Planejar Requisitos de Política de Grupo do MBAM 2.0
Para gerenciar computadores cliente do MBAM (Administração e Monitoramento do Microsoft BitLocker), você precisa considerar os tipos de protetores do BitLocker aos quais deseja dar suporte em sua organização e, em seguida, definir as configurações de Política de Grupo correspondentes que deseja aplicar. Este tópico descreve as Política de Grupo configurações disponíveis para uso quando você estiver usando a Administração e o Monitoramento do Microsoft BitLocker para gerenciar a Criptografia de Unidade de Disco BitLocker na empresa.
O MBAM dá suporte aos seguintes tipos de protetores do BitLocker para unidades do sistema operacional: TPM (Trusted Platform Module), TPM + PIN, TPM + chave USB e TPM + PIN + chave USB, senha, senha numérica e Agente de Recuperação de Dados. O protetor de senha tem suporte apenas para dispositivos Windows To Go e Windows 8 dispositivos que não têm um TPM. O MBAM dá suporte à chave TPM + USB e aos protetores de chave TPM + PIN + USB somente quando o volume do sistema operacional é criptografado antes da instalação do MBAM.
O MBAM dá suporte aos seguintes tipos de protetores do BitLocker para unidades de dados fixas: senha, desbloqueio automático, senha numérica e Agente de Recuperação de Dados.
O protetor de senha numérica é aplicado automaticamente como parte da criptografia de volume e não precisa ser configurado.
Importante
As configurações padrão de criptografia de unidade de disco Política de Grupo do Windows BitLocker (GPO) não são usadas pelo MBAM e podem causar comportamento conflitante se estiverem habilitadas. Para permitir que o MBAM gerencie o BitLocker, você deve definir as configurações de Política de Grupo MBAM somente depois de instalar o modelo de Política de Grupo MBAM.
PINs de inicialização aprimorados podem conter caracteres, como letras maiúsculas e minúsculas e números. Ao contrário do BitLocker, o MBAM não dá suporte ao uso de símbolos e espaços para PINs avançados.
Instale o modelo de Política de Grupo MBAM em um computador que seja capaz de executar o CONSOLE de Gerenciamento do Política de Grupo (GPMC) ou a tecnologia MDOP do AGPM (Advanced Política de Grupo Management). Para editar as configurações de GPO que habilitam a funcionalidade do MBAM, primeiro instale o modelo do MBAM Política de Grupo, abra o GPMC ou o AGPM para editar o GPO aplicável e navegue até o seguinte nó de GPO:\\ ModelosAdministrativos\ de Políticas de Configuração do Computador DoMDOP\MBAM (Gerenciamento do BitLocker).
O nó GPO do MDOP MBAM (Gerenciamento do BitLocker) contém quatro configurações de política globais e quatro nós de configurações de GPO filho: Gerenciamento de Cliente, Unidade Fixa, Unidade do Sistema Operacional e Unidade Removível. As seções a seguir fornecem definições de política e configurações de política sugeridas para ajudá-lo a planejar os requisitos de configuração de política de GPO do MBAM.
Observação
Para obter mais informações sobre como definir as configurações mínimas e recomendadas de GPO para permitir que o MBAM gerencie a criptografia do BitLocker, consulte Como editar configurações de GPO do MBAM 2.0.
Definições de Política Global
Esta seção descreve as definições de política global do MBAM encontradas noseguinte nó de GPO:\\ Modelos Administrativos de Políticas de Configuração de Computador DoWindows Componentes\\do Windows MDOP MBAM (Gerenciamento do BitLocker).
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Escolher o método de criptografia de unidade e a força da criptografia |
Configuração sugerida: não configurada Configure essa política para usar um método de criptografia específico e a força da criptografia. Quando essa política não está configurada, o BitLocker usa o método de criptografia padrão de AES de 128 bits com Difusor ou o método de criptografia especificado pelo script de instalação. |
Impedir a substituição de memória ao reiniciar |
Configuração sugerida: não configurada Configure essa política para melhorar o desempenho da reinicialização sem substituir os segredos do BitLocker na memória na reinicialização. Quando essa política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado. |
Validar a regra de uso do certificado de cartão inteligente |
Configuração sugerida: não configurada Configure essa política para usar a proteção bitLocker baseada em certificado inteligente. Quando essa política não está configurada, um identificador de objeto padrão 1.3.6.1.4.1.311.67.1.1 é usado para especificar um certificado. |
Forneça os identificadores exclusivos para sua organização |
Configuração sugerida: não configurada Configure essa política para usar um agente de recuperação de dados baseado em certificado ou o leitor do BitLocker To Go. Quando essa política não está configurada, o campo Identificação não é usado. Se sua empresa exigir medidas de segurança mais altas, convém configurar o campo Identificação para garantir que todos os dispositivos USB tenham esse campo definido e que estejam alinhados com essa configuração Política de Grupo segurança. |
Definições de Política de Gerenciamento de Cliente
Esta seção descreve as definições de política de Gerenciamento de Cliente para Administração e Monitoramento do Microsoft BitLocker encontradas no seguinte nó deGPO:\\ ModelosAdministrativos\\ de Políticas de Configuração do Computador –MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Clientes.
