Impostazioni del criterio di gruppo per BitLocker

Sophos Central definisce automaticamente alcune impostazioni dei criteri di gruppo, per cui gli amministratori non devono necessariamente preparare i computer per la cifratura dei dispositivi.

Se gli amministratori dovessero già aver definito le impostazioni, i valori configurati non verranno sovrascritti.

In Editor Criteri di gruppo locali, sotto Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo, vengono visualizzati i seguenti criteri:

Criterio

Impostazione

Valore impostato da Sophos Central

Commento

Consenti sblocco rete all'avvio

Abilitata

Uno sblocco di rete preconfigurato di BitLocker può essere mantenuto attivo dopo l’abilitazione di Central Device Encryption.

Richiedi autenticazione aggiuntiva all'avvio

Consenti BitLocker senza un TPM compatibile

Spuntata

Questa opzione viene impostata per Windows 8 se non è disponibile alcun TPM, al fine di consentire l’uso di una password all’avvio, per sbloccare il disco di sistema.

Richiedi autenticazione aggiuntiva all'avvio

Configurazione PIN di avvio del TPM

Consenti PIN di avvio con il TPM

Se viene definita l’impostazione del criterio Richiedi autenticazione all'avvio per Device Encryption e il sistema dispone di un TPM, questa impostazione dei criteri di gruppo consentirà la protezione dell’unità di sistema tramite TPM, richiedendo all’utente anche l’inserimento di un PIN.

Consenti PIN avanzati per l'avvio

N.d.

Abilitata

Questa opzione viene impostata per permettere l’utilizzo di PIN alfanumerici, al fine di proteggere l’unità di sistema tramite TPM. Qualora non potesse essere impostata, verrà consentito solamente l’uso di caratteri numerici.

Configura il messaggio e l’URL di recupero prima dell’avvio

Selezionare un’opzione per il messaggio di recupero prima dell’avvio

Usa il messaggio e l’URL di recupero predefiniti

Questa opzione viene impostata in modo da utilizzare il messaggio predefinito e l’URL di Sophos.

Configura il messaggio e l’URL di recupero prima dell’avvio

Opzione messaggio di recupero personalizzato

Non si dispone di una password di ripristino? Contattare il supporto tecnico o visitare il proprio Portale self-service:

https://sophos.com/ssp

Configura il messaggio e l’URL di recupero prima dell’avvio

Opzione URL di recupero personalizzato

Configura utilizzo della crittografia hardware per unità dati fisse

n.d.

Disattivato

Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.

Configura utilizzo della crittografia hardware per unità del sistema operativo

n.d.

Disattivato

Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.

  • Encryption algorithm to be used (Algoritmo di cifratura da utilizzare): per impostazione predefinita, Sophos Central Device Encryption utilizza AES-256. È presente un’impostazione del criterio di gruppo che può essere adoperata per selezionare AES-128.
  • PIN/password requirements (Requisiti PIN/password): vi sono impostazioni del criterio di gruppo che possono essere utilizzate per stabilire una lunghezza minima per PIN/password, e per richiedere l’uso di password complesse.
  • Encrypt all data or used space only (Cifratura di tutti i dati o solamente dello spazio utilizzato): Se il criterio di gruppo dei volumi di avvio e/o dei volumi di dati è impostato in modo da richiedere la cifratura completa dei dati, assumerà la priorità rispetto a qualsiasi criterio Sophos Central che permetta solamente la cifratura dello spazio utilizzato.

Alcune impostazioni del criterio di gruppo potrebbero trovarsi in conflitto con Sophos Central, per cui non sarà possibile abilitare la cifratura. In tale eventualità, verrà inviato un evento a Sophos Central.

  • Smart card required (Smart Card obbligatoria): se un criterio di gruppo dovesse richiedere l’utilizzo di una smart card per BitLocker, questa opzione non sarà supportata da Sophos Central, per cui genererà un evento di errore.
  • Encrypt all data or used space only (Cifratura di tutti i dati o solamente dello spazio utilizzato): se il criterio di gruppo per i volumi di avvio e/o i volumi di dati è impostato in modo da cifrare solamente lo spazio utilizzato, ma il criterio di Sophos Central richiede la cifratura completa, questo conflitto genererà un evento di errore.

Se si desidera cifrare dispositivi tablet (come ad es. MS Surface Pro) e utilizzare l’autenticazione all’avvio, occorre abilitare la seguente impostazione dei criteri di gruppo:

Abilita l'uso dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate

Per ulteriori informazioni, consultare l'articolo 125772 della knowledge base.

Per ulteriori informazioni generali sulle impostazioni dei criteri di gruppo di BitLocker e TPM, vedere Impostazioni del criterio di gruppo per BitLocker e Impostazioni del criterio di gruppo dei servizi Trusted Platform Module.