configurata separatamente da BitLocker.

Nota

Se l'impostazione dei criteri Configura profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo è abilitata e PCR 7 è omesso, a BitLocker viene impedito di usare l'avvio protetto per la convalida dell'integrità dei dati di configurazione di avvio o della piattaforma.

Warning

La disabilitazione di questo criterio potrebbe comportare il ripristino di BitLocker quando viene aggiornato il firmware specifico del produttore. Se questo criterio è disabilitato, sospendere BitLocker prima di applicare gli aggiornamenti del firmware.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Consenti avviso per la crittografia di altri dischi

Con questo criterio è possibile disabilitare tutte le notifiche per la crittografia, la richiesta di avviso per l'altra crittografia del disco e attivare la crittografia in modo invisibile all'utente.

Importante

Questo criterio si applica solo ai dispositivi aggiunti Microsoft Entra.

Questo criterio ha effetto solo se è abilitato Richiedi criteri di crittografia del dispositivo .

Warning

Quando abiliti BitLocker in un dispositivo con crittografia non Microsoft, può rendere il dispositivo inutilizzabile e richiederà la reinstallazione di Windows.

I valori previsti per questo criterio sono:

• Abilitato (impostazione predefinita): la richiesta di avviso e la notifica di crittografia sono consentite
• Disabilitato: la richiesta di avviso e la notifica di crittografia vengono eliminate. Windows tenterà di abilitare Invisibile all'utente BitLocker

Nota

Quando si disabilita la richiesta di avviso, la chiave di ripristino dell'unità del sistema operativo eseguirà il backup nell'account Microsoft Entra ID dell'utente. Quando si consente la richiesta di avviso, l'utente che riceve la richiesta può selezionare dove eseguire il backup della chiave di ripristino dell'unità del sistema operativo.

L'endpoint per il backup di un'unità dati fissa viene scelto nell'ordine seguente:

1. Account Windows Server Active Directory Domain Services dell'utente
2. Account Microsoft Entra ID dell'utente
3. OneDrive personale dell'utente (solo MDM/MAM)

La crittografia attenderà il backup di una di queste tre posizioni.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ AllowWarningForOtherDiskEncryption
GPO	Non disponibile

Scegliere come ripristinare le unità del sistema operativo protette da BitLocker

Questa impostazione di criterio consente di controllare il modo in cui le unità del sistema operativo protette da BitLocker vengono ripristinate in assenza delle informazioni necessarie sulla chiave di avvio. Se si abilita questa impostazione di criterio, è possibile controllare i metodi disponibili per gli utenti per ripristinare i dati dalle unità del sistema operativo protette da BitLocker. Ecco le opzioni disponibili:

• Consenti agente di recupero dati basato su certificato: specificare se un agente di recupero dati può essere usato con le unità del sistema operativo protette da BitLocker. Prima di poter usare un agente di ripristino dati, è necessario aggiungerlo dall'elemento Criteri chiave pubblica nella console di gestione Criteri di gruppo o nella Criteri di gruppo Editor locale
• Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker: selezionare se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre o una chiave di ripristino a 256 bit
• Omettere le opzioni di ripristino dalla configurazione guidata di BitLocker: impedire agli utenti di specificare le opzioni di ripristino quando attivano BitLocker per un'unità. Ciò significa che gli utenti non saranno in grado di specificare l'opzione di ripristino da usare quando attivano BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono determinate dall'impostazione dei criteri
• Salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services: scegliere le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità del sistema operativo. Se si seleziona Backup recovery password and key package ,sia la password di ripristino di BitLocker che il pacchetto della chiave vengono archiviati in Active Directory Domain Services. L'archiviazione del pacchetto di chiavi supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se si seleziona Solo password di ripristino di backup, in Active Directory Domain Services viene archiviata solo la password di ripristino
• Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo: impedisce agli utenti di abilitare BitLocker a meno che il dispositivo non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory abbia esito positivo. Quando si usa questa opzione, viene generata automaticamente una password di ripristino.

Se questa impostazione di criterio è disabilitata o non configurata, le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, un dra è consentito, le opzioni di ripristino possono essere specificate dall'utente, tra cui la password di ripristino e la chiave di ripristino, e le informazioni di ripristino non vengono di cui viene eseguito il backup in Servizi di dominio Active Directory.

Per Microsoft Entra dispositivi aggiunti ibridi, viene eseguito il backup della password di ripristino di BitLocker sia in Active Directory che in ENTRA ID.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryOptions
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare la lunghezza minima del PIN per l'avvio

Questo criterio configura una lunghezza minima per un PIN di avvio TPM (Trusted Platform Module). Il PIN di avvio deve avere una lunghezza minima di 4 cifre e può avere una lunghezza massima di 20 cifre.

Se si abilita questa impostazione di criterio, è possibile richiedere l'uso di un numero minimo di cifre durante l'impostazione del PIN di avvio.
Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 6 e 20 cifre.

Il TPM può essere configurato per l'uso dei parametri di prevenzione degli attacchi del dizionario (soglia di blocco e durata del blocco per controllare il numero di tentativi di autorizzazione non riusciti consentiti prima che il TPM venga bloccato e quanto tempo deve trascorrere prima di poter eseguire un altro tentativo.

I parametri di prevenzione degli attacchi del dizionario consentono di bilanciare le esigenze di sicurezza con l'usabilità. Ad esempio, quando BitLocker viene usato con una configurazione TPM + PIN, il numero di ipotesi di PIN è limitato nel tempo. È possibile configurare un TPM 2.0 in questo esempio in modo da consentire immediatamente solo 32 ipotesi di PIN e quindi solo un'altra ipotesi ogni due ore. Questo numero di tentativi ammonta a un massimo di circa 4415 tentativi all'anno. Se il PIN è di quattro cifre, tutte le 9999 combinazioni di PIN possibili potrebbero essere tentate in poco più di due anni.

