Planejando os requisitos de política de grupo do MBAM 2.0

Artigo
12/17/2014

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0

Para gerenciar os computadores clientes Microsoft BitLocker Administration and Monitoring (MBAM), é preciso considerar os tipos de protetores do BitLocker aos quais deseja dar suporte em sua organização e definir as configurações da Política de Grupo correspondentes que deseja aplicar. Este tópico descreve as configurações da Política de Grupo disponíveis para uso quando você usa o Microsoft BitLocker Administration and Monitoring para gerenciar a Criptografia de Unidade de Disco BitLocker na empresa.

O MBAM oferece suporte aos seguintes tipos de protetores do BitLocker para unidades do sistema operacional: TPM (Trusted Platform Module), TPM + PIN, TPM + chave USB e TPM + PIN + chave USB, senha, senha numérica e Agente de Recuperação de Dados. O protetor de senha é suportado apenas para dispositivos Windows To Go e para dispositivos Windows 8 que não possuem um TPM. O MBAM dá suporte a TPM + chave USB e aos protetores TPM + PIN + chave USB somente quando o volume do sistema operacional é criptografado antes da instalação do MBAM.

O MBAM oferece suporte aos seguintes tipos de protetores do BitLocker para unidades de dados fixas: senha, desbloqueio automático, senha numérica e Agente de Recuperação de Dados.

O protetor de senha numérica é aplicado automaticamente como parte da criptografia de volume e não precisa ser configurado.

Importante

As configurações do Objeto de Política de Grupo (GPO) da criptografia de unidade de disco BitLocker do Windows não são usadas pelo MBAM e poderão causar comportamento conflitante se forem habilitadas. Para habilitar o MBAM para gerenciar o BitLocker, é necessário definir as configurações da Política de Grupo do MBAM apenas após a instalação do modelo de Política de Grupo do MBAM.

PINs de inicialização avançados podem conter caracteres, como letras maiúsculas e minúsculas e números. Ao contrário do BitLocker, o MBAM não suporta o uso de símbolos e espaços para PINs avançados.

Instale o modelo de Política de Grupo do MBAM em um computador capaz de executar a tecnologia GPMC (Console de Gerenciamento de Política de Grupo) ou AGPM (Gerenciamento Avançado de Política de Grupo). Para editar as configurações de GPO que habilitam a funcionalidade do MBAM, você deverá primeiro instalar o modelo de Política de Grupo do MBAM, abrir o GPMC ou o AGPM para editar o GPO aplicável e navegar até o seguinte nó do GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).

O nó GPO do MDOP MBAM (Gerenciamento do BitLocker) contém quatro configurações de política global e quatro nós filhos de configurações do GPO. Gerenciamento de Cliente, Unidade Fixa, Unidade do Sistema Operacional e Unidade Removível. As seguintes seções fornecem definições de política e configurações de política sugeridas para ajudar você a planejar os requisitos de configuração de política de GPO do MBAM.

Dica

Para obter mais informações sobre como definir as configurações mínimas recomendadas de GPO para habilitar o MBAM e gerenciar a criptografia BitLocker, consulte Como editar o MBAM 2.0 configurações de GPO.

Definições de política global

Esta seção descreve as definições de política Global do MBAM, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).

Nome da política	Visão geral e configuração de política sugerida
Escolher o nível de codificação e método de criptografia de unidade	Configuração sugerida: Não configurado Configure esta política para usar um método de criptografia e nível de codificação específicos. Quando esta política não está configurada, o BitLocker usa o método padrão de criptografia padrão de AES para chaves de 128 bits com Difusor ou o método de criptografia especificado pelo script de instalação.
Evitar substituição de memória ao reiniciar	Configuração sugerida: Não configurado Configure esta política para melhorar o desempenho de reinicialização sem substituir os segredos do BitLocker na memória ao reiniciar. Quando essa política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado.
Validar conformidade com a regra de uso do certificado de cartão inteligente	Configuração sugerida: Não configurado Configure essa política para usar a proteção BitLocker com base em certificado do cartão inteligente. Quando essa política não está configurada, um identificador de objeto padrão 1.3.6.1.4.1.311.67.1.1 é usado para especificar um certificado.
Fornecer identificadores exclusivos para sua organização	Configuração sugerida: Não configurado Configure essa política para usar o agente de recuperação com base em certificado ou o Leitor BitLocker To Go. Quando essa política não está configurada, o campo Identificação não é usado. Se a sua empresa exigir medidas de maior segurança, você poderá configurar o campo Identificação para verificar se esse campo está definido em todos os dispositivos USB e que estejam alinhados com essa configuração de Política de Grupo.

