Share via

Pianificazione dei requisiti dei Criteri di gruppo per MBAM 1.0

  • Articolo

Aggiornamento: novembre 2012

Si applica a: Microsoft BitLocker Administration and Monitoring 1.0

Per la gestione del client di Microsoft BitLocker Administration and Monitoring (MBAM) è richiesta l'applicazione di impostazioni personalizzate dei Criteri di gruppo. In questo argomento vengono illustrate le opzioni disponibili per l'oggetto Criteri di gruppo quando si utilizza MBAM per gestire Crittografia unità BitLocker in ambito aziendale.

Importante

In MBAM non vengono utilizzate le impostazioni predefinite dell'oggetto Criteri di gruppo per Crittografia unità BitLocker di Windows. Se abilitate, le impostazioni predefinite possono causare conflitti. Per abilitare MBAM per la gestione di BitLocker, è necessario definite le impostazioni dell'oggetto Criteri di gruppo dopo aver installato il modello di Criteri di gruppo di MBAM.

Dopo aver installato il modello di Criteri di gruppo di MBAM, sarà possibile visualizzare e modificare le impostazioni personalizzate disponibili dell'oggetto Criteri di gruppo di MBAM per abilitare MBAM per la gestione della crittografia BitLocker in ambito aziendale. Il modello di Criteri di gruppo di MBAM deve essere installato in un computer in grado di eseguire Console Gestione Criteri di gruppo o la tecnologia MDOP Gestione avanzata Criteri di gruppo. Per modificare l'oggetto Criteri di gruppo applicabile, a questo punto aprire Console Gestione Criteri di gruppo o Gestione avanzata Criteri di gruppo, quindi passare al nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker).

Il nodo MDOP MBAM (Gestione BitLocker) contiene rispettivamente quattro impostazioni di criteri globali e quattro nodi figlio di impostazioni oggetto Criteri di gruppo. Le quattro impostazioni di criteri globali dell'oggetto Criteri di gruppo sono: Gestione client, Unità fissa, Unità del sistema operativo e Unità rimovibile. Le sezioni seguenti includono le definizioni e le impostazioni consigliate dei criteri per facilitare la pianificazione dei requisiti relativi alle impostazioni dell'oggetto Criteri di gruppo di MBAM.

Nota

Per ulteriori informazioni su come configurare le impostazioni minime consigliate dell'oggetto Criteri di gruppo per abilitare MBAM per la gestione della crittografia BitLocker, vedere Come modificare le impostazioni degli oggetti Criteri di gruppo per MBAM 1.0.

Definizioni dei criteri globali

In questa sezione sono illustrate le definizioni dei criteri globali di MBAM, disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker).

Nome del criterio Informazioni generali e impostazione consigliata

Scegli metodo di crittografia dell'unità e livello di codifica

Configurazione consigliata: Non configurato

Configurare questo criterio per utilizzare un metodo di crittografia e un livello di codifica specifici.

Quando questo criterio non è configurato, BitLocker utilizzerà il metodo di crittografia predefinito AES 128 bit con diffusione o il metodo di crittografia specificato dallo script di configurazione.

Non sovrascrivere la memoria al riavvio

Configurazione consigliata: Non configurato

Configurare questo criterio per migliorare le prestazioni di riavvio senza sovrascrivere i segreti BitLocker in memoria al riavvio.

Quando questo criterio non è configurato, i segreti BitLocker vengono rimossi dalla memoria al riavvio del computer.

Convalida conformità a regola di utilizzo dei certificati smart card

Configurazione consigliata: Non configurato

Configurare questo criterio per utilizzare la protezione BitLocker basata su certificati smart card.

Quando questo criterio non è configurato, per specificare un certificato viene utilizzato un identificatore di oggetto predefinito 1.3.6.1.4.1.311.67.1.1.

Fornisci identificatori univoci per l'organizzazione

Configurazione consigliata: Non configurato

Configurare questo criterio per utilizzare un agente recupero dati basato su certificati o il lettore BitLocker To Go.

Quando questo criterio non è configurato, il campo Identificazione non viene utilizzato.

Se la società richiede misure di sicurezza maggiori, è consigliabile configurare il campo Identificazione per essere sicuri che tutti i dispositivi USB siano stati impostati e che siano allineati a questa impostazione di Criteri di gruppo.

Definizioni dei criteri di Gestione client

In questa sezione sono illustrate le definizioni dei criteri di Gestione client di MBAM, disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker)\Gestione client.

