Planejar Requisitos de Política de Grupo do MBAM 1.0

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 1.0

O gerenciamento do Cliente do Microsoft BitLocker Administration and Monitoring (MBAM) requer que as configurações de Política de Grupo personalizadas sejam aplicadas. Este tópico descreve as opções de política disponíveis do GPO (Objeto de Política de Grupo) quando você usa o MBAM para gerenciar a Criptografia de Unidade de Disco BitLocker na empresa.

Importante

O MBAM não usa as configurações padrão do GPO para criptografia de unidade de disco BitLocker do Windows. Se as configurações padrão estiverem habilitadas, elas poderão causar um comportamento conflitante. Para habilitar o MBAM para gerenciar o BitLocker, é necessário definir as configurações de política do GPO após instalar o Modelo de Política de Grupo do MBAM.

Após instalar o modelo de Política de Grupo do MBAM, você poderá visualizar e modificar as configurações de política do GPO do MBAM que habilitam o MBAM para gerenciar a criptografia BitLocker da empresa. O modelo de Política de Grupo do MBAM deve ser instalado em um computador capaz de executar a tecnologia GPMC (Console de Gerenciamento de Política de Grupo) ou AGPM (Gerenciamento Avançado de Política de Grupo). Em seguida, para editar o GPO aplicável, abra o GPMC ou AGPM e navegue até o nó GPO seguinte: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).

O nó GPO do MDOP MBAM (Gerenciamento do BitLocker) contém quatro configurações de política global e quatro nós filhos de configuração GPO, respectivamente. As quatro configurações de política global do GPO são: Gerenciamento de Cliente, Unidade Fixa, Unidade do Sistema Operacional e Unidade Removível. As seguintes seções fornecem definições de política e configurações de política sugerida para ajudar você a planejar os requisitos de configuração de política GPO do MBAM.

Dica

Para obter mais informações sobre como definir as configurações mínimas sugeridas de GPO para habilitar o MBAM e gerenciar a criptografia BitLocker, consulte Como editar Configurações GPO do MBAM 1.0.

Definições de política global

Esta seção descreve as definições de política global do MBAM, que podem ser encontradas no seguinte nó GPO: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker).

Nome da Política Visão geral e configuração de política sugerida

Escolher o nível de codificação e método de criptografia de unidade

Configuração sugerida: Não configurado

Configure esta política para usar um método de criptografia e nível de codificação específicos.

Quando esta política não está configurada, o BitLocker usa o método padrão de criptografia padrão de AES para chaves de 128 bits com Difusor ou o método de criptografia especificado pelo script de instalação.

Evitar substituição de memória ao reiniciar

Configuração sugerida: Não configurado

Configure esta política para melhorar o desempenho de reinicialização sem substituir os segredos do BitLocker na memória ao reiniciar.

Quando essa política não está configurada, os segredos do BitLocker são removidos da memória quando o computador é reiniciado.

Validar conformidade com a regra de uso do certificado de cartão inteligente

Configuração sugerida: Não configurado

Configure essa política para usar a proteção BitLocker com base em certificado do cartão inteligente.

Quando essa política não está configurada, um identificador de objeto padrão 1.3.6.1.4.1.311.67.1.1 é usado para especificar um certificado.

Fornecer identificadores exclusivos para sua organização

Configuração sugerida: Não configurado

Configure essa política para usar o agente de recuperação com base em certificado ou o Leitor BitLocker To Go.

Quando essa política não está configurada, o campo Identificação não é usado.

Se a sua empresa exigir medidas de maior segurança, você poderá configurar o campo Identificação para verificar se esse campo está definido em todos os dispositivos USB e que estejam alinhados com essa configuração de Política de Grupo.

Definições de política de Gerenciamento de Cliente

Esta seção descreve as definições de política de Gerenciamento de Cliente para o MBAM, que podem ser encontradas no seguinte nó GPO: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker) \ Gerenciamento de Cliente.

Nome da Política Visão geral e configurações de política sugeridas

Configure os Serviços do MBAM

Configuração sugerida: Habilitado

  • Ponto de extremidade do serviço Recuperação e Hardware do MBAM. Esta é a primeira configuração de política que deve ser configurada para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Para essa configuração, digite o local de ponto de extremidade semelhante ao exemplo a seguir: http://<Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Selecione as informações de recuperação do BitLocker a serem armazenadas. Essa configuração de política permite configurar o serviço de recuperação de chave para fazer o backup das informações de recuperação do BitLocker. Ele também lhe permite configurar o serviço Relatórios de Status para coletar relatórios de conformidade e auditoria. A política fornece um método administrativo de recuperação de dados criptografados pelo BitLocker para ajudar a prevenir a perda de dados devido à falta de informações chave. O relatório de status e a atividade de recuperação de chave serão enviados, de modo automático e silencioso, para o local do servidor de relatório configurado.

