Planejamento para os requisitos de Política de Grupo do MBAM 2.5

  • Artigo

Use as informações a seguir para determinar os tipos de protetores BitLocker que você pode usar para gerenciar os computadores cliente MBAM (Administração e Monitoramento do BitLocker) Microsoft em sua empresa.

Tipos de protetores BitLocker que o MBAM dá suporte

O MBAM dá suporte aos seguintes tipos de protetores BitLocker.

Tipo de unidade ou volume Protetores BitLocker com suporte

Volumes do sistema operacional

  • Trusted Platform Module (TPM)

  • TPM + PIN

  • Chave TPM + USB – com suporte somente quando o volume do sistema operacional é criptografado antes da instalação do MBAM

  • TPM + PIN + chave USB – com suporte somente quando o volume do sistema operacional é criptografado antes da instalação do MBAM

  • Senha – com suporte apenas para dispositivos Windows To Go, unidades de dados fixas e dispositivos Windows 8, Windows 8.1 e Windows 10 que não têm um TPM

  • Senha numérica – aplicada automaticamente como parte da criptografia de volume e não precisa ser configurada, exceto no modo FIPS no Windows 7

  • DRA (agente de recuperação de dados)

Unidades de dados fixas

  • Senha

  • Desbloqueio automático

  • Senha numérica – aplicada automaticamente como parte da criptografia de volume e não precisa ser configurada, exceto no modo FIPS no Windows 7

  • DRA (agente de recuperação de dados)

Unidades removíveis

  • Senha

  • Desbloqueio automático

  • Senha numérica – aplicada automaticamente como parte da criptografia de volume e não precisa ser configurada

  • DRA (agente de recuperação de dados)

Suporte para a política BitLocker de Criptografia de Espaço Usado

No MBAM 2.5 SP1, se você habilitar a Criptografia de Espaço Usado por meio da política do Grupo BitLocker, o Cliente MBAM o honrará.

Essa configuração de Política de Grupo é chamada Impor tipo de criptografia de unidade em unidades do sistema operacional e está localizada no seguinte nó GPO:Modelos administrativos> de configuração> de computadorWindows Components>BitLocker Drive Encryption>Operating System Drives. Se você habilitar essa política e selecionar o tipo de criptografia como criptografia somente espaço usado, o MBAM honrará a política e o BitLocker criptografará apenas o espaço em disco usado no volume.

Como obter o MBAM Política de Grupo Modelos e editar as configurações

Quando estiver pronto para configurar o MBAM Política de Grupo configurações desejadas, faça o seguinte:

Etapas a seguir Onde obter instruções

Copie os modelos de Política de Grupo MBAM de modelos de Política de Grupo MDOP e instale-os em um computador capaz de executar o GPMC (Console de Gerenciamento de Política de Grupo) ou AGPM (Gerenciamento Avançado de Política de Grupo).

Copiando os modelos de Política de Grupo do MBAM 2.5

Configure as configurações de Política de Grupo que você deseja usar em sua empresa.

Editando as configurações de Política de Grupo do MBAM 2.5

Descrições das configurações de Política de Grupo do MBAM

O nó GPO do MDOP MBAM (BitLocker Management) contém quatro configurações de política global e quatro nós de GPO filho: Gerenciamento de Cliente, Unidade Fixa, Unidade do Sistema Operacional e Unidade Removível. As seções a seguir descrevem e sugerem configurações para as configurações de Política de Grupo do MBAM.

Importante

Não altere as configurações de Política de Grupo no nó Criptografia de Unidade do BitLocker ou o MBAM não funcionará corretamente. O MBAM configura automaticamente as configurações neste nó para você ao configurar as configurações no nó MDOP MBAM (Gerenciamento do BitLocker).

Definições de Política de Grupo global

Esta seção descreve as definições de Política de Grupo global do MBAM no seguinte nóGPO:Modelos administrativos de políticas>>> de configuração> do computadorMDOP MBAM (Gerenciamento de BitLocker).

Nome da política Visão geral e configurações de Política de Grupo sugeridas

Escolha o método de criptografia de unidade e a força da codificação

Configuração sugerida: habilitada

Configure essa política para usar um método de criptografia específico e uma força de codificação.

Quando essa política não está configurada, o BitLocker usa o método de criptografia padrão: AES de 128 bits com Difusor.