Definições de política de Gerenciamento de Cliente

Esta seção descreve as definições de política de Gerenciamento de Cliente para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente.

Nome da política	Visão geral e configurações de política sugeridas
Configure os Serviços do MBAM	Configuração sugerida: Habilitado Ponto de extremidade do serviço Recuperação e Hardware do MBAM. Use essa configuração para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Digite um local de ponto de extremidade semelhante ao exemplo a seguir: http://<Nome do Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMRecoveryAndHardwareService/CoreService.svc. Selecione as informações de recuperação do BitLocker a serem armazenadas. Essa configuração de política permite configurar o serviço de recuperação de chave para fazer o backup das informações de recuperação do BitLocker. Ele também lhe permite configurar o serviço Relatórios de Status para coletar relatórios de conformidade e auditoria. A política fornece um método administrativo de recuperação de dados criptografados pelo BitLocker para impedir a perda de dados devido à falta de informações chave. O relatório de status e a atividade de recuperação de chave serão enviados, de modo automático e silencioso, para o local do servidor de relatório configurado. Se você não configurar ou se desativar essa configuração de política, as informações de recuperação de Chave não serão salvas, e o relatório de status e a atividade de recuperação de chave não serão relatados ao servidor. Quando essa configuração é definida para Senha de recuperação e pacote de chave, o backup da senha de recuperação e do pacote de chave será feito, de modo automático e silencioso, no local do servidor de recuperação de chave configurado. Insira a frequência do status de verificação do cliente em minutos. Esta configuração de política gerencia a frequência com que o cliente verifica as políticas de proteção BitLocker e o status no computador cliente. Esta política também gerencia com qual frequência o status de conformidade do cliente é salvo no servidor. O cliente verifica as políticas de proteção BitLocker e o status no computador cliente e também faz o backup da chave de recuperação do cliente na frequência configurada. Defina essa frequência com base no requisito estabelecido por sua empresa quanto à frequência para verificar o status de conformidade do computador e com que frequência será feito o backup da chave de recuperação do cliente. Ponto de extremidade do serviço Relatórios de status do MBAM. Você deve definir essa configuração para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Digite um local de ponto de extremidade semelhante ao exemplo a seguir: http://<Nome do Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMComplianceStatusService/StatusReportingService.svc.
Configurar política de isenção de usuários	Configuração sugerida: Não configurado Essa configuração de política permite que você configure um endereço do site, endereço de email ou número de telefone que instruirá um usuário a solicitar uma isenção da criptografia BitLocker. Se você habilitar essa configuração de política e fornecer um endereço do site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo com instruções sobre como solicitar a isenção de proteção BitLocker. Para obter mais informações sobre como habilitar isenções de criptografia BitLocker para os usuários, consulte Como gerenciar isenções de criptografia BitLocker para usuários. Se você desabilitar ou não definir essa configuração de política, as instruções de solicitação da isenção não serão apresentadas aos usuários. Dica A isenção de usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e um usuário não estiver isento, o computador será criptografado.
Configurar o programa de aperfeiçoamento da experiência do usuário	Essa configuração de política permite definir como os usuários do MBAM podem ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Esse programa coleta informações sobre o hardware de computador e como os usuários utilizam o MBAM sem interromper seu trabalho. A informação ajuda a Microsoft a identificar quais recursos do MBAM aprimorar. A Microsoft não usará essas informações para identificar ou contatar usuários do MBAM. Se você habilitar essa configuração de política, os usuários poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você desabilitar essa configuração de política, os usuários não poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Se você não definir essa configuração de política, os usuários terão a opção de ingressar no Programa de Aperfeiçoamento da Experiência do Usuário.

Configure os Serviços do MBAM

Configuração sugerida: Habilitado

Ponto de extremidade do serviço Recuperação e Hardware do MBAM. Use essa configuração para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Digite um local de ponto de extremidade semelhante ao exemplo a seguir: http://<Nome do Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMRecoveryAndHardwareService/CoreService.svc.
Selecione as informações de recuperação do BitLocker a serem armazenadas. Essa configuração de política permite configurar o serviço de recuperação de chave para fazer o backup das informações de recuperação do BitLocker. Ele também lhe permite configurar o serviço Relatórios de Status para coletar relatórios de conformidade e auditoria. A política fornece um método administrativo de recuperação de dados criptografados pelo BitLocker para impedir a perda de dados devido à falta de informações chave. O relatório de status e a atividade de recuperação de chave serão enviados, de modo automático e silencioso, para o local do servidor de relatório configurado.