    Se você não configurar ou se desativar essa configuração de política, as informações de recuperação de chave não serão salvas, e o relatório de status e a atividade de recuperação de chave não serão relatados ao servidor. Quando essa configuração é definida para Senha de recuperação e pacote de chave, o backup da senha de recuperação e do pacote de chave será feito, de modo automático e silencioso, no local do servidor de recuperação de chave configurado.

  • Insira a frequência do status de verificação do cliente em minutos. Esta configuração de política gerencia a frequência com que o cliente verifica as políticas de proteção BitLocker e o status no computador cliente. Esta política também gerencia com qual frequência o status de conformidade do cliente é salvo no servidor. O cliente verifica as políticas de proteção BitLocker e o status no computador cliente, e também faz o backup da chave de recuperação do cliente na frequência configurada.

    Defina essa frequência com base no requisito estabelecido por sua empresa quanto a frequência para verificar o status de conformidade do computador, e com que frequência será feito o backup da chave de recuperação do cliente.

  • Ponto de extremidade do serviço Relatórios de status do MBAM. Esta é a segunda configuração de política que deve ser configurada para habilitar o gerenciamento de criptografia BitLocker do Cliente do MBAM. Para essa configuração, digite o local de ponto de extremidade usando o exemplo a seguir: http://<Nome do Servidor de Administração e Monitoramento do MBAM>:<porta à qual o serviço Web está vinculado>/MBAMComplianceStatusService/StatusReportingService. svc.

Permitir verificação da compatibilidade de hardware

Configuração sugerida: Habilitado

Essa configuração de política permite que você gerencie a verificação da compatibilidade de hardware antes de habilitar a proteção BitLocker em unidades de disco de computadores cliente do MBAM.

Habilite esta opção de política se a sua empresa possuir computadores ou hardware mais antigos que não aceitem TPM (Trusted Platform Module). Se um desses critérios for verdadeiro, habilite a verificação de compatibilidade de hardware para verificar se o MBAM for aplicado somente aos modelos de computador que oferecem suporte ao BitLocker. Se todos os computadores em sua organização oferecerem suporte ao BitLocker, não será necessário implantar a Compatibilidade de Hardware e você poderá definir esta política para Não configurado.

Se você habilitar essa configuração de política, o modelo do computador será validado em relação à lista de compatibilidade de hardware uma vez a cada 24 horas, antes da política habilitar a proteção BitLocker em uma unidade de disco de computador.

Dica

Antes de habilitar essa configuração de política, certifique-se de ter definido a configuração Ponto de extremidade do serviço Recuperação e Hardware do MBAM nas opções de política Configurar Serviços do MBAM.

Se você desabilitar ou não definir essa configuração de política, o modelo do computador não será validado em relação à lista de compatibilidade de hardware.

Configurar política de isenção de usuários

Configuração sugerida: Não configurado

Essa configuração de política permite que você configure um endereço do site, endereço de email ou número de telefone que instruirá um usuário a solicitar uma isenção da criptografia BitLocker.

Se você habilitar essa configuração de política e fornecer um endereço do site, endereço de email ou número de telefone, os usuários verão uma caixa de diálogo com instruções sobre como solicitar a isenção de proteção BitLocker. Para obter mais informações sobre como habilitar isenções de criptografia BitLocker para os usuários, consulte Como gerenciar isenções de criptografia BitLocker do usuário.

Se você desabilitar ou não definir essa configuração de política, as instruções sobre como solicitar a isenção não serão apresentadas aos usuários.

Dica

A isenção de usuário é gerenciada por usuário, não por computador. Se vários usuários fizerem logon no mesmo computador e um usuário não estiver isento, o computador será criptografado.

Definições de polítca de Unidade Fixa

Esta seção descreve as definições de política de Unidade Fixa do MBAM, que podem ser encontradas no seguinte nó GPO: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker) \ Unidade Fixa.

