Definir o algoritmo de criptografia BitLocker para dispositivos Autopilot
O BitLocker criptografa automaticamente unidades internas durante a OOBE (experiência fora da caixa) para dispositivos que dão suporte a Espera Moderna ou atendem à Especificação de Testabilidade de Segurança de Hardware (HSTI). Por padrão, o BitLocker usa o espaço usado de 128 bits XTS-AES somente para criptografia automática.
Com o Windows Autopilot, você pode configurar as configurações de criptografia do BitLocker a serem aplicadas antes do início da criptografia automática. Essa configuração garante que o algoritmo ou tipo de criptografia padrão não seja aplicado automaticamente. Um dispositivo que recebe essas configurações depois de criptografar automaticamente precisará ser descriptografado antes de alterar o algoritmo de criptografia.
Algoritmo de criptografia
O algoritmo de criptografia BitLocker é usado quando o BitLocker é habilitado pela primeira vez. Durante o Autopilot, o BitLocker será habilitado após a parte de configuração do dispositivo da página status de registro. Os seguintes algoritmos de criptografia estão disponíveis:
- AES-CBC de 128 bits
- AES-CBC de 256 bits
- XTS-AES de 128 bits (padrão)
- XTS-AES de 256 bits
Para obter mais informações sobre os algoritmos de criptografia recomendados para uso, consulte CSP do BitLocker.
Para garantir que o algoritmo de criptografia BitLocker desejado seja definido antes que a criptografia automática ocorra para dispositivos autopilot:
Configure as configurações do método de criptografia na política de criptografia de disco do Endpoint Security. As configurações estão disponíveis emCriptografia> de Disco de Segurança> do Ponto de ExtremidadeCriar política>Plataforma = Windows 10 e posterior, Tipo de perfil = BitLocker.
Atribua a política ao grupo de dispositivos Autopilot. A política de criptografia deve ser atribuída a dispositivos no grupo, não aos usuários.
Habilite a página status de registro do Autopilot para esses dispositivos. Se você não habilitar esse recurso, a política não será aplicada antes do início da criptografia.
Disco completo ou criptografia somente de espaço usado
Há dois tipos de criptografia, disco completo ou somente espaço usado. O tipo de criptografia é determinado automaticamente pela configuração de habilitação silenciosa e suporte de hardware para espera moderna. Você pode impor isso configurando a configuração SystemDrivesEncryptionType . Assim como o algoritmo de criptografia, o tipo de criptografia é usado quando o BitLocker é habilitado pela primeira vez. Para obter mais informações sobre o comportamento de tipo de criptografia esperado, consulte Gerenciar política do BitLocker.
Para impor o tipo de criptografia de unidade usada:
Configure o tipo De impor criptografia de unidade na configuração de unidades do sistema operacional no catálogo de configurações. Essa configuração está disponível na categoria Unidades do Sistema Operacional BitLocker de Componentes > do Windows Componentes >> do Windows na escolha de configurações.
Atribua a política ao grupo de dispositivos Autopilot. A política de criptografia deve ser atribuída a dispositivos no grupo, não aos usuários.
Habilite a página status de registro do Autopilot para esses dispositivos. Se você não habilitar esse recurso, a política não será aplicada antes do início da criptografia.
Requisitos
Uma versão com suporte do Windows.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de