Se você não configurar ou se desativar essa configuração de política, as informações de recuperação de Chave não serão salvas, e o relatório de status e a atividade de recuperação de chave não serão relatados ao servidor. Quando essa configuração é definida para Senha de recuperação e pacote de chave, o backup da senha de recuperação e do pacote de chave será feito, de modo automático e silencioso, no local do servidor de recuperação de chave configurado.
Insira a frequência do status de verificação do cliente em minutos. Esta configuração de política gerencia a frequência com que o cliente verifica as políticas de proteção BitLocker e o status no computador cliente. Esta política também gerencia com qual frequência o status de conformidade do cliente é salvo no servidor. O cliente verifica as políticas de proteção BitLocker e o status no computador cliente e também faz o backup da chave de recuperação do cliente na frequência configurada.

Defina essa frequência com base no requisito estabelecido por sua empresa quanto à frequência para verificar o status de conformidade do computador e com que frequência será feito o backup da chave de recuperação do cliente.
Ponto de extremidade do serviço Relatórios de status do MBAM. Você deve definir essa configuração para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Digite um local de ponto de extremidade semelhante ao exemplo a seguir: http://<Nome do Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMComplianceStatusService/StatusReportingService.svc.

Configurar política de isenção de usuários

Configuração sugerida: Não configurado

Essa configuração de política permite que você configure um endereço do site, endereço de email ou número de telefone que instruirá um usuário a solicitar uma isenção da criptografia BitLocker.

Se você habilitar essa configuração de política e fornecer um endereço do site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo com instruções sobre como solicitar a isenção de proteção BitLocker. Para obter mais informações sobre como habilitar isenções de criptografia BitLocker para os usuários, consulte Como gerenciar isenções de criptografia BitLocker para usuários.

Se você desabilitar ou não definir essa configuração de política, as instruções de solicitação da isenção não serão apresentadas aos usuários.

Dica

A isenção de usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e um usuário não estiver isento, o computador será criptografado.

Configurar o programa de aperfeiçoamento da experiência do usuário

Essa configuração de política permite definir como os usuários do MBAM podem ingressar no Programa de Aperfeiçoamento da Experiência do Usuário. Esse programa coleta informações sobre o hardware de computador e como os usuários utilizam o MBAM sem interromper seu trabalho. A informação ajuda a Microsoft a identificar quais recursos do MBAM aprimorar. A Microsoft não usará essas informações para identificar ou contatar usuários do MBAM.

Se você habilitar essa configuração de política, os usuários poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário.

Se você desabilitar essa configuração de política, os usuários não poderão ingressar no Programa de Aperfeiçoamento da Experiência do Usuário.

Se você não definir essa configuração de política, os usuários terão a opção de ingressar no Programa de Aperfeiçoamento da Experiência do Usuário.

Definições de política de Unidade Fixa

Esta seção descreve as definições de política de Unidade Fixa para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente Unidade Fixa.