Nome da Política Visão geral e configuração de política sugerida

Configurações de criptografia de unidade de dados fixa

Configuração sugerida: Habilitado, e marque a caixa de seleção Habilitar desbloqueio automático da unidade de dados fixa, se o volume do sistema operacional precisar ser criptografado.

Essa configuração de política permite gerenciar se as unidades de disco fixas devem ou não ser criptografadas.

Quando habilitar essa política, não desabilite a política Configurar uso de senhas para unidades de dados fixas.

Se a caixa de seleção Habilitar desbloqueio automático da unidade de dados fixa estiver marcada, o volume do sistema operacional deverá ser criptografado.

Se você habilitar essa configuração de política, os usuários precisarão colocar todas as unidades fixas sob a proteção BitLocker, que criptografará as unidades.

Se você não configurar essa política ou se desabilitá-la, os usuários não precisarão colocar as unidades fixas sob a proteção BitLocker.

Se você desabilitar esta política, o agente MBAM descriptografará as unidades fixas que estiverem criptografadas.

Se a criptografia do volume do sistema operacional não for necessária, desmarque a caixa de seleção Habilitar desbloqueio automático da unidade de dados fixa.

Negar permissão de “gravação” a unidades fixas não protegidas pelo BitLocker

Configuração sugerida: Não configurado

Essa configuração de política determina se a proteção BitLocker é necessária para unidades fixas em um computador para que sejam graváveis. Essa configuração de política é aplicada quando você ativa o BitLocker.

Quando a política não está configurada, todas as unidades fixas no computador são montadas com permissões de leitura/gravação.

Permitir acesso a unidades fixas protegidas pelo BitLocker de versões anteriores do Windows

Configuração sugerida: Não configurado

Habilite essa política para desbloquear e exibir as unidades fixas que são formatadas com o sistema de arquivos da tabela de alocação de arquivos (FAT) em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Esses sistemas operacionais têm permissões somente leitura para unidades protegidas pelo BitLocker.

Quando a política é desabilitada, as unidades fixas formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seu conteúdo não pode ser exibido em computadores que estejam executando o Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Configurar uso de senhas para unidades fixas

Configuração sugerida: Não configurado

Habilite essa política para configurar a proteção por senha em unidades fixas.

Quando a política não está configurada, as senhas têm suporte com as configurações padrão, que não incluem os requisitos de complexidade de senha e exigem apenas oito caracteres.

Para maior segurança, habilite essa política e selecione Exigir senha para unidade de dados fixa, selecione Exigir complexidade de senha e defina o comprimento mínimo da senha.

Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: Não configurado

Configure essa política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker nos Serviços de Domínio Active Directory (AD DS).

Quando essa política não está configurada, o agente de recuperação de dados do BitLocker é permitido, e o backup das informações de recuperação não é feita no AD DS. O MBAM não requer que o backup das informações de recuperação seja feito no AD DS.

Definições de política de Unidade do Sistema Operacional

Esta seção descreve as definições de política de Unidade do Sistema Operacional para o MBAM, que podem ser encontradas no seguinte nó GPO: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (Gerenciamento do BitLocker) \ Unidade do Sistema Operacional.

Nome da Política Visão geral e configuração de política sugerida

Configurações de criptografia da unidade do sistema operacional

Configuração sugerida: Habilitado

Essa configuração de política determina se a unidade do sistema operacional será criptografada.

Configure essa política para:

  • Impor a proteção BitLocker para a unidade do sistema operacional.

  • Configurar o uso do PIN para usar um PIN do TPM (Trusted Platform Module) para proteção do sistema operacional.

  • Configurar PINs de inicialização avançados para permitir caracteres como letras maiúsculas e minúsculas e números. O MBAM não oferece suporte para o uso de símbolos e espaços em PINs avançados, mesmo se o BitLocker oferecer suporte para símbolos e espaços.

Se você habilitar essa configuração de política, os usuários precisarão proteger a unidade do sistema operacional usando o BitLocker.

Se você não configurar ou se desabilitar a configuração, os usuários não precisarão proteger a unidade do sistema operacional usando o BitLocker.

Se você desabilitar esta política, o agente MBAM descriptografará o volume do sistema operacional se estiver criptografado.

Quando habilitada, essa configuração de política exigirá que os usuários protejam o sistema operacional usando a proteção BitLocker e a unidade estiver criptografada. Com base em seus requisitos de criptografia, você pode selecionar o método de proteção para a unidade do sistema operacional.

