Vai al contenuto

Impostazioni del criterio di gruppo per BitLocker

Sophos Central Device Encryption definisce automaticamente le impostazioni per i criteri di gruppo; pertanto non sono richieste attività di preparazione per la cifratura dei dispositivi.

Sophos Central Device Encryption non sovrascrive le impostazioni già effettuate nell’Editor Criteri di gruppo locali sotto Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.

Nota

L’Editor Criteri di gruppo locali non mostra le impostazioni configurate da Sophos Central Device Encryption. Queste impostazioni si trovano nel registro di sistema di Windows, sotto il nodo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.

Per informazioni dettagliate sulle impostazioni che possono essere configurate nell’Editor Criteri di gruppo locali, vedere la seguente tabella.

Criterio Impostazione Valore impostato da Sophos Central Commento
Consenti sblocco rete all'avvio Abilitata Uno sblocco di rete preconfigurato di BitLocker può essere mantenuto attivo dopo l’abilitazione di Central Device Encryption.
Richiedi autenticazione aggiuntiva all'avvio Consenti BitLocker senza un TPM compatibile Spuntata Questa opzione viene impostata per Windows 8 se non è disponibile alcun TPM, al fine di consentire l’uso di una password all’avvio, per sbloccare il disco di sistema.
Richiedi autenticazione aggiuntiva all'avvio Configurazione PIN di avvio del TPM Consenti PIN di avvio con il TPM Se viene definita l’impostazione del criterio Richiedi autenticazione all'avvio per Device Encryption e il sistema dispone di un TPM, questa impostazione dei criteri di gruppo consentirà la protezione dell’unità di sistema tramite TPM, richiedendo all’utente anche l’inserimento di un PIN.
Consenti PIN avanzati per l'avvio n.a. Abilitata Questa opzione viene impostata per permettere l’utilizzo di PIN alfanumerici, al fine di proteggere l’unità di sistema tramite TPM. Qualora non potesse essere impostata, verrà consentito solamente l’uso di caratteri numerici.
Configura il messaggio e l’URL di recupero prima dell’avvio Selezionare un’opzione per il messaggio di recupero prima dell’avvio Usa il messaggio e l’URL di recupero predefiniti Questa opzione viene impostata in modo da utilizzare il messaggio predefinito e l’URL di Sophos.
Configura il messaggio e l’URL di recupero prima dell’avvio Opzione messaggio di recupero personalizzato Non si dispone di una password di ripristino? Contattare il supporto tecnico o visitare il proprio Portale self-service: https://sophos.com/ssp
Configura il messaggio e l’URL di recupero prima dell’avvio Opzione URL di recupero personalizzato
Configura utilizzo della crittografia hardware per unità dati fisse n.a. Disattivato Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.
Configura utilizzo della crittografia hardware per unità del sistema operativo n.a. Disattivato Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.
  • Algoritmo di cifratura da utilizzare: per impostazione predefinita, Sophos Central Device Encryption utilizza AES-256. È presente un’impostazione del criterio di gruppo che può essere adoperata per selezionare AES-128.
  • Requisiti PIN/password: vi sono impostazioni del criterio di gruppo che possono essere utilizzate per stabilire una lunghezza minima per PIN/password, e per richiedere l’uso di password complesse.
  • Cifratura di tutti i dati o solamente dello spazio utilizzato: Se il criterio di gruppo dei volumi di avvio e/o dei volumi di dati è impostato in modo da richiedere la cifratura completa dei dati, assumerà la priorità rispetto a qualsiasi criterio Sophos Central che permetta solamente la cifratura dello spazio utilizzato.

Alcune impostazioni del criterio di gruppo potrebbero trovarsi in conflitto con Sophos Central, per cui non sarà possibile abilitare la cifratura. In tale eventualità, verrà inviato un evento a Sophos Central.

  • Smart Card obbligatoria: se un criterio di gruppo dovesse richiedere l’utilizzo di una smart card per BitLocker, questa opzione non sarà supportata da Sophos Central, per cui genererà un evento di errore.
  • Cifratura di tutti i dati o solamente dello spazio utilizzato: se il criterio di gruppo per i volumi di avvio e/o i volumi di dati è impostato in modo da cifrare solamente lo spazio utilizzato, ma il criterio di Sophos Central richiede la cifratura completa, questo conflitto genererà un evento di errore.

Se si desidera cifrare dispositivi tablet (come ad es. MS Surface Pro) e utilizzare l’autenticazione all’avvio, occorre abilitare la seguente impostazione dei criteri di gruppo: Abilita l'uso dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate Vedere La cifratura non si avvia sui dispositivi tablet (slate).

Per informazioni dettagliate sulle impostazioni del criterio di gruppo, vedere Impostazioni del criterio di gruppo per BitLocker e Impostazioni del criterio di gruppo per TPM.