Nome da política	Visão geral e configuração de política sugerida
Configurações de criptografia de unidade de dados fixa	Configuração sugerida: Habilitado Essa configuração de política permite que você gerencie se unidades fixas devem ser criptografadas. Se o volume do sistema operacional precisar ser criptografado, marque a opção Habilitar desbloqueio automático da unidade de dados fixa. Ao habilitar essa política, você não deverá desabilitar a política Configurar o uso de senha para unidades de dados fixas, a menos que o uso de Desbloqueio Automático para unidades de dados fixas seja permitido ou obrigatório. Se você solicitar o uso de Desbloqueio Automático para unidades de dados fixas, será preciso configurar os volumes de sistema operacional a serem criptografados. Se você habilitar essa configuração de política, os usuários precisarão colocar todas as unidades fixas sob a proteção BitLocker, e as unidades serão criptografadas. Se você não definir essa configuração de política, os usuários não precisarão colocar as unidades fixas sob a proteção BitLocker. Se você aplicar essa política após as unidades de dados fixas serem criptografadas, o agente do MBAM descriptografará as unidades fixas criptografadas. Se você desabilitar essa configuração de política, os usuários não poderão colocar suas unidades de dados fixas sob proteção BitLocker.
Negar acesso de gravação a unidades fixas não protegidas por BitLocker	Configuração sugerida: Não configurado Essa configuração de política determina se a proteção BitLocker é necessária para unidades fixas em um computador para que sejam graváveis. Essa configuração de política é aplicada quando você ativa o BitLocker. Quando a política não está configurada, todas as unidades de dados fixas no computador são montadas com acesso de leitura e gravação.
Permitir acesso a unidades fixas protegidas pelo BitLocker de versões anteriores do Windows	Configuração sugerida: Não configurado Habilite essa política para permitir que as unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando a política é habilitada ou não está configurada, as unidades fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas e seu conteúdo pode ser exibido em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Esses sistemas operacionais têm acesso somente leitura para unidades protegidas pelo BitLocker. Quando a política é desabilitada, as unidades fixas formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.
Configurar uso de senhas para unidades fixas	Configuração sugerida: Não configurado Use essa política para especificar se é necessária uma senha para desbloquear unidades de dados fixas protegidas por BitLocker. Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda os requisitos que você definiu. O BitLocker permitirá que os usuários desbloqueiem uma unidade com qualquer um dos protetores disponíveis na unidade. Essas configurações são impostas ao ativar o BitLocker, não ao desbloquear um volume. Se você desabilitar essa configuração de política, os usuários não terão permissão para usar uma senha. Quando a política não estiver configurada, haverá suporte para as senhas com as definições padrão, o que não inclui requisitos de complexidade de senha e requer somente oito caracteres. Para maior segurança, habilite essa política e selecione Exigir senha para unidade de dados fixa, selecione Exigir complexidade de senha e defina o comprimento mínimo da senha. Se você desabilitar essa configuração de política, os usuários não terão permissão para usar uma senha. Se você não definir essa configuração de política, as senhas terão suporte com as configurações padrão, que não incluem os requisitos de complexidade de senha e exigem apenas oito caracteres.
Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas	Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando a política não está configurada, o agente de recuperação de dados do BitLocker é permitido e o backup das informações de recuperação não é feito no AD DS. O MBAM não requer que o backup das informações de recuperação seja feito no AD DS.

Definições de política de Unidade do Sistema Operacional

Esta seção descreve as definições de política de Unidade do Sistema Operacional para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Unidade do Sistema Operacional.

Nome da política	Visão geral e configuração de política sugerida
Configurações de criptografia da unidade do sistema operacional	Configuração sugerida: Habilitado Essa configuração de política permite gerenciar se a unidade do sistema operacional deve ser criptografada. Para maior segurança, considere a desativação das seguintes configurações de política em Sistema/Gerenciamento de Energia/Configurações de Suspensão ao habilitá-las com o protetor TPM + PIN: Permitir Estados de Espera (S1-S3) quando em Suspensão (Conectado) Permitir Estados de Espera (S1-S3) quando em Suspensão (Bateria) Se você estiver executando o Microsoft Windows 8 ou posterior e quiser usar o BitLocker em um computador sem um TPM, marque a caixa de seleção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha é necessária para a inicialização. Se você esquecer a senha, será preciso usar uma das opções de recuperação do BitLocker para acessar a unidade. Em um computador com TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou pode também solicitar a entrada de um número de identificação pessoal (PIN). Se você ativar essa configuração de política, os usuários precisarão colocar a unidade de sistema operacional sob proteção BitLocker, e a unidade será criptografada. Se você desabilitar essa política, os usuários não poderão colocar a unidade de sistema operacional sob proteção BitLocker. Se você aplicar esta política depois que a unidade do sistema operacional for criptografada, a unidade será descriptografada. Se você não configurar essa política, a unidade do sistema operacional não precisará ser colocada sob a proteção BitLocker.
Configurar perfil de validação de plataforma do TPM	Configuração sugerida: Não configurado Esta definição de política permite configurar como o hardware de segurança do TPM em um computador protege a chave de criptografia BitLocker. Essa definição de política não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção do TPM. Quando essa configuração de política não está definida, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação.
Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas	Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando esta política não está configurada, o agente de recuperação de dados é habilitado, e as informações de recuperação não são salvas como backup no AD DS. A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS.

Configurações de criptografia da unidade do sistema operacional

Configuração sugerida: Habilitado

Essa configuração de política permite gerenciar se a unidade do sistema operacional deve ser criptografada.

