Pular para o conteúdo
Última atualização: 2022-04-04

Configurações das políticas de grupo do BitLocker

O Sophos Central define automaticamente algumas políticas de grupo, para que os administradores não precisem preparar os computadores para encriptação de dispositivo.

Caso os ajustes já tenham sido definidos pelos administradores, os valores configurados não serão sobrescritos.

Em Editor de Políticas de Grupo Local em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encriptação da Unidade de Disco do BitLocker > Unidades de Disco do Sistema Operacional, você encontrará as seguintes políticas:

Política Ajuste Valor definido pelo Sophos Central Comentário
Permitir desbloqueio de rede na inicialização Habilitado Você pode permitir o desbloqueio de uma rede BitLocker pré-configurada para continuar trabalhando após ter habilitado a Encriptação de Dispositivo Central.
Exigir autenticação adicional na inicialização Permite o BitLocker sem um TPM compatível Verificado Ajustado para o Windows 8 caso nenhum TPM esteja disponível, para permitir a utilização de uma senha no momento da inicialização para desbloquear o disco do sistema.
Exigir autenticação adicional na inicialização Configurar PIN de inicialização do TPM Permitir PIN de inicialização com TPM Se a configuração da política de Encriptação de Dispositivo Requer autenticação na inicialização estiver configurada e o sistema possuir um TPM, esta configuração de política de grupo permitirá a proteção da unidade de disco do sistema por TPM, e o usuário também será solicitado a inserir um PIN.
Permitir PINs avançados para inicialização n/d Habilitado Ajustado para permitir a utilização de PINs alfanuméricos para proteger a unidade de disco do sistema com TPM. Caso não puder ser ajustado, serão permitidos apenas dígitos.
Configurar a mensagem de recuperação de pré-inicialização e URL Selecionar uma opção para a mensagem de recuperação de pré-inicialização Usar mensagem de recuperação padrão e URL Definido para usar a mensagem padrão da Sophos e URL.
Configurar a mensagem de recuperação de pré-inicialização e URL Opção de mensagem de recuperação personalizada Não tem um código de recuperação? Entre em contato com a equipe de Assistência de TI ou acesse o Self Service Portal https://sophos.com/ssp
Configurar a mensagem de recuperação de pré-inicialização e URL Opção de URL de recuperação personalizada
Configurar o uso de encriptação baseada em hardware para unidades de dados fixos n/d Desabilitado Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída.
Configurar o uso de encriptação baseada em hardware para unidades de sistemas operacionais n/d Desabilitado Definido para impor a encriptação baseada em software. Contudo, se a configuração existente de uma política de grupo de BitLocker exigir encriptação baseada em hardware, a configuração dessa política não será substituída.
  • Algoritmo de encriptação a ser usado: Por default, Sophos Central Device Encryption utiliza o AES-256. Existe um ajuste de política de grupo que pode ser usado para selecionar o AES-128.
  • Requisitos de PIN/senha: Existem ajustes de política de grupo que podem ser usados para definir um tamanho mínimo de PIN/senha e para exigir senhas complexas.
  • Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para exigir encriptação total de dados, ela prevalecerá sobre qualquer política do Sophos Central que permita a encriptação somente do espaço utilizado.

Algumas configurações de política de grupo podem entrar em conflito com o Sophos Central e, assim, a encriptação não pode ser habilitada. Nesse caso, é enviado um evento para o Sophos Central.

  • Smart card requerido: Se uma política de grupo requerer a utilização de um smart card para o BitLocker, isso não será compatível com o Sophos Central e gerará um evento de erro.
  • Encriptar todos os dados ou apenas o espaço utilizado: Se a política de grupo para volumes de inicialização e/ou de dados for configurada para encriptar somente o espaço utilizado mas a política do Sophos Central exigir encriptação total, isso gerará um evento de erro.

Se quiser encriptar aparelhos tablet (como o MS Surface Pro) e usar autenticação de inicialização, você precisa habilitar a seguinte configuração de política de grupo: Habilitar uso da autenticação do BitLocker que exige entrada de teclado pré-inicialização em slates Consulte A encriptação não é iniciada em dispositivos tablet (slate).

Para obter detalhes sobre as configurações de política de grupo, consulte Configurações das Políticas de Grupo do BitLocker e Configurações das Políticas de Grupo do TPM.

Voltar ao topo