Observação

Um problema com o relatório de Conformidade do Computador BitLocker faz com que ele exiba "desconhecido" para a força da cifra, mesmo que você esteja usando o valor padrão. Para contornar esse problema, habilite essa configuração e defina um valor para a força da cifra.

  • AES 128 bits com Difusor – somente para Windows 7

  • AES 128 para Windows 8, Windows 8.1, Windows 10 e Windows 11

Impedir substituição de memória na reinicialização

Configuração sugerida: não configurada

Configure essa política para melhorar o desempenho de reinicialização sem substituir os segredos do BitLocker na memória na reinicialização.

Quando essa política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado.

Validar regra de uso de certificado de cartão inteligente

Configuração sugerida: não configurada

Configure essa política para usar a proteção BitLocker baseada em certificado smartcard.

Quando essa política não está configurada, o identificador de objeto padrão 1.3.6.1.4.1.311.67.1.1 é usado para especificar um certificado.

Forneça os identificadores exclusivos para sua organização

Configuração sugerida: não configurada

Configure essa política para usar um agente de recuperação de dados baseado em certificado ou o leitor BitLocker To Go.

Quando essa política não está configurada, o campo Identificação não é usado.

Se sua empresa exigir medidas de segurança mais altas, você poderá configurar o campo Identificação para garantir que todos os dispositivos USB tenham esse conjunto de campos e que estejam alinhados com essa configuração de Política de Grupo.

Definições de Política de Grupo de Gerenciamento de Clientes

Esta seção descreve as definições de política de Gerenciamento de Cliente para MBAMno seguinte nó GPO:Modelos administrativos de políticas>>> de configuração> de computadorMDOP MBAM (Gerenciamento de BitLocker)>Gerenciamento de Clientes.

Você pode definir as mesmas configurações de Política de Grupo para as topologias de integração autônoma e System Center Configuration Manager, com uma exceção: Desabilitar a configuração do ponto de extremidade do serviço de relatório de status mbam do MBAM Services > do MBAM se estiver usando o Configuration Manager Topologia de integração, conforme indicado na tabela a seguir.

Nome da política Visão geral e configurações de Política de Grupo sugeridas

Configurar os Serviços MBAM

Configuração sugerida: habilitada

  • Ponto de extremidade do serviço de Recuperação e Hardware do MBAM. Use essa configuração para habilitar o gerenciamento de criptografia BitLocker do Cliente MBAM. Insira um local de ponto de extremidade semelhante ao seguinte exemplo: http(s)://<MBAM Administration and Monitoring Server Name>:<the port the Web service is bound to>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Selecione Informações de recuperação do BitLocker para armazenar. Essa configuração de política permite configurar o serviço de recuperação de chave para fazer backup das informações de recuperação do BitLocker. Ele também permite configurar um serviço de relatório de status para coletar relatórios. A política fornece um método administrativo de recuperação de dados criptografados pelo BitLocker para evitar a perda de dados devido à falta de informações importantes. O relatório de status e a atividade de recuperação de chave são enviados automaticamente e silenciosamente para o local do servidor de relatório configurado.

    Se você não configurar essa configuração de política ou desabilitar, as informações de recuperação de chave não serão salvas e o relatório de status e a atividade de recuperação de chave não serão relatados ao servidor. Quando essa configuração é definida como Senha de Recuperação e pacote de chaves, a senha de recuperação e o pacote de chaves são automaticamente e silenciosamente compatíveis com o local do servidor de recuperação de chave configurado.

  • Insira a frequência de status de verificação do cliente em minutos. Essa configuração de política gerencia a frequência com que o cliente verifica as políticas de proteção do BitLocker e o status no computador cliente. Essa política também gerencia a frequência com que o status de conformidade do cliente é salvo no servidor. O cliente verifica as políticas e o status de proteção do BitLocker no computador cliente e também faz backup da chave de recuperação do cliente na frequência configurada.

    Defina essa frequência com base nos requisitos definidos pela sua empresa sobre com que frequência verificar o status de conformidade do computador e com que frequência fazer backup da chave de recuperação do cliente.

  • Ponto de extremidade do serviço de relatório de status do MBAM:

    Para MBAM em uma topologia autônoma: você deve configurar essa configuração para habilitar o gerenciamento de criptografia BitLocker do cliente MBAM.

