Impostazioni di Criteri di gruppo per BitLocker

Si applica a

  • Windows10

Questo argomento per professionisti IT descrive la funzione, la posizione e l'effetto di ogni impostazione di criteri di gruppo usata per gestire la crittografia unità BitLocker.

Per controllare le attività di crittografia dell'unità che l'utente può eseguire dal pannello di controllo di Windows o per modificare altre opzioni di configurazione, è possibile usare i modelli amministrativi di criteri di gruppo o le impostazioni dei criteri del computer locale. La configurazione di queste impostazioni dei criteri dipende dall'implementazione di BitLocker e dal livello di interazione degli utenti consentiti.

Nota: Un set distinto di impostazioni di criteri di gruppo supporta l'uso del TPM (Trusted Platform Module). Per informazioni dettagliate su queste impostazioni, vedere impostazioni dei criteri di gruppo di moduli Platform attendibili.

È possibile accedere alle impostazioni dei criteri di gruppo di BitLocker usando l'Editor criteri di gruppo locali e la console Gestione criteri di gruppo in computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. La maggior parte delle impostazioni dei criteri di gruppo di BitLocker viene applicata quando BitLocker viene inizialmente attivato per un'unità. Se un computer non è conforme alle impostazioni di criteri di gruppo esistenti, BitLocker potrebbe non essere attivato o modificato finché il computer non è in uno stato conforme. Quando un'unità non è conforme alle impostazioni dei criteri di gruppo, ad esempio se un'impostazione di criteri di gruppo è stata modificata dopo la distribuzione iniziale di BitLocker nell'organizzazione e quindi l'impostazione è stata applicata a unità crittografate in precedenza, non è possibile apportare modifiche all' Configurazione di BitLocker di tale unità, ad eccezione di una modifica che ne consentirà la conformità.

Se sono necessarie più modifiche per rendere più conforme l'unità, è necessario sospendere la protezione di BitLocker, apportare le modifiche necessarie e quindi riprendere la protezione. Questa situazione potrebbe verificarsi, ad esempio, se un'unità rimovibile è stata inizialmente configurata per essere sbloccata con una password e quindi le impostazioni dei criteri di gruppo vengono modificate in modo da impedire le password e richiedere smart card. In questo caso, è necessario sospendere la protezione di BitLocker usando lo strumento della riga di comando Manage-bde , eliminare il metodo di sblocco della password e aggiungere il metodo smart card. Al termine, BitLocker è conforme all'impostazione di criteri di gruppo e la protezione di BitLocker nell'unità può essere ripresa.

Impostazioni di Criteri di gruppo per BitLocker

Le sezioni seguenti includono un elenco completo delle impostazioni di criteri di gruppo di BitLocker organizzate in base all'utilizzo. Le impostazioni dei criteri di gruppo di BitLocker includono impostazioni per tipi di unità specifici (unità del sistema operativo, unità dati fisse e unità dati rimovibili) e impostazioni applicate a tutte le unità.

Le impostazioni dei criteri seguenti possono essere usate per determinare il modo in cui un'unità protetta da BitLocker può essere sbloccata.

Le impostazioni dei criteri seguenti vengono usate per controllare il modo in cui gli utenti possono accedere alle unità e in che modo possono usare BitLocker nei propri computer.

Le impostazioni dei criteri seguenti determinano i metodi di crittografia e i tipi di crittografia usati con BitLocker.

Le impostazioni dei criteri seguenti definiscono i metodi di recupero che possono essere usati per ripristinare l'accesso a un'unità protetta da BitLocker se non è possibile usare un metodo di autenticazione.

I criteri seguenti vengono usati per supportare scenari di distribuzione personalizzati nell'organizzazione.

Consentire i dispositivi con l'avvio sicuro e le porte DMA protette per disattivare il PIN di preavvio

Questa impostazione dei criteri consente agli utenti di dispositivi conformi alla modalità standby moderna o all'interfaccia HSTI (Microsoft Hardware Security Test Interface) di non avere un PIN per l'autenticazione di Preboot.

Descrizione dei criteri

Con questa impostazione, è possibile consentire la protezione solo TPM per i dispositivi più recenti e più sicuri, ad esempio i dispositivi che supportano la modalità standby o HSTI moderna, mentre richiedono il PIN nei dispositivi meno recenti.

Introdotto

Windows10, versione 1703

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Questa impostazione esegue l' override dell'opzione Richiedi PIN di avvio con TPM per richiedere l'autenticazione aggiuntiva ai criteri di avvio sull'hardware conforme.

Quando è abilitata

Gli utenti dei moderni dispositivi di standby e HSTI compliant avranno la possibilità di attivare BitLocker senza l'autenticazione di preavvio.

Se disabilitata o non configurata

Si applicano le opzioni dell'opzione Richiedi autenticazione aggiuntiva al criterio di avvio.

Informazioni di riferimento

L'opzione di autenticazione di preavvio richiede il pin di avvio con il TPM del richiede l'autenticazione aggiuntiva ai criteri di avvio è spesso abilitata per garantire la sicurezza per i dispositivi meno recenti che non supportano la modalità standby moderna. Ma gli utenti con problemi visivi non hanno un modo udibile per sapere quando immettere un PIN. Questa impostazione consente un'eccezione ai criteri obbligatori per il PIN per l'hardware sicuro.

Consenti Sblocca rete all'avvio

Questo criterio Controlla una parte del comportamento della caratteristica di sblocco della rete in BitLocker. Questo criterio è necessario per abilitare la rete di sblocco di BitLocker in una rete perché consente ai client che utilizzano BitLocker di creare la protezione della chiave di rete necessaria durante la crittografia. Questo criterio viene usato in aggiunta ai criteri di sicurezza del certificato di sblocco delle unità BitLocker (nella cartella criteri chiave pubblica del criterio computer locale) per consentire ai sistemi connessi a una rete attendibile di usare correttamente funzionalità di sblocco della rete.

Descrizione dei criteri

Con questa impostazione, è possibile controllare se un computer protetto da BitLocker connesso a una rete locale attendibile e collegato a un dominio può creare e usare i Protector Key di rete nei computer abilitati al TPM per sbloccare automaticamente il sistema operativo unità quando il computer viene avviato.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

I client configurati con un certificato di sblocco della rete BitLocker possono creare e usare i Protector Key di rete.

Se disabilitata o non configurata

I client non possono creare e usare i Protector Key di rete

Informazioni di riferimento

Per usare un dispositivo di protezione tramite chiave di rete per sbloccare il computer, il computer e il server che ospitano la rete di crittografia unità BitLocker devono essere previsionati con un certificato di sblocco della rete. Il certificato di sblocco della rete viene usato per creare un Protector Key di rete e per proteggere lo scambio di informazioni con il server per sbloccare il computer. È possibile usare il computer per l'impostazione di criteri di gruppo Configuration\Windows Settings\Security Settings\Public Key Policies\BitLocker Drive Encryption Network per sbloccare il certificato nel controller di dominio per distribuire questo certificato ai computer in organizzazione. Questo metodo di sblocco usa il TPM nel computer, quindi i computer che non dispongono di un TPM non possono creare protezioni chiave di rete per sbloccare automaticamente tramite Network Unlock.

Nota: Per affidabilità e sicurezza, anche i computer devono avere un PIN di avvio del TPM che può essere usato quando il computer è disconnesso dalla rete cablata o non riesce a connettersi al controller di dominio all'avvio.

Per altre informazioni su Network Unlock, vedere BitLocker: come abilitare la rete Unlock.

Richiedere l'autenticazione aggiuntiva all'avvio

Questa impostazione dei criteri viene usata per controllare quali opzioni di sblocco sono disponibili per le unità del sistema operativo.

Descrizione dei criteri

Con questa impostazione, è possibile specificare se BitLocker richiede l'autenticazione aggiuntiva ogni volta che il computer viene avviato e se si usa BitLocker con un modulo TPM (Trusted Platform Module). Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Se è necessario un metodo di autenticazione, gli altri metodi non possono essere consentiti.

L'uso di BitLocker con una chiave di avvio del TPM o con una chiave di avvio del TPM e un PIN non deve essere consentito se l'impostazione rifiuta l'accesso in scrittura alle unità rimovibili non è protetta dal criterio BitLocker è abilitata.

Quando è abilitata

Gli utenti possono configurare le opzioni di avvio avanzate nella configurazione guidata di BitLocker.

Se disabilitata o non configurata

Gli utenti possono configurare solo le opzioni di base nei computer con un TPM.

All'avvio può essere richiesta solo una delle opzioni di autenticazione aggiuntive; in caso contrario, si verifica un errore di criterio.

Informazioni di riferimento

Se si vuole usare BitLocker in un computer senza un TPM, selezionare Consenti BitLocker senza un TPM compatibile. In questa modalità è necessaria una password o un'unità USB per l'avvio. L'unità USB archivia la chiave di avvio usata per crittografare l'unità. Quando l'unità USB viene inserita, la chiave di avvio viene autenticata e l'unità del sistema operativo è accessibile. Se l'unità USB viene persa o non è disponibile, è necessario ripristino di BitLocker per accedere all'unità.

In un computer con un TPM compatibile è possibile usare altri metodi di autenticazione all'avvio per migliorare la protezione dei dati crittografati. All'avvio del computer può essere usato:

  • solo il TPM
  • inserimento di un'unità flash USB contenente la chiave di avvio
  • l'immissione di un PIN di 4 cifre a 20 cifre
  • combinazione del PIN e dell'unità flash USB

Sono disponibili quattro opzioni per i computer o i dispositivi abilitati per il TPM:

  • Configurare l'avvio del TPM

    • Consenti TPM
    • Richiedi TPM
    • Non consentire TPM
  • Configurare il PIN di avvio del TPM

    • Consenti PIN di avvio con TPM
    • Richiedi PIN di avvio con TPM
    • Non consentire il PIN di avvio con TPM
  • Configurare la chiave di avvio del TPM

    • Consenti chiave di avvio con TPM
    • Richiedi chiave di avvio con TPM
    • Non consentire la chiave di avvio con TPM
  • Configurare la chiave di avvio e il PIN del TPM

    • Consenti chiave di avvio TPM con il PIN
    • Richiedi chiave di avvio e PIN con TPM
    • Non consentire la chiave di avvio TPM con il PIN

Consentire i PIN avanzati per l'avvio

Questa impostazione consente l'uso di PIN avanzati quando si usa un metodo Unlock che include un PIN.

Descrizione dei criteri

Con questa impostazione, è possibile stabilire se usare i pin di avvio avanzati con BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

Tutti i nuovi PIN di avvio di BitLocker impostati saranno PIN avanzati. Le unità esistenti protette con i pin di avvio standard non sono interessate.

Se disabilitata o non configurata

I PIN avanzati non verranno usati.

Informazioni di riferimento

I pin di avvio avanzati consentono l'uso di caratteri (tra cui lettere maiuscole e minuscole, simboli, numeri e spazi). Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Importante: Non tutti i computer supportano i caratteri PIN avanzati nell'ambiente di preavvio. È consigliabile che gli utenti eseguano un controllo di sistema durante la configurazione di BitLocker per verificare che i caratteri PIN avanzati possano essere usati.

Configurare la lunghezza minima del PIN per l'avvio

Questa impostazione dei criteri viene usata per impostare una lunghezza minima del PIN quando usi un metodo Unlock che include un PIN.

Descrizione dei criteri

Con questa impostazione di criterio è possibile configurare una lunghezza minima per un PIN di avvio del TPM. Questa impostazione dei criteri viene applicata quando si attiva BitLocker. Il PIN di avvio deve avere una lunghezza minima di 4 cifre e può avere una lunghezza massima di 20 cifre. Per impostazione predefinita, la lunghezza minima del PIN è 6.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

È possibile richiedere che i pin di avvio impostati dagli utenti abbiano una lunghezza minima che si scelga tra 4 e 20 cifre.

Se disabilitata o non configurata

Gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 6 e 20 cifre.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker. Il PIN di avvio deve avere una lunghezza minima di 4 cifre e può avere una lunghezza massima di 20 cifre.