Nome del criterio Informazioni generali e impostazioni consigliate

Configura servizi MBAM

Configurazione consigliata: Abilitato

  • Endpoint del servizio di hardware e ripristino MBAM. Questa è la prima impostazione di criteri che è necessario configurare per abilitare la gestione della crittografia BitLocker del client di MBAM. Per questa impostazione immettere il percorso dell'endpoint come nell'esempio riportato di seguito: http://<Nome del server Administration and Monitoring di MBAM>:<porta a cui è associato il servizio Web>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Selezionare le informazioni di ripristino di BitLocker da archiviare. Questa impostazione di criteri consente di configurare il servizio di recupero chiavi per eseguire il backup delle informazioni di ripristino di BitLocker. Consente inoltre di configurare il servizio di creazione report di stato per la raccolta dei report di conformità e controllo. Fornisce un metodo amministrativo per il ripristino dei dati crittografati da BitLocker in modo da evitare che vadano persi per mancanza di informazioni sulle chiavi. Le attività relative al recupero chiavi e ai report di stato verranno inviate in modo automatico e invisibile al percorso del server di report configurato.

    Se non si configura o si disabilita questa impostazione di criteri, le informazioni sul recupero chiavi non verranno salvate e le attività relative al recupero chiavi e ai report di stato non verranno inviate al server. Quando questo criterio è impostato su Recupera password e pacchetto della chiave, il backup della password di ripristino e del pacchetto della chiave verrà eseguito in modo automatico e invisibile al percorso del server di report configurato.

  • Immettere frequenza stato controllo client in (minuti). Questa impostazione di criteri consente di gestire la frequenza con cui il client controlla i criteri di protezione BitLocker e lo stato nel computer client. Consente inoltre di gestire la frequenza con cui lo stato di conformità del client viene salvato nel server. Il client controlla i criteri di protezione BitLocker e lo stato nel computer client ed esegue il backup della chiave di ripristino client in base alla frequenza configurata.

    Impostare questo valore a seconda dei requisiti stabiliti dalla società per la frequenza con cui controllare lo stato di conformità del computer ed eseguire il backup della chiave di ripristino client.

  • Endpoint del servizio di creazione report di stato MBAM. Questa è la seconda impostazione di criteri che è necessario configurare per abilitare la gestione della crittografia BitLocker del client di MBAM. Per questa impostazione immettere il percorso dell'endpoint come nell'esempio riportato di seguito: http://<Nome del server Administration and Monitoring di MBAM>:<porta a cui è associato il servizio Web>/MBAMComplianceStatusService/StatusReportingService.svc.

Consenti controllo compatibilità hardware

Configurazione consigliata: Abilitato

Questa impostazione di criteri consente di gestire la verifica della compatibilità hardware prima di abilitare la protezione BitLocker sulle unità di computer client di MBAM.

È consigliabile abilitare questa opzione se l'azienda dispone di componenti hardware obsoleti o di computer che non supportano il TPM (Trusted Platform Module). In presenza di una di queste circostanze, abilitare la verifica di compatibilità hardware per essere sicuri che MBAM venga applicato solo ai modelli di computer che supportano BitLocker. Se tutti i computer dell'organizzazione supportano BitLocker, non è necessario distribuire la funzionalità Compatibilità hardware ed è possibile impostare questo criterio su Non configurato.

Se si abilita questa impostazione di criteri, il modello del computer verrà convalidato in base all'elenco di compatibilità hardware ogni 24 ore prima che la protezione BitLocker venga abilitata nell'unità di un computer mediante il criterio.

Nota

Prima di abilitare questa impostazione di criteri, assicurarsi di aver configurato l'impostazione Endpoint del servizio di hardware e ripristino MBAM nelle opzioni del criterio Configura servizi MBAM.

Se si disabilita o non si configura questa impostazione di criteri, il modello di computer non verrà convalidato in base all'elenco di compatibilità hardware.

Configura criterio di esenzione utente

Configurazione consigliata: Non configurato

Questa impostazione di criteri consente di configurare un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono che un utente può utilizzare per richiedere un'esenzione dalla crittografia BitLocker.

Se si abilita questa impostazione di criteri e si specifica un indirizzo di sito Web, un indirizzo di posta elettronica o un numero di telefono, agli utenti verrà visualizzata una finestra di dialogo contenente istruzioni su come richiedere un'esenzione dalla protezione BitLocker. Per ulteriori informazioni su come abilitare le esenzioni della crittografia BitLocker per gli utenti, vedere Come gestire le esenzioni dalla crittografia BitLocker degli utenti.

