Impostazioni di Criteri di gruppo per BitLocker
Questo argomento, destinato ai professionisti IT, descrive la funzione, la posizione e l'effetto di ogni impostazione di Criteri di gruppo usata per gestire Crittografia unità BitLocker.
Per controllare le attività di crittografia unità che l'utente può eseguire dal Pannello di controllo di Windows o per modificare altre opzioni di configurazione, puoi usare i modelli amministrativi di Criteri di gruppo o le impostazioni dei criteri del computer locali. La modalità di configurazione di queste impostazioni dei criteri dipende dalla modalità di implementazione di BitLocker e dal livello di interazione utente consentito.
Nota
Una set distinto di impostazioni di Criteri di gruppo supporta l'uso del TPM (Trusted Platform Module). Per dettagli su queste impostazioni, vedi l'articolo relativo alle impostazioni di Criteri di gruppo per Trusted Platform Module.
Puoi accedere alle impostazioni di Criteri di gruppo per BitLocker usando Editor Criteri di gruppo locali e Console Gestione Criteri di gruppo in Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker.
La maggior parte delle impostazioni di Criteri di gruppo per BitLocker viene applicata quanto BitLocker viene attivato inizialmente per un'unità. Se un computer non è conforme alle impostazioni di Criteri di gruppo esistenti, BitLocker può non venire attivato oppure può essere modificato finché il computer non passa in uno stato conforme. Quando un'unità non è conforme alle impostazioni di Criteri di gruppo (ad esempio, se un'impostazione di Criteri di gruppo è stata modificata dopo la distribuzione iniziale di BitLocker nell'organizzazione e quindi l'impostazione è stata applicata a unità crittografate in precedenza), non è possibile apportare alcuna modifica alla configurazione di BitLocker di tale unità ad eccezione di una modifica finalizzata ad applicare la conformità.
Se sono necessarie più modifiche per rendere conforme l'unità, devi sospendere la protezione BitLocker, apportare le modifiche necessarie e quindi riprendere la protezione. Questa situazione può verificarsi, ad esempio, se un'unità rimovibile è stata inizialmente configurata per essere sbloccata con una password e quindi le impostazioni di Criteri di gruppo vengono modificate in modo da non consentire le password e richiedere smart card. In questo caso, devi sospendere la protezione BitLocker usando lo strumento da riga di comando Manage-bde, eliminare il metodo di sblocco con password e aggiungere il metodo con smart card. Dopo aver completato questa operazione, BitLocker è conforme all'impostazione di Criteri di gruppo ed è possibile riprendere la protezione BitLocker nell'unità.
Impostazioni di Criteri di gruppo per BitLocker
Le sezioni seguenti forniscono un elenco completo delle impostazioni di Criteri di gruppo per BitLocker, organizzate in base all'utilizzo. Le impostazioni di Criteri di gruppo per BitLocker includono impostazioni per tipi di unità specifici (unità del sistema operativo, unità dati fisse e unità dati rimovibili) e impostazioni che vengono applicate a tutte le unità.
Le impostazioni dei criteri seguenti possono essere usate per determinare come è possibile sbloccare un'unità protetta da BitLocker.
Consenti sblocco rete all'avvio
Richiedi autenticazione aggiuntiva all'avvio
Consenti PIN avanzati per l'avvio
Configura lunghezza minima PIN per l'avvio
Non consentire agli utenti standard di modificare il PIN o la password
Configura utilizzo delle password per unità del sistema operativo
Richiedi autenticazione aggiuntiva all'avvio (Windows Server 2008 e Windows Vista)
Configura utilizzo delle smart card per unità dati fisse
Configura utilizzo delle password per unità dati fisse
Configura utilizzo delle smart card per unità dati rimovibili
Configura utilizzo delle password per unità dati rimovibili
Convalida conformità a regola di utilizzo dei certificati smart card
Abilita l'uso dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate
Le impostazioni dei criteri seguenti vengono usate per controllare le modalità con cui gli utenti possono accedere alle unità e usare BitLocker nei loro computer.
Nega accesso in scrittura per unità fisse non protette da BitLocker
Nega accesso in scrittura per unità rimovibili non protette da BitLocker
Configura utilizzo di BitLocker in unità dati rimovibili
Le impostazioni dei criteri seguenti determinano i metodi di crittografia e i tipi di crittografia che vengono usati con BitLocker.
Scegli metodo di crittografia dell'unità e livello di codifica
Configura utilizzo della crittografia hardware per unità dati fisse
Configura utilizzo della crittografia hardware per unità del sistema operativo
Configura utilizzo della crittografia hardware per unità dati rimovibili
Imponi tipo di crittografia unità sulle unità dati fisse
Imponi tipo di crittografia unità sulle unità del sistema operativo
Imponi tipo di crittografia unità sulle unità dati rimovibili
Le impostazioni dei criteri seguenti definiscono i metodi di ripristino che è possibile usare per ripristinare l'accesso a un'unità protetta con BitLocker se un metodo di autenticazione ha esito negativo o non può essere usato.
Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker
Scegli modalità di ripristino delle unità protette con BitLocker (Windows Server 2008 e Windows Vista)
Archivia informazioni di ripristino di BitLocker in Servizi di dominio Active Directory (Windows Server 2008 e Windows Vista)
Scegli cartella predefinita per password di ripristino
Scegli modalità di ripristino delle unità fisse protette con BitLocker
Scegli modalità di ripristino delle unità rimovibili protette con BitLocker
Configura il messaggio e l'URL di recupero prima dell'avvio
I criteri seguenti vengono usati per supportare scenari di distribuzione personalizzati nell'organizzazione.
Consenti avvio protetto per la convalida dell'integrità
Fornisci identificatori univoci per l'organizzazione
Non sovrascrivere la memoria al riavvio
Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS
Configurazione profilo di convalida della piattaforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware UEFI nativo
Reimposta dati di convalida della piattaforma dopo ripristino di BitLocker
Usa profilo di convalida dei dati di configurazione di avvio avanzata
Consenti accesso a unità dati fisse protette con BitLocker da precedenti versioni di Windows
Consenti accesso a unità dati rimovibili protette con BitLocker da precedenti versioni di Windows
Consenti sblocco rete all'avvio
Questo criterio controlla una parte del comportamento della funzionalità di sblocco di rete in BitLocker. Questo criterio è necessario per abilitare Sblocco rete via BitLocker in una rete in quanto consente ai client che eseguono BitLocker di creare la protezione di rete con chiave necessaria durante la crittografia. Questo criterio viene usato in aggiunta al criterio di sicurezza Certificato di sblocco rete per Crittografia unità BitLocker (che si trova nella cartella Criteri chiave pubblica in Criteri del computer locale) per consentire a sistemi connessi a una rete attendibile di utilizzare correttamente la funzionalità di sblocco di rete.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare se un computer protetto da BitLocker, connesso a una rete locale attendibile e aggiunto a un dominio può creare e usare protezioni di rete con chiave nei computer abilitati per TPM per sbloccare automaticamente l'unità di sistema operativo all'avvio del computer. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
I client configurati con un certificato di Sblocco rete via BitLocker possono creare e usare protezioni di rete con chiave. |
Conseguenze quando disabilitato o non configurato |
I client non possono creare e usare protezioni di rete con chiave. |
Informazioni di riferimento
Per usare una protezione di rete con chiave per sbloccare il computer, è necessario effettuare il provisioning di un certificato di sblocco rete per il computer e per il server che ospita Sblocco rete con Crittografia unità BitLocker. Il certificato di sblocco rete viene usato per creare una protezione di rete con chiave e proteggere lo scambio di informazioni con il server per sbloccare il computer. Puoi usare l'impostazione di Criteri di gruppo Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri chiave pubblica\Certificato di sblocco rete per Crittografia unità BitLocker nel controller di dominio per distribuire il certificato ai computer dell'organizzazione. Questo metodo di sblocco usa il TPM nel computer, quindi i computer che non hanno un TPM non possono creare protezioni di rete con chiave per lo sblocco automatico con la funzione di sblocco rete.
Nota
Per garantire sicurezza e affidabilità, i computer devono avere anche un PIN di avvio del TPM che può essere usato quando il computer è disconnesso dalla rete cablata o non riesce a connettersi al controller di dominio all'avvio.
Per altre informazioni sullo sblocco di rete, vedi BitLocker: Come abilitare lo sblocco di rete.
Richiedi autenticazione aggiuntiva all'avvio
Questa impostazione dei criteri viene usata per controllare le opzioni di sblocco disponibili per le unità del sistema operativo.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se BitLocker richiede autenticazione aggiuntiva ogni volta che il computer viene avviato e se BitLocker viene usato con un TPM (Trusted Platform Module). Questa impostazione dei criteri viene applicata quando attivi BitLocker. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Se viene richiesto un metodo di autenticazione, gli altri metodi non possono essere consentiti. L'uso di BitLocker con una chiave di avvio del TPM o con una chiave di avvio del TPM e un PIN non deve essere consentito se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata. |
Conseguenze quando abilitato |
Gli utenti possono configurare le opzioni di avvio avanzate nella configurazione guidata BitLocker. |
Conseguenze quando disabilitato o non configurato |
Gli utenti possono configurare solo le opzioni di base nei computer con un TPM. Solo una delle opzioni di autenticazione aggiuntive può essere richiesta all'avvio. In caso contrario, viene generato un errore dei criteri. |
Informazioni di riferimento
Se vuoi usare BitLocker in un computer senza un TPM, seleziona la casella di controllo Consenti BitLocker senza un TPM compatibile. In questa modalità, per l'avvio è necessaria un'unità USB. Le informazioni sulla chiave usate per crittografare l'unità sono archiviate nell'unità USB e questo comporta la creazione di una chiave USB. Quando la chiave USB viene inserita, l'accesso all'unità viene autenticato e l'unità è accessibile. Se la chiave USB viene persa o non è disponibile, devi usare una delle opzioni di ripristino di BitLocker per accedere all'unità.