Suggerimento

L'aumento della lunghezza del PIN richiede un numero maggiore di ipotesi per un utente malintenzionato. In tal caso, la durata del blocco tra ogni ipotesi può essere abbreviata per consentire agli utenti legittimi di ritentare un tentativo non riuscito prima, mantenendo al tempo stesso un livello di protezione simile.

Nota

Se la lunghezza minima del PIN è impostata sotto 6 cifre, Windows tenterà di aggiornare il periodo di blocco di TPM 2.0 in modo che sia maggiore del valore predefinito quando viene modificato un PIN. In caso di esito positivo, Windows reimposta il periodo di blocco TPM solo se il TPM viene reimpostato.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesMinimumPINLength
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare il messaggio e l'URL di ripristino di preavavio

Questa impostazione di criterio viene usata per configurare il messaggio di ripristino e per sostituire l'URL esistente visualizzato nella schermata di ripristino di preavvo quando l'unità del sistema operativo è bloccata.

• Se si seleziona l'opzione Usa url e messaggio di ripristino predefiniti , il messaggio di ripristino e l'URL predefiniti di BitLocker vengono visualizzati nella schermata di ripristino della chiave di avvio preliminare. Se in precedenza è stato configurato un url o un messaggio di ripristino personalizzato e si vuole ripristinare il messaggio predefinito, è necessario mantenere il criterio abilitato e selezionare l'opzione Usa URL e messaggio di ripristino predefiniti
• Se si seleziona l'opzione Usa messaggio di ripristino personalizzato , il messaggio aggiunto alla casella di testo Dell'opzione Messaggio di ripristino personalizzato viene visualizzato nella schermata di ripristino della chiave di avvio preliminare. Se è disponibile un URL di ripristino, includerlo nel messaggio
• Se si seleziona l'opzione Usa URL di ripristino personalizzato , l'URL aggiunto alla casella di testo Dell'opzione URL di ripristino personalizzato sostituisce l'URL predefinito nel messaggio di ripristino predefinito, visualizzato nella schermata di ripristino della chiave di avvio

Nota

Non tutti i caratteri e le lingue sono supportati nel preavvio. È consigliabile verificare che i caratteri usati per il messaggio personalizzato o l'URL vengano visualizzati correttamente nella schermata di ripristino prima dell'avvio.

Per altre informazioni sulla schermata di ripristino preavcimento di BitLocker, vedere Schermata di ripristino di preavci.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryMessage
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware basate su BIOS

Questa impostazione di criterio determina i valori misurati dal TPM quando convalida i componenti di avvio anticipato prima di sbloccare un'unità del sistema operativo in un computer con una configurazione BIOS o con il firmware UEFI con il modulo di supporto per la compatibilità abilitato.

• Se abilitati, è possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Al contrario, il computer visualizza la console di ripristino di BitLocker e richiede che venga fornita la password di ripristino o la chiave di ripristino per sbloccare l'unità.
• Se disabilitato o non configurato, il TPM usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di installazione.

Questa impostazione di criterio non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già stato attivato con la protezione TPM.

Importante

Questa impostazione Criteri di gruppo si applica solo ai computer con configurazioni BIOS o ai computer con firmware UEFI con CSM abilitato. I computer che usano una configurazione del firmware UEFI nativa archiviano valori diversi nei registri di configurazione della piattaforma (PCR). Usare l'impostazione dei criteri Configura profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo per configurare il profilo PCR TPM per i computer che usano firmware UEFI nativo.

Un profilo di convalida della piattaforma è costituito da un set di indici PCR compresi tra 0 e 23. Ogni indice PCR rappresenta una misura specifica convalidata dal TPM durante l'avvio anticipato. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche apportate alle richieste di crittografia seguenti:

PCR	Descrizione
PCR 0	Radice di attendibilità principale per le estensioni di misura, BIOS e piattaforma
PCR 2	Codice DELLA ROM dell'opzione
PCR 4	Codice MBR (Master Boot Record)
PCR 8	Settore di avvio NTFS
PCR 9	Blocco di avvio NTFS
PCR 10	Gestione avvio
PCR 11	Controllo di accesso di BitLocker

Nota

La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e la gestibilità di un computer. La sensibilità di BitLocker alle modifiche della piattaforma (dannose o autorizzate) viene aumentata o diminuita a seconda dell'inclusione o dell'esclusione (rispettivamente) delle richieste di modifica della piattaforma.

L'elenco seguente identifica tutti i pcr disponibili:

PCR	Descrizione
PCR 0	Radice di attendibilità principale per le estensioni di misura, BIOS e piattaforma
PCR 1	Configurazione e dati della piattaforma e della scheda madre.
PCR 2	Codice DELLA ROM dell'opzione
PCR 3	Dati e configurazione della ROM di opzione
PCR 4	Codice MBR (Master Boot Record)
PCR 5	Tabella di partizione MBR (Master Boot Record)
PCR 6	Eventi di transizione e riattivazione dello stato
PCR 7	Specifica del produttore del computer
PCR 8	Settore di avvio NTFS
PCR 9	Blocco di avvio NTFS
PCR 10	Gestione avvio
PCR 11	Controllo di accesso di BitLocker
PCR 12-23	Riservato per uso futuro

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo

Questa impostazione di criterio determina i valori misurati dal TPM quando convalida i componenti di avvio anticipato, prima di sbloccare l'unità del sistema operativo nel dispositivo firmware UEFI nativo.

• Se si abilita questa impostazione di criterio prima di attivare BitLocker, è possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il dispositivo visualizza la console di ripristino di BitLocker e richiede che venga fornita la password di ripristino o la chiave di ripristino per sbloccare l'unità
• Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il profilo di convalida della piattaforma predefinito per l'hardware disponibile o il profilo di convalida della piattaforma specificato dallo script di installazione

Importante

Questa impostazione di criterio si applica solo ai dispositivi con una configurazione del firmware UEFI nativa. I computer con BIOS o firmware UEFI con un modulo di supporto per la compatibilità (CSM) abilitato archiviano valori diversi nei registri di configurazione della piattaforma (PCR). Usare l'impostazione dei criteri Configura profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS per configurare il profilo PCR TPM per i dispositivi con configurazioni BIOS o per i dispositivi con firmware UEFI con CSM abilitato.

