Planear os requisitos de política de grupo do MBAM 2.5
Utilize as seguintes informações para determinar os tipos de protetores BitLocker que pode utilizar para gerir os computadores cliente de Administração e Monitorização do Microsoft BitLocker (MBAM) na sua empresa.
Tipos de protetores BitLocker suportados pelo MBAM
O MBAM suporta os seguintes tipos de protetores BitLocker.
| Tipo de unidade ou volume | Protetores BitLocker suportados |
|---|---|
| Volumes do sistema operativo |
-
Trusted Platform Module (TPM) - TPM + PIN - TPM + tecla USB - suportado apenas quando o volume do sistema operativo é encriptado antes da instalação do MBAM - TPM + PIN + tecla USB - suportado apenas quando o volume do sistema operativo é encriptado antes da instalação do MBAM - Palavra-passe - suportada apenas para dispositivos Windows To Go, unidades de dados fixas e dispositivos Windows 8, Windows 8.1 e Windows 10 que não tenham um TPM - Palavra-passe numérica – aplicada automaticamente como parte da encriptação de volume e não precisa de ser configurada, exceto no modo FIPS no Windows 7 - Agente de recuperação de dados (DRA) |
| Unidades de dados fixas |
-
Palavra-passe - Desbloquear automaticamente - Palavra-passe numérica – aplicada automaticamente como parte da encriptação de volume e não precisa de ser configurada, exceto no modo FIPS no Windows 7 - Agente de recuperação de dados (DRA) |
| Unidades amovíveis |
-
Palavra-passe - Desbloquear automaticamente - Palavra-passe numérica – aplicada automaticamente como parte da encriptação de volume e não precisa de ser configurada - Agente de recuperação de dados (DRA) |
Suporte para a política BitLocker de Encriptação de Espaço Utilizado
No MBAM 2.5 SP1, se ativar a Encriptação de Espaço Utilizado através da política do Grupo BitLocker, o cliente MBAM honra-o.
Esta definição de política de grupo chama-se Impor tipo de encriptação de unidade em unidades do sistema operativo e está localizada no seguinte nó GPO: Configuração> do ComputadorModelos Administrativos Componentes> doWindows Componentes>bitLocker Unidade>Operating System Drive. Se ativar esta política e selecionar o tipo de encriptação como encriptação Apenas Espaço Utilizado, o MBAM honra a política e o BitLocker encriptará apenas o espaço em disco utilizado no volume.
Como obter os modelos de política de grupo MBAM e editar as definições
Quando estiver pronto para configurar as definições de política de grupo MBAM pretendidas, siga os seguintes passos:
Copie os modelos de política de grupo MBAM a partir de modelos de política de grupo MDOP e instale-os num computador com capacidade para executar a Consola de Gestão de Políticas de Grupo (GPMC) ou a Gestão Avançada de Políticas de Grupo (AGPM). Para obter mais informações, veja Copiar os modelos de política de grupo do MBAM 2.5.
Configure as definições de política de grupo que pretende utilizar na sua empresa. Para obter mais informações, consulte Editar as definições de política de grupo do MBAM 2.5.
Descrições das definições de política do grupo MBAM
O nó GPO MDOP MBAM (Gestão do BitLocker) contém quatro definições de política global e quatro nós DE GPO subordinados: Gestão de Cliente, Unidade Fixa, Unidade do Sistema Operativo e Unidade Amovível. As secções seguintes descrevem e sugerem definições para as definições de política do grupo MBAM.
Importante
Não altere as definições da política de grupo no nó Encriptação de Unidade BitLocker ou o MBAM não funcionará corretamente. O MBAM configura automaticamente as definições neste nó quando configura as definições no nó MDOP MBAM (Gestão do BitLocker ).
Definições de política de grupo global
Esta secção descreve as definições de política de grupo global do MBAM no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos Administrativos>Componentes>>do WindowsMDOP MBAM (Gestão do BitLocker).
