Configurações das políticas de grupo do BitLocker
O Sophos Central Device Encryption define automaticamente as configurações de política de grupo, para que você não precise preparar computadores para criptografia de dispositivo.
O Sophos Central Device Encryption não substitui as configurações que você já fez no Editor de Políticas de Grupo Local em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Criptografia da Unidade de Disco de BitLocker > Unidades de Disco do Sistema Operacional.
Nota
O Editor de Políticas de Grupo Local não mostra as configurações definidas pelo Sophos Central Device Encryption. Você pode encontrar essas configurações no Registro do Windows sob o nó HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
.
Consulte a tabela a seguir para obter detalhes sobre as configurações que você pode configurar no Editor de Políticas de Grupo Local.
Política | Ajuste | Valor definido pelo Sophos Central | Comentário |
---|---|---|---|
Permitir desbloqueio de rede na inicialização | Habilitado | Você pode permitir o desbloqueio de uma rede BitLocker pré-configurada para continuar trabalhando após ter habilitado a Encriptação de Dispositivo Central. | |
Exigir autenticação adicional na inicialização | Permite o BitLocker sem um TPM compatível | Verificado | Ajustado para o Windows 8 caso nenhum TPM esteja disponível, para permitir a utilização de uma senha no momento da inicialização para desbloquear o disco do sistema. |
Exigir autenticação adicional na inicialização | Configurar PIN de inicialização do TPM | Permitir PIN de inicialização com TPM | Se a configuração da política de Encriptação de Dispositivo Requer autenticação na inicialização estiver configurada e o sistema possuir um TPM, esta configuração de política de grupo permitirá a proteção da unidade de disco do sistema por TPM, e o usuário também será solicitado a inserir um PIN. |
Permitir PINs avançados para inicialização | n/d | Habilitado | Ajustado para permitir a utilização de PINs alfanuméricos para proteger a unidade de disco do sistema com TPM. Caso não puder ser ajustado, serão permitidos apenas dígitos. |
Configurar a mensagem de recuperação de pré-inicialização e URL | Selecionar uma opção para a mensagem de recuperação de pré-inicialização | Usar mensagem de recuperação padrão e URL | Definido para usar a mensagem padrão da Sophos e URL. |
Configurar a mensagem de recuperação de pré-inicialização e URL | Opção de mensagem de recuperação personalizada | Não tem um código de recuperação? Entre em contato com a equipe de Assistência de TI ou acesse o Self Service Portal https://sophos.com/ssp | |
Configurar a mensagem de recuperação de pré-inicialização e URL | Opção de URL de recuperação personalizada | ||
Configurar o uso de encriptação baseada em hardware para unidades de dados fixos | n/d | Desabilitado | Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída. |
Configurar o uso de encriptação baseada em hardware para unidades de sistemas operacionais | n/d | Desabilitado | Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída. |
- Algoritmo de encriptação a ser usado: Por default, Sophos Central Device Encryption utiliza o AES-256. Existe um ajuste de política de grupo que pode ser usado para selecionar o AES-128.
- Requisitos de PIN/senha: Existem ajustes de política de grupo que podem ser usados para definir um tamanho mínimo de PIN/senha e para exigir senhas complexas.
- Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para exigir encriptação total de dados, ela prevalecerá sobre qualquer política do Sophos Central que permita a encriptação somente do espaço utilizado.
Algumas configurações de política de grupo podem entrar em conflito com o Sophos Central e, assim, a encriptação não pode ser habilitada. Nesse caso, é enviado um evento para o Sophos Central.
- Smart card requerido: Se uma política de grupo requerer a utilização de um smart card para o BitLocker, isso não será compatível com o Sophos Central e gerará um evento de erro.
- Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para encriptar somente o espaço utilizado mas a política do Sophos Central exigir encriptação total, isso gerará um evento de erro.
Se quiser encriptar aparelhos tablet (como o MS Surface Pro) e usar autenticação de inicialização, você precisa habilitar a seguinte configuração de política de grupo: Habilitar uso da autenticação do BitLocker que exige entrada de teclado pré-inicialização em slates Consulte A encriptação não é iniciada em dispositivos tablet (slate).
Para obter detalhes sobre as configurações de política de grupo, consulte Configurações das Políticas de Grupo do BitLocker e Configurações das Políticas de Grupo do TPM.