Nome da política | Visão geral e configurações de política sugeridas |
---|---|
Configurar serviços do MBAM |
Configuração Sugerida: Habilitada
|
Configurar a política de isenção do usuário |
Configuração sugerida: não configurada Essa configuração de política permite configurar um endereço de site, endereço de email ou número de telefone que instruirá um usuário a solicitar uma isenção da criptografia BitLocker. Se você habilitar essa configuração de política e fornecer um endereço de site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo que fornece instruções sobre como solicitar uma isenção da proteção do BitLocker. Para obter mais informações sobre como habilitar as isenções de criptografia do BitLocker para usuários, consulte Como gerenciar isenções de criptografia do BitLocker do usuário. Se você desabilitar ou não definir essa configuração de política, as instruções de solicitação de isenção não serão apresentadas aos usuários.
Observação
A isenção do usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e qualquer usuário não estiver isento, o computador será criptografado. |
Configurar o programa de aperfeiçoamento da experiência do cliente |
Essa configuração de política permite configurar como os usuários do MBAM podem ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Este programa coleta informações sobre o hardware do computador e como os usuários usam o MBAM sem interromper seu trabalho. As informações ajudam a Microsoft a identificar quais recursos do MBAM melhorar. A Microsoft não usará essas informações para identificar ou contatar usuários do MBAM. Se você habilitar essa configuração de política, os usuários poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você desabilitar essa configuração de política, os usuários não poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você não definir essa configuração de política, os usuários terão a opção de ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. |
Definições de política de unidade fixas
Esta seção descreve as definições de política de unidade fixa para Administração e Monitoramento do Microsoft BitLocker encontradas no seguinte nó deGPO:\\ ModelosAdministrativos\\ de Políticas de Configuração do ComputadorMDOP MBAM (Gerenciamento do BitLocker)\Unidade Fixa.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Correção das configurações de criptografia da unidade de dados |
Configuração Sugerida: Habilitada Essa configuração de política permite que você gerencie se as unidades fixas devem ser criptografadas. Se o volume do sistema operacional precisar ser criptografado, selecione a opção Habilitar desbloqueio automático de unidade de dados fixa . Ao habilitar essa política, você não deve desabilitar o uso de Configurar senha para a política de unidades de dados fixas, a menos que o uso do Desbloqueio Automático para unidades de dados fixas seja permitido ou necessário. Se você precisar usar o Desbloqueio Automático para unidades de dados fixas, deverá configurar volumes do sistema operacional para serem criptografados. Se você habilitar essa configuração de política, os usuários precisarão colocar todas as unidades fixas na proteção do BitLocker e as unidades serão criptografadas. Se você não definir essa configuração de política, os usuários não precisarão colocar unidades fixas sob proteção do BitLocker. Se você aplicar essa política depois que as unidades de dados fixas forem criptografadas, o agente do MBAM descriptografa as unidades fixas criptografadas. Se você desabilitar essa configuração de política, os usuários não poderão colocar suas unidades de dados fixas sob proteção do BitLocker. |
Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker |
Configuração sugerida: não configurada Essa configuração de política determina se a proteção do BitLocker é necessária para que as unidades fixas sejam graváveis em um computador. Essa configuração de política é aplicada quando você ativa o BitLocker. Quando a política não está configurada, todas as unidades de dados fixas no computador são montadas com acesso de leitura e gravação. |
Permitir acesso a unidades fixas protegidas pelo BitLocker de versões anteriores do Windows |
Configuração sugerida: não configurada Habilite essa política para permitir que unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2. Quando a política está habilitada ou não configurada, unidades fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas e seu conteúdo pode ser exibido em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Esses sistemas operacionais têm acesso somente leitura a unidades protegidas pelo BitLocker. Quando a política é desabilitada, as unidades fixas formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que executam o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2. |
Configurar o uso de senha para unidades fixas |
Configuração sugerida: não configurada Use esta política para especificar se uma senha é necessária para desbloquear unidades de dados fixas protegidas pelo BitLocker. Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos por você. O BitLocker permitirá que os usuários desbloqueiem uma unidade com qualquer um dos protetores disponíveis na unidade. Essas configurações são impostas ao ativar o BitLocker, não ao desbloquear um volume. Se você desabilitar essa configuração de política, os usuários não poderão usar uma senha. Quando a política não está configurada, há suporte para senhas com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres. Para maior segurança, habilite essa política e selecione Exigir senha para a unidade de dados fixa, selecione Exigir complexidade de senha e defina o comprimento mínimo de senha desejado. Se você desabilitar essa configuração de política, os usuários não poderão usar uma senha. Se você não definir essa configuração de política, as senhas terão suporte com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres. |
Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: não configurada Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou para salvar informações de recuperação do BitLocker Active Directory Domain Services (AD DS). Quando a política não está configurada, o agente de recuperação de dados do BitLocker é permitido e as informações de recuperação não são copiadas para o AD DS. O MBAM não exige que as informações de recuperação sejam copiadas para o AD DS. |
