Configurações das políticas de grupo do BitLocker

O Sophos Central define automaticamente algumas políticas de grupo, para que os administradores não precisem preparar os computadores para encriptação de dispositivo.

Caso os ajustes já tenham sido definidos pelos administradores, os valores configurados não serão sobrescritos.

Em Editor de Políticas de Grupo Local em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encriptação da Unidade de Disco do BitLocker > Unidades de Disco do Sistema Operacional, você encontrará as seguintes políticas:

Política

Ajuste

Valor definido pelo Sophos Central

Comentário

Permitir desbloqueio de rede na inicialização

Habilitado

Você pode permitir o desbloqueio de uma rede BitLocker pré-configurada para continuar trabalhando após ter habilitado a Encriptação de Dispositivo Central.

Exigir autenticação adicional na inicialização

Permite o BitLocker sem um TPM compatível

Verificado

Ajustado para o Windows 8 caso nenhum TPM esteja disponível, para permitir a utilização de uma senha no momento da inicialização para desbloquear o disco do sistema.

Exigir autenticação adicional na inicialização

Configurar PIN de inicialização do TPM

Permitir PIN de inicialização com TPM

Se a configuração da política de Encriptação de Dispositivo Requer autenticação na inicialização estiver configurada e o sistema possuir um TPM, esta configuração de política de grupo permitirá a proteção da unidade de disco do sistema por TPM, e o usuário também será solicitado a inserir um PIN.

Permitir PINs avançados para inicialização

n/d

Habilitado

Ajustado para permitir a utilização de PINs alfanuméricos para proteger a unidade de disco do sistema com TPM. Caso não puder ser ajustado, serão permitidos apenas dígitos.

Configurar a mensagem de recuperação de pré-inicialização e URL

Selecionar uma opção para a mensagem de recuperação de pré-inicialização

Usar mensagem de recuperação padrão e URL

Definido para usar a mensagem padrão da Sophos e URL.

Configurar a mensagem de recuperação de pré-inicialização e URL

Opção de mensagem de recuperação personalizada

Não tem um código de recuperação? Entre em contato com a equipe de Assistência de TI ou acesse o Portal de Autoatendimento:

https://sophos.com/ssp

Configurar a mensagem de recuperação de pré-inicialização e URL

Opção de URL de recuperação personalizada

Configurar o uso de encriptação baseada em hardware para unidades de dados fixos

n/d

Desabilitado

Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída.

Configurar o uso de encriptação baseada em hardware para unidades de sistemas operacionais

n/d

Desabilitado

Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída.

  • Algoritmo de encriptação a ser usado: Por default, Sophos Central Device Encryption utiliza o AES-256. Existe um ajuste de política de grupo que pode ser usado para selecionar o AES-128.
  • Requisitos de PIN/senha: Existem ajustes de política de grupo que podem ser usados para definir um tamanho mínimo de PIN/senha e para exigir senhas complexas.
  • Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para exigir encriptação total de dados, ela prevalecerá sobre qualquer política do Sophos Central que permita a encriptação somente do espaço utilizado.

Algumas configurações de política de grupo podem entrar em conflito com o Sophos Central e, assim, a encriptação não pode ser habilitada. Nesse caso, é enviado um evento para o Sophos Central.

  • Smart card requerido: Se uma política de grupo requerer a utilização de um smart card para o BitLocker, isso não será compatível com o Sophos Central e gerará um evento de erro.
  • Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para encriptar somente o espaço utilizado mas a política do Sophos Central exigir encriptação total, isso gerará um evento de erro.

Se quiser encriptar aparelhos tablet (como o MS Surface Pro) e usar autenticação de inicialização, você precisa habilitar a seguinte configuração de política de grupo:

Habilitar uso da autenticação do BitLocker que exige entrada de teclado pré-inicialização em slates

Para ver mais detalhes, consulte o artigo 125772 da base de conhecimentos.

Para obter mais informações gerais sobre as configurações de política de grupo do BitLocker e do TPM, consulte Configurações das políticas de grupo do BitLocker e Configurações das políticas de grupo de serviços Trusted Platform Module.