In origine, BitLocker consentiva da 4 a 20 caratteri per un PIN. Windows Hello ha un proprio PIN per l'accesso, che può essere di 4 a 127 caratteri. Sia BitLocker che Windows Hello usano il TPM per evitare attacchi di forza bruta PIN.

Il TPM può essere configurato per l'uso dei parametri di prevenzione degli attacchi del dizionario (soglia di blocco e durata del blocco) per controllare il numero di tentativi di autorizzazione non riusciti consentiti prima che il TPM sia bloccato e quanto tempo deve trascorrere prima di un altro tentativo può essere eseguito.

I parametri di prevenzione attacco dizionario consentono di bilanciare le esigenze di sicurezza con l'usabilità. Ad esempio, quando BitLocker viene usato con una configurazione TPM + PIN, il numero di ipotesi di PIN è limitato nel tempo. Un TPM 2,0 in questo esempio può essere configurato in modo da consentire solo l'ipotesi immediata di 32 PIN e quindi solo un'altra ipotesi ogni due ore. Questo totalizza un massimo di circa 4415 congetture all'anno. Se il PIN è di 4 cifre, è possibile tentare tutte le combinazioni di PIN di 9999 in poco più di due anni.

Aumentare la lunghezza del PIN richiede un numero maggiore di tentativi per un utente malintenzionato. In questo caso, la durata del blocco tra le singole ipotesi può essere ridotta per consentire agli utenti legittimi di riprovare prima un tentativo fallito, mantenendo un livello di protezione simile.

A partire da Windows 10, versione 1703, la lunghezza minima per il PIN di BitLocker è stata aumentata a 6 caratteri per allinearsi meglio con altre funzionalità di Windows che sfruttano TPM 2,0, incluso Windows Hello. Per aiutare le organizzazioni con la transizione, a partire da Windows 10, versione 1709 e Windows 10, versione 1703 con l' aggiornamento cumulativo di ottobre 2017 installato, la lunghezza del PIN di BitLocker è di 6 caratteri per impostazione predefinita, ma può essere ridotta a 4 caratteri. Se la lunghezza minima del PIN viene ridotta dal valore predefinito di sei caratteri, il periodo di blocco TPM 2,0 verrà esteso.

Disabilitare i nuovi dispositivi DMA quando il computer è bloccato

Questa impostazione consente di bloccare l'accesso diretto alla memoria (DMA) per tutte le porte PCI con collegamento a caldo fino a quando un utente non accede a Windows.

Descrizione dei criteri Questa impostazione consente di evitare attacchi che usano dispositivi esterni basati su PCI per accedere alle chiavi di BitLocker.
Introdotto Windows10, versione 1703
Tipo di unità Unità del sistema operativo
Percorso criterio Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption
Conflitti Nessuno
Quando è abilitata Ogni volta che l'utente blocca lo schermo, il DMA verrà bloccato sulle porte PCI con collegamento a caldo fino a quando l'utente non riaccede.
Se disabilitata o non configurata DMA è disponibile nei dispositivi PCI Hot pluggable se il dispositivo è attivato, indipendentemente dal fatto che un utente abbia effettuato l'accesso.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata solo quando BitLocker o la crittografia del dispositivo è abilitata. Come spiegato nel Blog Microsoft Security Guidance, in alcuni casi quando questa impostazione è abilitata, le periferiche interne basate su PCI possono non riuscire, inclusi i driver di rete wireless e le periferiche di input e audio. Questo problema è stato risolto nell' aggiornamento della qualità di aprile 2018.

Impedire agli utenti standard di modificare il PIN o la password

Questa impostazione dei criteri consente di configurare se gli utenti standard possono modificare il PIN o la password usata per proteggere l'unità del sistema operativo.

Descrizione dei criteri

Con questa impostazione di criterio puoi configurare se gli utenti standard possono cambiare il PIN o la password usati per proteggere l'unità del sistema operativo.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

Gli utenti standard non possono modificare i pin o le password di BitLocker.

Se disabilitata o non configurata

Gli utenti standard sono autorizzati a modificare i pin o le password di BitLocker.

Informazioni di riferimento

Per cambiare il PIN o la password, l'utente deve essere in grado di specificare il PIN o la password corrente. Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Configurare l'uso di password per le unità del sistema operativo

Questo criterio Controlla il modo in cui i sistemi non basati su TPM usano la protezione con password. In combinazione con la password deve rispettare i criteri requisiti di complessità, questo criterio consente agli amministratori di richiedere la lunghezza e la complessità della password per l'uso della protezione tramite password. Per impostazione predefinita, le password devono avere una lunghezza di otto caratteri. Le opzioni di configurazione della complessità determinano l'importanza della connettività del dominio per il client. Per la sicurezza delle password più forte, gli amministratori dovrebbero scegliere Richiedi la complessità della password perché richiede la connettività del dominio e richiede che la password di BitLocker soddisfi gli stessi requisiti di complessità delle password di accesso al dominio password.

Descrizione dei criteri

Con questa impostazione di criteri è possibile specificare i vincoli per le password usate per sbloccare le unità del sistema operativo protette con BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Non è possibile usare le password se è abilitata la conformità FIPS.

Nota

Crittografia del sistema: usare gli algoritmi conformi FIPS per la crittografia, l'hashing e l'impostazione dei criteri di firma, disponibile in Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni specifica se la conformità FIPS è abilitata.

Quando è abilitata

Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare requisiti di complessità per la password, selezionare Richiedicomplessità.

Se disabilitata o non configurata

Il vincolo di lunghezza predefinito di 8 caratteri verrà applicato alle password dell'unità del sistema operativo e non verranno eseguiti controlli di complessità.

Informazioni di riferimento

Se le protezioni non TPM sono consentite per le unità del sistema operativo, è possibile eseguire il provisioning di una password, applicare requisiti di complessità alla password e configurare una lunghezza minima per la password. Per l'impostazione del requisito di complessità per essere efficace, la password di impostazione di criteri di gruppo deve soddisfare i requisiti di complessità, che si trova in computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\ deve essere abilitato anche.

Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un volume. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

Quando si imposta una richiesta di complessità, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per convalidare la complessità della password. Quando si imposta per consentire la complessità, viene tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dal criterio. Se non vengono trovati controller di dominio, la password verrà accettata indipendentemente dalla complessità effettiva delle password e l'unità verrà crittografata usando la password come protezione. Quando è impostato su non consentire la complessità, non esiste alcuna convalida della complessità delle password. Le password devono avere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immettere il numero di caratteri desiderato nella casella lunghezza minima password .

Quando l'impostazione di questo criterio è abilitata, è possibile impostare l'opzione Configura la complessità delle password per le unità del sistema operativo :

  • Consentire la complessità della password
  • Non consentire la complessità delle password
  • Richiedi la complessità della password

Richiedere l'autenticazione aggiuntiva all'avvio (Windows Server 2008 e Windows Vista)

Questa impostazione dei criteri viene usata per controllare le opzioni di sblocco disponibili per i computer che eseguono Windows Server 2008 o Windows Vista.

Descrizione dei criteri

Con questa impostazione, è possibile controllare se la configurazione guidata di BitLocker nei computer che eseguono Windows Vista o Windows Server 2008 può configurare un metodo di autenticazione aggiuntivo necessario ogni volta che il computer viene avviato.

Introdotto

Windows Server 2008 e Windows Vista

Tipo di unità

Unità del sistema operativo (Windows Server 2008 e Windows Vista)

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Se si sceglie di richiedere un metodo di autenticazione aggiuntivo, non è possibile consentire l'utilizzo di altri metodi di autenticazione.

Quando è abilitata

La configurazione guidata di BitLocker Visualizza la pagina che consente all'utente di configurare le opzioni di avvio avanzate per BitLocker. È inoltre possibile configurare le opzioni di impostazione per i computer con o senza un TPM.

Se disabilitata o non configurata

La configurazione guidata di BitLocker consente di visualizzare i passaggi di base che consentono agli utenti di abilitare BitLocker nei computer con un TPM. In questa procedura guidata di base non è possibile configurare nessun tasto di avvio o PIN di avvio aggiuntivo.

Informazioni di riferimento

In un computer con un TPM compatibile è possibile usare due metodi di autenticazione all'avvio per ottenere una protezione aggiuntiva per i dati crittografati. Quando il computer viene avviato, può richiedere agli utenti di inserire un'unità USB che contiene una chiave di avvio. Può anche richiedere agli utenti di immettere un PIN di avvio a 6 cifre a 20 cifre.

Un'unità USB che contiene una chiave di avvio è necessaria nei computer senza un TPM compatibile. Senza un TPM, i dati crittografati con BitLocker sono protetti solo dal materiale chiave presente in questa unità USB.

Esistono due opzioni per i computer o i dispositivi abilitati per il TPM:

  • Configurare il PIN di avvio del TPM

    • Consenti PIN di avvio con TPM
    • Richiedi PIN di avvio con TPM
    • Non consentire il PIN di avvio con TPM
  • Configurare la chiave di avvio del TPM

    • Consenti chiave di avvio con TPM
    • Richiedi chiave di avvio con TPM
    • Non consentire la chiave di avvio con TPM

Queste opzioni si escludono a vicenda. Se è necessaria la chiave di avvio, non è necessario consentire il PIN di avvio. Se si richiede il PIN di avvio, non è necessario consentire la chiave di avvio. In caso contrario, si verificherà un errore di criterio.

Per nascondere la pagina Advanced in un computer o un dispositivo abilitato per TPM, impostare queste opzioni su non consentire la chiave di avvio e il pin di avvio.

Configurare l'uso di smart card in unità dati fisse

Questa impostazione dei criteri viene usata per richiedere, consentire o rifiutare l'uso di smart card con unità dati fisse.

Descrizione dei criteri

Con questa impostazione di criterio puoi specificare se le smart card possono essere usate per autenticare l'accesso degli utenti alle unità dati fisse protette da BitLocker in un computer.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Per usare le smart card con BitLocker, potrebbe essere necessario modificare l'impostazione dell'identificatore di oggetto nel computer Configurazione computer\Modelli Templates\BitLocker Drive Encryption\Validate criteri di conformità della regola di utilizzo dei certificati smart card impostazione in modo che corrisponda all'identificatore dell'oggetto dei certificati della smart card.

Quando è abilitata

Le smart card possono essere usate per autenticare l'accesso dell'utente all'unità. È possibile richiedere l'autenticazione tramite smart card selezionando la casella di controllo Richiedi l' uso delle Smart Card nelle unità dati fisse.

Quando disabilitato

Gli utenti non possono usare le smart card per autenticare l'accesso alle unità dati fisse protette da BitLocker.

Quando non è configurato

Le smart card possono essere usate per autenticare l'accesso degli utenti a un'unità protetta da BitLocker.

Informazioni di riferimento

Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente di sbloccare un'unità usando una delle protezioni disponibili nell'unità.

Configurare l'uso di password per le unità dati fisse

Questa impostazione dei criteri viene usata per richiedere, consentire o rifiutare l'uso di password con unità dati fisse.

Descrizione dei criteri

Con questa impostazione, è possibile specificare se è necessaria una password per sbloccare le unità dati fisse protette da BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Per usare la complessità delle password , deve essere abilitata anche la Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri account\Criterio Policy\Password deve soddisfare i requisiti di complessità.

Quando è abilitata

Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per richiedere l'uso di una password, selezionare Richiedi password per l'unitàdati fissa. Per applicare requisiti di complessità alla password, selezionare Richiedi complessità.

Quando disabilitato

L'utente non è autorizzato a usare una password.

Quando non è configurato

Le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità delle password e richiedono solo 8 caratteri.

Informazioni di riferimento

Quando è impostato per richiedere la complessità, è necessaria una connessione a un controller di dominio per convalidare la complessità della password quando BitLocker è abilitato.

Quando si imposta per consentire la complessità, viene tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dal criterio. Tuttavia, se non vengono trovati controller di dominio, la password viene accettata indipendentemente dalla complessità effettiva della password e l'unità viene crittografata usando la password come protezione.

Quando è impostato su non consentire la complessità, non viene eseguita alcuna convalida della complessità della password.

Le password devono avere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immettere il numero di caratteri desiderato nella casella lunghezza minima password .

Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

Affinché l'impostazione del requisito di complessità sia efficace, deve essere abilitata anche l'impostazione di criteri di gruppo computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Password deve soddisfare i requisiti di complessità . Questa impostazione dei criteri è configurata in base al computer. Questo significa che si applica agli account degli utenti locali e degli utenti del dominio. Poiché il filtro password usato per convalidare la complessità della password si trova nei controller di dominio, gli account utente locali non possono accedere al filtro password perché non vengono autenticati per l'accesso al dominio. Quando l'impostazione di questo criterio è abilitata, se si esegue l'accesso con un account utente locale e si tenta di crittografare un'unità o di cambiare una password in un'unità protetta da BitLocker esistente, viene visualizzato un messaggio di errore di accesso negato. In questo caso, non è possibile aggiungere l'icona di protezione tramite chiave password all'unità.

L'abilitazione di questa impostazione richiede che venga stabilita la connettività a un dominio prima di aggiungere una protezione chiave password a un'unità protetta da BitLocker. Gli utenti che lavorano in remoto e hanno periodi di tempo in cui non possono connettersi al dominio devono essere informati di questo requisito, in modo che possano pianificare un orario in cui verranno connessi al dominio per attivare BitLocker o per cambiare una password in una protezione da BitLocker unità dati ed.

Importante: Non è possibile usare le password se è abilitata la conformità FIPS. Crittografia del sistema: usare gli algoritmi conformi agli standard FIPS per la crittografia, l'hashing e l'impostazione dei criteri di firma in computer Configuration\Windows Settings\Security Settings\Impostazioni Policies\Security Options specifica se FIPS la conformità è abilitata.

Configurare l'uso di smart card in unità dati rimovibili

Questa impostazione dei criteri viene usata per richiedere, consentire o rifiutare l'uso di smart card con unità dati rimovibili.

Descrizione dei criteri

Con questa impostazione di criterio puoi specificare se le smart card possono essere usate per autenticare l'accesso degli utenti alle unità dati rimovibili protette da BitLocker in un computer.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Per usare le smart card con BitLocker, potrebbe essere necessario modificare l'impostazione dell'identificatore di oggetto nel computer Configurazione computer\Modelli Templates\BitLocker Drive Encryption\Validate criteri di conformità della regola di utilizzo dei certificati smart card impostazione in modo che corrisponda all'identificatore dell'oggetto dei certificati della smart card.

Quando è abilitata

Le smart card possono essere usate per autenticare l'accesso dell'utente all'unità. È possibile richiedere l'autenticazione tramite smart card selezionando la casella di controllo Richiedi l' uso di Smart Card nelle unità dati rimovibili.

Se disabilitata o non configurata

Gli utenti non possono usare le smart card per autenticare l'accesso alle unità dati rimovibili protette da BitLocker.

Quando non è configurato

Le smart card sono disponibili per autenticare l'accesso degli utenti a un'unità dati rimovibile protetta da BitLocker.

Informazioni di riferimento

Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

Configurare l'uso di password in unità dati rimovibili

Questa impostazione dei criteri viene usata per richiedere, consentire o rifiutare l'uso di password con unità dati rimovibili.

Descrizione dei criteri

Con questa impostazione, è possibile specificare se è necessaria una password per sbloccare le unità dati rimovibili protette da BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Per usare la complessità delle password , l'impostazione password deve soddisfare i requisiti di complessità, che si trova in Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri account\Criterio deve anche essere abilitato.

Quando è abilitata

Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per richiedere l'uso di una password, selezionare Richiedi password per l'unitàdati rimovibili. Per applicare requisiti di complessità alla password, selezionare Richiedi complessità.

Quando disabilitato

L'utente non è autorizzato a usare una password.

Quando non è configurato

Le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità delle password e richiedono solo 8 caratteri.

Informazioni di riferimento

Se si sceglie di consentire l'uso di una password, è possibile richiedere che venga usata una password, applicare requisiti di complessità e configurare una lunghezza minima. Per l'impostazione del requisito di complessità per essere efficace, la password di impostazione di criteri di gruppo deve soddisfare i requisiti di complessità, che si trova in **computer Configuration\Windows Settings\Security Settings\Account Policies\Password **Anche i criteri devono essere abilitati.

Nota: Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

Le password devono avere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immettere il numero di caratteri desiderato nella casella lunghezza minima password .

Quando si imposta una richiesta di complessità, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per convalidare la complessità della password.

Quando si imposta per consentire la complessità, verrà tentata una connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate dal criterio. Tuttavia, se non vengono trovati controller di dominio, la password sarà comunque accettata indipendentemente dalla complessità effettiva delle password e l'unità verrà crittografata usando la password come protezione.

Quando è impostato su non consentire la complessità, non verrà eseguita alcuna convalida della complessità della password.

Nota: Non è possibile usare le password se è abilitata la conformità FIPS. Crittografia del sistema: usare gli algoritmi conformi agli standard FIPS per la crittografia, l'hashing e l'impostazione dei criteri di firma in computer Configuration\Windows Settings\Security Settings\Impostazioni Policies\Security Options specifica se FIPS la conformità è abilitata.

Per informazioni su questa impostazione, vedere crittografia di sistema: usare algoritmi conformi allo standard FIPS per la crittografia, l'hashing e la firma.

Convalidare la conformità delle regole di utilizzo del certificato smart

Questa impostazione dei criteri viene usata per determinare il certificato da usare con BitLocker.

Descrizione dei criteri

Con questa impostazione, è possibile associare un identificatore di oggetto da un certificato smart card a un'unità protetta da BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse e rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Nessuno

Quando è abilitata

L'identificatore di oggetto specificato nell'impostazione dell' identificatore di oggetto deve corrispondere all'identificatore dell'oggetto nel certificato della smart card.

Se disabilitata o non configurata

Viene usato l'identificatore dell'oggetto predefinito.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

L'identificatore di oggetto viene specificato nell'utilizzo di chiave avanzata (EKU) di un certificato. BitLocker può identificare i certificati che possono essere usati per autenticare un certificato utente in un'unità protetta da BitLocker, abbinando l'identificatore dell'oggetto nel certificato con l'identificatore dell'oggetto definito dall'impostazione di questo criterio.

L'identificatore dell'oggetto predefinito è 1.3.6.1.4.1.311.67.1.1.

Nota: BitLocker non richiede che un certificato disponga di un attributo EKU; Tuttavia, se uno è configurato per il certificato, è necessario che sia impostato su un identificatore di oggetto che corrisponda all'identificatore di oggetto configurato per BitLocker.

Abilitare l'uso dell'autenticazione BitLocker che richiede l'input da tastiera di preavvio sulle lavagne

Questa impostazione dei criteri consente agli utenti di abilitare le opzioni di autenticazione che richiedono l'input dell'utente dall'ambiente di preavvio anche se la piattaforma indica una mancanza di funzionalità di input di preavvio.

Descrizione dei criteri

Con questa impostazione di criterio puoi consentire agli utenti di abilitare le opzioni di autenticazione che richiedono l'input dell'utente dall'ambiente di preavvio, anche se la piattaforma indica la mancanza di funzionalità di input di preavvio.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

I dispositivi devono avere un mezzo alternativo per l'input di preavvio (ad esempio una tastiera USB collegata).

Se disabilitata o non configurata

L'ambiente di ripristino di Windows deve essere abilitato nei tablet per il supporto dell'immissione della password di ripristino di BitLocker.

Informazioni di riferimento

La tastiera virtuale di Windows (ad esempio usato da tablet) non è disponibile nell'ambiente di preavvio in cui BitLocker richiede informazioni aggiuntive, ad esempio un PIN o una password.

È consigliabile che gli amministratori consentano questo criterio solo per i dispositivi verificati per avere un mezzo alternativo per l'input di preavvio, ad esempio per allegare una tastiera USB.

Quando l'ambiente di ripristino di Windows non è abilitato e questo criterio non è abilitato, non è possibile attivare BitLocker in un dispositivo che usa la tastiera virtuale di Windows.

Se non si abilita questa impostazione, le opzioni seguenti nell'opzione Richiedi l'autenticazione aggiuntiva ai criteri di avvio potrebbero non essere disponibili:

  • Configurare il PIN di avvio del TPM: obbligatorio e consentito
  • Configurare la chiave di avvio e il PIN del TPM: obbligatorio e consentito
  • Configurare l'uso di password per le unità del sistema operativo

Negare l'accesso in scrittura alle unità fisse non protette da BitLocker

Questa impostazione dei criteri viene usata per richiedere la crittografia delle unità fisse prima di concedere l'accesso in scrittura.

Descrizione dei criteri

Con questa impostazione, è possibile specificare se è necessaria la protezione di BitLocker per le unità dati fisse che possono essere scrivibili in un computer.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Vedere la sezione riferimento per una descrizione dei conflitti.

Quando è abilitata

Tutte le unità dati fisse che non sono protette da BitLocker vengono montate in sola lettura. Se l'unità è protetta da BitLocker, viene installata con l'accesso in lettura e scrittura.

Se disabilitata o non configurata

Tutte le unità dati fisse nel computer sono installate con l'accesso in lettura e scrittura.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Le considerazioni sui conflitti includono:

  1. Quando l'impostazione di questo criterio è abilitata, gli utenti ricevono messaggi di errore di accesso negato quando tentano di salvare i dati in unità dati fisse non crittografate. Vedere la sezione riferimento per altri conflitti.
  2. Se BdeHdCfg. exe viene eseguito in un computer quando l'impostazione di questo criterio è abilitata, è possibile che si verifichino i problemi seguenti:

    • Se si è tentato di ridurre l'unità e di creare l'unità di sistema, le dimensioni dell'unità vengono ridotte correttamente e viene creata una partizione non elaborata. Tuttavia, la partizione non elaborata non è formattata. Viene visualizzato il messaggio di errore seguente: "la nuova unità attiva non può essere formattata. Potrebbe essere necessario preparare manualmente l'unità per BitLocker. "
    • Se si tenta di usare lo spazio non allocato per creare l'unità di sistema, verrà creata una partizione non elaborata. Tuttavia, la partizione non elaborata non verrà formattata. Viene visualizzato il messaggio di errore seguente: "la nuova unità attiva non può essere formattata. Potrebbe essere necessario preparare manualmente l'unità per BitLocker. "
    • Se si tenta di unire un'unità esistente nell'unità di sistema, lo strumento non riesce a copiare il file di avvio richiesto nell'unità di destinazione per creare l'unità di sistema. Viene visualizzato il messaggio di errore seguente: "la configurazione di BitLocker non è riuscita per copiare i file di avvio. Potrebbe essere necessario preparare manualmente l'unità per BitLocker. "
  3. Se l'impostazione di questo criterio viene applicata, non è possibile partizionare il disco rigido perché l'unità è protetta. Se si aggiornano i computer dell'organizzazione da una versione precedente di Windows e tali computer sono stati configurati con una singola partizione, è necessario creare la partizione di sistema di BitLocker necessaria prima di applicare l'impostazione di questo criterio ai computer.

Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker

Questa impostazione dei criteri viene usata per richiedere che le unità rimovibili vengano crittografate prima di concedere l'accesso in scrittura e per controllare se le unità rimovibili protette da BitLocker configurate in un'altra organizzazione possono essere aperte con l'accesso in scrittura.

Descrizione dei criteri

Con questa impostazione, è possibile specificare se è necessaria la protezione di BitLocker per consentire a un computer di scrivere dati in un'unità dati rimovibile.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Vedere la sezione riferimento per una descrizione dei conflitti.

Quando è abilitata

Tutte le unità dati rimovibili che non sono protette da BitLocker vengono montate in sola lettura. Se l'unità è protetta da BitLocker, viene installata con l'accesso in lettura e scrittura.

Se disabilitata o non configurata

Tutte le unità dati rimovibili nel computer sono installate con l'accesso in lettura e scrittura.

Informazioni di riferimento

Se l'opzione Nega accesso in scrittura ai dispositivi configurati in un'altra organizzazione è selezionata, verranno fornite solo le unità con campi di identificazione che corrispondono ai campi di identificazione del computer. Quando si accede a un'unità dati rimovibile, viene selezionata la casella di controllo per un campo di identificazione valido e i campi di identificazione consentiti. Questi campi sono definiti dall'opzione Fornisci gli identificatori univoci per l' impostazione dei criteri dell'organizzazione.