In un computer con un TPM compatibile, sono disponibili quattro tipi di metodi di autenticazione all'avvio per fornire protezione aggiuntiva per i dati crittografati. All'avvio, il computer può usare:
solo il TPM per l'autenticazione
inserimento di un'unità flash USB contenente la chiave di avvio
immissione di un PIN a 4 cifre o a 20 cifre
combinazione di PIN e unità flash USB
Ci sono quattro opzioni per i computer o i dispositivi abilitati per il TPM:
Configurazione PIN di avvio
Consenti TPM
Richiedi TPM
Non consentire TPM
Configurazione PIN di avvio del TPM
Consenti PIN di avvio con il TPM
Richiedi PIN di avvio con il TPM
Non consentire PIN di avvio con il TPM
Configurazione chiave di avvio del TPM
Consenti chiave di avvio con il TPM
Richiedi chiave di avvio con il TPM
Non consentire chiave di avvio con il TPM
Configurazione chiave e PIN di avvio del TPM
Consenti chiave e PIN di avvio con il TPM
Richiedi chiave e PIN di avvio con il TPM
Non consentire chiave e PIN di avvio con il TPM
Consenti PIN avanzati per l'avvio
Questa impostazione dei criteri consente l'uso di PIN avanzati quando usi un metodo di sblocco che include un PIN.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se con BitLocker vengono usati PIN di avvio avanzati. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Tutti i nuovi PIN di avvio di BitLocker impostati sono PIN avanzati. Le unità esistenti protette con un PIN di avvio standard non sono interessate. |
Conseguenze quando disabilitato o non configurato |
I PIN avanzati non vengono usati. |
Informazioni di riferimento
I PIN di avvio avanzati consentono l'uso di caratteri, inclusi lettere maiuscole e minuscole, simboli, numeri e spazi. Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Importante
Non tutti i computer supportano i caratteri dei PIN avanzati nell'ambiente prima dell'avvio. È consigliabile che gli utenti eseguano un controllo del sistema durante la configurazione di BitLocker per verificare che sia possibile usare i caratteri dei PIN avanzati.
Configura lunghezza minima PIN per l'avvio
Questa impostazione dei criteri viene usata per impostare una lunghezza minima del PIN quando usi un metodo di sblocco che include un PIN.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare una lunghezza minima per un PIN di avvio del TPM. Questa impostazione dei criteri viene applicata quando attivi BitLocker. Il PIN di avvio deve essere costituito da un numero di cifre compreso tra 4 e 20. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi richiedere che gli utenti immettano un numero minimo di cifre quando impostano i loro PIN di avvio. |
Conseguenze quando disabilitato o non configurato |
Gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 4 e 20 cifre. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker. Il PIN di avvio deve essere costituito da un numero di cifre compreso tra 4 e 20.
Non consentire agli utenti standard di modificare il PIN o la password
Questa impostazione dei criteri ti permette di determinare se gli utenti standard sono autorizzati a modificare la password o il PIN usato per proteggere l'unità del sistema operativo.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se gli utenti standard sono autorizzati a modificare la password o il PIN usato per proteggere l'unità del sistema operativo. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Gli utenti standard non sono autorizzati a modificare le password o i PIN di BitLocker. |
Conseguenze quando disabilitato o non configurato |
Gli utenti standard sono autorizzati a modificare le password o i PIN di BitLocker. |
Informazioni di riferimento
Per modificare il PIN o la password, l'utente deve essere in grado di fornire il PIN o la password corrente. Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Configura utilizzo delle password per unità del sistema operativo
Questo criterio controlla il modo in cui i sistemi non basati su TPM utilizzano la protezione con password. Usato in combinazione con il criterio Le password devono essere conformi ai requisiti di complessità, questo criterio consente agli amministratori di richiedere una lunghezza e una complessità della password per l'uso della protezione con password. Per impostazione predefinita, le password devono essere composte da otto caratteri. Le opzioni di configurazione della complessità determinano l'importanza della connettività dominio per il client. Per la massima sicurezza della password, gli amministratori devono scegliere l'opzione Richiedi complessità della password che richiede la connettività dominio e anche che la password di BitLocker soddisfi gli stessi requisiti di complessità delle password di accesso al dominio.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare i vincoli per le password usate per sbloccare le unità del sistema operativo protette con BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Le password non possono essere usate se è abilitata la conformità FIPS. NotaL'impostazione del criterio Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma, disponibile in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza specifica se la conformità FIPS è abilitata. |
Conseguenze quando abilitato |
Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per applicare i requisiti di complessità per la password, seleziona Richiedi complessità della password. |
Conseguenze quando disabilitato o non configurato |
Il vincolo di lunghezza predefinito di 8 caratteri verrà applicato alle password delle unità del sistema operativo e non verrà eseguito alcun controllo della complessità. |
Informazioni di riferimento
Se nelle unità del sistema operativo sono consentite protezioni non TPM, puoi effettuare il provisioning di una password, imporre i requisiti di complessità e configurare una lunghezza minima. Affinché l'impostazione dei requisiti di complessità sia efficace, devi abilitare anche l'impostazione di Criteri di gruppo Le password devono essere conformi ai requisiti di complessità, disponibile in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password\.
Nota
Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un volume. BitLocker consente lo sblocco di un'unità con una qualsiasi delle protezioni disponibili nell'unità stessa.
Se l'impostazione è Richiedi complessità della password, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per la convalida della complessità della password. Quando l'impostazione è Consenti complessità della password, viene eseguito un tentativo di connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate nel criterio. Se non vengono trovati controller di dominio, la password verrà accettata indipendentemente dalla complessità effettiva e l'unità verrà crittografata usando tale password come protezione. Se l'impostazione è Non consentire complessità della password, la convalida della complessità della password non viene eseguita.
Le password devono contenere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immetti il numero desiderato di caratteri nella casella Lunghezza minima password.
Quando questa impostazione dei criteri è abilitata, puoi impostare l'opzione Configurazione complessità della password per unità del sistema operativo scegliendo tra:
Consenti complessità della password
Non consentire complessità della password
Richiedi complessità della password
Richiedi autenticazione aggiuntiva all'avvio (Windows Server 2008 e Windows Vista)
Questa impostazione dei criteri viene usata per controllare le opzioni di sblocco disponibili per i computer che eseguono Windows Server 2008 o Windows Vista.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare se la configurazione guidata BitLocker nei computer che eseguono Windows Vista o Windows Server 2008 può impostare un metodo di autenticazione aggiuntivo richiesto a ogni avvio del computer. |
Introduzione |
Windows Server 2008 e Windows Vista |
Tipo di unità |
Unità del sistema operativo (Windows Server 2008 e Windows Vista) |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Se scegli di richiedere un metodo di autenticazione aggiuntivo, non possono essere consentiti altri metodi di autenticazione. |
Conseguenze quando abilitato |
Nella configurazione guidata BitLocker viene visualizzata la pagina che consente all'utente di configurare le opzioni avanzate di avvio per BitLocker. Puoi configurare ulteriormente le opzioni relative alle impostazioni per i computer con o senza un TPM. |
Conseguenze quando disabilitato o non configurato |
Nella configurazione guidata BitLocker vengono visualizzati i passaggi di base che consentono agli utenti di abilitare BitLocker nei computer con un TPM. In questa procedura guidata di base, non è possibile configurare una chiave o un PIN di avvio aggiuntivo. |
Informazioni di riferimento
In un computer con un TPM compatibile, sono disponibili due metodi di autenticazione all'avvio per fornire protezione aggiuntiva per i dati crittografati. All'avvio, il computer può richiedere agli utenti di inserire un'unità USB contenente una chiave di avvio. Può richiedere anche agli utenti di immettere un PIN di avvio da 4 a 20 cifre.
Nei computer senza un TPM compatibile, è necessaria un'unità USB contenente una chiave di avvio. Senza un TPM, i dati crittografati con BitLocker vengono protetti esclusivamente dal materiale della chiave presente nell'unità USB.
Ci sono due opzioni per i computer o i dispositivi abilitati per il TPM:
Configurazione PIN di avvio del TPM
Consenti PIN di avvio con il TPM
Richiedi PIN di avvio con il TPM
Non consentire PIN di avvio con il TPM
Configurazione chiave di avvio del TPM
Consenti chiave di avvio con il TPM
Richiedi chiave di avvio con il TPM
Non consentire chiave di avvio con il TPM
Queste opzioni si escludono a vicenda. Se richiedi la chiave di avvio, non devi consentire il PIN di avvio. Se richiedi il PIN di avvio, non devi consentire la chiave di avvio. In caso contrario, verrà generato un errore dei criteri.
Per nascondere la pagina delle impostazioni avanzate in un dispositivo o un computer abilitato per TPM, imposta queste opzioni su Non consentire per la chiave di avvio e il PIN di avvio.
Configura utilizzo delle smart card per unità dati fisse
Questa impostazione dei criteri viene usata per richiedere, consentire o negare l'uso di smart card con unità dati fisse.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se le smart card possono essere usate per autenticare l'accesso utente alle unità dati fisse protette con BitLocker in un computer. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Per usare le smart card con BitLocker, potrebbe essere anche necessario modificare l'impostazione dell'identificatore di oggetto nell'impostazione dei criteri Configurazione computer\Modelli amministrativi\Crittografia unità BitLocker\Convalida conformità a regola di utilizzo dei certificati smart card, in modo che corrisponda all'identificatore di oggetto dei certificati smart card. |
Conseguenze quando abilitato |
Le smart card possono essere usate per autenticare l'accesso utente all'unità. Puoi richiedere l'autenticazione con smart card selezionando la casella di controllo Richiedi utilizzo delle smart card per unità dati fisse. |
Conseguenze quando disabilitato |
Gli utenti non possono usare smart card per autenticare l'accesso alle unità dati fisse protette con BitLocker. |
Conseguenze quando non configurato |
Le smart card possono essere usate per autenticare l'accesso utente a un'unità protetta con BitLocker. |
Informazioni di riferimento
Nota
Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente lo sblocco di un'unità usando una qualsiasi delle protezioni disponibili nell'unità stessa.
Configura utilizzo delle password per unità dati fisse
Questa impostazione dei criteri viene usata per richiedere, consentire o negare l'uso di password con unità dati fisse.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se è richiesta una password per sbloccare le unità dati fisse protette con BitLocker. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Per usare la complessità della password, devi abilitare anche l'impostazione dei criteri Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password\Le password devono essere conformi ai requisiti di complessità. |
Conseguenze quando abilitato |
Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per richiedere l'uso di una password, seleziona Richiedi password per unità dati fissa. Per applicare i requisiti di complessità per la password, seleziona Richiedi complessità della password. |
Conseguenze quando disabilitato |
L'utente non è autorizzato a usare una password. |
Conseguenze quando non configurato |
Le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità e richiedono solo 8 caratteri. |
Informazioni di riferimento
Se l'impostazione è Richiedi complessità della password, è necessaria una connessione a un controller di dominio per la convalida della complessità della password quando BitLocker è abilitato.
Quando l'impostazione è Consenti complessità della password, viene eseguito un tentativo di connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate nel criterio. Se tuttavia non vengono trovati controller di dominio, la password viene accettata indipendentemente dalla complessità effettiva e l'unità viene crittografata usando tale password come protezione.