Un profilo di convalida della piattaforma è costituito da un set di indici PCR compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche apportate alle richieste di crittografia seguenti:

PCR	Descrizione
PCR 0	Codice eseguibile core del firmware del sistema
PCR 2	Codice eseguibile esteso o collegabile
PCR 4	Gestione avvio
PCR 11	Controllo di accesso di BitLocker

Nota

Quando è disponibile il supporto dello stato di avvio protetto (PCR7), il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia usando lo stato di avvio protetto (PCR 7) e il controllo di accesso BitLocker (PCR 11).

L'elenco seguente identifica tutti i pcr disponibili:

PCR	Descrizione
PCR 0	Codice eseguibile core del firmware del sistema
PCR 1	Dati core del firmware del sistema
PCR 2	Codice eseguibile esteso o collegabile
PCR 3	Dati del firmware estesi o collegabili
PCR 4	Gestione avvio
PCR 5	Tabella GPT/Partition
PCR 6	Riprendere da eventi di stato di alimentazione S4 e S5
PCR 7	Stato di avvio protetto
PCR 8	Inizializzato su 0 senza estensione (riservato per uso futuro)
PCR 9	Inizializzato su 0 senza estensione (riservato per uso futuro)
PCR 10	Inizializzato su 0 senza estensione (riservato per uso futuro)
PCR 11	Controllo di accesso di BitLocker
PCR 12	Eventi di dati ed eventi altamente volatili
PCR 13	Dettagli del modulo di avvio
PCR 14	Autorità di avvio
PCR 15 - 23	Riservato per uso futuro

Warning

La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e la gestibilità di un dispositivo. La sensibilità di BitLocker alle modifiche della piattaforma (dannose o autorizzate) viene aumentata o diminuita a seconda dell'inclusione o dell'esclusione (rispettivamente) delle richieste di modifica della piattaforma.

Se si imposta questo criterio con PCR 7 omesso, viene eseguito l'override del criterio Consenti avvio protetto per la convalida dell'integrità , impedendo a BitLocker di usare l'avvio protetto per la convalida dell'integrità dei dati di configurazione di avvio (BCD, Boot Configuration Data).

L'impostazione di questo criterio può comportare il ripristino di BitLocker quando il firmware viene aggiornato. Se si imposta questo criterio per includere PCR 0, sospendere BitLocker prima di applicare gli aggiornamenti del firmware. È consigliabile non configurare questo criterio, per consentire a Windows di selezionare il profilo PCR per la migliore combinazione di sicurezza e usabilità in base all'hardware disponibile in ogni dispositivo.

PCR 7 misura lo stato di avvio protetto. Con PCR 7, BitLocker può usare l'avvio protetto per la convalida dell'integrità. L'avvio protetto garantisce che l'ambiente di preavvio del computer carichi solo il firmware firmato digitalmente dagli editori di software autorizzati. Le misurazioni di PCR 7 indicano se l'avvio protetto è attivo e quali chiavi sono attendibili nella piattaforma. Se l'avvio protetto è attivato e il firmware misura correttamente PCR 7 in base alla specifica UEFI, BitLocker può eseguire il binding a queste informazioni anziché a PCR 0, 2 e 4, che hanno le misurazioni delle immagini esatte del firmware e bootmgr caricate. Questo processo riduce la probabilità che BitLocker venga avviato in modalità di ripristino a seguito degli aggiornamenti del firmware e delle immagini e offre una maggiore flessibilità per gestire la configurazione di preavvamento.

Le misurazioni di PCR 7 devono seguire le indicazioni descritte in Appendice A Trusted Execution Environment EFI Protocol.

Le misurazioni PCR 7 sono un requisito obbligatorio per il logo per i sistemi che supportano modern standby (noto anche come Always On, PC sempre connessi). In tali sistemi, se la misurazione TPM con PCR 7 e l'avvio protetto sono configurate correttamente, BitLocker si associa a PCR 7 e PCR 11 per impostazione predefinita.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare l'uso della crittografia basata su hardware per le unità del sistema operativo

Questa impostazione di criterio consente di gestire l'uso della crittografia basata su hardware da parte di BitLocker nelle unità del sistema operativo e di specificare gli algoritmi di crittografia che può usare con la crittografia basata su hardware. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che implicano la lettura o la scrittura frequenti di dati nell'unità.

Se si abilita questa impostazione di criterio, è possibile specificare opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei dispositivi che non supportano la crittografia basata su hardware. È anche possibile specificare se si desidera limitare gli algoritmi di crittografia e i pacchetti di crittografia usati con la crittografia basata su hardware.

Se si disabilita questa impostazione di criterio, BitLocker non può usare la crittografia basata su hardware con le unità del sistema operativo e la crittografia basata su software BitLocker verrà usata per impostazione predefinita quando l'unità viene crittografata.

Se non si configura questa impostazione di criterio, BitLocker userà la crittografia basata su software, indipendentemente dalla disponibilità della crittografia basata su hardware.

Nota

L'impostazione Scegliere il metodo di crittografia dell'unità e i criteri di crittografia non si applicano alla crittografia basata su hardware. L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità.

L'opzione Limita algoritmi di crittografia e suite di crittografia consentiti per la crittografia basata su hardware consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati da identificatori di oggetto (OID). Ad esempio:

• AES 128 in modalità CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Configurare l'uso delle password per le unità del sistema operativo

Questa impostazione di criterio specifica i vincoli per le password usate per sbloccare le unità del sistema operativo protette da BitLocker. Se le protezioni non TPM sono consentite nelle unità del sistema operativo, è possibile effettuare il provisioning di una password, applicare i requisiti di complessità e configurare una lunghezza minima.

Importante

Per rendere effettiva l'impostazione del requisito di complessità, è necessario abilitare anche l'impostazionedei criteri di gruppo Password per soddisfare i requisiti di complessità disponibili in Impostazioni > di sicurezza di Configurazione computerImpostazioni>>> diWindowsCriteriaccount Criteri password.

Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare i requisiti di complessità alla password, selezionare Richiedi complessità:

• Se impostato su Richiedi complessità, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per convalidare la complessità della password
• Se impostato su Consenti complessità, viene tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dai criteri. Se non vengono trovati controller di dominio, la password viene accettata indipendentemente dalla complessità effettiva della password e l'unità verrà crittografata usando tale password come protezione
• Se impostato su Non consentire la complessità, la complessità delle password non viene convalidata

Le password devono essere di almeno otto caratteri. Per configurare una lunghezza minima maggiore per la password, specificare il numero di caratteri desiderato in Lunghezza minima password

Se si disabilita o non si configura questa impostazione di criterio, il vincolo di lunghezza predefinito di otto caratteri si applica alle password delle unità del sistema operativo e non vengono eseguiti controlli di complessità.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Non consentire agli utenti standard di modificare il PIN o la password

Questo criterio consente di stabilire se gli utenti standard possono modificare il PIN o la password usata per proteggere l'unità del sistema operativo, se possono prima fornire il PIN esistente.

Se si abilita questo criterio, gli utenti standard non possono modificare i PIN o le password di BitLocker. Se si disabilita o non si configura questo criterio, gli utenti standard possono modificare i PIN e le password di BitLocker.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesDisallowStandardUsersCanChangePIN
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Abilitare l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei contratti di servizio

Questa impostazione di criterio consente agli utenti di attivare le opzioni di autenticazione che richiedono l'input dell'utente dall'ambiente di avvio preliminare, anche se la piattaforma non dispone di funzionalità di input di preavavio. La tastiera virtuale Windows ,ad esempio quella usata dai tablet, non è disponibile nell'ambiente di avvio preliminare in cui BitLocker richiede informazioni aggiuntive, ad esempio pin o password.

• Se si abilita questa impostazione di criterio, i dispositivi devono avere un mezzo alternativo per l'input di preavvio ,ad esempio una tastiera USB collegata.
• Se questo criterio non è abilitato, l'ambiente di ripristino di Windows deve essere abilitato nei tablet per supportare la voce della password di ripristino di BitLocker.

È consigliabile che gli amministratori abilitino questo criterio solo per i dispositivi che vengono verificati per avere un mezzo alternativo di input di preavavamento, ad esempio il collegamento di una tastiera USB.

Quando Windows Recovery Environment (WinRE) non è abilitato e questo criterio non è abilitato, BitLocker non può essere attivato su un dispositivo che usa una tastiera virtuale.

Se questa impostazione di criterio non è abilitata, è possibile che le opzioni seguenti nel criterio Richiedi autenticazione aggiuntiva all'avvio non siano disponibili:

• Configurare il PIN di avvio TPM: obbligatorio e consentito
• Configurare la chiave di avvio e il PIN di TPM: obbligatorio e consentito
• Configurare l'uso delle password per le unità del sistema operativo

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePrebootInputProtectorsOnSlates
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Applicare il tipo di crittografia delle unità nelle unità del sistema operativo

Questa impostazione di criterio consente di configurare il tipo di crittografia usato da Crittografia unità BitLocker.

Quando si abilita questa impostazione di criterio, l'opzione del tipo di crittografia non è disponibile nell'installazione guidata di BitLocker:

• Scegliere la crittografia completa per richiedere la crittografia dell'intera unità quando BitLocker è attivato
• Scegliere la crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato

Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Nota

La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso.

Questo criterio viene ignorato durante la compattazione o l'espansione di un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa la crittografia Solo spazio usato viene espansa, il nuovo spazio disponibile non viene cancellato come un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in un'unità Solo spazio usato usando il comando seguente: manage-bde.exe -w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEncryptionType
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Richiedere l'autenticazione aggiuntiva all'avvio

Questa impostazione di criterio consente di configurare se BitLocker richiede un'autenticazione aggiuntiva ogni volta che il dispositivo viene avviato.

Se si abilita questo criterio, gli utenti possono configurare le opzioni di avvio avanzate nell'installazione guidata di BitLocker.
Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono configurare solo le opzioni di base nei computer con un TPM.

Nota

È possibile richiedere solo una delle opzioni di autenticazione aggiuntive all'avvio, in caso contrario si verifica un errore dei criteri.

Se si vuole usare BitLocker in un dispositivo senza TPM, selezionare l'opzione Consenti BitLocker senza un TPM compatibile. In questa modalità è necessaria una password o un'unità USB per l'avvio.
Quando si usa una chiave di avvio, le informazioni sulla chiave usate per crittografare l'unità vengono archiviate nell'unità USB, creando una chiave USB. Quando viene inserita la chiave USB, l'accesso all'unità viene autenticato e l'unità è accessibile. Se la chiave USB viene persa o non disponibile o se la password è stata dimenticata, è necessario usare una delle opzioni di ripristino di BitLocker per accedere all'unità.

In un computer con un TPM compatibile, è possibile usare quattro tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare:

• Solo TPM
• un'unità flash USB contenente una chiave di avvio
• un PIN (da 6 a 20 cifre)
• PIN + unità flash USB

Nota

Se si vuole richiedere l'uso di un PIN di avvio e di un'unità flash USB, è necessario configurare le impostazioni di BitLocker usando lo strumento da riga di comando manage-bde anziché la configurazione guidata crittografia unità BitLocker.

Sono disponibili quattro opzioni per i dispositivi abilitati per TPM:

• Configurare l'avvio di TPM

  • Consenti TPM
  • Richiedi TPM
  • Non consentire TPM

• Configurare il PIN di avvio di TPM

  • Consenti PIN di avvio con TPM
  • Richiedi PIN di avvio con TPM
  • Non consentire il PIN di avvio con TPM

• Configurare la chiave di avvio TPM

  • Consenti chiave di avvio con TPM
  • Richiedere la chiave di avvio con TPM
  • Non consentire la chiave di avvio con TPM

• Configurare la chiave di avvio e il PIN di TPM

  • Consenti chiave di avvio TPM con PIN
  • Richiedere la chiave di avvio e il PIN con TPM
  • Non consentire la chiave di avvio TPM con PIN

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRequireStartupAuthentication
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Reimpostare i dati di convalida della piattaforma dopo il ripristino di BitLocker

Questa impostazione di criterio determina se i dati di convalida della piattaforma devono essere aggiornati all'avvio di Windows dopo un ripristino di BitLocker. Un profilo dati di convalida della piattaforma è costituito dai valori in un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23.