| Nome da política | Descrição geral e definições de política de grupo sugeridas |
|---|---|
| Escolher o método de encriptação de unidade e a força da cifra |
Configuração sugerida:Ativada Configure esta política para utilizar um método de encriptação específico e a força da cifra. Quando esta política não está configurada, o BitLocker utiliza o método de encriptação predefinido: AES de 128 bits com Difusor. Nota: um problema com o relatório de Conformidade do Computador BitLocker faz com que apresente "desconhecido" para a força da cifra, mesmo que esteja a utilizar o valor predefinido. Para contornar este problema, certifique-se de que ativa esta definição e define um valor para a força da cifra. - AES de 128 bits com Difusor - apenas para o Windows 7 - AES 128 para Windows 8, Windows 8.1, Windows 10 e Windows 11 |
| Impedir a substituição da memória ao reiniciar |
Configuração sugerida:Não Configurada Configure esta política para melhorar o desempenho de reinício sem substituir os segredos do BitLocker na memória durante o reinício. Quando esta política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado. |
| Validar a regra de utilização de certificados de smart card |
Configuração sugerida:Não Configurada Configure esta política para utilizar a proteção BitLocker baseada em certificados de smartcard. Quando esta política não está configurada, o identificador 1.3.6.1.4.1.311.67.1.1 de objeto predefinido é utilizado para especificar um certificado. |
| Indique os identificadores exclusivos para a sua organização |
Configuração sugerida:Não Configurada Configure esta política para utilizar um agente de recuperação de dados baseado em certificados ou o leitor BitLocker To Go. Quando esta política não está configurada, o campo Identificação não é utilizado. Se a sua empresa necessitar de medidas de segurança mais elevadas, pode configurar o campo Identificação para garantir que todos os dispositivos USB têm este campo definido e que estão alinhados com esta definição de política de grupo. |
Definições de política do grupo de Gestão de Clientes
Esta secção descreve as definições de política de Gestão de Clientes para MBAM no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos Administrativos>Componentes>>do WindowsMDOP MBAM (Gestão do BitLocker)>Gestão de Clientes.
Pode definir as mesmas definições de política de grupo para as topologias de integração Autónomas e do System Center Configuration Manager, com uma exceção: Desative a definição configurar o ponto final do serviço de relatórios de Estado MBAM dos Serviços > MBAM se estiver a utilizar a topologia de integração do Configuration Manager, conforme indicado na tabela seguinte.
| Nome da política | Descrição geral e definições de política de grupo sugeridas |
|---|---|
| Configurar os Serviços MBAM |
Configuração sugerida:Ativada - Ponto final de serviço de Recuperação e Hardware do MBAM: utilize esta definição para ativar a gestão da encriptação BitLocker do Cliente MBAM. Introduza uma localização de ponto final semelhante ao seguinte exemplo: http(s)://<Nome> do Servidor de Administração e Monitorização do MBAM:<a porta à> qual o serviço Web está vinculado/MBAMRecoveryAndHardwareService/CoreService.svc. - Selecione Informações de recuperação do BitLocker para armazenar: esta definição de política permite-lhe configurar o serviço de recuperação de chaves para fazer uma cópia de segurança das informações de recuperação do BitLocker. Também lhe permite configurar um serviço de relatórios de estado para recolher relatórios. A política fornece um método administrativo de recuperação de dados encriptados pelo BitLocker para evitar a perda de dados devido à falta de informações importantes. O relatório de estado e a atividade de recuperação de chaves são enviados automaticamente e silenciosamente para a localização configurada do servidor de relatórios. Se não configurar esta definição de política ou se a desativar, as informações de recuperação da chave não serão guardadas e o relatório de estado e a atividade de recuperação de chaves não serão comunicadas ao servidor. Quando esta definição está definida como Palavra-passe de Recuperação e pacote de chave, a palavra-passe de recuperação e o pacote de chaves são automaticamente e automaticamente efetuados cópias de segurança para a localização configurada do servidor de recuperação de chaves. - Introduza a frequência de estado de verificação do cliente em minutos: esta definição de política gere a frequência com que o cliente verifica as políticas e o estado de proteção do BitLocker no computador cliente. Esta política também gere a frequência com que o estado de conformidade do cliente é guardado no servidor. O cliente verifica as políticas e o estado de proteção do BitLocker no computador cliente e também faz uma cópia de segurança da chave de recuperação do cliente na frequência configurada. Defina esta frequência com base no requisito definido pela sua empresa sobre a frequência com que verifica o estado de compatibilidade do computador e a frequência de cópia de segurança da chave de recuperação do cliente. - Ponto final do serviço de relatórios de Estado do MBAM: - Para o MBAM numa topologia autónoma: tem de configurar esta definição para ativar a gestão da encriptação BitLocker do Cliente MBAM. Introduza uma localização de ponto final semelhante ao seguinte exemplo: http(s)://<Nome> do Servidor de Administração e Monitorização do MBAM:<a porta à> qual o serviço Web está vinculado/MBAMComplianceStatusService/StatusReportingService.svc. - Para o MBAM na topologia de Integração do Configuration Manager: Desative esta definição. |