Nota: Puoi eseguire l'override di questa impostazione di criteri con le impostazioni dei criteri in accesso all'archiviazione di Configuration\Administrative Templates\System\Removable dell'utente. Se l'impostazione dei criteri di accesso per i dischi rimovibili è abilitata, questa impostazione del criterio verrà ignorata.

Le considerazioni sui conflitti includono:

  1. L'uso di BitLocker con il TPM più una chiave di avvio o con il TPM, oltre a un PIN e una chiave di avvio, deve essere impedito se è abilitata l'opzione Rifiuta accesso in scrittura a unità rimovibili non protette dall'impostazione di criteri BitLocker .
  2. L'uso delle chiavi di ripristino deve essere impedito se l'impostazione rifiuta l'accesso in scrittura alle unità rimovibili non protetta da BitLocker è abilitata.
  3. Per impedire l'accesso in scrittura alle unità configurate in un'altra organizzazione, è necessario abilitare l'opzione Fornisci gli identificatori univoci per l' impostazione dei criteri dell'organizzazione.

Controllare l'uso di BitLocker su unità rimovibili

Questa impostazione dei criteri viene usata per impedire agli utenti di attivare o disattivare BitLocker in unità dati rimovibili.

Descrizione dei criteri

Con questa impostazione di criteri è possibile controllare l'uso di BitLocker in unità dati rimovibili.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Nessuno

Quando è abilitata

È possibile selezionare le impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker.

Quando disabilitato

Gli utenti non possono usare BitLocker in unità dati rimovibili.

Quando non è configurato

Gli utenti possono usare BitLocker su unità dati rimovibili.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Per informazioni sulla sospensione della protezione BitLocker, vedere distribuzione di base di BitLocker.

Le opzioni per la scelta delle impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker sono:

  • Consentire agli utenti di applicare la protezione BitLocker sulle unità dati rimovibili Consente all'utente di eseguire la configurazione guidata di BitLocker in un'unità dati rimovibile.
  • Consentire agli utenti di sospendere e decrittografare BitLocker in unità dati rimovibili Consente all'utente di rimuovere BitLocker dall'unità o di sospendere la crittografia durante l'esecuzione della manutenzione.

Scegliere il metodo di crittografia unità e la forza di cifratura

Questa impostazione dei criteri viene usata per controllare il metodo di crittografia e la forza di cifratura.

Descrizione dei criteri

Con questa impostazione di criterio puoi controllare il metodo di crittografia e la forza per le unità.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Tutte le unità

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Nessuno

Quando è abilitata

È possibile scegliere un algoritmo di crittografia e la forza di crittografia chiave per BitLocker da usare per crittografare le unità.

Se disabilitata o non configurata

A partire da Windows 10, versione 1511, BitLocker usa il metodo di crittografia predefinito di XTS-AES 128 bit o il metodo di crittografia specificato dallo script di configurazione. Windows Phone non supporta XTS; Usa AES-CBC 128 bit per impostazione predefinita e supporta AES-CBC 256 bit per criterio.

Informazioni di riferimento

I valori di questo criterio determinano la solidità del cifrario usato da BitLocker per la crittografia. Le aziende potrebbero voler controllare il livello di crittografia per aumentare la sicurezza (AES-256 è più forte di AES-128).

Se si abilita questa impostazione, si sarà in grado di configurare un algoritmo di crittografia e la forza di crittografia chiave per le unità dati fisse, le unità del sistema operativo e le unità dati rimovibili singolarmente. Per le unità fisse e del sistema operativo, ti consigliamo di usare l'algoritmo XTS-AES. Per le unità rimovibili, è consigliabile usare AES-CBC 128 bit o AES-CBC 256 bit se l'unità verrà usata in altri dispositivi che non sono in esecuzione con Windows 10, versione 1511 o successive.

La modifica del metodo di crittografia non ha alcun effetto se l'unità è già crittografata o se è in corso la crittografia. In questi casi, questa impostazione del criterio viene ignorata.

Avviso: Questo criterio non si applica alle unità crittografate. Le unità crittografate usano un algoritmo specifico, che viene impostato dall'unità durante il partizionamento.

Quando questa impostazione di criterio è disabilitata o non è configurata, BitLocker userà il metodo di crittografia predefinito di XTS-AES 128 bit o il metodo di crittografia specificato nello script di configurazione.

Configurare l'uso della crittografia basata su hardware per le unità dati fisse

Questo criterio Controlla il modo in cui BitLocker reagisce ai sistemi dotati di unità crittografate quando vengono usati come volumi di dati fissi. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che coinvolgono la lettura frequente o la scrittura di dati nell'unità.

Descrizione dei criteri

Questa impostazione dei criteri consente di gestire l'uso della crittografia basata su hardware su unità dati fisse di BitLocker e di specificare gli algoritmi di crittografia che BitLocker può usare con la crittografia basata su hardware.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Nessuno

Quando è abilitata

È possibile specificare altre opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei computer che non supportano la crittografia basata su hardware. È anche possibile specificare se si vogliono limitare gli algoritmi di crittografia e i gruppi di cifratura usati con la crittografia basata su hardware.

Quando disabilitato

BitLocker non può usare la crittografia basata su hardware con le unità dati fisse e la crittografia basata su software BitLocker viene usata per impostazione predefinita quando l'unità è crittografata.

Quando non è configurato

La crittografia basata su software di BitLocker viene usata indipendentemente dalle funzionalità di crittografia basate su hardware.

Informazioni di riferimento

Nota: L'impostazione Scegli il metodo di crittografia dell'unità e il criterio di codifica per l'intensità non si applica alla crittografia basata su hardware.

L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità è partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità. Gli algoritmi di crittografia e i gruppi di cifratura limitati consentiti per l'opzione di crittografia basata su hardware di questa impostazione consentono di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker Disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati dagli identificatori di oggetto (OID), ad esempio:

  • Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

Configurare l'uso della crittografia basata su hardware per le unità del sistema operativo

Questo criterio Controlla il modo in cui BitLocker reagisce quando le unità crittografate vengono usate come unità del sistema operativo. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che coinvolgono la lettura frequente o la scrittura di dati nell'unità.

Descrizione dei criteri

Con questa impostazione, puoi gestire l'uso della crittografia basata su hardware in unità di sistema operativo di BitLocker e specificare gli algoritmi di crittografia che possono usare con la crittografia basata su hardware.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

È possibile specificare altre opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei computer che non supportano la crittografia basata su hardware. È anche possibile specificare se si vogliono limitare gli algoritmi di crittografia e i gruppi di cifratura usati con la crittografia basata su hardware.

Quando disabilitato

BitLocker non può usare la crittografia basata su hardware con le unità del sistema operativo e la crittografia basata su software BitLocker viene usata per impostazione predefinita quando l'unità è crittografata.

Quando non è configurato

La crittografia basata su software di BitLocker viene usata indipendentemente dalle funzionalità di crittografia basate su hardware.

Informazioni di riferimento

Se la crittografia basata su hardware non è disponibile, viene usata invece la crittografia basata su software di BitLocker.

Nota: L'impostazione Scegli il metodo di crittografia dell'unità e il criterio di codifica per l'intensità non si applica alla crittografia basata su hardware.

L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità è partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità. Gli algoritmi di crittografia e i gruppi di cifratura limitati consentiti per l'opzione di crittografia basata su hardware di questa impostazione consentono di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker Disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati dagli identificatori di oggetto (OID), ad esempio:

  • Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

Configurare l'uso della crittografia basata su hardware per le unità dati rimovibili

Questo criterio Controlla il modo in cui BitLocker reagisce alle unità crittografate quando vengono usate come unità dati rimovibili. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni di unità che coinvolgono la lettura frequente o la scrittura di dati nell'unità.

Descrizione dei criteri

Con questa impostazione, puoi gestire l'uso della crittografia basata su hardware in unità dati rimovibili di BitLocker e specificare quali algoritmi di crittografia possono usare con la crittografia basata su hardware.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Nessuno

Quando è abilitata

È possibile specificare altre opzioni che controllano se viene usata la crittografia basata su software BitLocker anziché la crittografia basata su hardware nei computer che non supportano la crittografia basata su hardware. È anche possibile specificare se si vogliono limitare gli algoritmi di crittografia e i gruppi di cifratura usati con la crittografia basata su hardware.

Quando disabilitato

BitLocker non è in grado di usare la crittografia basata su hardware con unità dati rimovibili e la crittografia basata su software BitLocker viene usata per impostazione predefinita quando l'unità è crittografata.

Quando non è configurato

La crittografia basata su software di BitLocker viene usata indipendentemente dalle funzionalità di crittografia basate su hardware.

Informazioni di riferimento

Se la crittografia basata su hardware non è disponibile, viene usata invece la crittografia basata su software di BitLocker.

Nota: L'impostazione Scegli il metodo di crittografia dell'unità e il criterio di codifica per l'intensità non si applica alla crittografia basata su hardware.

L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità è partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità. Gli algoritmi di crittografia e i gruppi di cifratura limitati consentiti per l'opzione di crittografia basata su hardware di questa impostazione consentono di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker Disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia vengono specificati dagli identificatori di oggetto (OID), ad esempio:

  • Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 in modalità CBC OID: 2.16.840.1.101.3.4.1.42

Applicare il tipo di crittografia unità alle unità dati fisse

Questo criterio Controlla se le unità dati fisse usano solo lo spazio usato per la crittografia o la crittografia completa. L'impostazione di questo criterio causa anche la configurazione guidata di BitLocker per ignorare la pagina delle opzioni di crittografia, in modo che non venga visualizzata alcuna selezione di crittografia per l'utente.

Descrizione dei criteri

Con questa impostazione di criteri è possibile configurare il tipo di crittografia usato da BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità dati fissa

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Nessuno

Quando è abilitata

Questo criterio definisce il tipo di crittografia usato da BitLocker per crittografare le unità e l'opzione tipo di crittografia non viene visualizzata nella configurazione guidata di BitLocker.

Se disabilitata o non configurata

La configurazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha alcun effetto se l'unità è già crittografata o se è in corso la crittografia. Scegliere crittografia completa per richiedere che l'intero disco venga crittografato quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

Nota: Questo criterio viene ignorato quando si sta riducendo o espandendo un volume e il driver di BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa solo lo spazio usato per la crittografia viene espansa, il nuovo spazio libero non viene cancellato come per un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in uno spazio usato solo con il comando seguente: Manage-bde-w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

Per altre informazioni sullo strumento per la gestione di BitLocker, vedere Manage-bde.

Applicare il tipo di crittografia unità sulle unità del sistema operativo

Questo criterio Controlla se le unità del sistema operativo usano la crittografia completa o solo lo spazio usato per la crittografia. L'impostazione di questo criterio provoca anche la configurazione guidata di BitLocker per ignorare la pagina delle opzioni di crittografia, quindi non viene visualizzata alcuna selezione di crittografia per l'utente.

Descrizione dei criteri

Con questa impostazione di criteri è possibile configurare il tipo di crittografia usato da BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

Il tipo di crittografia usato da BitLocker per crittografare le unità è definito da questo criterio e l'opzione tipo di crittografia non viene visualizzata nella configurazione guidata di BitLocker.

Se disabilitata o non configurata

La configurazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha alcun effetto se l'unità è già crittografata o se è in corso la crittografia. Scegliere crittografia completa per richiedere che l'intero disco venga crittografato quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

Nota: Questo criterio viene ignorato quando si riduce o si espande un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa solo lo spazio usato per la crittografia viene espansa, il nuovo spazio libero non viene cancellato come per un'unità che utilizza la crittografia completa. L'utente può cancellare lo spazio disponibile in uno spazio usato solo con il comando seguente: Manage-bde-w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

Per altre informazioni sullo strumento per la gestione di BitLocker, vedere Manage-bde.

Applicare il tipo di crittografia unità alle unità dati rimovibili

Questo criterio Controlla se le unità dati fisse usano la crittografia completa o solo lo spazio usato per la crittografia. L'impostazione di questo criterio provoca anche la configurazione guidata di BitLocker per ignorare la pagina delle opzioni di crittografia, quindi non viene visualizzata alcuna selezione di crittografia per l'utente.