Se si disabilita o non si configura questa impostazione di criteri, le istruzioni su come inviare una richiesta di esenzione non verranno visualizzate.

Nota

L'esenzione utente viene gestita per utente, non per computer. Se più utenti effettuano l'accesso allo stesso computer e un utente non è esente, il computer verrà crittografato.

Definizioni dei criteri per unità fissa

In questa sezione sono illustrate le definizioni dei criteri per unità fissa di MBAM, disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker)\Unità fissa.

Nome del criterio Informazioni generali e impostazione consigliata

Impostazioni crittografia dell'unità dati fissa

Configurazione consigliata: Abilitata, quindi selezionare la casella di controllo Abilita lo sblocco automatico dell'unità dati fissa se il volume del sistema operativo deve essere crittografato.

Questa impostazione di criteri consente di gestire la crittografia delle unità fisse.

Quando si abilita questo criterio, non disabilitare il criterio Configura utilizzo delle password per unità dati fisse.

Se la casella di controllo Abilita lo sblocco automatico dell'unità dati fissa è selezionata, il volume del sistema operativo deve essere crittografato.

Se si abilita questa impostazione di criteri, agli utenti verrà richiesto di proteggere con BitLocker tutte le unità fisse, che di conseguenza verranno crittografate.

Se non si configura o si disabilita questo criterio, agli utenti non verrà richiesto di proteggere con BitLocker le unità fisse.

Se si disabilita questo criterio, l'agente di MBAM decrittograferà tutte le unità fisse crittografate.

Se non è necessario crittografare il volume del sistema operativo, deselezionare la casella di controllo Abilita lo sblocco automatico dell'unità dati fissa.

Nega accesso in scrittura per unità fisse non protette da BitLocker

Configurazione consigliata: Non configurato

Questa impostazione di criterio determina se proteggere con BitLocker le unità fisse di un computer in modo che siano accessibili in scrittura. Questa impostazione di criteri viene applicata quando si attiva BitLocker.

Quando il criterio non è configurato, tutte le unità fisse del computer vengono montate con accesso in lettura e in scrittura.

Consenti accesso a unità dati fisse protette con BitLocker da precedenti versioni di Windows

Configurazione consigliata: Non configurato

Abilitare questo criterio per sbloccare e visualizzare le unità fisse formattate con il file system FAT (File Allocation Table) in computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

In questi sistemi operativi è consentito l'accesso in sola lettura alle unità protette con BitLocker.

Quando il criterio è disabilitato, non sarà possibile sbloccare le unità fisse formattate con il file system FAT e non sarà possibile visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configura utilizzo delle password per unità dati fisse

Configurazione consigliata: Non configurato

Abilitare questo criterio per configurare la protezione tramite password per le unità fisse.

Quando questo criterio non è configurato, le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità della password e richiedono solo otto caratteri.

Per una maggiore sicurezza abilitare questo criterio e selezionare Richiedi password per unità dati fissa, Richiedi complessità della password e quindi impostare il valore desiderato per la lunghezza minima della password.

Scegli modalità di ripristino delle unità fisse protette con BitLocker

Configurazione consigliata: Non configurato

Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory.

Quando questo criterio non è configurato, l'agente recupero dati BitLocker è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. Per MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Definizioni dei criteri per le unità del sistema operativo

In questa sezione sono illustrate le definizioni dei criteri per unità del sistema operativo di MBAM, disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker)\Unità del sistema operativo.

Nome del criterio Informazioni generali e impostazione consigliata

Impostazioni crittografia dell'unità del sistema operativo

Configurazione consigliata: Abilitato

Questa impostazione di criteri determina se l'unità del sistema operativo verrà crittografata.

Configurare questo criterio per eseguire le operazioni seguenti:

  • Applicare la protezione BitLocker per l'unità del sistema operativo.

  • Configurare l'utilizzo del PIN del modulo TPM (Trusted Platform Module) per la protezione del sistema operativo.

  • Configurare PIN di avvio avanzati per consentire caratteri quali lettere in maiuscolo e minuscolo e numeri. MBAM non supporta l'utilizzo di simboli e spazi per i PIN avanzati, anche se BitLocker supporta gli spazi e i simboli.

Se si abilita questa impostazione di criteri, gli utenti devono proteggere l'unità del sistema operativo utilizzando BitLocker.

Se non si configura o si disabilita questa impostazione di criteri, gli utenti non devono proteggere l'unità del sistema operativo utilizzando BitLocker.