Se l'impostazione è Non consentire complessità della password, non viene eseguita la convalida della complessità della password.
Le password devono contenere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immetti il numero desiderato di caratteri nella casella Lunghezza minima password.
Nota
Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente lo sblocco di un'unità con una qualsiasi delle protezioni disponibili nell'unità stessa.
Affinché l'impostazione dei requisiti di complessità sia efficace, devi abilitare anche l'impostazione di Criteri di gruppo Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password\Le password devono essere conformi ai requisiti di complessità.
Questa impostazione viene configurata per ogni computer. Ciò significa che si applica agli account utente locali e agli account utente di dominio. Poiché il filtro password usato per convalidare la complessità della password si trova nei controller di dominio, gli account utente locali non possono accedere a tale filtro perché non sono autenticati per l'accesso al dominio. Quando questa impostazione dei criteri è abilitata, se esegui l'accesso con un account utente locale e tenti di crittografare un'unità o modificare una password in un'unità esistente protetta con BitLocker, viene visualizzato un messaggio di errore "Accesso negato". In questo caso, la protezione con chiave di tipo password non può essere aggiunta all'unità.
Per abilitare questa impostazione dei criteri è necessario stabilire una connessione a un dominio prima di aggiungere una protezione con chiave di tipo password a un'unità protetta con BitLocker. Gli utenti che lavorano in remoto e hanno intervalli di tempo in cui non possono connettersi al dominio devono essere a conoscenza di questo requisito, per poter pianificare un orario in cui saranno connessi al dominio per attivare BitLocker o per modificare una password in un'unità dati protetta con BitLocker.
Importante
Le password non possono essere usate se è abilitata la conformità FIPS. L'impostazione del criterio Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza specifica se la conformità FIPS è abilitata.
Configura utilizzo delle smart card per unità dati rimovibili
Questa impostazione dei criteri viene usata per richiedere, consentire o negare l'uso di smart card con unità dati rimovibili.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se le smart card possono essere usate per autenticare l'accesso utente alle unità dati rimovibili protette con BitLocker in un computer. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Per usare le smart card con BitLocker, potrebbe essere anche necessario modificare l'impostazione dell'identificatore di oggetto nell'impostazione dei criteri Configurazione computer\Modelli amministrativi\Crittografia unità BitLocker\Convalida conformità a regola di utilizzo dei certificati smart card, in modo che corrisponda all'identificatore di oggetto dei certificati smart card. |
Conseguenze quando abilitato |
Le smart card possono essere usate per autenticare l'accesso utente all'unità. Puoi richiedere l'autenticazione con smart card selezionando la casella di controllo Richiedi utilizzo delle smart card per unità dati rimovibili. |
Conseguenze quando disabilitato o non configurato |
Gli utenti non sono autorizzati a usare smart card per autenticare l'accesso alle unità dati rimovibili protette con BitLocker. |
Conseguenze quando non configurato |
Le smart card sono disponibili per autenticare l'accesso utente a un'unità dati rimovibile protetta con BitLocker. |
Informazioni di riferimento
Nota
Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente lo sblocco di un'unità con una qualsiasi delle protezioni disponibili nell'unità stessa.
Configura utilizzo delle password per unità dati rimovibili
Questa impostazione dei criteri viene usata per richiedere, consentire o negare l'uso di password con unità dati rimovibili.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se è richiesta una password per sbloccare le unità dati rimovibili protette con BitLocker. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Per usare la complessità della password, devi abilitare anche l'impostazione dei criteri Le password devono essere conformi ai requisiti di complessità, disponibile in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password. |
Conseguenze quando abilitato |
Gli utenti possono configurare una password che soddisfi i requisiti definiti. Per richiedere l'uso di una password, seleziona Richiedi password per unità dati rimovibile. Per applicare i requisiti di complessità per la password, seleziona Richiedi complessità della password. |
Conseguenze quando disabilitato |
L'utente non è autorizzato a usare una password. |
Conseguenze quando non configurato |
Le password sono supportate con le impostazioni predefinite, che non includono requisiti di complessità e richiedono solo 8 caratteri. |
Informazioni di riferimento
Se scegli di consentire l'uso di una password, puoi richiedere di usare una password specifica, applicare i requisiti di complessità e configurare una lunghezza minima. Affinché l'impostazione dei requisiti di complessità sia efficace, devi abilitare anche l'impostazione di Criteri di gruppo Le password devono essere conformi ai requisiti di complessità, disponibile in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password\.
Nota
Queste impostazioni vengono applicate quando si attiva BitLocker, non quando si sblocca un'unità. BitLocker consente lo sblocco di un'unità con una qualsiasi delle protezioni disponibili nell'unità stessa.
Le password devono contenere almeno 8 caratteri. Per configurare una lunghezza minima maggiore per la password, immetti il numero desiderato di caratteri nella casella Lunghezza minima password.
Se l'impostazione è Richiedi complessità della password, è necessaria una connessione a un controller di dominio quando BitLocker è abilitato per la convalida della complessità della password.
Quando l'impostazione è Consenti complessità della password, verrà eseguito un tentativo di connessione a un controller di dominio per verificare che la complessità rispetti le regole impostate nel criterio. Se tuttavia non vengono trovati controller di dominio, la password verrà accettata indipendentemente dalla complessità effettiva e l'unità verrà crittografata usando tale password come protezione.
Se l'impostazione è Non consentire complessità della password, non verrà eseguita la convalida della complessità della password.
Nota
Le password non possono essere usate se è abilitata la conformità FIPS. L'impostazione del criterio Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza specifica se la conformità FIPS è abilitata.
Per informazioni su questa impostazione, vedi Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma.
Convalida conformità a regola di utilizzo dei certificati smart card
Questa impostazione dei criteri viene usata per determinare quale certificato usare con BitLocker.
Descrizione criterio |
Con questa impostazione dei criteri, puoi associare un identificatore di oggetto di un certificato smart card a un'unità protetta con BitLocker. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse e rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
L'identificatore di oggetto specificato nell'impostazione Identificatore dell'oggetto deve corrispondere a quello nel certificato smart card. |
Conseguenze quando disabilitato o non configurato |
Viene usato l'identificatore di oggetto predefinito. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
L'identificatore di oggetto è specificato nel valore di utilizzo chiavi avanzato (EKU) di un certificato. BitLocker può identificare i certificati che possono essere usati per l'autenticazione di un certificato utente in un'unità protetta con BitLocker mettendo in corrispondenza l'identificatore di oggetto nel certificato con l'identificatore di oggetto definito da questa impostazione dei criteri.
L'identificatore di oggetto predefinito è 1.3.6.1.4.1.311.67.1.1.
Nota
BitLocker non richiede che un certificato abbia un attributo di utilizzo chiavi avanzato (EKU). Tuttavia, se ne è configurato uno per il certificato, deve essere impostato su un identificatore di oggetto corrispondente all'identificatore di oggetto configurato per BitLocker.
Abilita l'uso dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate
Questa impostazione dei criteri consente agli utenti di abilitare le opzioni di autenticazione che richiedono l'input utente dall'ambiente prima dell'avvio anche se la piattaforma indica l'assenza di funzionalità di input prima dell'avvio.
Descrizione criterio |
Con questa impostazione dei criteri, puoi consentire agli utenti di abilitare le opzioni di autenticazione che richiedono l'input utente dall'ambiente prima dell'avvio anche se la piattaforma indica l'assenza di funzionalità di input prima dell'avvio. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
I dispositivi devono avere metodi alternativi di input prima dell'avvio (ad esempio una tastiera USB collegata). |
Conseguenze quando disabilitato o non configurato |
Ambiente ripristino Windows deve essere abilitato nei tablet per supportare l'immissione della password di ripristino di BitLocker. |
Informazioni di riferimento
La tastiera virtuale di Windows (come quelle usate nei tablet) non è disponibile nell'ambiente prima dell'avvio dove BitLocker richiede informazioni aggiuntive, come un PIN o una password.
È consigliabile che gli amministratori abilitino questo criterio solo per i dispositivi che dispongono di un metodo alternativo di input prima dell'avvio, come una tastiera USB collegata.
Quando Ambiente ripristino Windows non è abilitato e questo criterio non è abilitato, non puoi attivare BitLocker in un dispositivo che usa la tastiera virtuale di Windows.
Se non abiliti questa impostazione dei criteri, le opzioni seguenti nel criterio Richiedi autenticazione aggiuntiva all'avvio potrebbero non essere disponibili:
Configurazione PIN di avvio del TPM: richiesta e consentita
Configurazione chiave e PIN di avvio del TPM: richiesta e consentita
Configura utilizzo delle password per unità del sistema operativo
Nega accesso in scrittura per unità fisse non protette da BitLocker
Questa impostazione dei criteri viene usata per richiedere la crittografia delle unità fisse prima di concedere l'accesso in scrittura.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se è richiesta la protezione BitLocker affinché le unità dati fisse in un computer siano scrivibili. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Per una descrizione dei conflitti, vedi la sezione Informazioni di riferimento. |
Conseguenze quando abilitato |
Tutte le unità dati fisse che non sono protette con BitLocker vengono montate come di sola lettura. Se l'unità è protetta con BitLocker, viene montata con accesso in lettura e scrittura. |
Conseguenze quando disabilitato o non configurato |
Tutte le unità dati fisse nel computer vengono montate con accesso in lettura e scrittura. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Ecco alcune considerazioni sui conflitti:
Quando questa impostazione dei criteri è abilitata, gli utenti ricevono messaggi di errore "Accesso negato" quando provano a salvare i dati in unità dati fisse non crittografate. Per altri conflitti, vedi la sezione Informazioni di riferimento.
Se viene eseguito BdeHdCfg.exe in un computer quando questa impostazione dei criteri è abilitata, si possono verificare i problemi seguenti:
Se provi a ridurre l'unità e a creare l'unità di sistema, le dimensioni dell'unità vengono ridotte correttamente e viene creata una partizione non elaborata. Tuttavia, la partizione non elaborata non è formattata. Viene visualizzato il messaggio di errore seguente: "Impossibile formattare la nuova unità attiva. Potrebbe essere necessario preparare manualmente l'unità per BitLocker."
Se provi a usare lo spazio non allocato per creare l'unità di sistema, viene creata una partizione non elaborata. Tuttavia, la partizione non elaborata non sarà formattata. Viene visualizzato il messaggio di errore seguente: "Impossibile formattare la nuova unità attiva. Potrebbe essere necessario preparare manualmente l'unità per BitLocker."