| Configurar a política de isenção de utilizador |
Configuração sugerida:Não Configurada Esta definição de política permite-lhe configurar um endereço de site, endereço de e-mail ou número de telefone que instrui um utilizador a pedir uma isenção da encriptação BitLocker. Se ativar esta definição de política e fornecer um endereço de site, endereço de e-mail ou número de telefone, os utilizadores verão uma caixa de diálogo com instruções sobre como pedir uma isenção da proteção do BitLocker. Para obter mais informações sobre como ativar as isenções de encriptação bitLocker para os utilizadores, veja Como gerir isenções de encriptação bitLocker do utilizador. Se desativar ou não configurar esta definição de política, as instruções do pedido de isenção não serão apresentadas aos utilizadores. Nota: a isenção do utilizador é gerida por utilizador e não por computador. Se vários utilizadores iniciarem sessão no mesmo computador e um utilizador não estiver isento, o computador será encriptado. |
| Configurar o programa de melhoramento da experiência do cliente |
Configuração sugerida:Ativada Esta definição de política permite-lhe configurar a forma como os utilizadores do MBAM podem aderir ao Programa de Melhoramento da Experiência do Cliente. Este programa recolhe informações sobre o hardware do computador e como os utilizadores utilizam o MBAM sem interromper o seu trabalho. As informações ajudam a Microsoft a identificar as funcionalidades do MBAM a melhorar. A Microsoft não utiliza estas informações para identificar ou contactar utilizadores do MBAM. Se ativar esta definição de política, os utilizadores podem aderir ao Programa de Melhoramento da Experiência do Cliente. Se desativar esta definição de política, os utilizadores não poderão aderir ao Programa de Melhoramento da Experiência do Cliente. Se não configurar esta definição de política, os utilizadores podem aderir ao Programa de Melhoramento da Experiência do Cliente. |
| Indique o URL para a ligação Política de Segurança |
Configuração sugerida:Ativada Utilize esta definição de política para especificar um URL que é apresentado aos utilizadores finais como uma ligação denominada "Política de Segurança da Empresa". A ligação aponta para a política de segurança interna da sua empresa e fornece aos utilizadores finais informações sobre os requisitos de encriptação. A ligação é apresentada quando o MBAM pede aos utilizadores para encriptar uma unidade. Se ativar esta definição de política, pode configurar o URL para a ligação Política de Segurança. Se desativar ou não configurar esta definição de política, a ligação Política de Segurança não é apresentada aos utilizadores. |
Definições de políticas de grupo de Unidades Fixas
Esta secção descreve as definições de política de Unidade Fixa para Administração e Monitorização do Microsoft BitLocker no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos Administrativos>Componentes>> doWindowsMDOP MBAM (Gestão do BitLocker)>Unidade Fixa.
| Nome da política | Descrição geral e definições de política de grupo sugeridas |
|---|---|
| Definições de encriptação de unidades de dados fixas |
Configuração sugerida:Ativada Esta definição de política permite-lhe gerir se as unidades de dados fixas têm de ser encriptadas. Se for necessário encriptar o volume do sistema operativo, selecione Ativar a unidade de dados fixa de desbloqueio automático. Quando ativa esta política, não pode desativar a política Configurar a utilização de palavra-passe para unidades de dados fixas , a menos que esteja a ativar ou a exigir a utilização do bloqueio automático para unidades de dados fixas. Se tiver de utilizar o bloqueio automático para unidades de dados fixas, tem de configurar os volumes do sistema operativo para serem encriptados. Se ativar esta definição de política, os utilizadores são obrigados a colocar todas as unidades de dados fixas na proteção bitLocker e, em seguida, as unidades de dados são encriptadas. Se não configurar esta definição de política, os utilizadores não são obrigados a colocar unidades de dados fixas na proteção do BitLocker. Se aplicar esta política depois de as unidades de dados fixas serem encriptadas, o agente MBAM desencripta as unidades de dados fixas encriptadas. Se desativar esta definição de política, os utilizadores não poderão colocar as respetivas unidades de dados fixas na proteção BitLocker. |
| Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker |
Configuração sugerida:Não Configurada Esta definição de política determina se a proteção bitLocker é necessária para que as unidades de dados fixas sejam graváveis num computador. Esta definição de política é aplicada quando ativa o BitLocker. Quando a política não está configurada, todas as unidades de dados fixas no computador são montadas com permissão de leitura/escrita. |
| Permitir o acesso a unidades fixas protegidas pelo BitLocker a partir de versões anteriores do Windows |
Configuração sugerida:Não Configurada Ative esta política para que as unidades fixas com o sistema de ficheiros FAT possam ser desbloqueadas e visualizadas em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando a política está ativada ou não configurada, as unidades fixas formatadas com o sistema de ficheiros FAT podem ser desbloqueadas e os respetivos conteúdos podem ser visualizados em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Estes sistemas operativos têm permissão só de leitura para unidades protegidas pelo BitLocker. Quando a política é desativada, as unidades fixas formatadas com o sistema de ficheiros FAT não podem ser desbloqueadas e os respetivos conteúdos não podem ser visualizados em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. |
| Configurar a utilização da palavra-passe para unidades fixas |
Configuração sugerida:Não Configurada Utilize esta política para especificar se é necessária uma palavra-passe para desbloquear unidades de dados fixas protegidas pelo BitLocker. Se ativar esta definição de política, os utilizadores podem configurar uma palavra-passe que cumpra os requisitos que definir. O BitLocker permite que os utilizadores desbloqueiem uma unidade com qualquer um dos protetores disponíveis na unidade. Estas definições são impostas quando ativa o BitLocker, não quando desbloqueia um volume. Se desativar esta definição de política, os utilizadores não podem utilizar uma palavra-passe. Quando a política não está configurada, as palavras-passe são suportadas com as predefinições, que não incluem requisitos de complexidade de palavras-passe e que requerem apenas oito carateres. Para maior segurança, ative esta política e, em seguida, selecione Exigir palavra-passe para a unidade de dados fixa, selecione Exigir complexidade da palavra-passe e defina o comprimento mínimo da palavra-passe que pretende. Se desativar esta definição de política, os utilizadores não podem utilizar uma palavra-passe. Se não configurar esta definição de política, as palavras-passe são suportadas com as predefinições, que não incluem requisitos de complexidade de palavras-passe e que requerem apenas oito carateres. |
| Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida:Não Configurada Configure esta política para ativar o agente de recuperação de dados do BitLocker ou para guardar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando a política não está configurada, o agente de recuperação de dados do BitLocker é permitido e as informações de recuperação não têm cópia de segurança no AD DS. O MBAM não requer a cópia de segurança das informações de recuperação para o AD DS. |
| Definições de Imposição de Políticas de Encriptação |
Configuração sugerida:Ativada Utilize esta definição de política para configurar o número de dias em que as unidades de dados fixas podem permanecer incompatíveis até serem forçadas a cumprir as políticas MBAM. Os utilizadores não podem adiar a ação necessária ou pedir uma isenção após o período de tolerância. O período de tolerância começa quando a unidade de dados fixa é determinada como não conforme. No entanto, a política de unidade de dados fixa não é imposta até que a unidade do sistema operativo esteja em conformidade. Se o período de tolerância expirar e a unidade de dados fixa ainda não estiver em conformidade, os utilizadores não têm a opção de adiar ou pedir uma isenção. Se o processo de encriptação exigir a entrada do utilizador, é apresentada uma caixa de diálogo que os utilizadores não podem fechar até fornecerem as informações necessárias. Introduza 0 em Configurar o número de dias de período de tolerância de não conformidade para unidades fixas para forçar o início do processo de encriptação imediatamente após o período de tolerância expirar para a unidade do sistema operativo. Se desativar ou não configurar esta definição, os utilizadores não serão obrigados a cumprir as políticas MBAM. Se não for necessária qualquer interação do utilizador para adicionar um protetor, a encriptação começa em segundo plano após o período de tolerância expirar. |
Definições de política de grupo de Unidade do Sistema Operativo
Esta secção descreve as definições de política da Unidade do Sistema Operativo para Administração e Monitorização do Microsoft BitLocker no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos Administrativos>Componentes> doWindows Componentes>do Windows MBAM (Gestão do BitLocker)>Unidade do Sistema Operativo.