    Insira um local de ponto de extremidade semelhante ao seguinte exemplo:

    http(s)://<MBAM Administration and Monitoring Server Name>:<the port the Web service is bound to>/MBAMComplianceStatusService/StatusReportingService.svc

    Para MBAM na topologia de integração Configuration Manager: desabilite essa configuração.

Configurar a política de isenção de usuário

Configuração sugerida: não configurada

Essa configuração de política permite configurar um endereço de site, endereço de email ou número de telefone que instrui um usuário a solicitar uma isenção da criptografia BitLocker.

Se você habilitar essa configuração de política e fornecer um endereço de site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo com instruções sobre como solicitar uma isenção da proteção BitLocker. Para obter mais informações sobre como habilitar isenções de criptografia BitLocker para usuários, consulte Como gerenciar isenções de criptografia bitlocker do usuário.

Se você desabilitar ou não configurar essa configuração de política, as instruções de solicitação de isenção não serão exibidas aos usuários.

Observação

A isenção de usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e qualquer usuário não estiver isento, o computador será criptografado.

Configurar o programa de aprimoramento de experiência do cliente

Configuração sugerida: habilitada

Essa configuração de política permite configurar como os usuários do MBAM podem ingressar no Programa de Aprimoramento da Experiência do Cliente. Este programa coleta informações sobre o hardware do computador e como os usuários usam o MBAM sem interromper seu trabalho. As informações ajudam Microsoft a identificar quais recursos do MBAM melhorar. Microsoft não usa essas informações para identificar ou contatar usuários do MBAM.

Se você habilitar essa configuração de política, os usuários poderão ingressar no Programa de Aprimoramento da Experiência do Cliente.

Se você desabilitar essa configuração de política, os usuários não poderão ingressar no Programa de Melhoria da Experiência do Cliente.

Se você não configurar essa configuração de política, os usuários terão a opção de ingressar no Programa de Aprimoramento da Experiência do Cliente.

Fornecer a URL para o link Política de Segurança

Configuração sugerida: habilitada

Use essa configuração de política para especificar uma URL exibida para usuários finais como um link chamado "Política de Segurança da Empresa". O link aponta para a política de segurança interna da sua empresa e fornece aos usuários finais informações sobre requisitos de criptografia. O link é exibido quando os usuários são solicitados pelo MBAM a criptografar uma unidade.

Se você habilitar essa configuração de política, poderá configurar a URL para o link Política de Segurança.

Se você desabilitar ou não configurar essa configuração de política, o link política de segurança não será exibido aos usuários.

Definições de Política de Grupo de unidade fixa

Esta seção descreve as definições de política de Unidade Fixa para Microsoft Administração e Monitoramento do BitLocker no seguinte nóGPO:Modelos administrativos>>de políticas> de configuração> de computadorMDOP MBAM (Gerenciamento de BitLocker)>Unidade Fixa.

Nome da política Visão geral e configurações de Política de Grupo sugeridas

Configurações de criptografia de unidade de dados fixa

Configuração sugerida: habilitada

Essa configuração de política permite gerenciar se as unidades de dados fixas devem ser criptografadas.

Se o volume do sistema operacional for necessário para ser criptografado, clique em Habilitar a unidade de dados fixa de desbloqueio automático.

Ao habilitar essa política, você não deve desabilitar o uso de senha para a política de unidades de dados fixas , a menos que você esteja habilitando ou exigindo o uso do desbloqueio automático para unidades de dados fixas.

Se você precisar usar o desbloqueio automático para unidades de dados fixas, deverá configurar volumes do sistema operacional para serem criptografados.

Se você habilitar essa configuração de política, os usuários serão obrigados a colocar todas as unidades de dados fixas na proteção do BitLocker e as unidades de dados serão criptografadas.

Se você não configurar essa configuração de política, os usuários não serão obrigados a colocar unidades de dados fixas na proteção do BitLocker. Se você aplicar essa política depois que unidades de dados fixas forem criptografadas, o agente MBAM descriptografa as unidades de dados fixas criptografadas.

Se você desabilitar essa configuração de política, os usuários não poderão colocar suas unidades de dados fixas na proteção do BitLocker.

Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker

Configuração sugerida: não configurada

Essa configuração de política determina se a proteção do BitLocker é necessária para que unidades de dados fixas sejam graváveis em um computador. Essa configuração de política é aplicada quando você ativa o BitLocker.