Descrizione dei criteri

Con questa impostazione di criteri è possibile configurare il tipo di crittografia usato da BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Nessuno

Quando è abilitata

Il tipo di crittografia usato da BitLocker per crittografare le unità è definito da questo criterio e l'opzione tipo di crittografia non viene visualizzata nella configurazione guidata di BitLocker.

Se disabilitata o non configurata

La configurazione guidata di BitLocker chiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha alcun effetto se l'unità è già crittografata o se è in corso la crittografia. Scegliere crittografia completa per richiedere che l'intero disco venga crittografato quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

Nota: Questo criterio viene ignorato quando si riduce o si espande un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa solo lo spazio usato per la crittografia viene espansa, il nuovo spazio libero non viene cancellato come per un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in uno spazio usato solo con il comando seguente: Manage-bde-w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

Per altre informazioni sullo strumento per la gestione di BitLocker, vedere Manage-bde.

Scegliere il modo in cui è possibile recuperare le unità del sistema operativo protette da BitLocker

Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità del sistema operativo.

Descrizione dei criteri

Con questa impostazione, è possibile controllare il ripristino delle unità di sistema operativo protette da BitLocker in assenza delle informazioni di chiave di avvio necessarie.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

È necessario impedire l'uso di chiavi di ripristino se l' impostazione Rifiuta accesso in scrittura a unità rimovibili non protetta da BitLocker è abilitata.

Quando si usano gli agenti di recupero dati, è necessario abilitare l'impostazione Fornisci gli identificatori univoci per i criteri dell'organizzazione.

Quando è abilitata

Puoi controllare i metodi disponibili agli utenti per recuperare i dati dalle unità del sistema operativo protette da BitLocker.

Se disabilitata o non configurata

Le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (inclusa la password di ripristino e il tasto di ripristino) e non è possibile eseguire il backup delle informazioni di ripristino in servizi di dominio Active Directory.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

La casella di controllo Consenti agente recupero dati viene usata per specificare se un agente di recupero dati può essere usato con le unità del sistema operativo protette da BitLocker. Prima di poter usare un agente di recupero dati, è necessario aggiungerlo da criteri a chiave pubblica, che si trova nella console Gestione criteri di gruppo o nell'Editor criteri di gruppo locali.

Per altre informazioni sull'aggiunta di agenti di recupero dati, vedere distribuzione di base di BitLocker.

In Configura l'archiviazione degli utenti delle informazioni di ripristino di BitLocker, seleziona se gli utenti sono consentiti, obbligatori o non consentiti per generare una password di ripristino di 48 cifre.

Selezionare Ometti opzioni di ripristino dalla configurazione guidata di BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non sarà possibile specificare l'opzione di ripristino da usare quando si Abilita BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono invece determinate dall'impostazione dei criteri.

In salvare le informazioni di ripristino di BitLocker in servizi di dominio Active Directory, scegliere le informazioni di ripristino di BitLocker da archiviare in servizi di dominio Active Directory per le unità del sistema operativo. Se si seleziona Archivia la password di ripristino e i pacchetti di chiavi, la password di ripristino di BitLocker e il pacchetto della chiave vengono archiviati in servizi di dominio Active Directory. L'archiviazione del pacchetto chiave supporta il recupero dei dati da un'unità danneggiata fisicamente. Se si seleziona solo Salva password di ripristino, solo la password di ripristino viene archiviata in servizi di dominio Active Directory.

Selezionare la casella di controllo non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in servizi di dominio Active Directory per le unità del sistema operativo se si vuole impedire agli utenti di abilitare BitLocker, a meno che il computer non sia connesso al Domino e al backup del ripristino di BitLocker le informazioni su servizi di dominio Active Directory riescono.

Nota: Se la casella di controllo non Abilita BitLocker fino a quando le informazioni di ripristino non vengono archiviate in servizi di dominio Active Directory per le unità del sistema operativo è selezionata, viene generata automaticamente una password di ripristino.

Scegliere il modo in cui gli utenti possono recuperare le unità protette da BitLocker (Windows Server 2008 e Windows Vista)

Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità protette da BitLocker nei computer che eseguono Windows Server 2008 o Windows Vista.

Descrizione dei criteri

Con questa impostazione, è possibile controllare se la configurazione guidata di BitLocker può visualizzare e specificare le opzioni di ripristino di BitLocker.

Introdotto

Windows Server 2008 e Windows Vista

Tipo di unità

Unità del sistema operativo e unità dati fisse nei computer che eseguono Windows Server 2008 e Windows Vista

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Questa impostazione dei criteri fornisce un metodo amministrativo per il recupero dei dati crittografati da BitLocker per evitare la perdita di dati a causa della mancanza di informazioni chiave. Se si sceglie l' opzione non consentire per entrambe le opzioni di ripristino degli utenti, è necessario abilitare le informazioni di ripristino di BitLocker in servizi di dominio Active Directory (Windows Server 2008 e Windows Vista) in impedire un errore di criteri.

Quando è abilitata

È possibile configurare le opzioni visualizzate dagli utenti per la configurazione guidata di BitLocker per il recupero dei dati crittografati con BitLocker.

Se disabilitata o non configurata

La configurazione guidata di BitLocker presenta agli utenti modi per archiviare le opzioni di ripristino.

Informazioni di riferimento

Questo criterio è applicabile solo ai computer che eseguono Windows Server 2008 o Windows Vista. Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Per sbloccare i dati crittografati con BitLocker in assenza delle informazioni chiave di avvio necessarie, è possibile usare due opzioni di ripristino. Gli utenti possono digitare una password di ripristino numerico a 48 cifre oppure inserire un'unità USB contenente una chiave di ripristino a 256 bit.

Salvando la password di ripristino in un'unità USB viene archiviata la password di ripristino della cifra di 48 come file di testo e la chiave di ripristino a 256 bit come file nascosto. Il salvataggio in una cartella archivia la password di ripristino della cifra di 48 come file di testo. La stampa Invia la password di ripristino di 48 cifre alla stampante predefinita. Ad esempio, non consentendo la password di ripristino di 48 cifre impedisce agli utenti di stampare o salvare le informazioni di ripristino in una cartella.

Importante: Se durante la configurazione di BitLocker viene eseguita l'inizializzazione del TPM, le informazioni sul proprietario del TPM vengono salvate o stampate con le informazioni di ripristino di BitLocker. La password di ripristino di 48 cifre non è disponibile in modalità di conformità FIPS.

Importante: Per evitare la perdita di dati, è necessario disporre di un metodo per recuperare le chiavi di crittografia BitLocker. Se non si concedono entrambe le opzioni di ripristino, è necessario abilitare il backup delle informazioni di ripristino di BitLocker in servizi di dominio Active Directory. In caso contrario, si verifica un errore di criterio.

Archiviare le informazioni di ripristino di BitLocker in servizi di dominio Active Directory (Windows Server 2008 e Windows Vista)

Questa impostazione dei criteri viene usata per configurare lo spazio di archiviazione delle informazioni di ripristino di BitLocker in servizi di dominio Active Directory. In questo modo viene fornito un metodo amministrativo per recuperare i dati crittografati da BitLocker per evitare la perdita di dati a causa della mancanza di informazioni chiave.

Descrizione dei criteri

Con questa impostazione, è possibile gestire il backup di servizi di dominio Active Directory delle informazioni di ripristino della crittografia unità BitLocker.

Introdotto

Windows Server 2008 e Windows Vista

Tipo di unità

Unità del sistema operativo e unità dati fisse nei computer che eseguono Windows Server 2008 e Windows Vista.

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Nessuno

Quando è abilitata

Le informazioni di ripristino di BitLocker vengono automaticamente e silenziosamente riportate in servizi di dominio Active Directory quando BitLocker è attivato per un computer.

Se disabilitata o non configurata

Non è possibile eseguire il backup delle informazioni di ripristino di BitLocker in servizi di dominio Active Directory.

Informazioni di riferimento

Questo criterio è applicabile solo ai computer che eseguono Windows Server 2008 o Windows Vista.

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Le informazioni di ripristino di BitLocker includono la password di ripristino e i dati dell'identificatore univoco. È anche possibile includere un pacchetto che contiene una chiave di crittografia per un'unità protetta da BitLocker. Questo pacchetto di chiavi è protetto da una o più password di ripristino e può aiutare a eseguire il ripristino specializzato quando il disco è danneggiato o danneggiato.

Se si seleziona Richiedi backup di BitLocker in servizi di dominio Active Directory, BitLocker non può essere attivato, a meno che il computer non sia connesso al Domino e il backup delle informazioni di ripristino di BITLOCKER in Active Directory riesca. Questa opzione è selezionata per impostazione predefinita per verificare che il ripristino di BitLocker sia possibile.

Una password di ripristino è un numero di 48 cifre che sblocca l'accesso a un'unità protetta da BitLocker. Un pacchetto chiave contiene una chiave di crittografia BitLocker dell'unità, che è protetta da una o più password di ripristino. I pacchetti chiave possono aiutare a eseguire il ripristino specializzato quando il disco è danneggiato o danneggiato.

Se l'opzione Richiedi backup di BitLocker in servizi di dominio Active Directory non è selezionata, viene tentato il backup di servizi di dominio Active Directory, ma la rete o altri errori di backup non impediscono la configurazione di BitLocker. Il processo di backup non viene riprovato automaticamente e la password di ripristino potrebbe non essere archiviata in servizi di dominio Active Directory durante la configurazione di BitLocker. Potrebbe essere necessaria l'inizializzazione del TPM durante la configurazione di BitLocker. Abilitare l'impostazione attiva backup TPM in servizi di dominio Active Directory in computer Configuration\Administrative Templates\System\Trusted Platform Module Services per verificare che venga eseguito il backup anche delle informazioni sul TPM.

Per altre informazioni su questa impostazione, vedere impostazioni dei criteri di gruppo TPM.

Scegliere la cartella predefinita per la password di ripristino

Questa impostazione dei criteri viene usata per configurare la cartella predefinita per le password di ripristino.

Descrizione dei criteri

Con questa impostazione di criterio, è possibile specificare il percorso predefinito visualizzato quando la configurazione guidata di BitLocker chiede all'utente di immettere la posizione di una cartella in cui salvare la password di ripristino.

Introdotto

Windows Vista

Tipo di unità

Tutte le unità

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Nessuno

Quando è abilitata

Puoi specificare il percorso che verrà usato come posizione predefinita della cartella quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella. Puoi specificare un percorso completo o includere il computer di destinazione'variabili di ambiente s nel percorso. Se il percorso non è valido, la configurazione guidata di BitLocker Visualizza il computer'la visualizzazione delle cartelle di primo livello.

Se disabilitata o non configurata

La configurazione guidata di BitLocker Visualizza il computer'la visualizzazione delle cartelle di primo livello quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

Nota: Questa impostazione dei criteri non impedisce che l'utente salvi la password di ripristino in un'altra cartella.

Scegliere il modo in cui possono essere recuperati i dischi fissi protetti da BitLocker

Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità dati fisse.

Descrizione dei criteri

Con questa impostazione, è possibile controllare il ripristino delle unità dati fisse protette da BitLocker in assenza delle credenziali necessarie.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

È necessario impedire l'uso di chiavi di ripristino se l' impostazione Rifiuta accesso in scrittura a unità rimovibili non protetta da BitLocker è abilitata.

Quando si usano gli agenti di recupero dati, è necessario abilitare e configurare l'opzione fornisci gli identificatori univoci per l'impostazione dei criteri dell'organizzazione.

Quando è abilitata

Puoi controllare i metodi disponibili agli utenti per recuperare i dati dalle unità dati fisse protette da BitLocker.

Se disabilitata o non configurata

Le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (inclusa la password di ripristino e il tasto di ripristino) e non è possibile eseguire il backup delle informazioni di ripristino in servizi di dominio Active Directory.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

La casella di controllo Consenti agente recupero dati viene usata per specificare se un agente di recupero dati può essere usato con le unità dati fisse protette da BitLocker. Prima di poter usare un agente di recupero dati, è necessario aggiungerlo da criteri a chiave pubblica, che si trova nella console Gestione criteri di gruppo o nell'Editor criteri di gruppo locali.