Definições de política de unidade do sistema operacional
Esta seção descreve as definições de política de Unidade de Sistema Operacional para Administraçãoe Monitoramento do Microsoft BitLocker encontradas no seguinte nó gpo:\\ Modelos administrativos de políticas de configuração do computadorComponentes\ doWindows\MDOP MBAM (Gerenciamento do BitLocker)\Unidade do Sistema Operacional.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Configurações de criptografia da unidade do sistema operacional |
Configuração sugerida: Habilitada Essa configuração de política permite que você gerencie se a unidade do sistema operacional deve ser criptografada. Para maior segurança, considere desabilitar as seguintes configurações de política nas Configurações de Sistema /Gerenciamento de Energia/ Sono ao habilite-as com o protetor de TPM + PIN:
Se você estiver executando o Microsoft Windows 8 ou posterior e quiser usar o BitLocker em um computador sem um TPM, marque a caixa de seleção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha é necessária para inicialização. Se você esquecer a senha, precisará usar uma das opções de recuperação do BitLocker para acessar a unidade. Em um computador com um TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a entrada de um PIN (número de identificação pessoal). Se você habilitar essa configuração de política, os usuários precisarão colocar a unidade do sistema operacional sob proteção do BitLocker e a unidade será criptografada. Se você desabilitar essa política, os usuários não poderão colocar a unidade do sistema operacional sob proteção do BitLocker. Se você aplicar essa política depois que a unidade do sistema operacional for criptografada, a unidade será descriptografada. Se você não configurar essa política, a unidade do sistema operacional não deverá ser colocada sob proteção do BitLocker. |
Configurar o perfil de validação da plataforma TPM |
Configuração sugerida: não configurada Essa configuração de política permite configurar como o hardware de segurança do TPM em um computador protege a chave de criptografia do BitLocker. Essa configuração de política não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção do TPM. Quando essa configuração de política não está definida, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação. |
Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: não configurada Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou para salvar informações de recuperação do BitLocker Active Directory Domain Services (AD DS). Quando essa política não estiver configurada, o agente de recuperação de dados será permitido e as informações de recuperação não terão backup feito no AD DS. A operação do MBAM não exige que as informações de recuperação sejam copiadas para o AD DS. |
Definições de política de unidade removível
Esta seção descreve as definições de Política de Unidade Removível para Administração e Monitoramento doMicrosoft BitLocker encontradas no seguinte nó de GPO:\\ Modelos Administrativos de Políticas de Configuração do ComputadorComponentes\ doWindows\MDOP MBAM (Gerenciamento do BitLocker) \ Unidade Removível.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Controlar o uso do BitLocker em unidades removíveis |
Configuração sugerida: Habilitada Essa política controla o uso do BitLocker em unidades de dados removíveis. Habilite a opção Permitir que os usuários apliquem a proteção do BitLocker em unidades de dados removíveis para permitir que os usuários executem o assistente de instalação do BitLocker em uma unidade de dados removível. Habilite a opção Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que os usuários removam a criptografia de unidade do BitLocker da unidade ou suspendam a criptografia enquanto a manutenção é executada. Quando essa política está habilitada e a opção Permitir que os usuários apliquem a proteção do BitLocker em unidades de dados removíveis é selecionada, o Cliente MBAM salva as informações de recuperação sobre unidades removíveis no servidor de recuperação de chave do MBAM e permite que os usuários recuperem a unidade se a senha for perdida. |
Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker |
Configuração sugerida: não configurada Habilite essa política para permitir apenas o acesso de gravação a unidades protegidas pelo BitLocker. Quando essa política está habilitada, todas as unidades de dados removíveis no computador exigem criptografia antes que o acesso de gravação seja permitido. |
Permitir acesso a unidades removíveis protegidas pelo BitLocker de versões anteriores do Windows |
Configuração sugerida: não configurada Habilite essa política para permitir que unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2. Quando essa política não está configurada, as unidades de dados removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores que executam o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2 e seu conteúdo pode ser exibido. Esses sistemas operacionais têm acesso somente leitura a unidades protegidas pelo BitLocker. Quando a política é desabilitada, as unidades removíveis formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que executam o Windows Server 2008, o Windows Vista, o Windows XP com SP3 ou o Windows XP com SP2. |
Configurar o uso de senha para unidades de dados removíveis |
Configuração sugerida: não configurada Habilite essa política para configurar a proteção de senha em unidades de dados removíveis. Quando essa política não está configurada, há suporte para senhas com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres. Para aumentar a segurança, você pode habilitar essa política e verificar Exigir senha para unidade de dados removível, selecionar Exigir complexidade de senha e definir o comprimento mínimo de senha preferencial. |
Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: não configurada Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou para salvar informações de recuperação do BitLocker Active Directory Domain Services (AD DS). Quando definido como Não Configurado, o agente de recuperação de dados é permitido e as informações de recuperação não são copiadas em backup no AD DS. A operação do MBAM não exige que as informações de recuperação sejam copiadas para o AD DS. |