Quando a política não está configurada, todas as unidades de dados fixas no computador são montadas com permissão de leitura/gravação.

Permitir acesso a unidades fixas protegidas pelo BitLocker de versões anteriores do Windows

Configuração sugerida: não configurada

Habilite essa política para que unidades fixas com o sistema de arquivos FAT possam ser desbloqueadas e exibidas em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Quando a política está habilitada ou não configurada, unidades fixas formatadas com o sistema de arquivos FAT podem ser desbloqueadas e seu conteúdo pode ser exibido em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2. Esses sistemas operacionais têm permissão somente leitura para unidades protegidas pelo BitLocker.

Quando a política é desabilitada, as unidades fixas formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Configurar o uso de senha para unidades fixas

Configuração sugerida: não configurada

Use essa política para especificar se uma senha é necessária para desbloquear unidades de dados fixas protegidas pelo BitLocker.

Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos. O BitLocker permite que os usuários desbloqueiem uma unidade com qualquer um dos protetores disponíveis na unidade.

Essas configurações são impostas quando você ativa o BitLocker, não quando você desbloqueia um volume.

Se você desabilitar essa configuração de política, os usuários não poderão usar uma senha.

Quando a política não está configurada, há suporte para senhas com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres.

Para maior segurança, habilite essa política e selecione Exigir senha para a unidade de dados fixa, clique em Exigir complexidade de senha e defina o tamanho mínimo da senha desejada.

Se você desabilitar essa configuração de política, os usuários não poderão usar uma senha.

Se você não configurar essa configuração de política, as senhas serão compatíveis com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres.

Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: não configurada

Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou salvar informações de recuperação do BitLocker para Active Directory Domain Services (AD DS).

Quando a política não está configurada, o agente de recuperação de dados do BitLocker é permitido e as informações de recuperação não fazem backup do AD DS. O MBAM não exige que as informações de recuperação sejam apoiadas no AD DS.

Configurações de imposição da política de criptografia

Configuração sugerida: habilitada

Use essa configuração de política para configurar o número de dias em que as unidades de dados fixas podem permanecer incompatíveis até que sejam forçadas a cumprir as políticas de MBAM. Os usuários não podem adiar a ação necessária ou solicitar uma isenção após o período de carência. O período de carência começa quando a unidade de dados fixa é determinada como não compatível. No entanto, a política de unidade de dados fixa não é imposta até que a unidade do sistema operacional esteja em conformidade.

Se o período de carência expirar e a unidade de dados fixa ainda não estiver em conformidade, os usuários não terão a opção de adiar ou solicitar uma isenção. Se o processo de criptografia exigir a entrada do usuário, será exibida uma caixa de diálogo que os usuários não podem fechar até que forneçam as informações necessárias.

Insira 0 no Configurar o número de dias de período de carência de não conformidade para unidades fixas para forçar o processo de criptografia a começar imediatamente após o período de carência expirar para a unidade do sistema operacional.

Se você desabilitar ou não configurar essa configuração, os usuários não serão forçados a cumprir as políticas de MBAM.

Se nenhuma interação do usuário for necessária para adicionar um protetor, a criptografia começará em segundo plano após a expiração do período de carência.

Definições de Política de Grupo de unidade do sistema operacional

Esta seção descreve as definições de política do OperatingSystem Drive para Microsoft Administração e Monitoramento do BitLocker no seguinte nó GPO:Modelos administrativos de políticas>>> de configuração> do computadorMDOP MBAM (Gerenciamento do BitLocker)>Unidade do Sistema Operacional.

Nome da política Visão geral e configurações de Política de Grupo sugeridas

Configurações de criptografia de unidade do sistema operacional

Configuração sugerida: habilitada

Essa configuração de política permite gerenciar se a unidade do sistema operacional deve ser criptografada.

Para maior segurança, considere desabilitar as seguintes configurações de política nasConfigurações de Sonodo Gerenciamento> de Energia do Sistema> ao habilitá-las com o protetor TPM + PIN:

  • Permitir estados de espera (S1-S3) ao dormir (conectado)

  • Permitir estados de espera (S1-S3) ao dormir (em bateria)

Se você estiver executando Microsoft Windows 8 ou posterior e quiser usar o BitLocker em um computador sem um TPM, selecione a caixa de seleção Permitir BitLocker sem um TPM compatível. Nesse modo, uma senha é necessária para inicialização. Se você esquecer a senha, precisará usar uma das opções de recuperação do BitLocker para acessar a unidade.