Se provi a unire un'unità esistente all'unità di sistema, lo strumento non riesce a copiare il file di avvio necessario nell'unità di destinazione per creare l'unità di sistema. Viene visualizzato il messaggio di errore seguente: "Configurazione di BitLocker: impossibile copiare i file di avvio. Potrebbe essere necessario preparare manualmente l'unità per BitLocker."
Se questa impostazione dei criteri viene applicata, un disco rigido non può essere ripartizionato perché l'unità è protetta. Se stai aggiornando i computer nell'organizzazione da una versione precedente di Windows e i computer sono stati configurati con una singola partizione, devi creare la partizione di sistema di BitLocker necessaria prima di applicare questa impostazione dei criteri nei computer.
Nega accesso in scrittura per unità rimovibili non protette da BitLocker
Questa impostazione dei criteri viene usata per richiedere che le unità rimovibili vengano crittografate prima di concedere l'accesso in scrittura e per controllare se le unità rimovibili protette con BitLocker configurate in un'altra organizzazione possono essere aperte con accesso in scrittura.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare se è richiesta la protezione BitLocker affinché un computer possa scrivere dati in un'unità dati rimovibile. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Per una descrizione dei conflitti, vedi la sezione Informazioni di riferimento. |
Conseguenze quando abilitato |
Tutte le unità dati rimovibili che non sono protette con BitLocker vengono montate come di sola lettura. Se l'unità è protetta con BitLocker, viene montata con accesso in lettura e scrittura. |
Conseguenze quando disabilitato o non configurato |
Tutte le unità dati rimovibili nel computer vengono montate con accesso in lettura e scrittura. |
Informazioni di riferimento
Se l'opzione Non consentire accesso in scrittura ai dispositivi configurati in un'altra organizzazione è selezionata, l'accesso in scrittura viene consentito solo alle unità con campi di identificazione che corrispondono ai campi di identificazione del computer. Quando si accede a un'unità dati rimovibile, per l'unità viene controllata la presenza di un campo di identificazione valido e di campi di identificazione consentita. Questi campi sono definiti dall'impostazione dei criteri.Fornisci identificatori univoci per l'organizzazione
Nota
Puoi sovrascrivere questa impostazione dei criteri con quelle in Configurazione utente\Modelli amministrativi\Sistema\Accesso agli archivi rimovibili. Se l'impostazione dei criteri Dischi rimovibili: nega accesso in scrittura è abilitata, questa impostazione verrà ignorata.
Ecco alcune considerazioni sui conflitti:
L'uso di BitLocker con il TPM più una chiave di avvio o con il TPM più un PIN e una chiave di avvio non deve essere consentito se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata.
L'uso di chiavi di ripristino non deve essere consentito se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata.
Se vuoi negare l'accesso in scrittura alle unità configurate in un'altra organizzazione, devi abilitare l'impostazione dei criteri Fornisci identificatori univoci per l'organizzazione.
Configura utilizzo di BitLocker in unità dati rimovibili
Questa impostazione dei criteri viene usata per impedire agli utenti di attivare o disattivare BitLocker nelle unità dati rimovibili.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare l'uso di BitLocker nelle unità dati rimovibili. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi selezionare le impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker. |
Conseguenze quando disabilitato |
Gli utenti non possono usare BitLocker nelle unità dati rimovibili. |
Conseguenze quando non configurato |
Gli utenti possono usare BitLocker nelle unità dati rimovibili. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Per informazioni sulla sospensione della protezione BitLocker, vedi Distribuzione di base di BitLocker.
Le opzioni per la scelta delle impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker sono:
Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili Consente all'utente di eseguire la configurazione guidata BitLocker in un'unità dati rimovibile.
Consenti agli utenti di sospendere e decrittografare BitLocker su unità dati rimovibili Consente all'utente di rimuovere BitLocker dall'unità o di sospendere la crittografia mentre vengono eseguite attività di manutenzione.
Scegli metodo di crittografia dell'unità e livello di codifica
Questa impostazione dei criteri viene usata per controllare il metodo di crittografia e il livello di codifica.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare il metodo di crittografia e il livello di codifica. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Tutte le unità |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi scegliere un algoritmo di crittografia e un livello di codifica della chiave da usare per la crittografia di unità con BitLocker. |
Conseguenze quando disabilitato o non configurato |
BitLocker usa il metodo di crittografia predefinito AES 128 bit o il metodo di crittografia specificato dallo script di configurazione. |
Informazioni di riferimento
Per impostazione predefinita, BitLocker usa la crittografia AES 128 bit. Le opzioni disponibili sono AES-128 e AES-256. I valori di questo criterio determinano il livello di codifica usato da BitLocker per la crittografia. Le aziende potrebbero voler controllare il livello di crittografia per una maggiore sicurezza (AES-256 offre più sicurezza rispetto ad AES-128).
La modifica del metodo di crittografia non ha effetto se l'unità è già crittografata o se è in corso la crittografia. In questi casi, questa impostazione viene ignorata.
Avviso
Questo criterio non si applica alle unità crittografate. Le unità crittografate utilizzano il proprio algoritmo, impostato dall'unità durante il partizionamento.
Quando questa impostazione dei criteri è disabilitata, BitLocker usa AES con lo stesso livello di bit (128 bit o 256 bit) dell'impostazione dei criteri Scegli metodo di crittografia dell'unità e livello di codifica (Windows Vista, Windows Server 2008, Windows 7). Se questi due criteri non sono impostati, BitLocker usa il metodo di crittografia predefinito AES 128 bit o il metodo di crittografia specificato nello script di configurazione.
Configura utilizzo della crittografia hardware per unità dati fisse
Questo criterio controlla il comportamento di BitLocker in sistemi dotati di unità crittografate usate come volumi di dati fissi. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni nelle unità con frequenti attività di lettura o scrittura dei dati.
Descrizione criterio |
Con questa impostazione dei criteri, puoi gestire l'uso da parte di BitLocker della crittografia basata su hardware nelle unità dati fisse, nonché specificare gli algoritmi di crittografia che BitLocker può usare con la crittografia basata su hardware. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi specificare altre opzioni per controllare se viene usata la crittografia BitLocker basata su software al posto di quella basata su hardware nei computer che non supportano la crittografia basata su hardware. Puoi anche specificare se vuoi limitare gli algoritmi e i pacchetti di crittografia usati con la crittografia basata su hardware. |
Conseguenze quando disabilitato |
BitLocker non può usare la crittografia basata su hardware con unità dati fisse e, quando l'unità è crittografata, viene usata per impostazione predefinita la crittografia BitLocker basata su software. |
Conseguenze quando non configurato |
BitLocker usa la crittografia basata su hardware con l'algoritmo di crittografia impostato per l'unità. Se la crittografia basata su hardware non è disponibile, viene usata la crittografia BitLocker basata su software. |
Informazioni di riferimento
Nota
L'impostazione dei criteri Scegli metodo di crittografia dell'unità e livello di codifica non si applica alla crittografia basata su hardware.
L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità stessa. L'opzione Limita algoritmi e pacchetti di crittografia consentiti per la crittografia basata sull'hardware di questa impostazione consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia sono specificati tramite identificatori di oggetto (OID), ad esempio:
Identificatore di oggetto Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
Identificatore di oggetto AES 256 in modalità CBC: 2.16.840.1.101.3.4.1.42
Configura utilizzo della crittografia hardware per unità del sistema operativo
Questo criterio controlla il comportamento di BitLocker quando vengono usate unità crittografate come unità del sistema operativo. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni nelle unità con frequenti attività di lettura o scrittura dei dati.
Descrizione criterio |
Con questa impostazione dei criteri, puoi gestire l'uso da parte di BitLocker della crittografia basata su hardware nelle unità del sistema operativo, nonché specificare gli algoritmi di crittografia che possono essere usati con la crittografia basata su hardware. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi specificare altre opzioni per controllare se viene usata la crittografia BitLocker basata su software al posto di quella basata su hardware nei computer che non supportano la crittografia basata su hardware. Puoi anche specificare se vuoi limitare gli algoritmi e i pacchetti di crittografia usati con la crittografia basata su hardware. |
Conseguenze quando disabilitato |
BitLocker non può usare la crittografia basata su hardware con unità del sistema operativo e, quando l'unità è crittografata, viene usata per impostazione predefinita la crittografia BitLocker basata su software. |
Conseguenze quando non configurato |
BitLocker usa la crittografia basata su hardware con l'algoritmo di crittografia impostato per l'unità. Se la crittografia basata su hardware non è disponibile, viene usata la crittografia BitLocker basata su software. |
Informazioni di riferimento
Se la crittografia basata su hardware non è disponibile, viene usata la crittografia BitLocker basata su software.
Nota
L'impostazione dei criteri Scegli metodo di crittografia dell'unità e livello di codifica non si applica alla crittografia basata su hardware.
L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità stessa. L'opzione Limita algoritmi e pacchetti di crittografia consentiti per la crittografia basata sull'hardware di questa impostazione consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia sono specificati tramite identificatori di oggetto (OID), ad esempio:
Identificatore di oggetto Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
Identificatore di oggetto AES 256 in modalità CBC: 2.16.840.1.101.3.4.1.42
Configura utilizzo della crittografia hardware per unità dati rimovibili
Questo criterio controlla il comportamento di BitLocker nelle unità crittografate quando vengono usate come unità dati rimovibili. L'uso della crittografia basata su hardware può migliorare le prestazioni delle operazioni nelle unità con frequenti attività di lettura o scrittura dei dati.
Descrizione criterio |
Con questa impostazione dei criteri, puoi gestire l'uso da parte di BitLocker della crittografia basata su hardware nelle unità dati rimovibili, nonché specificare gli algoritmi di crittografia che possono essere usati con la crittografia basata su hardware. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità dati rimovibile |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi specificare altre opzioni per controllare se viene usata la crittografia BitLocker basata su software al posto di quella basata su hardware nei computer che non supportano la crittografia basata su hardware. Puoi anche specificare se vuoi limitare gli algoritmi e i pacchetti di crittografia usati con la crittografia basata su hardware. |
Conseguenze quando disabilitato |
BitLocker non può usare la crittografia basata su hardware con unità dati rimovibili e, quando l'unità è crittografata, viene usata per impostazione predefinita la crittografia BitLocker basata su software. |
Conseguenze quando non configurato |
BitLocker usa la crittografia basata su hardware con l'algoritmo di crittografia impostato per l'unità. Se la crittografia basata su hardware non è disponibile, viene usata la crittografia BitLocker basata su software. |
Informazioni di riferimento
Se la crittografia basata su hardware non è disponibile, viene usata la crittografia BitLocker basata su software.