| Nome da política | Descrição geral e definições de política de grupo sugeridas |
|---|---|
| Definições de encriptação da unidade do sistema operativo |
Configuração sugerida:Ativada Esta definição de política permite-lhe gerir se a unidade do sistema operativo tem de ser encriptada. Para maior segurança, considere desativar as seguintes definições de política nasDefinições deSuspensão da Gestão> de Energia do Sistema> quando as ativar com o protetor TPM + PIN:
Num computador com um TPM compatível, podem ser utilizados dois tipos de métodos de autenticação no arranque para fornecer proteção adicional para dados encriptados. Quando o computador é iniciado, pode utilizar apenas o TPM para autenticação ou também pode exigir a entrada de um número de identificação pessoal (PIN). Se ativar esta definição de política, os utilizadores terão de colocar a unidade do sistema operativo sob a proteção do BitLocker e, em seguida, a unidade é encriptada. Se desativar esta política, os utilizadores não poderão colocar a unidade do sistema operativo na proteção BitLocker. Se aplicar esta política depois de encriptar a unidade do sistema operativo, a unidade será desencriptada. Se não configurar esta política, a unidade do sistema operativo não tem de ser colocada sob a proteção do BitLocker. |
| Permitir PINs melhorados para arranque |
Configuração sugerida:Não Configurada Utilize esta definição de política para configurar se os PINs de arranque melhorados são utilizados com o BitLocker. Os PINs de arranque melhorados permitem a utilização de carateres, incluindo letras maiúsculas e minúsculas, símbolos, números e espaços. Esta definição de política é aplicada quando ativa o BitLocker. Se ativar esta definição de política, todos os novos PINs de arranque do BitLocker definidos permitirão que o utilizador final crie PINs melhorados. No entanto, nem todos os computadores podem suportar PINs melhorados no ambiente de pré-arranque. Recomendamos vivamente que os administradores avaliem se os respetivos sistemas são compatíveis com esta funcionalidade antes de ativarem a sua utilização. Selecione a caixa de verificação Exigir PINs apenas ASCII para ajudar a tornar os PINs melhorados mais compatíveis com computadores que limitam o tipo ou número de carateres que podem ser introduzidos no ambiente de pré-arranque. Se desativar ou não configurar esta definição de política, os PINs melhorados não serão utilizados. |
| Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida:Não Configurada Configure esta política para ativar o agente de recuperação de dados do BitLocker ou para guardar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando esta política não está configurada, o agente de recuperação de dados é permitido e não é criada uma cópia de segurança das informações de recuperação para o AD DS. A operação MBAM não requer a cópia de segurança das informações de recuperação para o AD DS. |
| Configurar a utilização de palavras-passe para unidades do sistema operativo |
Configuração sugerida:Não Configurada Utilize esta definição de política para definir as restrições para palavras-passe que são utilizadas para desbloquear unidades de sistema operativo protegidas pelo BitLocker. Se forem permitidos protetores não TPM em unidades do sistema operativo, pode aprovisionar uma palavra-passe, impor requisitos de complexidade na palavra-passe e configurar um comprimento mínimo para a palavra-passe. Para que a definição de requisito de complexidade seja eficaz, também tem de ativar a definição de política de grupo "A palavra-passe tem de cumprir os requisitos de complexidade" localizada na Política de Palavras-passe das Definições de Segurança das Definições >> de Computador > da Windows Políticas > de Palavra-passe da Conta. Nota: Estas definições são impostas quando ativa o BitLocker, não quando desbloqueia um volume. O BitLocker permite-lhe desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade. Se ativar esta definição de política, os utilizadores podem configurar uma palavra-passe que cumpra os requisitos que definir. Para impor requisitos de complexidade na palavra-passe, selecione Exigir complexidade da palavra-passe. |
| Configurar o perfil de validação da plataforma TPM para configurações de firmware baseadas em BIOS |
Configuração sugerida:Não Configurada Esta definição de política permite-lhe configurar a forma como o hardware de segurança do Trusted Platform Module (TPM) do computador protege a chave de encriptação BitLocker. Esta definição de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já estiver ativado com a proteção TPM. Importante: Esta definição de política de grupo aplica-se apenas a computadores com configurações BIOS ou a computadores com firmware UEFI com um Módulo de Serviço de Compatibilidade (CSM) ativado. Os computadores que utilizam uma configuração de firmware UEFI nativa armazenam valores diferentes nos Registos de Configuração da Plataforma (PCRs). Utilize a definição de política de grupo "Configurar o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas" para configurar o