Para maior segurança, considere a desativação das seguintes configurações de política em Sistema/Gerenciamento de Energia/Configurações de Suspensão ao habilitá-las com o protetor TPM + PIN:

Permitir Estados de Espera (S1-S3) quando em Suspensão (Conectado)
Permitir Estados de Espera (S1-S3) quando em Suspensão (Bateria)

Se você estiver executando o Microsoft Windows 8 ou posterior e quiser usar o BitLocker em um computador sem um TPM, marque a caixa de seleção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha é necessária para a inicialização. Se você esquecer a senha, será preciso usar uma das opções de recuperação do BitLocker para acessar a unidade.

Em um computador com TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou pode também solicitar a entrada de um número de identificação pessoal (PIN).

Se você ativar essa configuração de política, os usuários precisarão colocar a unidade de sistema operacional sob proteção BitLocker, e a unidade será criptografada.

Se você desabilitar essa política, os usuários não poderão colocar a unidade de sistema operacional sob proteção BitLocker. Se você aplicar esta política depois que a unidade do sistema operacional for criptografada, a unidade será descriptografada.

Se você não configurar essa política, a unidade do sistema operacional não precisará ser colocada sob a proteção BitLocker.

Configurar perfil de validação de plataforma do TPM

Configuração sugerida: Não configurado

Esta definição de política permite configurar como o hardware de segurança do TPM em um computador protege a chave de criptografia BitLocker. Essa definição de política não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção do TPM.

Quando essa configuração de política não está definida, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação.

Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: Não configurado

Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS).

Quando esta política não está configurada, o agente de recuperação de dados é habilitado, e as informações de recuperação não são salvas como backup no AD DS.

A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS.

Definições da Política de Unidade Removível

Esta seção descreve as definições da Política de Unidade Removível para o Microsoft BitLocker Administration and Monitoring, encontradas no seguinte nó de GPO: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker)\Gerenciamento de Cliente Unidade Removível.

Nome da política	Visão geral e configuração de política sugerida
Controlar uso do BitLocker em unidades removíveis	Configuração sugerida: Habilitado Esta política controla o uso do BitLocker em unidades de dados removíveis. Habilite a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis, para permitir que os usuários executem o assistente de instalação do BitLocker em uma unidade de dados removível. Habilite a opção Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que os usuários removam a criptografia de unidade de disco BitLocker da unidade ou suspendam a criptografia enquanto a manutenção é realizada. Quando essa política está habilitada e a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis é selecionada, o Cliente do MBAM salva as informações de recuperação sobre as unidades removíveis no servidor de recuperação de chave do MBAM, permitindo que os usuários recuperarem a unidade se a senha for perdida.
Negar acesso de gravação a unidades removíveis não protegidas por BitLocker	Configuração sugerida: Não configurado Habilite essa política para conceder acesso somente para gravação às unidades protegidas pelo BitLocker. Quando essa política está habilitada, todas as unidades de dados removíveis no computador requerem criptografia antes que o acesso de gravação seja concedido.
Permita o acesso a unidades removíveis protegidas pelo BitLocker de versões anteriores do Windows.	Configuração sugerida: Não configurado Habilite essa política para permitir que as unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Quando essa política não está configurada, as unidades de dados removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2 e seu conteúdo pode ser exibido. Esses sistemas operacionais têm acesso somente leitura para unidades protegidas pelo BitLocker. Quando a política está desabilitada, as unidades removíveis formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seus conteúdos não podem ser exibidos em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.
Configurar o uso de senha para unidades de dados removíveis	Configuração sugerida: Não configurado Habilite essa política para configurar proteção por senha em unidades de dados removíveis. Quando essa política não está configurada, há suporte para as senhas com as definições padrão, o que não inclui requisitos de complexidade de senha e requer somente oito caracteres. Para aumentar a segurança, você pode habilitar esta política e marcar Exigir senha para unidade de dados removível, selecionar Exigir complexidade de senha e, em seguida, definir o comprimento mínimo da senha preferencial.
Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas	Configuração sugerida: Não configurado Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (AD DS). Quando a política está definida como Não configurada, o agente de recuperação de dados é permitido e as informações de recuperação não são salvas como backup no AD DS. A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS.

Consulte Também

Conceitos

Pré-requisitos de implantação do MBAM 2.0

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----

Compartilhar via

Planejando os requisitos de política de grupo do MBAM 2.0

Definições de política global

Definições de política de Gerenciamento de Cliente

Definições de política de Unidade Fixa

Definições de política de Unidade do Sistema Operacional

Definições da Política de Unidade Removível

Consulte Também

Conceitos

Recursos adicionais