Em um computador com um TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a entrada de um número de identificação pessoal (PIN).

Se você habilitar essa configuração de política, os usuários precisarão colocar a unidade do sistema operacional sob proteção do BitLocker e a unidade será criptografada.

Se você desabilitar essa política, os usuários não poderão colocar a unidade do sistema operacional sob proteção do BitLocker. Se você aplicar essa política depois que a unidade do sistema operacional for criptografada, a unidade será descriptografada.

Se você não configurar essa política, a unidade do sistema operacional não será necessária para ser colocada sob proteção do BitLocker.

Permitir PINs aprimorados para inicialização

Configuração sugerida: não configurada

Use essa configuração de política para configurar se PINs de inicialização aprimorados são usados com o BitLocker. PiNs de inicialização aprimorados permitem o uso de caracteres, incluindo letras maiúsculas e minúsculas, símbolos, números e espaços. Essa configuração de política é aplicada quando você ativa o BitLocker.

Se você habilitar essa configuração de política, todo o novo conjunto de PINs de inicialização do BitLocker permitirá que o usuário final crie PINs aprimorados. No entanto, nem todos os computadores podem dar suporte a PINs aprimorados no ambiente de pré-inicialização. Recomendamos que os administradores avaliem se seus sistemas são compatíveis com esse recurso antes de habilitar seu uso.

Selecione a caixa de seleção Exigir PINs somente ASCII para ajudar a tornar os PINs aprimorados mais compatíveis com computadores que limitam o tipo ou o número de caracteres que podem ser inseridos no ambiente de pré-inicialização.

Se você desabilitar ou não configurar essa configuração de política, PINs aprimorados não serão usados.

Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: não configurada

Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou salvar informações de recuperação do BitLocker para Active Directory Domain Services (AD DS).

Quando essa política não está configurada, o agente de recuperação de dados é permitido e as informações de recuperação não fazem backup do AD DS.

A operação MBAM não exige que as informações de recuperação sejam apoiadas no AD DS.

Configurar o uso de senhas para unidades do sistema operacional

Configuração sugerida: não configurada

Use essa configuração de política para definir as restrições para senhas usadas para desbloquear unidades do sistema operacional protegidas pelo BitLocker. Se protetores não TPM forem permitidos em unidades do sistema operacional, você poderá provisionar uma senha, impor requisitos de complexidade na senha e configurar um comprimento mínimo para a senha. Para que a configuração do requisito de complexidade seja eficaz, você também deve habilitar a configuração de Política de Grupo "Senha deve atender aos requisitos de complexidade" localizada na Política de Senha de Configurações >>> do Windows configurações > de computador.

Observação

Essas configurações são impostas quando você ativa o BitLocker, não quando você desbloqueia um volume. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.

Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos. Para impor requisitos de complexidade na senha, clique em Exigir complexidade de senha.

Configurar o perfil de validação da plataforma TPM para configurações de firmware baseadas em BIOS

Configuração sugerida: não configurada

Essa configuração de política permite configurar como o hardware de segurança do TPM (Módulo de Plataforma Confiável) do computador protege a chave de criptografia BitLocker. Essa configuração de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção TPM.

Importante

Essa configuração de Política de Grupo se aplica apenas a computadores com configurações de BIOS ou a computadores com firmware UEFI com um CSM (Módulo de Serviço de Compatibilidade) habilitado. Computadores que usam uma configuração de firmware UEFI nativo armazenam valores diferentes nos PCRs (Registros de Configuração de Plataforma). Use a configuração "Configurar o perfil de validação da plataforma TPM para configurações nativas de firmware UEFI" Política de Grupo para configurar o perfil TPM PCR para computadores que usam firmware UEFI nativo.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Se algum desses componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade e o computador exibirá o console do BitLocker Recovery e exigirá que você forneça a senha de recuperação ou a chave de recuperação para desbloquear a unidade.

Se você desabilitar ou não configurar essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação da plataforma especificado pelo script de configuração.