Para requisitos de maior segurança, use TPM + PIN, permita PINs avançados e defina o comprimento mínimo de PIN para oito caracteres.

Quando esta política está habilitada a proteção TPM+ PIN, você pode considerar desabilitar as políticas a seguir em Sistema / Gerenciamento de Energia / Configurações de Suspensão:

  • Permitir Estados de Espera (S1-S3) quando em Suspensão (Conectado)

  • Permitir Estados de Espera (S1-S3) quando em Suspensão (Bateria)

Configurar perfil de validação de plataforma do TPM

Configuração sugerida: Não configurado

Esta definição de política permite configurar como o hardware de segurança do TPM em um computador protege a chave de criptografia BitLocker. Essa definição de política não se aplica se o computador não tiver um TPM compatível ou se o BitLocker já tiver a proteção de TPM habilitada.

Quando essa política não está configurada, o TPM usa o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação.

Escolha como recuperar as unidades do sistema operacional protegidas por BitLocker.

Configuração sugerida: Não configurado

Configure esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker para os Serviços de Domínio do Active Directory (AD DS).

Quando esta política não está configurada, o agente de recuperação de dados é habilitado, e as informações de recuperação não são salvas como backup no AD DS.

A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS.

Definições da política de unidade removível

Esta seção descreve as definições da Política de Unidade Removível do MBAM, encontradas no seguinte nó do GPO: Configuração do Computador\Modelos Administrativos\Componentes do Windows\MDOP MBAM (BitLocker Management) \ Unidade Removível.

Nome da política Visão geral e configuração de política sugerida

Controle o uso do BitLocker em unidades removíveis

Configuração sugerida: Habilitado

Esta política controla o uso do BitLocker em unidades de dados removíveis.

Habilite a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis, para permitir que os usuários executem o assistente de instalação do BitLocker em uma unidade de dados removível.

Habilite a opção Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis para permitir que os usuários removam a criptografia de unidade de disco BitLocker da unidade ou suspendam a criptografia enquanto a manutenção é realizada.

Quando essa política está habilitada e a opção Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis é selecionada, o Cliente do MBAM salva as informações de recuperação sobre as unidades removíveis no servidor de recuperação de chave do MBAM, permitindo que os usuários recuperarem a unidade se a senha for perdida.

Negue as permissões de “gravação” para unidades removíveis que não estão protegidas pelo BitLocker

Configuração sugerida: Não configurado

Habilite essa política para conceder permissões somente para gravação às unidades protegidas pelo BitLocker.

Quando essa política está habilitada, todas as unidades de dados removíveis no computador requerem criptografia antes que as permissões para gravação sejam concedidas.

Permita o acesso a unidades removíveis protegidas pelo BitLocker de versões anteriores do Windows.

Configuração sugerida: Não configurado

Habilite essa política para desbloquear e exibir unidades fixas que foram formatadas com o sistema de arquivos FAT em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Estes sistemas operacionais tem permissões somente para leitura nas unidades protegidas pelo BitLocker.

Quando a política está desabilitada, as unidades removíveis formatadas com o sistema de arquivos FAT não podem ser desbloqueadas e seus conteúdos não podem ser exibidos em computadores que executam Windows Server 2008, Windows Vista, Windows XP com SP3 ou Windows XP com SP2.

Configure o uso de senha para unidades de dados removíveis

Configuração sugerida: Não configurado

Habilite essa política para configurar proteção por senha em unidades de dados removíveis.

Quando essa política não está configurada, há suporte para as senhas com as definições padrão, o que não inclui requisitos de complexidade de senha e requer somente oito caracteres.

Para aumentar a segurança, você pode habilitar esta política e selecionar Exigir senha para unidade de dados removível, selecionar Exigir complexidade de senha e, em seguida, definir o comprimento mínimo da senha preferencial.

Escolha como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas

Configuração sugerida: Não configurado

Você pode configurar esta política para habilitar o agente de recuperação de dados do BitLocker ou para salvar as informações de recuperação do BitLocker para os Serviços de Domínio do Active Directory (AD DS).

Quando a política está definida como Não configurada, o agente de recuperação de dados é permitido e as informações de recuperação não são salvas como backup no AD DS.

A operação do MBAM não exige que as informações de recuperação sejam salvas como backup no AD DS.

Consulte Também

Outros Recursos

Preparando seu ambiente para o MBAM 1.0

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----