Nota
L'impostazione dei criteri Scegli metodo di crittografia dell'unità e livello di codifica non si applica alla crittografia basata su hardware.
L'algoritmo di crittografia usato dalla crittografia basata su hardware viene impostato quando l'unità viene partizionata. Per impostazione predefinita, BitLocker usa l'algoritmo configurato nell'unità per crittografare l'unità stessa. L'opzione Limita algoritmi e pacchetti di crittografia consentiti per la crittografia basata sull'hardware di questa impostazione consente di limitare gli algoritmi di crittografia che BitLocker può usare con la crittografia hardware. Se l'algoritmo impostato per l'unità non è disponibile, BitLocker disabilita l'uso della crittografia basata su hardware. Gli algoritmi di crittografia sono specificati tramite identificatori di oggetto (OID), ad esempio:
Identificatore di oggetto Advanced Encryption Standard (AES) 128 in modalità CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
Identificatore di oggetto AES 256 in modalità CBC: 2.16.840.1.101.3.4.1.42
Imponi tipo di crittografia unità sulle unità dati fisse
Questo criterio controlla se le unità dati fisse usano la crittografia del solo spazio utilizzato o la crittografia completa. Impostando questo criterio, inoltre, nella configurazione guidata BitLocker viene ignorata la pagina delle opzioni di crittografia e quindi l'utente non ha la possibilità di scegliere la crittografia.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il tipo di crittografia usato da BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità dati fissa |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Questo criterio definisce il tipo di crittografia usato da BitLocker per crittografare le unità e l'opzione relativa al tipo di crittografia non viene visualizzata nella configurazione guidata BitLocker. |
Conseguenze quando disabilitato o non configurato |
La configurazione guidata BitLocker richiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se è in corso la crittografia. Scegli la crittografia completa se vuoi che l'intera unità venga crittografata quando BitLocker è attivato. Scegli la crittografia del solo spazio utilizzato se vuoi che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.
Nota
Questo criterio viene ignorato quando stai riducendo o espandendo un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che sta usando la crittografia del solo spazio utilizzato viene espansa, il nuovo spazio libero non viene cancellato come avverrebbe per un'unità che usa la crittografia completa. L'utente potrebbe cancellare lo spazio libero in un'unità con la crittografia del solo spazio utilizzato usando il comando seguente: manage-bde -w. Se il volume viene compresso, non viene eseguita alcuna azione per il nuovo spazio libero.
Per altre informazioni sullo strumento per la gestione di BitLocker, vedi Manage-bde.
Imponi tipo di crittografia unità sulle unità del sistema operativo
Questo criterio controlla se le unità del sistema operativo usano la crittografia del solo spazio utilizzato o la crittografia completa. Impostando questo criterio, inoltre, nella configurazione guidata BitLocker viene ignorata la pagina delle opzioni di crittografia e quindi l'utente non ha la possibilità di scegliere la crittografia.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il tipo di crittografia usato da BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Il tipo di crittografia usato da BitLocker per crittografare le unità è definito da questo criterio e l'opzione relativa al tipo di crittografia non viene visualizzata nella configurazione guidata BitLocker. |
Conseguenze quando disabilitato o non configurato |
La configurazione guidata BitLocker richiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se è in corso la crittografia. Scegli la crittografia completa se vuoi che l'intera unità venga crittografata quando BitLocker è attivato. Scegli la crittografia del solo spazio utilizzato se vuoi che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.
Nota
Questo criterio viene ignorato quando riduci o espandi un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che sta usando la crittografia del solo spazio utilizzato viene espansa, il nuovo spazio libero non viene cancellato come avverrebbe per un'unità che usa la crittografia completa. L'utente potrebbe cancellare lo spazio libero in un'unità con la crittografia del solo spazio utilizzato usando il comando seguente: manage-bde -w. Se il volume viene compresso, non viene eseguita alcuna azione per il nuovo spazio libero.
Per altre informazioni sullo strumento per la gestione di BitLocker, vedi Manage-bde.
Imponi tipo di crittografia unità sulle unità dati rimovibili
Questo criterio controlla se le unità dati fisse usano la crittografia completa o la crittografia del solo spazio utilizzato. Impostando questo criterio, inoltre, nella configurazione guidata BitLocker viene ignorata la pagina delle opzioni di crittografia e quindi l'utente non ha la possibilità di scegliere la crittografia.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il tipo di crittografia usato da BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità dati rimovibile |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Il tipo di crittografia usato da BitLocker per crittografare le unità è definito da questo criterio e l'opzione relativa al tipo di crittografia non viene visualizzata nella configurazione guidata BitLocker. |
Conseguenze quando disabilitato o non configurato |
La configurazione guidata BitLocker richiede all'utente di selezionare il tipo di crittografia prima di attivare BitLocker. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se è in corso la crittografia. Scegli la crittografia completa se vuoi che l'intera unità venga crittografata quando BitLocker è attivato. Scegli la crittografia del solo spazio utilizzato se vuoi che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.
Nota
Questo criterio viene ignorato quando riduci o espandi un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che sta usando la crittografia del solo spazio utilizzato viene espansa, il nuovo spazio libero non viene cancellato come avverrebbe per un'unità che usa la crittografia completa. L'utente potrebbe cancellare lo spazio libero in un'unità con la crittografia del solo spazio utilizzato usando il comando seguente: manage-bde -w. Se il volume viene compresso, non viene eseguita alcuna azione per il nuovo spazio libero.
Per altre informazioni sullo strumento per la gestione di BitLocker, vedi Manage-bde.
Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker
Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità del sistema operativo.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare la modalità di ripristino delle unità del sistema operativo protette con BitLocker in assenza delle informazioni sulla chiave di avvio richieste. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Non devi consentire l'uso di chiavi di ripristino se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata. Quando vengono usati agenti di recupero dati, devi abilitare l'impostazione dei criteri.Fornisci identificatori univoci per l'organizzazione |
Conseguenze quando abilitato |
Puoi controllare i metodi disponibili per gli utenti per il ripristino dei dati dalle unità del sistema operativo protette con BitLocker. |
Conseguenze quando disabilitato o non configurato |
Per il ripristino di BitLocker sono supportate le opzioni di ripristino predefinite. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (incluse la password di ripristino e la chiave di ripristino) e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
La casella di controllo Consenti agente recupero dati viene usata per specificare se è possibile usare un agente di recupero dati con unità del sistema operativo protette con BitLocker. Per poter essere usato, un agente di recupero dati deve prima di tutto essere aggiunto da Criteri chiave pubblica in Console Gestione Criteri di gruppo o Editor Criteri di gruppo locali.
Per altre informazioni sull'aggiunta di agenti di recupero dati, vedi Distribuzione di base di BitLocker.
In Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti scegli se gli utenti possono, devono o non possono generare una password di ripristino di 48 cifre.
Seleziona Escludi opzioni di ripristino dalla configurazione guidata BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non potrai specificare quale opzione di ripristino usare quando abiliti BitLocker. Le opzioni di ripristino di BitLocker per l'unità vengono invece determinate dall'impostazione dei criteri.
In Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory scegli le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità del sistema operativo. Se selezioni Archivia password di ripristino e pacchetti della chiave, la password di ripristino e il pacchetto della chiave di BitLocker vengono archiviati in Servizi di dominio Active Directory. L'archiviazione del pacchetto della chiave supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se selezioni Archivia solo password di ripristino, in Servizi di dominio Active Directory viene archiviata solo la password di ripristino.
Seleziona la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo se vuoi impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup in Servizi di dominio Active Directory delle informazioni di ripristino di BitLocker non riesca.
Nota
Se la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo è selezionata, viene generata automaticamente una password di ripristino.
Scegli modalità di ripristino delle unità protette con BitLocker (Windows Server 2008 e Windows Vista)
Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità protette con BitLocker nei computer che eseguono Windows Server 2008 o Windows Vista.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare se la configurazione guidata BitLocker può visualizzare e specificare le opzioni di ripristino di BitLocker. |
Introduzione |
Windows Server 2008 e Windows Vista |
Tipo di unità |
Unità del sistema operativo e unità dati fisse in computer che eseguono Windows Server 2008 e Windows Vista |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Questa impostazione dei criteri fornisce un metodo amministrativo di ripristino dei dati crittografati da BitLocker, per evitare la perdita di dati a causa della mancanza di informazioni sulla chiave. Se scegli l'opzione Non consentire per entrambe le opzioni di ripristino utente, devi abilitare l'impostazione dei criteri Archivia informazioni di ripristino di BitLocker in Servizi di dominio Active Directory (Windows Server 2008 e Windows Vista) per evitare che venga generato un errore dei criteri. |
Conseguenze quando abilitato |
Puoi configurare le opzioni visualizzate agli utenti nella configurazione guidata BitLocker per il ripristino dei dati crittografati con BitLocker. |
Conseguenze quando disabilitato o non configurato |
La configurazione guidata BitLocker mostra agli utenti i metodi per l'archiviazione delle opzioni di ripristino. |
Informazioni di riferimento
Questo criterio è applicabile solo a computer che eseguono Windows Server 2008 o Windows Vista. Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Per sbloccare i dati crittografati con BitLocker in assenza delle informazioni sulla chiave di avvio richieste, sono disponibili due opzioni di ripristino. Gli utenti possono digitare una password di ripristino numerica di 48 cifre oppure possono inserire un'unità USB contenente una chiave di ripristino a 256 bit.
Il salvataggio della password di ripristino in un'unità USB comporta l'archiviazione della password di ripristino di 48 cifre come file di testo e della chiave di ripristino a 256 bit come file nascosto. Il salvataggio in una cartella comporta l'archiviazione della password di ripristino di 48 cifre come file di testo. La stampa consente di inviare la password di ripristino di 48 cifre alla stampante predefinita. Ad esempio, se non consenti la password di ripristino di 48 cifre, impedisci agli utenti di stampare le informazioni di ripristino o salvarle in una cartella.
Importante
Se viene eseguita l'inizializzazione del TPM durante la configurazione di BitLocker, le informazioni sul proprietario del TPM vengono salvate o stampate con le informazioni di ripristino di BitLocker.
La password di ripristino di 48 cifre non è disponibile in modalità di conformità FIPS.
Importante
Per evitare la perdita di dati, devi disporre di un modo per ripristinare le chiavi di crittografia BitLocker. Se non consenti entrambe le opzioni di ripristino, devi abilitare il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. In caso contrario, viene generato un errore dei criteri.