Se si abilita questa impostazione di criterio, i dati di convalida della piattaforma vengono aggiornati quando Windows viene avviato dopo il ripristino di BitLocker. Questo è il comportamento predefinito.
Se disabiliti questa impostazione di criterio, i dati di convalida della piattaforma non verranno aggiornati quando Windows viene avviato dopo il ripristino di BitLocker.

Per altre informazioni sul processo di ripristino, vedere Panoramica del ripristino di BitLocker.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Usare il profilo di convalida dei dati di configurazione di avvio avanzato

Questa impostazione di criterio determina impostazioni bcd (Boot Configuration Data) specifiche da verificare durante la convalida della piattaforma. Una convalida della piattaforma usa i dati nel profilo di convalida della piattaforma, costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23.

Se non si configura questa impostazione di criterio, il dispositivo verificherà le impostazioni bcd di Windows predefinite.

Nota

Quando BitLocker usa l'avvio protetto per la convalida dell'integrità della piattaforma e bcd, come definito dall'impostazione dei criteri Consenti avvio protetto per la convalida dell'integrità , questa impostazione di criterio viene ignorata. L'impostazione che controlla il debug 0x16000010 di avvio viene sempre convalidata e non ha alcun effetto se è inclusa nell'elenco di inclusione o esclusione.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità del sistema operativo

Unità dati fisse

Nome criterio	CSP	GPO
Scegliere come ripristinare le unità fisse protette da BitLocker	✅	✅
Configurare l'uso della crittografia basata su hardware per unità dati fisse	❌	✅
Configurare l'uso delle password per le unità dati fisse	❌	✅
Configurare l'uso di smart card nelle unità dati fisse	❌	✅
Negare l'accesso in scrittura alle unità fisse non protette da BitLocker	✅	✅
Applicare il tipo di crittografia delle unità nelle unità dati fisse	✅	✅

Scegliere come ripristinare le unità fisse protette da BitLocker

Questa impostazione di criterio consente di controllare il modo in cui le unità dati fisse protette da BitLocker vengono ripristinate in assenza delle informazioni necessarie sulla chiave di avvio. Se si abilita questa impostazione di criterio, è possibile controllare i metodi disponibili per gli utenti per ripristinare i dati dalle unità dati fisse protette da BitLocker. Ecco le opzioni disponibili:

• Consenti agente di recupero dati basato su certificato: specificare se un agente di recupero dati può essere usato con unità dati fisse protette da BitLocker. Prima di poter usare un agente di ripristino dati, è necessario aggiungerlo dall'elemento Criteri chiave pubblica nella console di gestione Criteri di gruppo o nella Criteri di gruppo Editor locale
• Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker: selezionare se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre o una chiave di ripristino a 256 bit
• Omettere le opzioni di ripristino dalla configurazione guidata di BitLocker: impedire agli utenti di specificare le opzioni di ripristino quando attivano BitLocker per un'unità. Ciò significa che gli utenti non saranno in grado di specificare l'opzione di ripristino da usare quando attivano BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono determinate dall'impostazione dei criteri
• Salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services: scegliere le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità dati fisse. Se si seleziona Backup recovery password and key package ,sia la password di ripristino di BitLocker che il pacchetto della chiave vengono archiviati in Active Directory Domain Services. L'archiviazione del pacchetto di chiavi supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se si seleziona Solo password di ripristino di backup, in Active Directory Domain Services viene archiviata solo la password di ripristino
• Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati fisse: impedisce agli utenti di abilitare BitLocker a meno che il dispositivo non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in Active Directory Domain Services abbia esito positivo. Quando si usa questa opzione, viene generata automaticamente una password di ripristino.

Importante

L'uso delle chiavi di ripristino deve essere disattivato se è abilitata l'impostazione dei criteri Nega accesso in scrittura a unità fisse non protette da BitLocker .

Se questa impostazione di criterio è disabilitata o non configurata, le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, un dra è consentito, le opzioni di ripristino possono essere specificate dall'utente, tra cui la password di ripristino e la chiave di ripristino, e le informazioni di ripristino non vengono di cui viene eseguito il backup in Servizi di dominio Active Directory.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRecoveryOptions
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Configurare l'uso della crittografia basata su hardware per unità dati fisse

Questa impostazione di criterio consente di gestire l'uso della crittografia basata su hardware da parte di BitLocker nelle unità dati fisse e di specificare gli algoritmi di crittografia che può usare con la crittografia basata su hardware. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che implicano la lettura o la scrittura frequenti di dati nell'unità.

Se si abilita questa impostazione di criterio, è possibile specificare opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei dispositivi che non supportano la crittografia basata su hardware. È anche possibile specificare se si desidera limitare gli algoritmi di crittografia e i pacchetti di crittografia usati con la crittografia basata su hardware.

Se si disabilita questa impostazione di criterio, BitLocker non può usare la crittografia basata su hardware con unità dati fisse e la crittografia basata su software BitLocker verrà usata per impostazione predefinita quando l'unità è crittografata.

Se non si configura questa impostazione di criterio, BitLocker userà la crittografia basata su software, indipendentemente dalla disponibilità della crittografia basata su hardware.

Nota

L'impostazione Scegliere il metodo di crittografia dell'unità e i criteri di crittografia non si applicano alla crittografia basata su hardware. L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità.