Configurar o perfil de validação da plataforma TPM

Configuração sugerida: não configurada

Essa configuração de política permite configurar como o hardware de segurança do TPM (Módulo de Plataforma Confiável) do computador protege a chave de criptografia BitLocker. Essa configuração de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção TPM.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM valida antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Se algum desses componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade e o computador exibirá o console do BitLocker Recovery e exigirá que você forneça a senha de recuperação ou a chave de recuperação para desbloquear a unidade.

Se você desabilitar ou não configurar essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação da plataforma especificado pelo script de configuração.

Configurar o perfil de validação da plataforma TPM para configurações nativas de firmware UEFI

Configuração sugerida: não configurada

Essa configuração de política permite configurar como o hardware de segurança do TPM (Módulo de Plataforma Confiável) do computador protege a chave de criptografia BitLocker. Essa configuração de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com proteção TPM.

Importante

Essa configuração de Política de Grupo se aplica apenas a computadores com uma configuração de firmware UEFI nativa.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização validados pelo TPM antes de desbloquear o acesso à unidade do sistema operacional criptografada pelo BitLocker. Se algum desses componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade e o computador exibirá o console do BitLocker Recovery e exigirá que você forneça a senha de recuperação ou a chave de recuperação para desbloquear a unidade.

Se você desabilitar ou não configurar essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação da plataforma especificado pelo script de configuração.

Redefinir dados de validação da plataforma após a recuperação do BitLocker

Configuração sugerida: não configurada

Use essa configuração de política para controlar se os dados de validação da plataforma são atualizados quando o Windows é iniciado após a recuperação do BitLocker.

Se você habilitar essa configuração de política, os dados de validação da plataforma serão atualizados quando o Windows for iniciado após a recuperação do BitLocker. Se você desabilitar essa configuração de política, os dados de validação da plataforma não serão atualizados quando o Windows for iniciado após a recuperação do BitLocker. Se você não configurar essa configuração de política, os dados de validação da plataforma serão atualizados quando o Windows for iniciado após a recuperação do BitLocker.

Usar o perfil de validação de dados de configuração de inicialização aprimorado

Configuração sugerida: não configurada

Essa configuração de política permite que você escolha configurações específicas de BCD (Dados de Configuração de Inicialização) para verificar durante a validação da plataforma.

Se você habilitar essa configuração de política, poderá adicionar configurações adicionais, remover as configurações padrão ou ambas. Se você desabilitar essa configuração de política, o computador reverterá para um perfil BCD semelhante ao perfil BCD padrão usado pelo Windows 7. Se você não configurar essa configuração de política, o computador verificará as configurações padrão do Windows BCD.

Observação

Quando o BitLocker usa a Inicialização Segura para validação de integridade bcd (dados de configuração de plataforma e inicialização), conforme definido pela política "Permitir Inicialização Segura para validação de integridade", a política "Usar perfil de validação de dados de configuração de inicialização aprimorada" é ignorada.

A configuração que controla a depuração de inicialização (0x16000010) é sempre validada e não terá efeito se ela estiver incluída nos campos fornecidos.

Configurações de imposição da política de criptografia

Configuração sugerida: habilitada

Use essa configuração de política para configurar o número de dias que os usuários podem adiar o cumprimento das políticas do MBAM para a unidade do sistema operacional. O período de carência começa quando o sistema operacional é detectado pela primeira vez como não compatível. Depois que esse período de carência expirar, os usuários não poderão adiar a ação necessária ou solicitar uma isenção dela.

Se o processo de criptografia exigir a entrada do usuário, será exibida uma caixa de diálogo que os usuários não podem fechar até que forneçam as informações necessárias.

Se você desabilitar ou não configurar essa configuração, os usuários não serão forçados a cumprir as políticas de MBAM.

Se nenhuma interação do usuário for necessária para adicionar um protetor, a criptografia começará em segundo plano após a expiração do período de carência.

Configurar a mensagem de recuperação de pré-inicialização e a URL

Configuração sugerida: não configurada

Habilite essa configuração de política para configurar uma mensagem de recuperação personalizada ou especificar uma URL exibida na tela de recuperação do BitLocker pré-inicialização quando a unidade do sistema operacional estiver bloqueada. Essa configuração só está disponível em computadores cliente que executam Windows 11 e Windows 10.

