Device Encryption passo per passo

Per cifrare i dispositivi, procedere come segue.

Prima che gli utenti possano cominciare:

  • Il software dell'agente di Sophos Central deve essere installato sugli endpoint.
  • Occorre configurare un criterio di Device Encryption in Sophos Central.
  • Gli utenti devono accedere ai propri endpoint in maniera interattiva, effettuandone la connessione e sincronizzazione con Sophos Central. Si prega di notare che l'accesso remoto non è supportato.
  • Il sistema operativo deve supportare la funzionalità Crittografia unità BitLocker. Per maggiori informazioni, consultare le sezioni Preparazione di Device Encryption e Compatibilità di sistema per Device Encryption.

Queste istruzioni indicano cosa vedono gli utenti, e come devono procedere:

  1. Se l’hardware di sicurezza TPM non è ancora stato abilitato, viene attivata un’azione BIOS per abilitarlo. Questo processo richiede un riavvio. L’utente può effettuare il riavvio immediatamente, oppure posticiparlo.
    Durante il riavvio, all’utente verrà richiesto di abilitare TPM. Nel caso non fosse possibile abilitare TPM, oppure se l’utente non dovesse rispondere, verrà visualizzato un messaggio.
  2. Se il TPM è attivo e abilitato ma non è associato a un proprietario, il software dell’agente di Sophos Central genererà e imposterà automaticamente le informazioni del proprietario del TPM. Se questa operazione non dovesse riuscire, verrà inviata una notifica a Sophos Central.
  3. Se dovessero mancare le chiavi di verifica dell'autenticità del TPM, il software dell’agente di Sophos Central le creerà automaticamente. Se questa operazione non dovesse riuscire, verrà inviata una notifica a Sophos Central.
  4. Se il criterio di Device Encryption non specifica l'opzione Richiedi autenticazione all'avvio, la cifratura dell'hard disk si avvierà automaticamente. In tale eventualità, gli utenti non dovranno intraprendere alcuna azione. È possibile passare al punto 8.
  5. Se il criterio di Device Encryption invece specifica l'opzione Richiedi autenticazione all'avvio, si aprirà la finestra di dialogo Sophos Device Encryption.
    • Se il criterio di Device Encryption richiede un PIN o una password per l'autenticazione, seguire le istruzioni visualizzate sullo schermo per impostare un PIN o una password. Se viene utilizzato TPM+PIN, la chiave di cifratura per il disco di sistema verrà memorizzata nel TPM.

      Nota: Gli utenti dovranno prestare estrema attenzione quando impostano una password. L’ambiente di preavvio supporta solamente il layout di tastiera EN-US. Se si imposta un PIN o una password con caratteri speciali, potrebbe essere necessario utilizzare tasti diversi quando si effettuerà l'accesso in futuro.
    • Se il criterio di Device Encryption richiede una chiave USB per l'autenticazione, gli utenti dovranno connettere un'unità flash USB al computer. L'unità flash USB deve essere formattata con NTFS, FAT, o FAT32.
  6. Quando l'utente clicca su Riavvia e cifra, il computer si riavvierà e verificherà il corretto funzionamento di Device Encryption.
    L'utente può selezionare Rimanda a un altro momento per chiudere la finestra di dialogo. Tuttavia, comparirà nuovamente all'accesso successivo dell'utente, oppure quando verrà modificato il criterio Device Encryption.
  7. Se l'utente non fosse in grado di inserire il giusto PIN o la giusta password, potrà cliccare sul tasto Esc. Il sistema si avvierà normalmente, in quanto la cifratura non è ancora stata applicata. All'utente verrà richiesto di inserire nuovamente PIN/password dopo l'accesso.
  8. Gli amministratori possono vedere quali sono gli utenti che non hanno ancora abilitato la cifratura. Significa che questi utenti non hanno ancora riavviato il computer e non hanno ancora seguito le istruzioni visualizzate sullo schermo. Cercare nei Report in Sophos Central.
  9. Se il test di preavvio fornisce il risultato desiderato, il software dell'agente di Sophos Central avvierà la cifratura dei dischi rigidi. La cifratura avviene in background, per cui consente agli utenti di utilizzare il proprio computer come di consueto.
    Se il test dell'hardware dovesse dare esito negativo, il sistema si riavvierà e la cifratura non verrà implementata. L'amministratore riceverà un evento di notifica in Sophos Central.
  10. Una volta completata la cifratura del volume di sistema da parte dell'agente di Sophos Central, verrà avviata la cifratura dei volumi di dati (se specificato nel criterio). La protezione di questi volumi verrà archiviata nel volume di sistema, per cui i volumi di dati saranno disponibili automaticamente subito dopo l’avvio. Ciò significa che, quando un utente effettua l’accesso al proprio computer, sarà possibile accedere ai volumi di dati senza altra interazione da parte dell’utente. I volumi di dati rimovibili, come ad es. le unità flash USB, non vengono cifrati.

I due file di log CDE.log e CDE_trace.xml sono reperibili nell'endpoint, al percorso %ProgramData%\Sophos\Sophos Data Protection\Logs.