Domande frequenti (Windows)
Quelle che seguono sono domande frequenti relative a Sophos Central Device Encryption su computer Windows.
Quali versioni di Windows possono essere utilizzate?
Per un elenco delle piattaforme supportate, vedere Piattaforme server ed endpoint Windows supportate.
Sophos Central Device Encryption non supporta le partizioni Windows create su Mac utilizzando Boot Camp.
Quali tipi di volumi è possibile cifrare?
Sophos Central Device Encryption consente di cifrare volumi di sistema e volumi di dati. Con Sophos Central Device Encryption 1.4 e versioni successive, è possibile cifrare volumi di sistema e lasciare volumi di dati non cifrati.
Sophos Central Device Encryption non supporta le unità rimovibili. È possibile cifrare questi dispositivi con BitLocker To Go, ma Sophos Central Device Encryption non gestirà le chiavi di ripristino e non le visualizzerà in Sophos Central Admin.
Come funziona la condivisione sicura dei file?
Gli utenti hanno due opzioni per proteggere i file con password per la condivisione sicura:
- In Windows Outlook, possono cifrare gli allegati e-mail.
- In Esplora risorse, possono selezionare file e cifrarli.
Entrambe le opzioni cifrano i file da condividere utilizzando la cifratura AES-256 e li memorizzano in un file HTML protetto da password. Gli utenti possono condividere il file HTML internamente o esternamente. Per decifrare i file, tutto quello di cui hanno bisogno i destinatari sono un browser web e la password.
Vedere Protezione dei file con password per una condivisione sicura.
Posso richiedere agli utenti di reimpostare la password?
Per configurare un intervallo per richiedere agli utenti di modificare la password o il PIN di BitLocker, utilizzare l'impostazione Richiedi agli utenti una nuova password/un nuovo PIN di autenticazione nel criterio di Device Encryption.
Per richiedere la modifica immediata della password su un singolo computer, utilizzare Attiva modifica di password/PIN nella pagina dei dettagli del computer (nella scheda Riepilogo, sotto Device Encryption).
Vedere Richiesta agli utenti di modificare la password o il PIN.
Quali tipi di protezione BitLocker è possibile configurare?
È possibile configurare i seguenti tipi di protezione:
- TPM-only
- TPM+PIN
- Passphrase
- USB key
Per informazioni sui tipi supportati dalle varie piattaforme Windows, vedere Compatibilità di sistema per Device Encryption.
Come si passa da TPM-only a TPM+PIN?
Se BitLocker è stato implementato senza autenticazione durante l'avvio (TPM-only), è possibile passare a TPM+PIN in qualsiasi momento attivando Richiedi autenticazione all'avvio nel criterio di Device Encryption.
Sblocco rete con BitLocker è supportato?
Non è possibile configurare o gestire Sblocco rete con BitLocker con Sophos Central Device Encryption.
Tuttavia, se l'infrastruttura è stata configurata per utilizzare Sblocco rete con BitLocker con computer cifrati con BitLocker, Sophos Central Device Encryption può coesistere con Sblocco rete.
La modalità FIPS è supportata?
Sì. Sophos Central Device Encryption può gestire i computer nei quali è attivata l’impostazione Oggetto Criteri di gruppo di Windows Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma.
È possibile gestire computer già cifrati?
Sì. Quando si cominciano a gestire computer già cifrati con BitLocker, Sophos Central Device Encryption sostituisce le attuali protezioni con chiavi.
È possibile eseguire la migrazione da SafeGuard Enterprise?
Con Sophos SafeGuard Enterprise 8 e versioni successive, è possibile disinstallare il modulo BitLocker senza dover decifrare i volumi. Successivamente, sarà possibile gestire BitLocker con Sophos Central Device Encryption.
È possibile memorizzare le chiavi di ripristino in Active Directory?
Sì. È possibile memorizzare le chiavi di ripristino di BitLocker in Active Directory.
I moduli di SGN File Encryption sono supportati?
Utilizzo moduli di Sophos SafeGuard Enterprise File Encryption (Data Exchange, File Encryption o Synchronized Encryption) per proteggere i file. Posso usare Sophos Central Device Encryption?
Sì. È possibile utilizzare entrambi i prodotti in parallelo.
Come si decifra un volume?
A seconda del tipo di criterio selezionato, rimuovere tutti gli utenti o i computer dal criterio. Quindi procedere come segue:
- In Esplora risorse, cliccare con il pulsante destro del mouse sul volume che si desidera decifrare.
- Selezionare Gestione BitLocker.
- Nella finestra di dialogo Crittografia unità BitLocker, selezionare Disattiva BitLocker.
Per eseguire questa operazione, è necessario essere amministratore di Windows.
Gli utenti possono recuperare volumi di dati cifrati?
No. In Sophos Central Self Service Portal, gli utenti possono ripristinare solo il volume di avvio e l'ultimo utente che ha effettuato l'accesso a un computer può ripristinare il volume di sistema.
Quando viene avviato BitLocker in modalità di ripristino?
I motivi più comuni per cui BitLocker richiede una chiave di ripristino durante l'avvio sono i seguenti:
- L'utente dimentica il PIN del TPM (quando è stata attivata l'autenticazione TPM+PIN).
- L'unità protetta da BitLocker è stata installata su un nuovo computer.
- Il TPM è stato disattivato, disabilitato o cancellato.
- Il BIOS è stato aggiornato.
- Sono stati aggiornati componenti di avvio critici che causano un errore nella convalida dell'integrità del sistema (TPM).
- Il firmware della ROM facoltativa è stato aggiornato.
- La scheda madre è stata sostituita con una scheda nuova che ha un nuovo TPM.
Per ulteriori cause potenziali, consultare il seguente documento Microsoft: Cosa può causare l'avvio di BitLocker in modalità di ripristino?.
Come si risolvono i problemi?
Attivare Registrazione e traccia. Esaminare quindi i messaggi di stato e di errore nei log.
Qual è la dimensione minima per i volumi?
Sophos Central Device Encryption ignora i volumi di dimensioni pari o inferiori a 64 MB.
Quali ruoli possono ottenere una chiave di ripristino?
Per ottenere una chiave di ripristino in Sophos Central Admin, occorre avere uno dei seguenti ruoli: Helpdesk, Amministratore, Super Amministratore.
Come si esportano le chiavi di ripristino?
Non è possibile esportare chiavi di ripristino di BitLocker da Sophos Central Device Encryption. Questa limitazione riduce il rischio che le chiavi vengano archiviate in maniera non protetta all’esterno di Sophos Central.
Le chiavi di ripristino sono progettate per assistere gli utenti che dimenticano il PIN o la password di accesso. Quando un amministratore accede a una chiave di ripristino in Sophos Central Admin, BitLocker genera una nuova chiave, che viene archiviata in modo sicuro in Sophos Central.
Se si desidera eseguire la migrazione di un dispositivo a un’applicazione di gestione di BitLocker di terze parti, si consiglia di creare una nuova chiave di ripristino in quell’applicazione quando comincia a gestire il dispositivo.