perfil de PCR TPM para computadores que utilizam firmware UEFI nativo. Se ativar esta definição de política antes de ativar o BitLocker, pode configurar os componentes de arranque que o TPM valida antes de desbloquear o acesso à unidade do sistema operativo encriptada pelo BitLocker. Se algum destes componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não liberta a chave de encriptação para desbloquear a unidade e o computador apresenta a consola do BitLocker Recovery e requer que forneça a palavra-passe de recuperação ou a chave de recuperação para desbloquear a unidade. Se desativar ou não configurar esta definição de política, o BitLocker utiliza o perfil de validação de plataforma predefinido ou o perfil de validação da plataforma especificado pelo script de Configuração. |
| Configurar o perfil de validação da plataforma TPM |
Configuração sugerida:Não Configurada Esta definição de política permite-lhe configurar a forma como o hardware de segurança trusted Platform Module (TPM) do computador protege a chave de encriptação BitLocker. Esta definição de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção TPM. Se ativar esta definição de política antes de ativar o BitLocker, pode configurar os componentes de arranque que o TPM valida antes de desbloquear o acesso à unidade do sistema operativo encriptada pelo BitLocker. Se algum destes componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não liberta a chave de encriptação para desbloquear a unidade e o computador apresenta a consola do BitLocker Recovery e requer que forneça a palavra-passe de recuperação ou a chave de recuperação para desbloquear a unidade. Se desativar ou não configurar esta definição de política, o BitLocker utiliza o perfil de validação de plataforma predefinido ou o perfil de validação da plataforma especificado pelo script de configuração. |
| Configurar o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas |
Configuração sugerida:Não Configurada Esta definição de política permite-lhe configurar a forma como o hardware de segurança do Trusted Platform Module (TPM) do computador protege a chave de encriptação BitLocker. Esta definição de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já estiver ativado com a proteção TPM. Importante: Esta definição de política de grupo aplica-se apenas a computadores com uma configuração de firmware UEFI nativa. Se ativar esta definição de política antes de ativar o BitLocker, pode configurar os componentes de arranque que o TPM valida antes de desbloquear o acesso à unidade do sistema operativo encriptada pelo BitLocker. Se algum destes componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não liberta a chave de encriptação para desbloquear a unidade e o computador apresenta a consola do BitLocker Recovery e requer que forneça a palavra-passe de recuperação ou a chave de recuperação para desbloquear a unidade. Se desativar ou não configurar esta definição de política, o BitLocker utiliza o perfil de validação de plataforma predefinido ou o perfil de validação da plataforma especificado pelo script de configuração. |
| Repor dados de validação da plataforma após a recuperação do BitLocker |
Configuração sugerida:Não Configurada Utilize esta definição de política para controlar se os dados de validação da plataforma são atualizados quando o Windows é iniciado após a recuperação do BitLocker. Se ativar esta definição de política, os dados de validação da plataforma são atualizados quando o Windows é iniciado após a recuperação do BitLocker. Se desativar esta definição de política, os dados de validação da plataforma não serão atualizados quando o Windows for iniciado após a recuperação do BitLocker. Se não configurar esta definição de política, os dados de validação da plataforma são atualizados quando o Windows é iniciado após a recuperação do BitLocker. |
| Utilizar o perfil de validação de Dados de Configuração de Arranque avançado |
Configuração sugerida:Não Configurada Esta definição de política permite-lhe escolher definições específicas de Dados de Configuração de Arranque (BCD) para verificar durante a validação da plataforma. Se ativar esta definição de política, pode adicionar outras definições, remover as predefinições ou ambas. Se desativar esta definição de política, o computador reverterá para um perfil BCD semelhante ao perfil BCD predefinido que é utilizado pelo Windows 7. Se não configurar esta definição de política, o computador verifica as predefinições do Windows BCD. Nota: Quando o BitLocker utiliza o Arranque Seguro para validação da integridade dos Dados de Configuração de Arranque (BCD) da plataforma, conforme definido pela política "Permitir Arranque Seguro para validação de integridade", a política "Utilizar perfil de validação de Dados de Configuração de Arranque melhorado" é ignorada. A definição que controla a depuração de arranque (0x16000010) é sempre validada e não tem efeito se estiver incluída nos campos fornecidos. |
| Definições de Imposição de Políticas de Encriptação |
