Planejando os requisitos de política de grupo do MBAM 2.0
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0
Para gerenciar os computadores clientes Microsoft BitLocker Administration and Monitoring (MBAM), é preciso considerar os tipos de protetores do BitLocker aos quais deseja dar suporte em sua organização e definir as configurações da Política de Grupo correspondentes que deseja aplicar. Este tópico descreve as configurações da Política de Grupo disponíveis para uso quando você usa o Microsoft BitLocker Administration and Monitoring para gerenciar a Criptografia de Unidade de Disco BitLocker na empresa.
O MBAM oferece suporte aos seguintes tipos de protetores do BitLocker para unidades do sistema operacional: TPM (Trusted Platform Module), TPM + PIN, TPM + chave USB e TPM + PIN + chave USB, senha, senha numérica e Agente de Recuperação de Dados. O protetor de senha é suportado apenas para dispositivos Windows To Go e para dispositivos Windows 8 que não possuem um TPM. O MBAM dá suporte a TPM + chave USB e aos protetores TPM + PIN + chave USB somente quando o volume do sistema operacional é criptografado antes da instalação do MBAM.
O MBAM oferece suporte aos seguintes tipos de protetores do BitLocker para unidades de dados fixas: senha, desbloqueio automático, senha numérica e Agente de Recuperação de Dados.
O protetor de senha numérica é aplicado automaticamente como parte da criptografia de volume e não precisa ser configurado.
Importante
As configurações do Objeto de Política de Grupo (GPO) da criptografia de unidade de disco BitLocker do Windows não são usadas pelo MBAM e poderão causar comportamento conflitante se forem habilitadas. Para habilitar o MBAM para gerenciar o BitLocker, é necessário definir as configurações da Política de Grupo do MBAM apenas após a instalação do modelo de Política de Grupo do MBAM.
PINs de inicialização avançados podem conter caracteres, como letras maiúsculas e minúsculas e números. Ao contrário do BitLocker, o MBAM não suporta o uso de símbolos e espaços para PINs avançados.
Instale o modelo de Política de Grupo do MBAM em um computador capaz de executar a tecnologia GPMC (Console de Gerenciamento de Política de Grupo) ou AGPM (Gerenciamento Avançado de Política de Grupo). Para editar as configurações de GPO que habilitam a funcionalidade do MBAM, você deverá primeiro instalar o modelo de Política de Grupo do MBAM, abrir o GPMC ou o AGPM para editar o GPO aplicável e navegar até o seguinte nó do GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).
O nó GPO do MDOP MBAM (Gerenciamento do BitLocker) contém quatro configurações de política global e quatro nós filhos de configurações do GPO. Gerenciamento de Cliente, Unidade Fixa, Unidade do Sistema Operacional e Unidade Removível. As seguintes seções fornecem definições de política e configurações de política sugeridas para ajudar você a planejar os requisitos de configuração de política de GPO do MBAM.
Dica
Para obter mais informações sobre como definir as configurações mínimas recomendadas de GPO para habilitar o MBAM e gerenciar a criptografia BitLocker, consulte Como editar o MBAM 2.0 configurações de GPO.
Definições de política global
Esta seção descreve as definições de política Global do MBAM, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Escolher o nível de codificação e método de criptografia de unidade |
Configuração sugerida: Não configurado Configure esta política para usar um método de criptografia e nível de codificação específicos. Quando esta política não está configurada, o BitLocker usa o método padrão de criptografia padrão de AES para chaves de 128 bits com Difusor ou o método de criptografia especificado pelo script de instalação. |
Evitar substituição de memória ao reiniciar |
Configuração sugerida: Não configurado Configure esta política para melhorar o desempenho de reinicialização sem substituir os segredos do BitLocker na memória ao reiniciar. Quando essa política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado. |
Validar conformidade com a regra de uso do certificado de cartão inteligente |
Configuração sugerida: Não configurado Configure essa política para usar a proteção BitLocker com base em certificado do cartão inteligente. Quando essa política não está configurada, um identificador de objeto padrão 1.3.6.1.4.1.311.67.1.1 é usado para especificar um certificado. |
Fornecer identificadores exclusivos para sua organização |
Configuração sugerida: Não configurado Configure essa política para usar o agente de recuperação com base em certificado ou o Leitor BitLocker To Go. Quando essa política não está configurada, o campo Identificação não é usado. Se a sua empresa exigir medidas de maior segurança, você poderá configurar o campo Identificação para verificar se esse campo está definido em todos os dispositivos USB e que estejam alinhados com essa configuração de Política de Grupo. |
Definições de política de Gerenciamento de Cliente
Esta seção descreve as definições de política de Gerenciamento de Cliente para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente.