Se si disabilita questo criterio, l'agente di MBAM decrittograferà il volume del sistema operativo se è crittografato.

Se questa impostazione di criteri è abilitata, gli utenti devono proteggere il sistema operativo utilizzando la protezione BitLocker e l'unità viene crittografata. In base ai requisiti di crittografia, è possibile selezionare il metodo di protezione per l'unità del sistema operativo.

Per requisiti di sicurezza più elevati, utilizzare TPM + PIN, consentire i PIN avanzati e impostare la lunghezza minima del PIN su otto caratteri.

Quando questo criterio viene abilitato con la protezione TPM e PIN, è consigliabile disabilitare i seguenti criteri in Sistema / Risparmio energia / Impostazioni relative alla modalità sospensione:

  • Consenti stati di standby (S1-S3) durante la sospensione (Alimentazione da rete elettrica)

  • Consenti stati di standby (S1-S3) durante la sospensione (A batteria)

Configurazione profilo di convalida della piattaforma TPM

Configurazione consigliata: Non configurato

Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM protegge la chiave di crittografia di BitLocker. Questa impostazione non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già stato abilitato con protezione del TPM.

Quando questo criterio non è configurato, il TPM utilizza il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione.

Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker

Configurazione consigliata: Non configurato

Configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory.

Quando questo criterio non è configurato, l'agente recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Per il funzionamento di MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Definizioni dei criteri per le unità rimovibili

In questa sezione sono illustrate le definizioni dei criteri per unità rimovibile di MBAM, disponibili nel nodo oggetto Criteri di gruppo seguente: Configurazione computer\Modelli amministrativi\Componenti di Windows\MDOP MBAM (Gestione BitLocker)\Unità rimovibile.

Nome del criterio Informazioni generali e impostazione consigliata

Configura utilizzo di BitLocker in unità dati rimovibili

Configurazione consigliata: Abilitato

Questa criterio consente di definire le modalità di utilizzo di BitLocker nelle unità dati rimovibili.

Abilitare l'opzione Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili per consentire agli utenti di eseguire la configurazione guidata BitLocker su un'unità dati rimovibile.

Abilitare l'opzione Consenti agli utenti di sospendere e decrittografare BitLocker su unità dati rimovibili per consentire agli utenti di rimuovere Crittografia unità BitLocker dall'unità o di sospenderla durante le attività di manutenzione.

Quando questo criterio è abilitato e l'opzione Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili è selezionata, il client di MBAM salva le informazioni di ripristino sulle unità rimovibili nel server di recupero delle chiavi di MBAM e consente agli utenti di ripristinare l'unità in caso di smarrimento della password.

Nega accesso in scrittura per unità rimovibili non protette da BitLocker

Configurazione consigliata: Non configurato

Abilitare questo criterio per consentire l'accesso in scrittura alle sole unità protette da BitLocker.

Quando questo criterio è abilitato, tutte le unità dati rimovibili del computer devono essere crittografate prima che sia possibile accedervi in scrittura.

Consenti accesso a unità dati rimovibili protette con BitLocker da precedenti versioni di Windows

Configurazione consigliata: Non configurato

Abilitare questo criterio per sbloccare e visualizzare le unità fisse formattate con il file system FAT in computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

In questi sistemi operativi è consentito l'accesso in sola lettura alle unità protette con BitLocker.

Quando il criterio è disabilitato, non sarà possibile sbloccare le unità rimovibili formattate con il file system FAT e non sarà possibile visualizzarne il contenuto nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configura utilizzo delle password per unità dati rimovibili

Configurazione consigliata: Non configurato

Abilitare questo criterio per configurare la protezione tramite password per le unità dati rimovibili.

Quando questo criterio non è configurato, le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità della password e richiedono solo otto caratteri.

Per una maggiore sicurezza è possibile abilitare questo criterio e selezionare Richiedi password per unità dati rimovibile, Richiedi complessità della password e quindi impostare il valore desiderato per la lunghezza minima della password.

Scegli modalità di ripristino delle unità rimovibili protette con BitLocker

Configurazione consigliata: Non configurato

È possibile configurare questo criterio per abilitare Agente recupero dati BitLocker o per salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory.

Quando il criterio è impostato su Non configurato, l'agente recupero dati è consentito e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Per il funzionamento di MBAM non è richiesto il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Vedere anche

Altre risorse

Preparazione dell'ambiente per MBAM 1.0

-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----