L'opzione Limita algoritmi di crittografia e suite di crittografia consentiti per la crittografia basata su hardware consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati da identificatori di oggetto (OID). Ad esempio:

• AES 128 in modalità CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Configurare l'uso delle password per le unità dati fisse

Questa impostazione di criterio specifica se è necessaria una password per sbloccare le unità dati fisse protette da BitLocker. Se si sceglie di consentire l'uso di una password, è possibile richiedere l'uso di una password, applicare i requisiti di complessità e configurare una lunghezza minima.

Importante

Per rendere effettiva l'impostazione del requisito di complessità, è necessario abilitare anche l'impostazionedei criteri di gruppo Password per soddisfare i requisiti di complessità disponibili in Impostazioni > di sicurezza di Configurazione computerImpostazioni>>> diWindowsCriteriaccount Criteri password.

Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare i requisiti di complessità alla password, selezionare Richiedi complessità:

• Se impostato su Richiedi complessità, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per convalidare la complessità della password
• Se impostato su Consenti complessità, viene tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dai criteri. Se non vengono trovati controller di dominio, la password viene accettata indipendentemente dalla complessità effettiva della password e l'unità verrà crittografata usando tale password come protezione
• Se impostato su Non consentire la complessità, la complessità delle password non viene convalidata

Le password devono essere di almeno otto caratteri. Per configurare una lunghezza minima maggiore per la password, specificare il numero di caratteri desiderato in Lunghezza minima password

Se si disabilita o non si configura questa impostazione di criterio, il vincolo di lunghezza predefinito di otto caratteri si applica alle password delle unità del sistema operativo e non vengono eseguiti controlli di complessità.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Configurare l'uso di smart card nelle unità dati fisse

Questa impostazione di criterio consente di specificare se le smart card possono essere usate per autenticare l'accesso utente alle unità dati fisse protette da BitLocker.

• Se si abilita questa impostazione di criterio, è possibile usare le smart card per autenticare l'accesso utente all'unità
  • È possibile richiedere l'autenticazione di una smart card selezionando l'opzione Richiedi l'uso di smart card in unità dati fisse
• Se si disabilita questa impostazione di criterio, gli utenti non possono usare le smart card per autenticare l'accesso alle unità dati fisse protette da BitLocker
• Se non si configura questa impostazione di criterio, è possibile usare le smart card per autenticare l'accesso utente a un'unità protetta da BitLocker

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Negare l'accesso in scrittura alle unità fisse non protette da BitLocker

Questa impostazione di criterio viene usata per richiedere la crittografia delle unità fisse prima di concedere l'accesso in scrittura .

Se si abilita questa impostazione di criterio, tutte le unità dati fisse non protette da BitLocker verranno montate in sola lettura. Se l'unità è protetta da BitLocker, verrà montata con accesso in lettura e scrittura.

Se si disabilita o non si configura questa impostazione di criterio, tutte le unità dati fisse nel computer verranno montate con accesso in lettura e scrittura.

Nota

Quando questa impostazione di criterio è abilitata, gli utenti ricevono i messaggi di errore accesso negato quando provano a salvare i dati in unità dati fisse non crittografate.

Se lo strumento BdeHdCfg.exedi preparazione dell'unità BitLocker viene eseguito in un computer quando questa impostazione di criterio è abilitata, potrebbero verificarsi i problemi seguenti:

• Se si tenta di compattare un'unità per creare l'unità di sistema, le dimensioni dell'unità vengono ridotte correttamente e viene creata una partizione non elaborata. Tuttavia, la partizione non elaborata non è formattata. Viene visualizzato il messaggio di errore seguente: La nuova unità attiva non può essere formattata. Potrebbe essere necessario preparare manualmente l'unità per BitLocker.
• Se si tenta di usare uno spazio non allocato per creare l'unità di sistema, viene creata una partizione non elaborata. Tuttavia, la partizione non elaborata non è formattata. Viene visualizzato il messaggio di errore seguente: La nuova unità attiva non può essere formattata. Potrebbe essere necessario preparare manualmente l'unità per BitLocker.
• Se si tenta di unire un'unità esistente nell'unità di sistema, lo strumento non riesce a copiare il file di avvio necessario nell'unità di destinazione per creare l'unità di sistema. Viene visualizzato il messaggio di errore seguente: Impossibile copiare i file di avvio durante l'installazione di BitLocker. Potrebbe essere necessario preparare manualmente l'unità per BitLocker.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRequireEncryption
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Applicare il tipo di crittografia delle unità nelle unità dati fisse

Questa impostazione di criterio controlla l'uso di BitLocker nelle unità dati fisse.

Se si abilita l'impostazione di questo criterio, il tipo di crittografia usato da BitLocker per crittografare le unità è definito da questo criterio e l'opzione del tipo di crittografia non verrà visualizzata nell'installazione guidata di BitLocker:

• Scegliere la crittografia completa per richiedere la crittografia dell'intera unità quando BitLocker è attivato
• Scegliere la crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato

Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Nota

La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso.

Questo criterio viene ignorato durante la compattazione o l'espansione di un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa la crittografia Solo spazio usato viene espansa, il nuovo spazio disponibile non viene cancellato come un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in un'unità Solo spazio usato usando il comando seguente: manage-bde.exe -w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesEncryptionType
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati fisse

Unità dati rimovibili

Nome criterio	CSP	GPO
Scegliere come ripristinare le unità rimovibili protette da BitLocker	❌	✅
Configurare l'uso della crittografia basata su hardware per le unità dati rimovibili	❌	✅
Configurare l'uso delle password per le unità dati rimovibili	❌	✅
Configurare l'uso di smart card nelle unità dati rimovibili	❌	✅
Controllare l'uso di BitLocker nelle unità rimovibili	✅	✅
Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker	✅	✅
Applicare il tipo di crittografia delle unità nelle unità dati rimovibili	✅	✅
Unità rimovibili escluse dalla crittografia	✅	❌

Scegliere come ripristinare le unità rimovibili protette da BitLocker

Questa impostazione di criterio consente di controllare il modo in cui le unità dati rimovibili protette da BitLocker vengono ripristinate in assenza delle informazioni necessarie sulla chiave di avvio. Se si abilita questa impostazione di criterio, è possibile controllare i metodi disponibili per gli utenti per ripristinare i dati dalle unità dati rimovibili protette da BitLocker. Ecco le opzioni disponibili:

• Consenti agente di recupero dati basato su certificato: specificare se un agente di recupero dati può essere usato con unità dati rimovibili protette da BitLocker. Prima di poter usare un agente di ripristino dati, è necessario aggiungerlo dall'elemento Criteri chiave pubblica nella console di gestione Criteri di gruppo o nella Criteri di gruppo Editor locale
• Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker: selezionare se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre o una chiave di ripristino a 256 bit
• Omettere le opzioni di ripristino dalla configurazione guidata di BitLocker: impedire agli utenti di specificare le opzioni di ripristino quando attivano BitLocker per un'unità. Ciò significa che gli utenti non saranno in grado di specificare l'opzione di ripristino da usare quando attivano BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono determinate dall'impostazione dei criteri
• Salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services: scegliere le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità dati rimovibili. Se si seleziona Backup recovery password and key package ,sia la password di ripristino di BitLocker che il pacchetto della chiave vengono archiviati in Active Directory Domain Services. L'archiviazione del pacchetto di chiavi supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se si seleziona Solo password di ripristino di backup, in Active Directory Domain Services viene archiviata solo la password di ripristino
• Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati rimovibili: impedisce agli utenti di abilitare BitLocker a meno che il dispositivo non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory abbia esito positivo. Quando si usa questa opzione, viene generata automaticamente una password di ripristino.

Importante

L'uso delle chiavi di ripristino deve essere disattivato se l'impostazione dei criteri Nega accesso in scrittura alle unità rimovibili non protette da BitLocker è abilitata.

Se questa impostazione di criterio è disabilitata o non configurata, le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, un dra è consentito, le opzioni di ripristino possono essere specificate dall'utente, tra cui la password di ripristino e la chiave di ripristino, e le informazioni di ripristino non vengono di cui viene eseguito il backup in Servizi di dominio Active Directory.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Configurare l'uso della crittografia basata su hardware per le unità dati rimovibili

Questa impostazione di criterio consente di gestire l'uso della crittografia basata su hardware da parte di BitLocker nelle unità dati rimovibili e di specificare gli algoritmi di crittografia che può usare con la crittografia basata su hardware. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che implicano la lettura o la scrittura frequenti di dati nell'unità.

Se si abilita questa impostazione di criterio, è possibile specificare opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei dispositivi che non supportano la crittografia basata su hardware. È anche possibile specificare se si desidera limitare gli algoritmi di crittografia e i pacchetti di crittografia usati con la crittografia basata su hardware.

Se si disabilita questa impostazione di criterio, BitLocker non può usare la crittografia basata su hardware con unità dati rimovibili e la crittografia basata su software BitLocker verrà usata per impostazione predefinita quando l'unità è crittografata.

Se non si configura questa impostazione di criterio, BitLocker userà la crittografia basata su software, indipendentemente dalla disponibilità della crittografia basata su hardware.

Nota

L'impostazione Scegliere il metodo di crittografia dell'unità e i criteri di crittografia non si applicano alla crittografia basata su hardware. L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità.

L'opzione Limita algoritmi di crittografia e suite di crittografia consentiti per la crittografia basata su hardware consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati da identificatori di oggetto (OID). Ad esempio:

• AES 128 in modalità CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Configurare l'uso delle password per le unità dati rimovibili

Questa impostazione di criterio specifica se è necessaria una password per sbloccare le unità dati rimovibili protette da BitLocker. Se si sceglie di consentire l'uso di una password, è possibile richiedere l'uso di una password, applicare i requisiti di complessità e configurare una lunghezza minima.

Importante

Per rendere effettiva l'impostazione del requisito di complessità, è necessario abilitare anche l'impostazionedei criteri di gruppo Password per soddisfare i requisiti di complessità disponibili in Impostazioni > di sicurezza di Configurazione computerImpostazioni>>> diWindowsCriteriaccount Criteri password.

Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare i requisiti di complessità alla password, selezionare Richiedi complessità:

• Se impostato su Richiedi complessità, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per convalidare la complessità della password
• Se impostato su Consenti complessità, viene tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dai criteri. Se non vengono trovati controller di dominio, la password viene accettata indipendentemente dalla complessità effettiva della password e l'unità verrà crittografata usando tale password come protezione
• Se impostato su Non consentire la complessità, la complessità delle password non viene convalidata

Le password devono avere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, specificare il numero di caratteri desiderato in Lunghezza minima password

Se si disabilita o non si configura questa impostazione di criterio, il vincolo di lunghezza predefinito di otto caratteri si applica alle password delle unità del sistema operativo e non vengono eseguiti controlli di complessità.

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Configurare l'uso di smart card nelle unità dati rimovibili

Questa impostazione di criterio consente di specificare se è possibile usare le smart card per autenticare l'accesso utente alle unità dati rimovibili protette da BitLocker.

• Se si abilita questa impostazione di criterio, è possibile usare le smart card per autenticare l'accesso utente all'unità
  • È possibile richiedere l'autenticazione di una smart card selezionando l'opzione Richiedi l'uso di smart card nelle unità dati rimovibili
• Se si disabilita questa impostazione di criterio, gli utenti non possono usare le smart card per autenticare l'accesso alle unità dati rimovibili protette da BitLocker
• Se non si configura questa impostazione di criterio, è possibile usare le smart card per autenticare l'accesso utente a un'unità protetta da BitLocker

	Percorso
CSP	Non disponibile
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Controllare l'uso di BitLocker nelle unità rimovibili

Questa impostazione di criterio controlla l'uso di BitLocker nelle unità dati rimovibili.