Nome da política | Visão geral e configurações de política sugeridas |
---|---|
Configure os Serviços do MBAM |
Configuração sugerida: Habilitado
|
Configurar política de isenção de usuários |
Configuração sugerida: Não configurado Essa configuração de política permite que você configure um endereço do site, endereço de email ou número de telefone que instruirá um usuário a solicitar uma isenção da criptografia BitLocker. Se você habilitar essa configuração de política e fornecer um endereço do site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo com instruções sobre como solicitar a isenção de proteção BitLocker. Para obter mais informações sobre como habilitar isenções de criptografia BitLocker para os usuários, consulte Como gerenciar isenções de criptografia BitLocker para usuários. Se você desabilitar ou não definir essa configuração de política, as instruções de solicitação da isenção não serão apresentadas aos usuários. Dica A isenção de usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e um usuário não estiver isento, o computador será criptografado. |
Configurar o programa de aperfeiçoamento da experiência do usuário |
Essa configuração de política permite definir como os usuários do MBAM podem ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Esse programa coleta informações sobre o hardware de computador e como os usuários utilizam o MBAM sem interromper seu trabalho. A informação ajuda a Microsoft a identificar quais recursos do MBAM aprimorar. A Microsoft não usará essas informações para identificar ou contatar usuários do MBAM. Se você habilitar essa configuração de política, os usuários poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você desabilitar essa configuração de política, os usuários não poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você não definir essa configuração de política, os usuários terão a opção de ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. |
Definições de política de Unidade Fixa
Esta seção descreve as definições de política de Unidade Fixa para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente Unidade Fixa.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Configurações de criptografia de unidade de dados fixa |
Configuração sugerida: Habilitado Essa configuração de política permite que você gerencie se unidades fixas devem ser criptografadas. Se o volume do sistema operacional precisar ser criptografado, marque a opção Habilitar desbloqueio automático da unidade de dados fixa. Ao habilitar essa política, você não deverá desabilitar a política Configurar o uso de senha para unidades de dados fixas, a menos que o uso de Desbloqueio Automático para unidades de dados fixas seja permitido ou obrigatório. Se você solicitar o uso de Desbloqueio Automático para unidades de dados fixas, será preciso configurar os volumes de sistema operacional a serem criptografados. Se você habilitar essa configuração de política, os usuários precisarão colocar todas as unidades fixas sob a proteção BitLocker, e as unidades serão criptografadas. Se você não definir essa configuração de política, os usuários não precisarão colocar as unidades fixas sob a proteção BitLocker. Se você aplicar essa política após as unidades de dados fixas serem criptografadas, o agente do MBAM descriptografará as unidades fixas criptografadas. Se você desabilitar essa configuração de política, os usuários não poderão colocar suas unidades de dados fixas sob proteção BitLocker. |
Negar acesso de gravação a unidades fixas não protegidas por BitLocker |
Configuração sugerida: Não configurado Essa configuração de política determina se a proteção BitLocker é necessária para unidades fixas em um computador para que sejam graváveis. Essa configuração de política é aplicada quando você ativa o BitLocker. Quando a política não está configurada, todas as unidades de dados fixas no computador são montadas com acesso de leitura e gravação. |
Permitir acesso a unidades fixas protegidas pelo BitLocker de versões anteriores do Windows |
Configuração sugerida: Não configurado Habilite essa política para permitir que as unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando a política é habilitada ou não está configurada, as unidades fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas e seu conteúdo pode ser exibido em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Esses sistemas operacionais têm acesso somente leitura para unidades protegidas pelo BitLocker. Quando a política é desabilitada, as unidades fixas formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. |
Configurar uso de senhas para unidades fixas |
Configuração sugerida: Não configurado Use essa política para especificar se é necessária uma senha para desbloquear unidades de dados fixas protegidas por BitLocker. Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda os requisitos que você definiu. O BitLocker permitirá que os usuários desbloqueiem uma unidade com qualquer um dos protetores disponíveis na unidade. Essas configurações são impostas ao ativar o BitLocker, não ao desbloquear um volume. Se você desabilitar essa configuração de política, os usuários não terão permissão para usar uma senha. Quando a política não estiver configurada, haverá suporte para as senhas com as definições padrão, o que não inclui requisitos de complexidade de senha e requer somente oito caracteres. Para maior segurança, habilite essa política e selecione Exigir senha para unidade de dados fixa, selecione Exigir complexidade de senha e defina o comprimento mínimo da senha. Se você desabilitar essa configuração de política, os usuários não terão permissão para usar uma senha. Se você não definir essa configuração de política, as senhas terão suporte com as configurações padrão, que não incluem os requisitos de complexidade de senha e exigem apenas oito caracteres. |
Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando a política não está configurada, o agente de recuperação de dados do BitLocker é permitido e o backup das informações de recuperação não é feito no AD DS. O MBAM não requer que o backup das informações de recuperação seja feito no AD DS. |
Definições de política de Unidade do Sistema Operacional
Esta seção descreve as definições de política de Unidade do Sistema Operacional para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Unidade do Sistema Operacional.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Configurações de criptografia da unidade do sistema operacional |
Configuração sugerida: Habilitado Essa configuração de política permite gerenciar se a unidade do sistema operacional deve ser criptografada. Para maior segurança, considere a desativação das seguintes configurações de política em Sistema/Gerenciamento de Energia/Configurações de Suspensão ao habilitá-las com o protetor TPM + PIN:
Se você estiver executando o Microsoft Windows 8 ou posterior e quiser usar o BitLocker em um computador sem um TPM, marque a caixa de seleção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha é necessária para a inicialização. Se você esquecer a senha, será preciso usar uma das opções de recuperação do BitLocker para acessar a unidade. Em um computador com TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou pode também solicitar a entrada de um número de identificação pessoal (PIN). Se você ativar essa configuração de política, os usuários precisarão colocar a unidade de sistema operacional sob proteção BitLocker, e a unidade será criptografada. Se você desabilitar essa política, os usuários não poderão colocar a unidade de sistema operacional sob proteção BitLocker. Se você aplicar esta política depois que a unidade do sistema operacional for criptografada, a unidade será descriptografada. Se você não configurar essa política, a unidade do sistema operacional não precisará ser colocada sob a proteção BitLocker. |
Configurar perfil de validação de plataforma do TPM |
Configuração sugerida: Não configurado Esta definição de política permite configurar como o hardware de segurança do TPM em um computador protege a chave de criptografia BitLocker. Essa definição de política não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção do TPM. Quando essa configuração de política não está definida, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação. |
Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando esta política não está configurada, o agente de recuperação de dados é habilitado, e as informações de recuperação não são salvas como backup no AD DS. A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS. |
Definições da Política de Unidade Removível
Esta seção descreve as definições da Política de Unidade Removível para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente Unidade Removível.
Nome da política | Visão geral e configuração de política sugerida |
---|---|
Controlar uso do BitLocker em unidades removíveis |
Configuração sugerida: Habilitado Esta política controla o uso do BitLocker em unidades de dados removíveis. Habilite a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis, para permitir que os usuários executem o assistente de instalação do BitLocker em uma unidade de dados removível. Habilite a opção Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que os usuários removam a criptografia de unidade de disco BitLocker da unidade ou suspendam a criptografia enquanto a manutenção é realizada. Quando essa política está habilitada e a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis é selecionada, o Cliente do MBAM salva as informações de recuperação sobre as unidades removíveis no servidor de recuperação de chave do MBAM, permitindo que os usuários recuperarem a unidade se a senha for perdida. |
Negar acesso de gravação a unidades removíveis não protegidas por BitLocker |
Configuração sugerida: Não configurado Habilite essa política para conceder acesso somente para gravação às unidades protegidas pelo BitLocker. Quando essa política está habilitada, todas as unidades de dados removíveis no computador requerem criptografia antes que o acesso de gravação seja concedido. |
Permita o acesso a unidades removíveis protegidas pelo BitLocker de versões anteriores do Windows. |
Configuração sugerida: Não configurado Habilite essa política para permitir que as unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando essa política não está configurada, as unidades de dados removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2 e seu conteúdo pode ser exibido. Esses sistemas operacionais têm acesso somente leitura para unidades protegidas pelo BitLocker. Quando a política está desabilitada, as unidades removíveis formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seus conteúdos não podem ser exibidos em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. |
Configurar o uso de senha para unidades de dados removíveis |
Configuração sugerida: Não configurado Habilite essa política para configurar proteção por senha em unidades de dados removíveis. Quando essa política não está configurada, há suporte para as senhas com as definições padrão, o que não inclui requisitos de complexidade de senha e requer somente oito caracteres. Para aumentar a segurança, você pode habilitar esta política e marcar Exigir senha para unidade de dados removível, selecionar Exigir complexidade de senha e, em seguida, definir o comprimento mínimo da senha preferencial. |
Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas |
Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando a política está definida como Não configurada, o agente de recuperação de dados é permitido e as informações de recuperação não são salvas como backup no AD DS. A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS. |
Consulte Também
Conceitos
Pré-requisitos de implantação do MBAM 2.0
-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----