Configuração sugerida:Ativada Utilize esta definição de política para configurar o número de dias em que os utilizadores podem adiar o cumprimento das políticas MBAM para a unidade do sistema operativo. O período de tolerância começa quando o sistema operativo é detetado pela primeira vez como não conforme. Após a expiração deste período de tolerância, os utilizadores não podem adiar a ação necessária ou pedir uma isenção. Se o processo de encriptação exigir a entrada do utilizador, é apresentada uma caixa de diálogo que os utilizadores não podem fechar até fornecerem as informações necessárias. Se desativar ou não configurar esta definição, os utilizadores não serão obrigados a cumprir as políticas MBAM. Se não for necessária qualquer interação do utilizador para adicionar um protetor, a encriptação começa em segundo plano após o período de tolerância expirar. |
| Configurar a mensagem de recuperação pré-arranque e o URL |
Configuração sugerida:Não Configurada Ative esta definição de política para configurar uma mensagem de recuperação personalizada ou para especificar um URL que é depois apresentado no ecrã de recuperação do BitLocker de pré-arranque quando a unidade do SO está bloqueada. Esta definição só está disponível em computadores cliente com o Windows 11 e o Windows 10. Quando esta política estiver ativada, pode selecionar uma destas opções para a mensagem de recuperação pré-arranque:
|
Definições de política de grupo de Unidade Amovível
Esta secção descreve as definições de política do grupo Unidade Amovível para Administração e Monitorização do Microsoft BitLocker no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos Administrativos>Componentes>> doWindowsMDOP MBAM (Gestão do BitLocker)>Unidade Amovível.
| Nome da política | Descrição geral e definições de política de grupo sugeridas |
|---|---|
| Controlar a utilização do BitLocker em unidades amovíveis |
Configuração sugerida:Ativada Esta política controla a utilização do BitLocker em unidades de dados amovíveis. Selecione Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis para permitir que os utilizadores executem o assistente de configuração do BitLocker numa unidade de dados amovível. Selecione Permitir que os utilizadores suspendam e desencriptem o BitLocker em unidades de dados amovíveis para permitir que os utilizadores removam a encriptação de unidade bitLocker da unidade ou suspendam a encriptação enquanto a manutenção é efetuada. Quando esta política está ativada e seleciona Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis, o Cliente MBAM guarda as informações de recuperação sobre unidades amovíveis no servidor de recuperação de chaves MBAM e permite que os utilizadores recuperem a unidade se a palavra-passe for perdida. |
| Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker |
Configuração sugerida:Não Configurada Ative esta política para permitir apenas a permissão de escrita para unidades protegidas pelo BitLocker. Quando esta política está ativada, todas as unidades de dados amovíveis no computador necessitam de encriptação antes de a permissão de escrita ser permitida. |
| Permitir o acesso a unidades amovíveis protegidas pelo BitLocker a partir de versões anteriores do Windows |
Configuração sugerida:Não Configurada Ative esta política para permitir que as unidades fixas com o sistema de ficheiros FAT sejam desbloqueadas e visualizadas em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando esta política não está configurada, as unidades amovíveis formatadas com o sistema de ficheiros FAT podem ser desbloqueadas em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2 e os respetivos conteúdos podem ser visualizados. Estes sistemas operativos têm permissão só de leitura para unidades protegidas pelo BitLocker. Quando a política está desativada, as unidades amovíveis formatadas com o sistema de ficheiros FAT não podem ser desbloqueadas e os respetivos conteúdos não podem ser visualizados em computadores com o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. |
| Configurar a utilização de palavra-passe para unidades de dados amovíveis |
Configuração sugerida:Não Configurada Ative esta política para configurar a proteção por palavra-passe em unidades de dados amovíveis. Quando esta política não está configurada, as palavras-passe são suportadas com as predefinições, que não incluem requisitos de complexidade de palavras-passe e que requerem apenas oito carateres. Para maior segurança, pode ativar esta política e selecionar Exigir palavra-passe para unidade de dados amovível, selecionar Exigir complexidade da palavra-passe e definir o comprimento mínimo preferencial da palavra-passe. |
| Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida:Não Configurada Configure esta política para ativar o agente de recuperação de dados do BitLocker ou para guardar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando definido como Não Configurado, o agente de recuperação de dados é permitido e as informações de recuperação não são suportadas no AD DS. A operação MBAM não requer a cópia de segurança das informações de recuperação para o AD DS. |