Quando questa impostazione di criterio è abilitata, è possibile selezionare le impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker:

• Scegliere Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili per consentire all'utente di eseguire l'installazione guidata di BitLocker in un'unità dati rimovibile
• Scegliere Consenti agli utenti di sospendere e decrittografare BitLocker nelle unità dati rimovibili per consentire all'utente di rimuovere la crittografia BitLocker dall'unità o sospendere la crittografia durante la manutenzione

Se si disabilita questa impostazione di criterio, gli utenti non possono usare BitLocker nelle unità disco rimovibili.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesConfigureBDE
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker

Questa impostazione di criterio consente di configurare se è necessaria la protezione BitLocker per consentire a un dispositivo di scrivere dati in un'unità dati rimovibile.

Se si abilita questa impostazione di criterio:

• Tutte le unità dati rimovibili che non sono protette da BitLocker vengono montate come di sola lettura
• se l'unità è protetta da BitLocker, viene montata con accesso in lettura e scrittura
• se è selezionata l'opzione Nega accesso in scrittura ai dispositivi configurati in un'altra organizzazione , solo alle unità con campi di identificazione corrispondenti ai campi di identificazione del computer viene concesso l'accesso in scrittura
  • Quando si accede a un'unità dati rimovibile, vengono verificati campi di identificazione validi e campi di identificazione consentiti. Questi campi sono definiti dall'impostazione dei criteri (Specificare gli identificatori univoci per l'organizzazione)[]

Se si disabilita o non si configura questa impostazione di criterio, tutte le unità dati rimovibili nel computer vengono montate con accesso in lettura e scrittura.

Nota

Questa impostazione di criterio viene ignorata se sono abilitate le impostazioni dei criteri Dischi rimovibili: Nega accesso in scrittura .

Importante

Se il criterio viene abilitato:

• L'uso di BitLocker con la chiave di avvio TPM o la chiave TPM e il PIN devono non essere consentiti
• L'uso delle chiavi di ripristino deve essere non consentito

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesRequireEncryption
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Applicare il tipo di crittografia delle unità nelle unità dati rimovibili

Questa impostazione di criterio controlla l'uso di BitLocker nelle unità dati rimovibili.

Quando si abilita questa impostazione di criterio, l'opzione del tipo di crittografia non è disponibile nell'installazione guidata di BitLocker:

• Scegliere la crittografia completa per richiedere la crittografia dell'intera unità quando BitLocker è attivato
• Scegliere la crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato

Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Nota

La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso.

Questo criterio viene ignorato durante la compattazione o l'espansione di un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa la crittografia Solo spazio usato viene espansa, il nuovo spazio disponibile non viene cancellato come un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in un'unità Solo spazio usato usando il comando seguente: manage-bde.exe -w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesEncryptionType
GPO	Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia >unità BitLockerUnità dati rimovibili

Unità rimovibili escluse dalla crittografia

	Percorso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesExcludedFromEncryption
GPO	Non disponibile

Conformità delle impostazioni di BitLocker e dei criteri

Se un dispositivo non è conforme alle impostazioni dei criteri configurate, BitLocker potrebbe non essere attivato o la configurazione di BitLocker potrebbe essere modificata fino a quando il dispositivo non è in uno stato conforme. Quando un'unità non è conforme alle impostazioni dei criteri, sono consentite solo le modifiche alla configurazione di BitLocker che la consentiranno di renderla conforme. Questo scenario può verificarsi, ad esempio, se un'unità crittografata in precedenza non è conforme a una modifica dell'impostazione dei criteri.

Se sono necessarie più modifiche per garantire la conformità dell'unità, potrebbe essere necessario sospendere la protezione di BitLocker, apportare le modifiche necessarie e quindi riprendere la protezione. Tale situazione potrebbe verificarsi, ad esempio, se un'unità rimovibile è inizialmente configurata per lo sblocco con una password e quindi le impostazioni dei criteri vengono modificate per richiedere le smart card. In questo scenario, la protezione BitLocker deve essere sospesa, eliminare il metodo di sblocco della password e aggiungere il metodo smart card. Al termine di questo processo, BitLocker è conforme all'impostazione dei criteri e la protezione BitLocker nell'unità può essere ripresa.

In altri scenari, per rendere l'unità conforme a una modifica delle impostazioni dei criteri, Potrebbe essere necessario disabilitare BitLocker e decrittografare l'unità seguita dalla riabilitare BitLocker e quindi crittografare nuovamente l'unità. Un esempio di questo scenario è quando viene modificato il metodo di crittografia BitLocker o il livello di crittografia.

Per altre informazioni su come gestire BitLocker, vedere la guida alle operazioni di BitLocker.

Configurare e gestire i server

I server vengono spesso distribuiti, configurati e gestiti tramite PowerShell. È consigliabile usare le impostazioni dei criteri di gruppo per configurare BitLocker nei server e gestire BitLocker tramite PowerShell.

BitLocker è un componente facoltativo in Windows Server. Seguire le istruzioni in Installare BitLocker in Windows Server per aggiungere il componente facoltativo BitLocker.

L'interfaccia server minima è un prerequisito per alcuni degli strumenti di amministrazione di BitLocker. In un'installazione server core è necessario aggiungere prima i componenti GUI necessari. I passaggi per aggiungere i componenti della shell a Server Core sono descritti in Uso di funzionalità su richiesta con sistemi aggiornati e immagini corrette e Come aggiornare supporti di origine locale per aggiungere ruoli e funzionalità. Se un server viene installato manualmente, scegliere Server con Esperienza desktop è il percorso più semplice perché evita di eseguire la procedura per aggiungere un'interfaccia utente grafica a Server Core.

I data center lights-out possono sfruttare la sicurezza avanzata di un secondo fattore evitando la necessità di intervento dell'utente durante i riavvii usando facoltativamente una combinazione di BitLocker (TPM+PIN) e sblocco di rete BitLocker. Lo sblocco di rete via BitLocker include il meglio della protezione dell'hardware, della dipendenza di posizione e dello sblocco automatico, nella posizione attendibile. Per i passaggi di configurazione, vedere Sblocco di rete.

Passaggi successivi

Vedere la guida alle operazioni di BitLocker per informazioni su come usare diversi strumenti per gestire e gestire BitLocker.

Guida alle operazioni di BitLocker >