In Configura l'archiviazione degli utenti delle informazioni di ripristino di BitLocker, seleziona se gli utenti sono consentiti, obbligatori o non consentiti per generare una password di ripristino di 48 cifre o una chiave di ripristino a 256 bit.

Selezionare Ometti opzioni di ripristino dalla configurazione guidata di BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non è possibile specificare l'opzione di ripristino da usare quando si Abilita BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono invece determinate dall'impostazione dei criteri.

In salvare le informazioni di ripristino di BitLocker in servizi di dominio Active Directory, scegliere le informazioni di ripristino di BitLocker da archiviare in ad DS per le unità dati fisse. Se si seleziona la password di ripristino del backup e il pacchetto di chiavi, la password di ripristino di BitLocker e il pacchetto chiave sono archiviati in servizi di dominio Active Directory. L'archiviazione del pacchetto chiave supporta il recupero dei dati da un'unità danneggiata fisicamente. Per recuperare questi dati, è possibile usare lo strumento della riga di comando Repair-bde . Se si seleziona solo la password di ripristino del backup, solo la password di ripristino è archiviata in servizi di dominio Active Directory.

Per altre informazioni sullo strumento di ripristino di BitLocker, vedere Repair-bde.

Selezionare la casella di controllo non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in servizi di dominio Active Directory per le unità dati fisse , se si vuole impedire agli utenti di abilitare BitLocker, a meno che il computer non sia connesso al Domino e al backup del ripristino di BitLocker le informazioni su servizi di dominio Active Directory riescono.

Nota: Se la casella di controllo non Abilita BitLocker fino a quando non vengono archiviate informazioni di ripristino in servizi di dominio Active Directory per le unità dati fisse è selezionata, viene generata automaticamente una password di ripristino.

Scegliere il modo in cui possono essere recuperate le unità rimovibili protette da BitLocker

Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità dati rimovibili.

Descrizione dei criteri

Con questa impostazione, è possibile controllare il ripristino delle unità dati rimovibili protette da BitLocker in assenza delle credenziali necessarie.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

È necessario impedire l'uso di chiavi di ripristino se l' impostazione Rifiuta accesso in scrittura a unità rimovibili non protetta da BitLocker è abilitata.

Quando si usano gli agenti di recupero dati, è necessario abilitare e configurare l'opzione fornisci gli identificatori univoci per l'impostazione dei criteri dell'organizzazione.

Quando è abilitata

Puoi controllare i metodi disponibili agli utenti per recuperare i dati dalle unità dati rimovibili protette da BitLocker.

Se disabilitata o non configurata

Le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (inclusa la password di ripristino e il tasto di ripristino) e non è possibile eseguire il backup delle informazioni di ripristino in servizi di dominio Active Directory.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker.

La casella di controllo Consenti agente recupero dati viene usata per specificare se un agente di recupero dati può essere usato con le unità dati rimovibili protette da BitLocker. Prima di poter usare un agente di recupero dati, è necessario aggiungerlo ai criteri a chiave pubblica , a cui si accede tramite GPMC o l'Editor criteri di gruppo locali.

In Configura l'archiviazione degli utenti delle informazioni di ripristino di BitLocker, seleziona se gli utenti sono consentiti, obbligatori o non consentiti per generare una password di ripristino di 48 cifre.

Selezionare Ometti opzioni di ripristino dalla configurazione guidata di BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non è possibile specificare l'opzione di ripristino da usare quando si Abilita BitLocker. Le opzioni di ripristino di BitLocker per l'unità sono invece determinate dall'impostazione dei criteri.

In salvare le informazioni di ripristino di BitLocker in servizi di dominio Active Directory, scegliere le informazioni di ripristino di BitLocker da archiviare in ad DS per le unità dati rimovibili. Se si seleziona la password di ripristino del backup e il pacchetto di chiavi, la password di ripristino di BitLocker e il pacchetto chiave sono archiviati in servizi di dominio Active Directory. Se si seleziona solo la password di ripristino del backup, solo la password di ripristino è archiviata in servizi di dominio Active Directory.

Selezionare la casella di controllo non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in servizi di dominio Active Directory per le unità dati rimovibili se si vuole impedire agli utenti di abilitare BitLocker, a meno che il computer non sia connesso al Domino e al backup del ripristino di BitLocker le informazioni su servizi di dominio Active Directory riescono.

Nota: Se la casella di controllo non Abilita BitLocker fino a quando non vengono archiviate informazioni di ripristino in servizi di dominio Active Directory per le unità dati fisse è selezionata, viene generata automaticamente una password di ripristino.

Configurare il messaggio di ripristino e l'URL di pre-avvio

Questa impostazione dei criteri viene usata per configurare l'intero messaggio di ripristino e per sostituire l'URL esistente visualizzato nella schermata di ripristino di pre-avvio quando l'unità del sistema operativo è bloccata.

Descrizione dei criteri

Con questa impostazione, è possibile configurare la schermata di ripristino di BitLocker per visualizzare un messaggio e un URL personalizzati.

Introdotto

Windows10

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer \ modelli amministrativi \ Windows Components \ BitLocker Drive Encryption \ unità di sistema operativo \ configurare il messaggio di ripristino e l'URL di pre-avvio

Conflitti

Nessuno

Quando è abilitata

Il messaggio personalizzato e l'URL vengono visualizzati nella schermata di ripristino di pre-avvio. Se in precedenza è stato abilitato un messaggio di ripristino e un URL personalizzati e si vuole ripristinare il messaggio e l'URL predefiniti, è necessario conservare l'impostazione dei criteri abilitata e selezionare l'opzione USA messaggio di ripristino predefinito e URL.

Se disabilitata o non configurata

Se l'impostazione non è stata abilitata in precedenza, viene visualizzata la schermata di ripristino di pre-avvio predefinita per il ripristino di BitLocker. Se l'impostazione in precedenza è stata abilitata e viene successivamente disabilitata, viene visualizzato l'ultimo messaggio in Boot Configuration Data (BCD) se si trattava del messaggio di ripristino predefinito o del messaggio personalizzato.

Informazioni di riferimento

L'abilitazione dell'impostazione Configura il messaggio di ripristino pre-avvio e il criterio URL consente di personalizzare il messaggio e l'URL predefiniti dello schermo di ripristino per consentire ai clienti di recuperare la propria chiave.

Dopo aver abilitato l'impostazione, sono disponibili tre opzioni:

  • Se si seleziona l'opzione Usa messaggio di ripristino predefinito e URL , il messaggio di ripristino e l'URL predefiniti di BitLocker verranno visualizzati nella schermata di ripristino di pre-avvio.
  • Se si seleziona l'opzione Usa messaggio di ripristino personalizzato , digitare il messaggio personalizzato nella casella di testo opzione messaggio di ripristino personalizzato . Il messaggio digitato nella casella di testo opzione messaggio di ripristino personalizzato verrà visualizzato nella schermata di ripristino di pre-avvio. Se è disponibile un URL di ripristino, includerlo nel messaggio.
  • Se si seleziona l'opzione Usa URL di ripristino personalizzato , digitare l'URL del messaggio personalizzato nella casella di testo opzione URL di ripristino personalizzato . L'URL digitato nella casella di testo opzione URL di ripristino personalizzato sostituisce l'URL predefinito nel messaggio di ripristino predefinito, che verrà visualizzato nella schermata di ripristino di pre-avvio.

Importante: Non tutti i caratteri e le lingue sono supportati nell'ambiente di pre-avvio. Ti consigliamo vivamente di verificare l'aspetto corretto dei caratteri usati per il messaggio e l'URL personalizzati nella schermata di ripristino di pre-avvio.

Importante: Poiché è possibile modificare manualmente i comandi di BCDEdit prima di impostare le impostazioni di criteri di gruppo, non è possibile restituire l'impostazione del criterio all'impostazione predefinita selezionando l'opzione non configurata dopo aver configurato questa impostazione di criteri. Per tornare alla schermata di ripristino di pre-avvio predefinita, lasciare attiva l'impostazione dei criteri e selezionare l'opzione Usa opzioni messaggio predefinito nell'elenco a discesa scegliere un messaggio di ripristino di pre-avvio .

Consentire l'avvio sicuro per la convalida dell'integrità

Questo criterio Controlla il modo in cui vengono gestiti i volumi di sistema abilitati per BitLocker in combinazione con la funzionalità di avvio sicuro. L'abilitazione di questa caratteristica impone la convalida del boot sicura durante il processo di avvio e verifica le impostazioni di Boot Configuration Data (BCD) in base ai criteri di avvio sicuro.

Descrizione dei criteri

Questa impostazione dei criteri consente di configurare se l'avvio sicuro sarà consentito come provider di integrità della piattaforma per le unità del sistema operativo BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Tutte le unità

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Se si abilita consentire l'avvio sicuro per laconvalida dell'integrità, verificare che il profilo configura la convalida della piattaforma TPM per le configurazioni del firmware UEFI native non sia abilitato o includa PCR 7 per consentire BitLocker per usare l'avvio sicuro per la convalida della piattaforma o dell'integrità BCD.

Per altre informazioni sulla PCR 7, vedere registro di configurazione della piattaforma ( PCR) in questo argomento.

Quando è abilitata o non è configurata

BitLocker usa l'avvio sicuro per l'integrità della piattaforma se la piattaforma è in grado di garantire la convalida dell'integrità basata sul boot.

Quando disabilitato

BitLocker usa la convalida dell'integrità della piattaforma legacy, anche nei sistemi in grado di garantire la convalida dell'integrità basata sul boot.

Informazioni di riferimento

L'avvio sicuro garantisce che l'ambiente di preavvio del computer carichi solo il firmware firmato digitalmente da Publisher di software autorizzati. Secure Boot offre anche maggiore flessibilità per la gestione delle configurazioni di preavvio rispetto ai controlli di integrità di BitLocker prima di Windows Server 2012 e Windows 8. Quando questo criterio è abilitato e l'hardware è in grado di usare l'avvio sicuro per gli scenari di BitLocker, l'impostazione Usa criteri di gruppo del profilo di convalida dei dati di configurazione dell'avvio avanzato viene ignorata e l'avvio sicuro verifica le impostazioni di BCD in base alle Impostazione di criteri di avvio sicura, configurata separatamente da BitLocker.

Avviso: L'attivazione di questo criterio può causare il ripristino di BitLocker quando viene aggiornato il firmware specifico del produttore. Se si disabilita questo criterio, sospendere BitLocker prima di applicare gli aggiornamenti del firmware.

Specificare gli identificatori univoci per l'organizzazione

Questa impostazione dei criteri viene usata per stabilire un identificatore applicato a tutte le unità crittografate nell'organizzazione.

Descrizione dei criteri

Con questa impostazione di criteri è possibile associare identificatori di organizzazione univoci a una nuova unità abilitata con BitLocker.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Tutte le unità

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

I campi di identificazione sono necessari per gestire gli agenti di recupero dati basati su certificati sulle unità protette da BitLocker. BitLocker gestisce e aggiorna gli agenti di recupero dati basati su certificati solo quando il campo di identificazione è presente in un'unità ed è identico al valore configurato nel computer.

Quando è abilitata

È possibile configurare il campo di identificazione nell'unità protetta da BitLocker e in qualsiasi campo di identificazione consentito usato dall'organizzazione.

Se disabilitata o non configurata

Il campo Identification non è obbligatorio.

Informazioni di riferimento

Questi identificatori vengono archiviati come campo di identificazione e campo di identificazione consentito. Il campo Identification consente di associare un identificatore di organizzazione univoco alle unità protette da BitLocker. Questo identificatore viene aggiunto automaticamente alle nuove unità protette da BitLocker e può essere aggiornato sulle unità protette da BitLocker esistenti tramite lo strumento della riga di comando Manage-bde .

È necessario un campo di identificazione per gestire gli agenti di recupero dati basati su certificati sulle unità protette da BitLocker e per i potenziali aggiornamenti del lettore BitLocker to go. BitLocker gestisce e aggiorna gli agenti di recupero dati solo quando il campo di identificazione nell'unità corrisponde al valore configurato nel campo di identificazione. In modo analogo, BitLocker aggiorna l'utilità di lettura di BitLocker solo quando il campo di identificazione dell'unità corrisponde al valore configurato per il campo di identificazione.