Archivia informazioni di ripristino di BitLocker in Servizi di dominio Active Directory (Windows Server 2008 e Windows Vista)
Questa impostazione dei criteri viene usata per configurare l'archiviazione delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. Ciò fornisce un metodo amministrativo di ripristino dei dati crittografati da BitLocker, per evitare la perdita di dati a causa della mancanza di informazioni sulla chiave.
Descrizione criterio |
Con questa impostazione dei criteri, puoi gestire il backup delle informazioni di ripristino di Crittografia unità BitLocker in Servizi di dominio Active Directory. |
Introduzione |
Windows Server 2008 e Windows Vista |
Tipo di unità |
Unità del sistema operativo e unità dati fisse in computer che eseguono Windows Server 2008 e Windows Vista. |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Viene eseguito il backup automatico e invisibile all'utente delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory quando BitLocker viene attivato per un computer. |
Conseguenze quando disabilitato o non configurato |
Non viene eseguito il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory. |
Informazioni di riferimento
Questo criterio è applicabile solo a computer che eseguono Windows Server 2008 o Windows Vista.
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Le informazioni di ripristino di BitLocker includono la password di ripristino e i dati sull'identificatore univoco. Puoi anche includere un pacchetto che contiene una chiave di crittografia per un'unità protetta con BitLocker. Questo pacchetto della chiave è protetto da una o più password di ripristino e può essere utile per eseguire operazioni di ripristino specifiche quando il disco è danneggiato.
Se selezioni Richiedi backup BitLocker su Servizi di dominio Active Directory, BitLocker non può essere attivato, a meno che il computer non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory non riesca. Questa opzione è selezionata per impostazione predefinita per garantire che il ripristino di BitLocker sia possibile.
Una password di ripristino è un numero di 48 cifre che sblocca l'accesso a un'unità protetta con BitLocker. Un pacchetto della chiave contiene la chiave di crittografia BitLocker di un'unità, che è protetta da una o più password di ripristino. I pacchetti della chiave possono essere utili per eseguire operazioni di ripristino specifiche quando il disco è danneggiato.
Se l'opzione Richiedi backup BitLocker su Servizi di dominio Active Directory non è selezionata, viene eseguito un tentativo di backup in Servizi di dominio Active Directory, ma errori di rete o altri errori di backup non impediscono la configurazione di BitLocker. Non viene eseguito un nuovo tentativo automatico per il processo di backup e la password di ripristino potrebbe non venire archiviata in Servizi di dominio Active Directory durante la configurazione di BitLocker.
Durante la configurazione di BitLocker potrebbe essere necessaria l'inizializzazione del TPM. Abilita l'impostazione dei criteri Attiva backup TPM su Servizi di dominio Active Directory in Configurazione computer\Modelli amministrativi\Sistema\Servizi Trusted Platform Module per assicurarti che venga eseguito il backup anche delle informazioni sul TPM.
Per altre informazioni su questa impostazione, vedi Impostazioni di Criteri di gruppo per TPM.
Se usi controller di dominio che eseguono Windows Server 2003 con Service Pack 1, per consentire il backup in Servizi di dominio Active Directory devi prima di tutto configurare le estensioni dello schema e le impostazioni di controllo di accesso nel dominio appropriate. Per altre info, vedi Eseguire il backup delle informazioni di ripristino del TPM in Servizi di dominio Active Directory.
Scegli cartella predefinita per password di ripristino
Questa impostazione dei criteri viene usata per configurare la cartella predefinita per le password di ripristino.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare il percorso predefinito visualizzato quando la configurazione guidata BitLocker chiede all'utente di immettere il percorso di una cartella in cui salvare la password di ripristino. |
Introduzione |
Windows Vista |
Tipo di unità |
Tutte le unità |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi specificare il percorso che verrà usato come percorso predefinito della cartella quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella. Puoi usare un percorso completo oppure includere nel percorso le variabili di ambiente del computer di destinazione. Se il percorso non è valido, la configurazione guidata BitLocker mostra la visualizzazione della cartella di primo livello del computer. |
Conseguenze quando disabilitato o non configurato |
La configurazione guidata BitLocker mostra la visualizzazione della cartella di primo livello del computer quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
Nota
Questa impostazione dei criteri non impedisce all'utente di salvare la password di ripristino in un'altra cartella.
Scegli modalità di ripristino delle unità fisse protette con BitLocker
Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità dati fisse.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare la modalità di ripristino delle unità dati fisse protette con BitLocker in assenza delle credenziali richieste. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Non devi consentire l'uso di chiavi di ripristino se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata. Quando vengono usati agenti di recupero dati, devi abilitare e configurare l'impostazione dei criteri.Fornisci identificatori univoci per l'organizzazione |
Conseguenze quando abilitato |
Puoi controllare i metodi disponibili per gli utenti per il ripristino dei dati dalle unità dati fisse protette con BitLocker. |
Conseguenze quando disabilitato o non configurato |
Per il ripristino di BitLocker sono supportate le opzioni di ripristino predefinite. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (incluse la password di ripristino e la chiave di ripristino) e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
La casella di controllo Consenti agente recupero dati viene usata per specificare se è possibile usare un agente di recupero dati con unità dati fisse protette con BitLocker. Per poter essere usato, un agente di recupero dati deve prima di tutto essere aggiunto da Criteri chiave pubblica in Console Gestione Criteri di gruppo o Editor Criteri di gruppo locali.
In Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti scegli se gli utenti possono, devono o non possono generare una password di ripristino di 48 cifre o una chiave di ripristino a 256 bit.
Seleziona Escludi opzioni di ripristino dalla configurazione guidata BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non puoi specificare quale opzione di ripristino usare quando abiliti BitLocker. Le opzioni di ripristino di BitLocker per l'unità vengono invece determinate dall'impostazione dei criteri.
In Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory scegli le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità dati fisse. Se selezioni Esegui backup delle password di ripristino e dei pacchetti della chiave, la password di ripristino e il pacchetto della chiave di BitLocker vengono archiviati in Servizi di dominio Active Directory. L'archiviazione del pacchetto della chiave supporta il ripristino dei dati da un'unità fisicamente danneggiata. Per ripristinare i dati, puoi usare lo strumento da riga di comando Repair-bde. Se selezioni Esegui backup solo delle password di ripristino, in Servizi di dominio Active Directory viene archiviata solo la password di ripristino.
Per altre informazioni sullo strumento di ripristino di BitLocker, vedi Repair-bde.
Seleziona la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati fisse se vuoi impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup in Servizi di dominio Active Directory delle informazioni di ripristino di BitLocker non riesca.
Nota
Se la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati fisse è selezionata, viene generata automaticamente una password di ripristino.
Scegli modalità di ripristino delle unità rimovibili protette con BitLocker
Questa impostazione dei criteri viene usata per configurare i metodi di ripristino per le unità dati rimovibili.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare la modalità di ripristino delle unità dati rimovibili protette con BitLocker in assenza delle credenziali richieste. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Non devi consentire l'uso di chiavi di ripristino se l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker è abilitata. Quando vengono usati agenti di recupero dati, devi abilitare e configurare l'impostazione dei criteri.Fornisci identificatori univoci per l'organizzazione |
Conseguenze quando abilitato |
Puoi controllare i metodi disponibili per gli utenti per il ripristino dei dati dalle unità dati rimovibili protette con BitLocker. |
Conseguenze quando disabilitato o non configurato |
Per il ripristino di BitLocker sono supportate le opzioni di ripristino predefinite. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino possono essere specificate dall'utente (incluse la password di ripristino e la chiave di ripristino) e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker.
La casella di controllo Consenti agente recupero dati viene usata per specificare se è possibile usare un agente di recupero dati con unità dati rimovibili protette con BitLocker. Per poter essere usato, un agente di recupero dati deve prima di tutto essere aggiunto da Criteri chiave pubblica a cui puoi accedere usando Console Gestione Criteri di gruppo o Editor Criteri di gruppo locali.
In Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti scegli se gli utenti possono, devono o non possono generare una password di ripristino di 48 cifre.
Seleziona Escludi opzioni di ripristino dalla configurazione guidata BitLocker per impedire agli utenti di specificare le opzioni di ripristino quando abilitano BitLocker in un'unità. Ciò significa che non puoi specificare quale opzione di ripristino usare quando abiliti BitLocker. Le opzioni di ripristino di BitLocker per l'unità vengono invece determinate dall'impostazione dei criteri.
In Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory scegli le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory per le unità dati rimovibili. Se selezioni Esegui backup delle password di ripristino e dei pacchetti della chiave, la password di ripristino e il pacchetto della chiave di BitLocker vengono archiviati in Servizi di dominio Active Directory. Se selezioni Esegui backup solo delle password di ripristino, in Servizi di dominio Active Directory viene archiviata solo la password di ripristino.
Seleziona la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati rimovibili se vuoi impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup in Servizi di dominio Active Directory delle informazioni di ripristino di BitLocker non riesca.
Nota
Se la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati fisse è selezionata, viene generata automaticamente una password di ripristino.
Configura il messaggio e l'URL di recupero prima dell'avvio
Questa impostazione dei criteri viene usata per configurare l'intero messaggio di recupero e per sostituire l'URL esistente visualizzato nella schermata di ripristino prima dell'avvio quando l'unità del sistema operativo è bloccata.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare la schermata di ripristino BitLocker per visualizzare un messaggio e un URL personalizzati. |
Introduzione |
Windows 10 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo\Configura il messaggio e l'URL di recupero prima dell'avvio |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Il messaggio e l'URL personalizzati vengono visualizzati nella schermata di ripristino prima dell'avvio. Se in precedenza hai abilitato un messaggio e un URL di recupero personalizzati e vuoi ripristinare quelli predefiniti, devi lasciare abilitata questa impostazione dei criteri e selezionare l'opzione Usa il messaggio e l'URL di recupero predefiniti. |
Conseguenze quando disabilitato o non configurato |
Se l'impostazione non è stata abilitata in precedenza, viene visualizzata la schermata di ripristino prima dell'avvio predefinita per il ripristino di BitLocker. Se l'impostazione era abilitata in precedenza e successivamente è stata disabilitata, viene visualizzato l'ultimo messaggio nei dati configurazione di avvio, indipendentemente dal fatto che si tratti del messaggio di recupero predefinito o del messaggio personalizzato. |
Informazioni di riferimento
Se l'impostazione dei criteri Configura il messaggio e l'URL di recupero prima dell'avvio è abilitata, puoi personalizzare l'URL e il messaggio della schermata di ripristino predefinita per aiutare i clienti a ripristinare la loro chiave.