Quando essa política estiver habilitada, você poderá selecionar uma dessas opções para a mensagem de recuperação de pré-inicialização:

  • Use a mensagem de recuperação personalizada: selecione essa opção para incluir uma mensagem personalizada na tela de recuperação do BitLocker pré-inicialização. Na caixa Opção de mensagem de recuperação personalizada , digite a mensagem desejada exibida. Se você também quiser especificar uma URL de recuperação, inclua-a como parte de sua mensagem de recuperação personalizada.

  • Use a URL de recuperação personalizada: selecione essa opção para substituir a URL padrão exibida na tela de recuperação do BitLocker pré-inicialização. Na caixa de opção URL de recuperação personalizada , digite a URL desejada exibida.

  • Use a mensagem de recuperação padrão e a URL: selecione esta opção para exibir a mensagem de recuperação e a URL padrão do BitLocker na tela de recuperação do BitLocker pré-inicialização. Se você configurou anteriormente uma mensagem ou URL de recuperação personalizada e deseja reverter para a mensagem padrão, você deve habilitar essa política e selecionar a opção Usar mensagem de recuperação padrão e URL .

Observação

Nem todos os caracteres e idiomas têm suporte na pré-inicialização. Recomendamos testar se os caracteres usados para a mensagem personalizada ou URL aparecem corretamente na tela de recuperação do BitLocker pré-inicialização.

Definições de Política de Grupo de unidade removível

Esta seção descreve definições de Política de Grupo de Unidade Removível para Microsoft Administração e Monitoramento do BitLocker no seguinte nó GPO:Modelos administrativos de políticas>>> de configuração> do computadorMDOP MBAM (Gerenciamento de BitLocker)>Unidade Removível.

Nome da política Visão geral e configurações de Política de Grupo sugeridas

Controlar o uso do BitLocker em unidades removíveis

Configuração sugerida: habilitada

Essa política controla o uso do BitLocker em unidades de dados removíveis.

Clique em Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis para permitir que os usuários executem o assistente de instalação do BitLocker em uma unidade de dados removível.

Clique em Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que os usuários removam a criptografia da unidade do BitLocker ou suspendam a criptografia enquanto a manutenção é executada.

Quando essa política está habilitada e você clica em Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis, o Cliente MBAM salva as informações de recuperação sobre unidades removíveis para o servidor de recuperação de chave MBAM e permite que os usuários recuperem a unidade se a senha for perdida.

Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker

Configuração sugerida: não configurada

Habilite essa política para permitir apenas a permissão de gravação para unidades protegidas pelo BitLocker.

Quando essa política está habilitada, todas as unidades de dados removíveis no computador exigem criptografia antes que a permissão de gravação seja permitida.

Permitir acesso a unidades removíveis protegidas pelo BitLocker de versões anteriores do Windows

Configuração sugerida: não configurada

Habilite essa política para permitir que unidades fixas com o sistema de arquivos FAT sejam desbloqueadas e exibidas em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Quando essa política não estiver configurada, unidades removíveis formatadas com o sistema de arquivos FAT podem ser desbloqueadas em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2, e seu conteúdo pode ser exibido. Esses sistemas operacionais têm permissão somente leitura para unidades protegidas pelo BitLocker.

Quando a política está desabilitada, as unidades removíveis formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que executam o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Configurar o uso de senha para unidades de dados removíveis

Configuração sugerida: não configurada

Habilite essa política para configurar a proteção de senha em unidades de dados removíveis.

Quando essa política não está configurada, há suporte para senhas com as configurações padrão, que não incluem requisitos de complexidade de senha e que exigem apenas oito caracteres.

Para aumentar a segurança, você pode habilitar essa política e selecionar Exigir senha para a unidade de dados removível, clique em Exigir complexidade de senha e defina o comprimento mínimo de senha preferencial.

Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: não configurada

Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou salvar informações de recuperação do BitLocker para Active Directory Domain Services (AD DS).

Quando definido como Não Configurado, o agente de recuperação de dados é permitido e as informações de recuperação não fazem backup do AD DS.

A operação MBAM não exige que as informações de recuperação sejam apoiadas no AD DS.

Preparando seu ambiente para o MBAM 2.5

Pré-requisitos para implantação do MBAM 2.5

Tem uma sugestão para MBAM?

Para problemas de MBAM, use o Fórum do MBAM TechNet.