Per altre informazioni sullo strumento per la gestione di BitLocker, vedere Manage-bde.

Il campo di identificazione consentito viene usato in combinazione con l'impostazione rifiuta l'accesso in scrittura alle unità rimovibili non protette dal criterio BitLocker per consentire il controllo dell'uso di unità rimovibili nell'organizzazione. Si tratta di un elenco delimitato da virgole di campi di identificazione dell'organizzazione o delle organizzazioni esterne.

Puoi configurare i campi di identificazione nelle unità esistenti usando lo strumento della riga di comando Manage-bde .

Quando un'unità protetta da BitLocker viene installata in un altro computer abilitato per BitLocker, viene usato il campo Identification e il campo di identificazione consentito per determinare se l'unità è di un'organizzazione esterna.

Più valori separati da virgole possono essere immessi nei campi Identification e consentiti. Il campo di identificazione può essere qualsiasi valore fino a 260 caratteri.

Impedire la sovrascrittura della memoria al riavvio

Questa impostazione dei criteri viene usata per controllare se la memoria del computer verrà sovrascritta al successivo riavvio del computer.

Descrizione dei criteri

Con questa impostazione di criteri è possibile controllare le prestazioni di riavvio del computer a rischio di esporre i segreti di BitLocker.

Introdotto

Windows Vista

Tipo di unità

Tutte le unità

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption

Conflitti

Nessuno

Quando è abilitata

Il computer non sovrascriverà la memoria quando verrà riavviata. La prevenzione della sovrascrittura della memoria può migliorare le prestazioni di riavvio, ma aumenta il rischio di esporre i segreti di BitLocker.

Se disabilitata o non configurata

I segreti di BitLocker vengono rimossi dalla memoria quando il computer viene riavviato.

Informazioni di riferimento

Questa impostazione dei criteri viene applicata quando si attiva BitLocker. I segreti di BitLocker includono il materiale chiave usato per crittografare i dati. Questa impostazione dei criteri si applica solo quando è abilitata la protezione BitLocker.

Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware basate su BIOS

Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio anticipati prima di sbloccare un'unità del sistema operativo in un computer con una configurazione del BIOS o con il firmware UEFI con il modulo di supporto per la compatibilità (CSM) abilitato.

Descrizione dei criteri

Con questa impostazione, è possibile configurare il modo in cui l'hardware di sicurezza TPM del computer's protegge la chiave di crittografia BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

È possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede che la password di ripristino o il tasto di ripristino sia disponibile per sbloccare l'unità.

Se disabilitata o non configurata

Il TPM usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.

Informazioni di riferimento

Questa impostazione non si applica se nel computer non è presente un TPM compatibile o se BitLocker è già stato attivato con la protezione TPM.

Importante: Questa impostazione di criteri di gruppo si applica solo ai computer con configurazioni BIOS o a computer con firmware UEFI con il CSM abilitato. I computer che usano una configurazione del firmware UEFI nativa archiviano valori diversi nei registri di configurazione della piattaforma (PCRs). Usare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI nativo per configurare il profilo PCR TPM per i computer che usano il firmware UEFI nativo.

Un profilo di convalida della piattaforma è costituito da un set di indici di PCR che variano da 0 a 23. Il profilo di convalida della piattaforma predefinito assicura la chiave di crittografia rispetto alle modifiche seguenti:

  • Radice principale di Trust of Measurement (CRTM), BIOS e estensioni della piattaforma (PCR 0)
  • Opzione codice ROM (PCR 2)
  • Codice MBR (master boot record) (PCR 4)
  • Settore di avvio NTFS (PCR 8)
  • Blocco di avvio NTFS (PCR 9)
  • Boot Manager (PCR 10)
  • Controllo di accesso di BitLocker (PCR 11)

Nota: La modifica del profilo di convalida della piattaforma predefinita interessa la sicurezza e la gestibilità del computer. La riservatezza di BitLocker alle modifiche apportate alla piattaforma (illecito o autorizzato) viene aumentata o ridotta a seconda dell'inclusione o dell'esclusione (rispettivamente) di PCRs.

L'elenco seguente identifica tutti i PCRs disponibili:

  • PCR 0: root-of-trust principale per le estensioni di misura, BIOS e piattaforma
  • PCR 1: configurazione e dati della piattaforma e della scheda madre.
  • PCR 2: codice di opzione ROM
  • PCR 3: dati e configurazione dell'opzione ROM
  • PCR 4: codice master boot record (MBR)
  • PCR 5: tabella di partizione MBR (master boot record)
  • PCR 6: eventi di transizione e di riattivazione dello stato
  • PCR 7: produttore-specifico del computer
  • PCR 8: settore di avvio NTFS
  • PCR 9: blocco di avvio NTFS
  • PCR 10: Boot Manager
  • PCR 11: controllo di accesso di BitLocker
  • PCR 12-23: riservato per un uso futuro

Configurare il profilo di convalida della piattaforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio anticipati prima di sbloccare un'unità in un computer che utilizza Windows Vista, Windows Server 2008 o Windows 7.

Descrizione dei criteri

Con questa impostazione, è possibile configurare il modo in cui l'hardware di sicurezza TPM del computer's protegge la chiave di crittografia BitLocker.

Introdotto

Windows Server 2008 e Windows Vista

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

È possibile configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede che la password di ripristino o il tasto di ripristino sia disponibile per sbloccare l'unità.

Se disabilitata o non configurata

Il TPM usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.

Informazioni di riferimento

Questa impostazione non si applica se nel computer non è presente un TPM compatibile o se BitLocker è già attivato con la protezione TPM.

Un profilo di convalida della piattaforma è costituito da un set di indici di PCR che variano da 0 a 23. Il profilo di convalida della piattaforma predefinito assicura la chiave di crittografia rispetto alle modifiche seguenti:

  • Radice principale di Trust of Measurement (CRTM), BIOS e estensioni della piattaforma (PCR 0)
  • Opzione codice ROM (PCR 2)
  • Codice MBR (master boot record) (PCR 4)
  • Settore di avvio NTFS (PCR 8)
  • Blocco di avvio NTFS (PCR 9)
  • Boot Manager (PCR 10)
  • Controllo di accesso di BitLocker (PCR 11)

Nota: Le impostazioni predefinite della PCR del profilo di convalida del TPM per i computer che usano un'interfaccia EFI (Extensible Firmware Interface) sono solo le PCRs 0, 2, 4 e 11.

L'elenco seguente identifica tutti i PCRs disponibili:

  • PCR 0: root-of-trust principale per la misurazione, i servizi di avvio e di runtime di EFI, i driver EFI incorporati in ROM di sistema, le tabelle statiche ACPI, il codice SMM incorporato e il codice del BIOS
  • PCR 1: configurazione e dati della piattaforma e della scheda madre. Tabelle di hand-off e variabili EFI che influiscono sulla configurazione di sistema
  • PCR 2: codice di opzione ROM
  • PCR 3: dati e configurazione dell'opzione ROM
  • PCR 4: codice master boot record (MBR) o codice di altri dispositivi di avvio
  • PCR 5: tabella delle partizioni MBR (master boot record). Varie variabili EFI e la tabella GPT
  • PCR 6: eventi di transizione e di riattivazione dello stato
  • PCR 7: produttore-specifico del computer
  • PCR 8: settore di avvio NTFS
  • PCR 9: blocco di avvio NTFS
  • PCR 10: Boot Manager
  • PCR 11: controllo di accesso di BitLocker
  • PCR 12-23: riservato per un uso futuro

Avviso: La modifica del profilo di convalida della piattaforma predefinita interessa la sicurezza e la gestibilità del computer. La riservatezza di BitLocker alle modifiche apportate alla piattaforma (illecito o autorizzato) viene aumentata o ridotta a seconda dell'inclusione o dell'esclusione (rispettivamente) di PCRs.

Configurare il profilo di convalida della piattaforma TPM per le configurazioni del firmware UEFI Native

Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio iniziali prima dello sblocco di un'unità del sistema operativo in un computer con configurazioni di firmware UEFI native.

Descrizione dei criteri

Con questa impostazione, è possibile configurare il modo in cui il computer'l'hardware di sicurezza Trusted Platform Module (TPM) è sicuro della chiave di crittografia di BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

L'impostazione di questo criterio con PCR 7 omessa, sostituisce l'impostazione Consenti l'avvio sicuro per i criteri di gruppo per la convalida dell'integrità e impedisce a BitLocker di usare l'autenticazione sicura per la piattaforma o l'integrità dei dati di configurazione di avvio.

Se gli ambienti utilizzano il TPM e i controlli di integrità della piattaforma per l'avvio sicuro, questi criteri non devono essere configurati.

Per altre informazioni sulla PCR 7, vedere registro di configurazione della piattaforma ( PCR) in questo argomento.

Quando è abilitata

Prima di attivare BitLocker, è possibile configurare i componenti di avvio convalidati dal TPM prima che venga sbloccato l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede che la password di ripristino o il tasto di ripristino sia disponibile per sbloccare l'unità.

Se disabilitata o non configurata

BitLocker usa il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.

Informazioni di riferimento

Questa impostazione non si applica se nel computer non è presente un TPM compatibile o se BitLocker è già attivato con la protezione TPM.

Importante: Questa impostazione di criteri di gruppo si applica solo ai computer con una configurazione del firmware UEFI nativa. I computer con firmware BIOS o UEFI con un modulo di supporto per la compatibilità (CSM) hanno abilitato l'archiviazione di valori diversi nei registri di configurazione della piattaforma (PCRs). Usare il profilo di convalida della piattaforma TPM per le configurazioni del firmware basate sul BIOS per configurare il profilo PCR TPM per i computer con configurazioni del BIOS o per i computer con firmware UEFI con un CSM abilitato.

Un profilo di convalida della piattaforma è costituito da un set di indici di registro di configurazione della piattaforma (PCR) che variano da 0 a 23. Il profilo di convalida della piattaforma predefinito assicura la chiave di crittografia in base alle modifiche apportate al codice eseguibile del firmware del sistema principale (PCR 0), al codice eseguibile esteso o innestabile (PCR 2), al Boot Manager (PCR 4) e al controllo di accesso di BitLocker (PCR 11).

L'elenco seguente identifica tutti i PCRs disponibili:

  • PCR 0: codice eseguibile del firmware di sistema principale
  • PCR 1: dati del firmware del sistema principale
  • PCR 2: codice eseguibile esteso o innestabile
  • PCR 3: dati del firmware esteso o innestabile
  • PCR 4: Boot Manager
  • PCR 5: tabella GPT/partizione
  • PCR 6: riprendere dagli eventi di stato di alimentazione di S4 e S5
  • PCR 7: stato di avvio sicuro

    Per altre informazioni su questa PCR, vedere Registro di configurazione della piattaforma (PCR) in questo argomento.

  • PCR 8: inizializzato su 0 senza estensione (riservato per un uso futuro)

  • PCR 9: inizializzato su 0 senza estensione (riservato per un uso futuro)
  • PCR 10: inizializzato su 0 senza estensione (riservato per un uso futuro)
  • PCR 11: controllo di accesso di BitLocker
  • PCR 12: eventi dati ed eventi altamente volatili
  • PCR 13: dettagli del modulo di avvio
  • PCR 14: autorità di avvio
  • PCR 15-23: riservato per uso futuro

Avviso: La modifica del profilo di convalida della piattaforma predefinita interessa la sicurezza e la gestibilità del computer. La riservatezza di BitLocker alle modifiche apportate alla piattaforma (illecito o autorizzato) viene aumentata o ridotta a seconda dell'inclusione o dell'esclusione (rispettivamente) di PCRs.

Ripristinare i dati di convalida della piattaforma dopo il ripristino di BitLocker

Questa impostazione dei criteri determina se si vuole che i dati di convalida della piattaforma vengano aggiornati quando si avvia Windows dopo un ripristino di BitLocker. Un profilo di dati di convalida della piattaforma è costituito dai valori di un set di indici di registro di configurazione della piattaforma (PCR) che variano da 0 a 23.