Dopo avere abilitato l'impostazione, hai a disposizione tre opzioni:
Se selezioni l'opzione Usa il messaggio e l'URL di recupero predefiniti, il messaggio e l'URL di recupero predefiniti di BitLocker verranno visualizzati nella schermata di ripristino prima dell'avvio.
Se selezioni l'opzione Usa il messaggio di recupero personalizzato, digita il messaggio personalizzato nella casella di testo Opzione messaggio di recupero personalizzato. Il messaggio digitato nella casella di testo Opzione messaggio di recupero personalizzato verrà visualizzato nella schermata di ripristino prima dell'avvio. Se è disponibile un URL di recupero, includilo nel messaggio.
Se selezioni l'opzione Usa l'URL di recupero personalizzato, digita l'URL del messaggio personalizzato nella casella di testo Opzione URL di recupero personalizzato. L'URL digitato nella casella di testo Opzione URL di recupero personalizzato sostituisce l'URL predefinito nel messaggio di recupero predefinito, che verrà visualizzato nella schermata di ripristino prima dell'avvio.
Importante
Non tutti i caratteri e le lingue sono supportati nell'ambiente prima dell'avvio. È consigliabile verificare che i caratteri che usi per il messaggio e l'URL personalizzati nella schermata di ripristino prima dell'avvio vengano visualizzati correttamente.
Importante
Dato che puoi modificare manualmente i comandi BCDEdit prima di aver definito le impostazioni di Criteri di gruppo, non puoi ripristinare il valore predefinito di questa impostazione dei criteri selezionando l'opzione Non configurata dopo aver configurato l'impostazione stessa. Per tornare alla schermata di ripristino prima dell'avvio predefinita, lascia abilitata l'impostazione dei criteri e seleziona l'opzione perl'uso del messaggio predefinito nell'elenco a discesa****per la scelta dell'opzione per il messaggio di recupero prima dell'avvio.
Consenti avvio protetto per la convalida dell'integrità
Questo criterio controlla il modo in cui i volumi di sistema abilitati per BitLocker vengono gestiti in combinazione con la funzionalità Avvio protetto. Abilitando questa funzionalità, viene eseguita la convalida dell'avvio protetto durante il processo di avvio e vengono verificate le impostazioni dei dati configurazione di avvio in base ai criteri di avvio protetto.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se l'avvio protetto sarà consentito come provider di integrità della piattaforma per le unità del sistema operativo BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Tutte le unità |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Se l'impostazione di Criteri di gruppo Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware UEFI nativo è abilitata e l'impostazione PCR 7 viene omessa, BitLocker non può usare l'avvio protetto per la convalida dell'integrità della piattaforma o dei dati configurazione di avvio. Per altre informazioni su PCR 7, vedi Registro di configurazione di piattaforma (PCR, Platform Configuration Register) in questo argomento. |
Conseguenze quando abilitato o non configurato |
BitLocker usa l'avvio protetto per l'integrità della piattaforma, se la piattaforma supporta la convalida dell'integrità basata sull'avvio protetto. |
Conseguenze quando disabilitato |
BitLocker usa la convalida dell'integrità della piattaforma legacy, anche nei sistemi che supportano la convalida dell'integrità basata sull'avvio protetto. |
Informazioni di riferimento
L'avvio protetto garantisce che l'ambiente prima dell'avvio del computer carichi solo il firmware firmato digitalmente da autori di software autorizzati. L'avvio protetto offre anche una maggiore flessibilità per la gestione delle configurazioni prima dell'avvio rispetto ai controlli dell'integrità di BitLocker precedenti a Windows Server 2012 e Windows 8.
Quando questo criterio è abilitato e l'hardware è in grado di usare l'avvio protetto per gli scenari di BitLocker, l'impostazione di Criteri di gruppo Usa profilo di convalida dei dati di configurazione di avvio avanzata viene ignorata e l'avvio protetto verifica le impostazioni dei dati configurazione di avvio in base all'impostazione dei criteri di avvio protetto, configurata separatamente da BitLocker.
Avviso
L'abilitazione di questo criterio potrebbe comportare il ripristino di BitLocker quando viene aggiornato il firmware specifico del produttore. Se disabiliti questo criterio, sospendi BitLocker prima di applicare gli aggiornamenti del firmware.
Fornisci identificatori univoci per l'organizzazione
Questa impostazione dei criteri viene usata per stabilire un identificatore che viene applicato a tutte le unità crittografate nell'organizzazione.
Descrizione criterio |
Con questa impostazione dei criteri, puoi associare identificatori univoci dell'organizzazione a una nuova unità abilitata con BitLocker. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Tutte le unità |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
I campi di identificazione sono necessari per gestire gli agenti di recupero dati basati su certificati nelle unità protette con BitLocker. BitLocker gestisce e aggiorna gli agenti di recupero dati basati su certificati solo quando il campo di identificazione è presente in un'unità ed è identico al valore configurato nel computer. |
Conseguenze quando abilitato |
Puoi configurare il campo di identificazione dell'unità protetta con BitLocker e qualsiasi campo di identificazione consentita usato dalla tua organizzazione. |
Conseguenze quando disabilitato o non configurato |
Il campo di identificazione non è richiesto. |
Informazioni di riferimento
Questi identificatori vengono archiviati come campo di identificazione e campo di identificazione consentita. Il campo di identificazione ti consente di associare un identificatore univoco dell'organizzazione alle unità protette con BitLocker. Questo identificatore viene aggiunto automaticamente alle nuove unità protette con BitLocker e può essere aggiornato nelle unità protette con BitLocker esistenti usando lo strumento da riga di comando Manage-bde.
Un campo di identificazione è necessario per gestire gli agenti di recupero dati basati su certificati nelle unità protette con BitLocker e per i potenziali aggiornamenti al lettore BitLocker To Go. BitLocker gestisce e aggiorna gli agenti di recupero dati solo quando il campo di identificazione nell'unità corrisponde al valore configurato nel campo di identificazione. Analogamente, BitLocker aggiorna il lettore BitLocker To Go solo quando il campo di identificazione nell'unità corrisponde al valore configurato per il campo di identificazione.
Per altre informazioni sullo strumento per la gestione di BitLocker, vedi Manage-bde.
Il campo di identificazione consentita viene usato in combinazione con l'impostazione dei criteri Nega accesso in scrittura per unità rimovibili non protette da BitLocker per aiutare a controllare l'uso di unità rimovibili nell'organizzazione. Si tratta di un elenco delimitato da virgole di campi di identificazione dell'organizzazione o di organizzazioni esterne.
Puoi configurare i campi di identificazione nelle unità esistenti usando lo strumento da riga di comando Manage-bde.
Quando un'unità protetta con BitLocker viene montata in un altro computer abilitato per BitLocker, il campo di identificazione e il campo di identificazione consentita vengono usati per determinare se l'unità proviene da un'organizzazione esterna.
Nel campo di identificazione e nel campo di identificazione consentita è possibile immettere più valori separati da virgole. Il campo di identificazione può corrispondere a qualsiasi valore composto da un massimo di 260 caratteri.
Non sovrascrivere la memoria al riavvio
Questa impostazione dei criteri viene usata per controllare se la memoria del computer verrà sovrascritta al successivo riavvio del computer.
Descrizione criterio |
Con questa impostazione dei criteri, puoi controllare le prestazioni di riavvio del computer, con il rischio di esporre segreti BitLocker. |
Introduzione |
Windows Vista |
Tipo di unità |
Tutte le unità |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Il computer non sovrascriverà la memoria al riavvio. Impedendo che la memoria venga sovrascritta, è possibile migliorare le prestazioni di riavvio, ma si aumenta il rischio di esposizione di segreti BitLocker. |
Conseguenze quando disabilitato o non configurato |
I segreti BitLocker vengono rimossi dalla memoria al riavvio del computer. |
Informazioni di riferimento
Questa impostazione dei criteri viene applicata quando attivi BitLocker. I segreti BitLocker includono il materiale della chiave usato per crittografare i dati. Questa impostazione dei criteri si applica solo quando la protezione BitLocker è abilitata.
Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS
Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio prima di sbloccare un'unità del sistema operativo in un computer con una configurazione del BIOS o con firmware UEFI con il modulo di supporto della compatibilità (CSM, Compatibility Support Module) abilitato.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il modo in cui l'hardware di sicurezza TPM del computer protegge la chiave di crittografia BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno qualsiasi di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede la password di ripristino o la chiave di ripristino per sbloccare l'unità. |
Conseguenze quando disabilitato o non configurato |
Il TPM usa il profilo di convalida della piattaforma predefinito o quello specificato dallo script di configurazione. |
Informazioni di riferimento
Questa impostazione dei criteri non si applica se il computer non ha un TPM compatibile oppure se BitLocker è già stato attivato con la protezione basata su TPM.
Importante
Questa impostazione di Criteri di gruppo si applica solo ai computer con configurazioni BIOS o con firmware UEFI con il modulo di supporto della compatibilità abilitato. I computer che usano una configurazione firmware UEFI nativa archiviano valori diversi nei registri di configurazione di piattaforma (PCR, Platform Configuration Register). Usa l'impostazione di Criteri di gruppo Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware UEFI nativo per configurare il profilo del registro di configurazione di piattaforma TPM per computer che usano firmware UEFI nativo.
Un profilo di convalida della piattaforma è costituito da un set di indici PCR compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche per quanto riguarda:
CRTM (Core Root of Trust of Measurement), BIOS ed estensioni di piattaforma (PCR 0)
Codice ROM facoltativa (PCR 2)
Codice del record di avvio principale (PCR 4)
Settore di avvio NTFS (PCR 8)
Blocco di avvio NTFS (PCR 9)
Boot Manager (PCR 10)
Controllo di accesso BitLocker (PCR 11)
Nota
La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e sulla gestibilità del computer. La sensibilità di BitLocker alle modifiche alla piattaforma (dannose o autorizzate) aumenta o diminuisce a seconda, rispettivamente, dell'inclusione o dell'esclusione dei registri PCR.
