Configuración de directiva de grupo de BitLocker

Sophos Central define automáticamente algunas opciones de configuración de directiva de grupo, de modo que los administradores no tienen que preparar los equipos para el cifrado de dispositivos.

Si los administradores ya han establecido las opciones de configuración, los valores configurados no se sobrescribirán.

En el Editor de directivas de grupo local, en Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo, verá las directivas siguientes:

Directiva

Opción de configuración

Valor establecido por Sophos Central

Comentario

Permitir desbloqueo de la red al iniciar

Activado

Puede permitir que un desbloqueo de red de BitLocker preconfigurado siga operativo después de habilitar Central Device Encryption.

Requerir autenticación adicional al iniciar

Permitir BitLocker sin un TPM compatible

Seleccionado

Esto está configurado para Windows 8 si no hay ningún TPM disponible para permitir el uso de una contraseña al iniciar para desbloquear el disco del sistema.

Requerir autenticación adicional al iniciar

Configurar PIN de inicio del TPM

Permitir PIN de inicio con TPM

Si la opción de configuración de directiva Requerir autenticación de inicio de Device Encryption está activada y el sistema tiene un TPM, esta opción de configuración de directiva de grupo permitirá la protección de la unidad del sistema por parte de TPM, además de pedir un PIN al usuario.

Permitir los PIN mejorados para el inicio

n/d

Activado

Esto está configurado para permitir el uso de PIN alfanuméricos para proteger la unidad del sistema con TPM. Si no se puede configurar, solo se permiten dígitos.

Configurar la dirección URL y el mensaje de recuperación previo al arranque

Selecciona una opción para el mensaje de recuperación previo al arranque

Usar la dirección URL y el mensaje de recuperación predeterminado

Se establece para utilizar la URL y el mensaje predeterminado de Sophos.

Configurar la dirección URL y el mensaje de recuperación previo al arranque

Opción de mensaje de recuperación personalizado

¿No tiene su clave de recuperación? Póngase en contacto con el servicio de asistencia técnica o visite el portal de autoservicio:

https://sophos.com/ssp

Configurar la dirección URL y el mensaje de recuperación previo al arranque

Opción de dirección URL de recuperación personalizada

Configurar el uso de cifrado basado en hardware para unidades de datos fijas

n/a

Desactivado

Se establece para imponer el cifrado basado en software. Sin embargo, si la configuración de una directiva de grupo de BitLocker existente requiere cifrado basado en hardware, esa configuración de directiva no se anula.

Configurar el uso de cifrado basado en hardware para unidades de sistema operativo

n/a

Desactivado

Se establece para imponer el cifrado basado en software. Sin embargo, si la configuración de una directiva de grupo de BitLocker existente requiere cifrado basado en hardware, esa configuración de directiva no se anula.

  • Algoritmo de cifrado que se utiliza: de forma predeterminada, Sophos Central Device Encryption usa AES-256. Existe una opción de configuración de directiva de grupo que puede utilizarse para seleccionar AES-128.
  • Requisitos de PIN/contraseña: hay opciones de configuración de directiva de grupo que pueden utilizarse para definir una longitud mínima del PIN o de la contraseña o requerir contraseñas complejas.
  • Cifrar todos los datos o solo el espacio utilizado: si la directiva de grupo para volúmenes de arranque y/o volúmenes de datos está configurada para requerir el cifrado completo de datos, anula cualquier directiva de Sophos Central que permita cifrar solo el espacio utilizado.

Algunas opciones de configuración de directiva de grupo pueden entrar en conflicto con Sophos Central, de modo que el cifrado no puede activarse. En tal caso, se envía un evento a Sophos Central.

  • Se requiere una tarjeta inteligente: si una directiva de grupo requiere que se utilice una tarjeta inteligente para BitLocker, no es compatible con Sophos Central y se genera un evento de error.
  • Cifrar todos los datos o solo el espacio utilizado: si la directiva de grupo para volúmenes de arranque y/o volúmenes de datos está configurada para cifrar solo el espacio utilizado pero la directiva de Sophos Central requiere el cifrado completo, se genera un evento de error.

Si quiere cifrar tabletas (como la MS Surface Pro) y utilizar la autenticación de inicio, debe activar la siguiente configuración de directiva de grupo:

Habilitar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en pizarras

Para obtener más información, consulte El cifrado no se inicia en dispositivos de tableta (pizarra).