Descrizione dei criteri

Con questa impostazione, puoi controllare se i dati di convalida della piattaforma vengono aggiornati quando si avvia Windows dopo un ripristino di BitLocker.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Nessuno

Quando è abilitata

I dati di convalida della piattaforma vengono aggiornati quando si avvia Windows dopo un ripristino di BitLocker.

Quando disabilitato

I dati di convalida della piattaforma non vengono aggiornati quando si avvia Windows dopo un ripristino di BitLocker.

Quando non è configurato

I dati di convalida della piattaforma vengono aggiornati quando si avvia Windows dopo un ripristino di BitLocker.

Informazioni di riferimento

Per altre informazioni sul processo di ripristino, vedere la Guida al ripristino di BitLocker.

Usare il profilo di convalida dei dati di configurazione avanzata

Questa impostazione determina le impostazioni specifiche dei dati di configurazione del boot (BCD) per verificare durante la convalida della piattaforma. Una convalida della piattaforma usa i dati nel profilo di convalida della piattaforma, che è costituito da un set di indici di registro della configurazione della piattaforma (PCR) che variano da 0 a 23.

Descrizione dei criteri

Con questa impostazione, è possibile specificare le impostazioni dei dati di configurazione di avvio per verificare durante la convalida della piattaforma.

Introdotto

Windows Server 2012 e Windows 8

Tipo di unità

Unità del sistema operativo

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Operating unità di sistema

Conflitti

Quando BitLocker usa l'avvio sicuro per la convalida dell'integrità dei dati della configurazione della piattaforma e dell'avvio, l'impostazione USA criteri di gruppo del profilo di convalida dei dati di configurazione dell'avvio avanzato viene ignorata, come definito dall'opzione Consenti avvio sicuro per impostazione di criteri di gruppo Convalida integrità).

Quando è abilitata

È possibile aggiungere altre impostazioni di BCD, escludere le impostazioni di BCD specificate oppure combinare gli elenchi di inclusione ed esclusione per creare un profilo di convalida BCD personalizzato, che consente di verificare le impostazioni di BCD.

Quando disabilitato

Il computer ripristina una convalida del profilo BCD simile al profilo BCD predefinito usato da Windows 7.

Quando non è configurato

Il computer verifica le impostazioni di BCD predefinite in Windows.

Informazioni di riferimento

Nota: L'impostazione che controlla il debug di avvio (0x16000010) viene sempre convalidata e non ha alcun effetto se è inclusa nell'elenco inclusione o esclusione.

Consentire l'accesso alle unità dati fisse protette da BitLocker dalle versioni precedenti di Windows

Questa impostazione dei criteri viene usata per controllare se l'accesso alle unità è consentito tramite il lettore BitLocker to go e se l'applicazione è installata nell'unità.

Descrizione dei criteri

Con questa impostazione, puoi configurare se le unità dati fisse formattate con il file system FAT possono essere sbloccate e visualizzate nei computer che eseguono Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2).

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati fisse

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Fixed unità dati

Conflitti

Nessuno

Quando è abilitata e non è configurata

Le unità dati fisse formattate con il file system FAT possono essere sbloccate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 e il loro contenuto può essere visualizzato. Questi sistemi operativi hanno accesso in sola lettura alle unità protette da BitLocker.

Quando disabilitato

Le unità dati fisse formattate con il file system FAT e protette da BitLocker non possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2. BitLocker To Go Reader (bitlockertogo. exe) non è installato.

Informazioni di riferimento

Nota: Questa impostazione dei criteri non si applica alle unità formattate con il file system NTFS.

Quando questa impostazione è abilitata, selezionare la casella di controllo non installare BitLocker To Go Reader in unità fisse formattate in FAT per evitare che gli utenti eseguano l'utilità di lettura di BitLocker per il lettore dalle unità fisse. Se BitLocker To Go Reader (bitlockertogo. exe) è presente in un'unità in cui non è specificato un campo di identificazione o se l'unità ha lo stesso campo di identificazione specificato nella casella Fornisci identificatori univoci per l'impostazione dei criteri dell'organizzazione , all'utente viene chiesto di aggiornare BitLocker e l'utilità di lettura di BitLocker To Go viene eliminata dall'unità. In questa situazione, per sbloccare l'unità fissa nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2, è necessario che nel computer sia installato BitLocker To Go Reader. Se questa casella di controllo non è selezionata, la lettura di BitLocker To Go verrà installata nell'unità fissa per consentire agli utenti di sbloccare l'unità nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Consentire l'accesso alle unità dati rimovibili protette da BitLocker dalle versioni precedenti di Windows

Questa impostazione dei criteri controlla l'accesso alle unità dati rimovibili che usano BitLocker To Go Reader e se l'utilità BitLocker To Go Reader può essere installata nell'unità.

Descrizione dei criteri

Con questa impostazione, puoi configurare se le unità dati rimovibili formattate con il file system FAT possono essere sbloccate e visualizzate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Introdotto

Windows Server 2008 R2 e Windows 7

Tipo di unità

Unità dati rimovibili

Percorso criterio

Configurazione computer\Modelli Amministrativi\componenti di Windows\crittografia Drive Encryption\Removable unità dati

Conflitti

Nessuno

Quando è abilitata e non è configurata

Le unità dati rimovibili formattate con il file system FAT possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2 e il loro contenuto può essere visualizzato. Questi sistemi operativi hanno accesso in sola lettura alle unità protette da BitLocker.

Quando disabilitato

Le unità dati rimovibili formattate con il file system FAT protetto da BitLocker non possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2. BitLocker To Go Reader (bitlockertogo. exe) non è installato.

Informazioni di riferimento

Nota: Questa impostazione dei criteri non si applica alle unità formattate con il file system NTFS.

Quando questa impostazione è abilitata, selezionare la casella di controllo non installare BitLocker To Go Reader in unità rimovibili formattate FAT per evitare che gli utenti eseguano la lettura di BitLocker per andare da Reader dalle unità rimovibili. Se BitLocker To Go Reader (bitlockertogo. exe) è presente in un'unità in cui non è specificato un campo di identificazione o se l'unità ha lo stesso campo di identificazione specificato nella casella Fornisci identificatori univoci per l'impostazione dei criteri dell'organizzazione , all'utente verrà richiesto di aggiornare BitLocker e l'utilità BitLocker To Go Reader viene eliminata dall'unità. In questa situazione, per sbloccare l'unità rimovibile nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2, è necessario che nel computer sia installato BitLocker To Go Reader. Se questa casella di controllo non è selezionata, la lettura di BitLocker To Go verrà installata nell'unità rimovibile per consentire agli utenti di sbloccare l'unità nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2 che non hanno installato BitLocker To Go Reader.

Impostazione FIPS

È possibile configurare l'impostazione FIPS (Federal Information Processing Standard) per la conformità FIPS. Come effetto della conformità FIPS, gli utenti non possono creare o salvare una password di BitLocker per il ripristino o come protezione chiave. L'uso di una chiave di ripristino è consentito.

Descrizione dei criteri

Note

Introdotto

Windows Server 2003 con SP1

Tipo di unità

A livello di sistema

Percorso criterio

Local locali\Opzioni Options\System Cryptography: usare gli algoritmi conformi a FIPS per la crittografia, l'hashing e la firma

Conflitti

Alcune applicazioni, ad esempio Servizi terminal, non supportano FIPS-140 in tutti i sistemi operativi.

Quando è abilitata

Gli utenti non saranno in grado di salvare una password di ripristino in qualsiasi posizione. Sono incluse le cartelle di servizi di dominio Active Directory e di rete. Inoltre, non è possibile usare WMI o la configurazione guidata crittografia unità BitLocker per creare una password di ripristino.

Se disabilitata o non configurata

Nessuna chiave di crittografia BitLocker viene generata

Informazioni di riferimento

Questo criterio deve essere abilitato prima che venga generata qualsiasi chiave di crittografia per BitLocker. Tieni presente che quando questo criterio è abilitato, BitLocker impedisce la creazione o l'uso di password di ripristino, quindi deve essere usata invece la chiave di ripristino.

È possibile salvare la chiave di ripristino facoltativa in un'unità USB. Poiché le password di ripristino non possono essere salvate in servizi di dominio Active Directory quando FIPS è abilitato, viene generato un errore se il backup di servizi di dominio Active Directory è richiesto da criteri di gruppo.

È possibile modificare l'impostazione FIPS usando l'Editor criteri di sicurezza (secpol. msc) o modificando il registro di sistema di Windows. Per eseguire queste procedure, è necessario essere un amministratore.

Per altre informazioni sull'impostazione di questo criterio, vedere crittografia di sistema: usare gli algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

Impostazioni dei criteri di gruppo di Power Management: sospensione e ibernazione

PC le impostazioni di alimentazione predefinite per un computer faranno in modo che il computer entri spesso in modalità Sleep per risparmiare energia quando è inattivo e per estendere la durata della batteria del sistema. Quando un computer passa a dormire, aprire i programmi e i documenti vengono resi persistenti in memoria. Quando un computer riprende il sonno, gli utenti non sono tenuti a ripetere l'autenticazione con una chiave di avvio USB o PIN per accedere ai dati crittografati. Ciò può determinare condizioni in cui la sicurezza dei dati è compromessa.

Tuttavia, quando un computer viene ibernato, l'unità viene bloccata e quando riprende dalla modalità di sospensione l'unità è sbloccata, il che significa che gli utenti dovranno specificare un PIN o una chiave di avvio se si usa l'autenticazione a più fattori con BitLocker. Di conseguenza, le organizzazioni che usano BitLocker potrebbero voler usare Hibernate anziché Sleep per migliorare la sicurezza. Questa impostazione non ha un impatto sulla modalità solo TPM, perché offre un'esperienza utente trasparente all'avvio e durante la ripresa dagli Stati di sospensione.

È possibile usare Disabilita le impostazioni di criteri di gruppo seguenti, che si trovano nel computer Configuration\Administrative gestione Templates\System\Power per disabilitare tutti gli Stati di sospensione disponibili:

  • Consentire stati di standby (S1-S3) durante il sonno (collegato)
  • Consentire stati di standby (S1-S3) durante il sonno (batteria)

Informazioni sul Registro di configurazione della piattaforma (PCR)

Un profilo di convalida della piattaforma è costituito da un set di indici di PCR che variano da 0 a 23. L'ambito dei valori può essere specifico della versione del sistema operativo.

La modifica del profilo di convalida della piattaforma predefinita interessa la sicurezza e la gestibilità del computer. La riservatezza di BitLocker alle modifiche apportate alla piattaforma (illecito o autorizzato) viene aumentata o ridotta a seconda dell'inclusione o dell'esclusione (rispettivamente) di PCRs.

Informazioni su PCR 7

La PCR 7 misura lo stato di avvio sicuro. Con PCR 7, BitLocker può sfruttare l'avvio sicuro per la convalida dell'integrità. L'avvio sicuro garantisce che l'ambiente di preavvio del computer carichi solo il firmware firmato digitalmente da Publisher di software autorizzati. Le misurazioni PCR 7 indicano se l'avvio sicuro è attivo e quali sono i tasti attendibili per la piattaforma. Se l'avvio sicuro è attivato e il firmware misura correttamente la PCR 7 per la specifica UEFI, BitLocker può eseguire l'associazione a queste informazioni anziché a PCRs 0, 2 e 4 che hanno caricato le misure delle immagini del firmware e di Bootmgr. In questo modo si riduce la probabilità che BitLocker inizi in modalità di ripristino come risultato degli aggiornamenti di firmware e immagini e offre maggiore flessibilità per la gestione della configurazione di preavvio.

Le misurazioni PCR 7 devono seguire le indicazioni descritte nell' appendice un protocollo EFI di ambiente di esecuzione attendibile.

Le misurazioni PCR 7 sono un requisito obbligatorio del logo per i sistemi che supportano la modalità standby moderna (nota anche come always on, always connected PCs), come Microsoft Surface RT. In questi sistemi, se il TPM con la misurazione della PCR 7 e l'avvio sicuro sono configurati correttamente, BitLocker si associa a PCR 7 e PCR 11 per impostazione predefinita.

Vedere anche