Vai al contenuto
Ultimo aggiornamento: 2022-04-04

Impostazioni del criterio di gruppo per BitLocker

Sophos Central definisce automaticamente alcune impostazioni dei criteri di gruppo, per cui gli amministratori non devono necessariamente preparare i computer per la cifratura dei dispositivi.

Se gli amministratori dovessero già aver definito le impostazioni, i valori configurati non verranno sovrascritti.

In Editor Criteri di gruppo locali, sotto Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo, vengono visualizzati i seguenti criteri:

Criterio Impostazione Valore impostato da Sophos Central Commento
Consenti sblocco rete all'avvio Abilitata Uno sblocco di rete preconfigurato di BitLocker può essere mantenuto attivo dopo l’abilitazione di Central Device Encryption.
Richiedi autenticazione aggiuntiva all'avvio Consenti BitLocker senza un TPM compatibile Spuntata Questa opzione viene impostata per Windows 8 se non è disponibile alcun TPM, al fine di consentire l’uso di una password all’avvio, per sbloccare il disco di sistema.
Richiedi autenticazione aggiuntiva all'avvio Configurazione PIN di avvio del TPM Consenti PIN di avvio con il TPM Se viene definita l’impostazione del criterio Richiedi autenticazione all'avvio per Device Encryption e il sistema dispone di un TPM, questa impostazione dei criteri di gruppo consentirà la protezione dell’unità di sistema tramite TPM, richiedendo all’utente anche l’inserimento di un PIN.
Consenti PIN avanzati per l'avvio n.a. Abilitata Questa opzione viene impostata per permettere l’utilizzo di PIN alfanumerici, al fine di proteggere l’unità di sistema tramite TPM. Qualora non potesse essere impostata, verrà consentito solamente l’uso di caratteri numerici.
Configura il messaggio e l’URL di recupero prima dell’avvio Selezionare un’opzione per il messaggio di recupero prima dell’avvio Usa il messaggio e l’URL di recupero predefiniti Questa opzione viene impostata in modo da utilizzare il messaggio predefinito e l’URL di Sophos.
Configura il messaggio e l’URL di recupero prima dell’avvio Opzione messaggio di recupero personalizzato Non si dispone di una password di ripristino? Contattare il supporto tecnico o visitare il proprio Portale self-service: https://sophos.com/ssp
Configura il messaggio e l’URL di recupero prima dell’avvio Opzione URL di recupero personalizzato
Configura utilizzo della crittografia hardware per unità dati fisse n.a. Disattivato Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.
Configura utilizzo della crittografia hardware per unità del sistema operativo n.a. Disattivato Questa opzione è impostata in modo da implementare la cifratura basata su software. Tuttavia, se l’impostazione di un criterio di gruppo di BitLocker già esistente richiede la cifratura basata su hardware, l'impostazione di quel criterio non verrà sovrascritta.
  • Algoritmo di cifratura da utilizzare: per impostazione predefinita, Sophos Central Device Encryption utilizza AES-256. È presente un’impostazione del criterio di gruppo che può essere adoperata per selezionare AES-128.
  • Requisiti PIN/password: vi sono impostazioni del criterio di gruppo che possono essere utilizzate per stabilire una lunghezza minima per PIN/password, e per richiedere l’uso di password complesse.
  • Cifratura di tutti i dati o solamente dello spazio utilizzato: Se il criterio di gruppo dei volumi di avvio e/o dei volumi di dati è impostato in modo da richiedere la cifratura completa dei dati, assumerà la priorità rispetto a qualsiasi criterio Sophos Central che permetta solamente la cifratura dello spazio utilizzato.

Alcune impostazioni del criterio di gruppo potrebbero trovarsi in conflitto con Sophos Central, per cui non sarà possibile abilitare la cifratura. In tale eventualità, verrà inviato un evento a Sophos Central.

  • Smart Card obbligatoria: se un criterio di gruppo dovesse richiedere l’utilizzo di una smart card per BitLocker, questa opzione non sarà supportata da Sophos Central, per cui genererà un evento di errore.
  • Cifratura di tutti i dati o solamente dello spazio utilizzato: se il criterio di gruppo per i volumi di avvio e/o i volumi di dati è impostato in modo da cifrare solamente lo spazio utilizzato, ma il criterio di Sophos Central richiede la cifratura completa, questo conflitto genererà un evento di errore.

Se si desidera cifrare dispositivi tablet (come ad es. MS Surface Pro) e utilizzare l’autenticazione all’avvio, occorre abilitare la seguente impostazione dei criteri di gruppo: Abilita l'uso dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate Vedere La cifratura non si avvia sui dispositivi tablet (slate).

Per informazioni dettagliate sulle impostazioni del criterio di gruppo, vedere Impostazioni del criterio di gruppo per BitLocker e Impostazioni del criterio di gruppo per TPM.

Torna su