L'elenco seguente identifica tutti i registri PCR disponibili:
PCR 0: CRTM (Core Root of Trust of Measurement), BIOS ed estensioni di piattaforma
PCR 1: dati e configurazione di scheda madre e piattaforma
PCR 2: codice ROM facoltativa
PCR 3: dati e configurazione ROM facoltativa
PCR 4: codice del record di avvio principale
PCR 5: tabella di partizione del record di avvio principale
PCR 6: transizione dello stato ed eventi di riattivazione
PCR 7: specifico per il produttore del computer
PCR 8: settore di avvio NTFS
PCR 9: blocco di avvio NTFS
PCR 10: Boot Manager
PCR 11: controllo di accesso BitLocker
PCR 12-23: riservato per un utilizzo futuro
Configurazione profilo di convalida della piattaforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio prima di sbloccare un'unità in un computer che esegue Windows Vista, Windows Server 2008 o Windows 7.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il modo in cui l'hardware di sicurezza TPM del computer protegge la chiave di crittografia BitLocker. |
Introduzione |
Windows Server 2008 e Windows Vista |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
Puoi configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno qualsiasi di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede la password di ripristino o la chiave di ripristino per sbloccare l'unità. |
Conseguenze quando disabilitato o non configurato |
Il TPM usa il profilo di convalida della piattaforma predefinito o quello specificato dallo script di configurazione. |
Informazioni di riferimento
Questa impostazione dei criteri non si applica se il computer non ha un TPM compatibile oppure se BitLocker è già stato attivato con la protezione basata su TPM.
Un profilo di convalida della piattaforma è costituito da un set di indici PCR compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche per quanto riguarda:
CRTM (Core Root of Trust of Measurement), BIOS ed estensioni di piattaforma (PCR 0)
Codice ROM facoltativa (PCR 2)
Codice del record di avvio principale (PCR 4)
Settore di avvio NTFS (PCR 8)
Blocco di avvio NTFS (PCR 9)
Boot Manager (PCR 10)
Controllo di accesso BitLocker (PCR 11)
Nota
Le impostazioni PCR del profilo di convalida TPM predefinito per i computer che usano EFI (Extensible Firmware Interface) sono solo PCR 0, 2, 4 e 11.
L'elenco seguente identifica tutti i registri PCR disponibili:
PCR 0: CRTM (Core Root of Trust of Measurement), servizi di runtime e avvio EFI, driver EFI incorporati nella ROM di sistema, tabelle statiche ACPI, codice SMM incorporato e codice BIOS
PCR 1: dati e configurazione di scheda madre e piattaforma Tabelle di distribuzione e variabili EFI che influiscono sulla configurazione del sistema
PCR 2: codice ROM facoltativa
PCR 3: dati e configurazione ROM facoltativa
PCR 4: codice del record di avvio principale (MBR) o codice di altri dispositivi di avvio
PCR 5: tabella di partizione del record di avvio principale. Diverse variabili EFI e la tabella GPT
PCR 6: transizione dello stato ed eventi di riattivazione
PCR 7: specifico per il produttore del computer
PCR 8: settore di avvio NTFS
PCR 9: blocco di avvio NTFS
PCR 10: Boot Manager
PCR 11: controllo di accesso BitLocker
PCR 12 - 23: riservato per un utilizzo futuro
Avviso
La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e sulla gestibilità del computer. La sensibilità di BitLocker alle modifiche alla piattaforma (dannose o autorizzate) aumenta o diminuisce a seconda, rispettivamente, dell'inclusione o dell'esclusione dei registri PCR.
Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware UEFI nativo
Questa impostazione dei criteri determina i valori misurati dal TPM quando convalida i componenti di avvio prima di sbloccare un'unità del sistema operativo in un computer con configurazioni firmware UEFI native.
Descrizione criterio |
Con questa impostazione dei criteri, puoi configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) del computer protegge la chiave di crittografia BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
L'impostazione di questo criterio omettendo PCR 7 comporta l'override dell'impostazione di Criteri di gruppo Consenti avvio protetto per la convalida dell'integrità e impedisce a BitLocker di usare l'avvio protetto per la convalida dell'integrità dei dati configurazione di avvio o della piattaforma. Se gli ambienti usano TPM e avvio protetto per i controlli di integrità della piattaforma, questo criterio non deve essere configurato. Per altre informazioni su PCR 7, vedi Registro di configurazione di piattaforma (PCR, Platform Configuration Register) in questo argomento. |
Conseguenze quando abilitato |
Prima di attivare BitLocker, puoi configurare i componenti di avvio convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno qualsiasi di questi componenti cambia mentre è attiva la protezione BitLocker, il TPM non rilascia la chiave di crittografia per sbloccare l'unità. Il computer visualizza invece la console di ripristino di BitLocker e richiede la password di ripristino o la chiave di ripristino per sbloccare l'unità. |
Conseguenze quando disabilitato o non configurato |
BitLocker usa il profilo di convalida della piattaforma predefinito o quello specificato dallo script di configurazione. |
Informazioni di riferimento
Questa impostazione dei criteri non si applica se il computer non ha un TPM compatibile oppure se BitLocker è già stato attivato con la protezione basata su TPM.
Importante
Questa impostazione di Criteri di gruppo si applica solo ai computer con una configurazione firmware UEFI nativa. I computer con firmware UEFI o BIOS con un modulo di supporto della compatibilità (CSM, Compatibility Support Module) abilitato archiviano valori diversi nei registri di configurazione di piattaforma (PCR, Platform Configuration Register). Usa l'impostazione di Criteri di gruppo Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS per configurare il profilo del registro di configurazione di piattaforma TPM per i computer con configurazioni BIOS o firmware UEFI con un modulo di supporto della compatibilità abilitato.
Un profilo di convalida della piattaforma è costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche al codice eseguibile del firmware del sistema principale (PCR 0), al codice eseguibile esteso o modulare (PCR 2), a Boot Manager per (PCR 4) e al controllo di accesso BitLocker (PCR 11).
L'elenco seguente identifica tutti i registri PCR disponibili:
PCR 0: codice eseguibile del firmware del sistema principale
PCR 1: dati del firmware del sistema principale
PCR 2: codice eseguibile esteso o modulare
PCR 3: dati del firmware estesi o modulari
PCR 4: Boot Manager
PCR 5: GPT/tabella di partizione
PCR 6: ripresa dagli eventi di stato di alimentazione S4 e S5
PCR 7: stato dell'avvio protetto
Per altre informazioni su questo registro PCR, vedi Registro di configurazione di piattaforma (PCR, Platform Configuration Register) in questo argomento.
PCR 8: inizializzato su 0 senza estensioni (riservato per uso futuro)
PCR 9: inizializzato su 0 senza estensioni (riservato per uso futuro)
PCR 10: inizializzato su 0 senza estensioni (riservato per uso futuro)
PCR 11: controllo di accesso BitLocker
PCR 12: eventi dati ed eventi altamente volatili
PCR 13: dettagli del modulo di avvio
PCR 14: autorità di avvio
PCR 15 - 23: riservato per un utilizzo futuro
Avviso
La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e sulla gestibilità del computer. La sensibilità di BitLocker alle modifiche alla piattaforma (dannose o autorizzate) aumenta o diminuisce a seconda, rispettivamente, dell'inclusione o dell'esclusione dei registri PCR.
Reimposta dati di convalida della piattaforma dopo ripristino di BitLocker
Questa impostazione dei criteri determina se vuoi aggiornare i dati di convalida della piattaforma all'avvio di Windows in seguito a un ripristino di BitLocker. Un profilo dei dati di convalida della piattaforma è costituito dai valori di un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se aggiornare i dati di convalida della piattaforma all'avvio di Windows in seguito a un ripristino di BitLocker. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Nessuno |
Conseguenze quando abilitato |
I dati di convalida della piattaforma vengono aggiornati all'avvio di Windows in seguito a un ripristino di BitLocker. |
Conseguenze quando disabilitato |
I dati di convalida della piattaforma non vengono aggiornati all'avvio di Windows in seguito a un ripristino di BitLocker. |
Conseguenze quando non configurato |
I dati di convalida della piattaforma vengono aggiornati all'avvio di Windows in seguito a un ripristino di BitLocker. |
Informazioni di riferimento
Per altre informazioni sul processo di ripristino, vedi Guida al ripristino di BitLocker.
Usa profilo di convalida dei dati di configurazione di avvio avanzata
Questa impostazione dei criteri determina le impostazioni specifiche dei dati configurazione di avvio da verificare durante la convalida della piattaforma. Una convalida della piattaforma usa i dati del profilo di convalida, costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23.
Descrizione criterio |
Con questa impostazione dei criteri, puoi specificare le impostazioni dei dati configurazione di avvio da verificare durante la convalida della piattaforma. |
Introduzione |
Windows Server 2012 e Windows 8 |
Tipo di unità |
Unità del sistema operativo |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo |
Conflitti |
Quando BitLocker usa l'avvio protetto per la convalida dell'integrità della piattaforma e dei dati configurazione di avvio, l'impostazione di Criteri di gruppo Usa profilo di convalida dei dati di configurazione di avvio avanzata viene ignorata (come definito dall'impostazione di Criteri di gruppo Consenti avvio protetto per la convalida dell'integrità). |
Conseguenze quando abilitato |
Puoi aggiungere ulteriori impostazioni dei dati configurazione di avvio, escludere le impostazioni dei dati configurazione di avvio specificate o combinare elenchi di inclusione ed esclusione per creare un profilo di convalida dei dati configurazione di avvio personalizzato, che ti permette di verificare tali impostazioni dei dati configurazione di avvio. |
Conseguenze quando disabilitato |
Nel computer viene ripristinata una convalida del profilo dei dati configurazione di avvio simile al profilo dei dati configurazione di avvio predefinito usato da Windows 7. |
Conseguenze quando non configurato |
Il computer verifica le impostazioni dei dati configurazione di avvio predefinite in Windows. |
Informazioni di riferimento
Nota
L'impostazione che controlla il debugger di avvio (0x16000010) viene sempre convalidata e non ha alcun effetto se viene inserita nell'elenco di inclusione o di esclusione.
Consenti accesso a unità dati fisse protette con BitLocker da precedenti versioni di Windows
Questa impostazione dei criteri viene usata per stabilire se è consentito l'accesso alle unità usando il lettore BitLocker To Go e se l'applicazione viene installata nell'unità.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se le unità dati fisse formattate con il file system FAT possono essere sbloccate e visualizzate nei computer che eseguono Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2). |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati fisse |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati fisse |
Conflitti |
Nessuno |
Conseguenze quando abilitato e quando non configurato |
Le unità dati fisse formattate con il file system FAT possono essere sbloccate nei computer che eseguono Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 e il loro contenuto può essere visualizzato. Questi sistemi operativi hanno accesso in sola lettura alle unità protette con BitLocker. |
Conseguenze quando disabilitato |
Le unità dati fisse formattate con il file system FAT e protette con BitLocker non possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2. Il lettore BitLocker To Go (bitlockertogo.exe) non viene installato. |
Informazioni di riferimento
Nota
Questa impostazione dei criteri non si applica alle unità formattate con il file system NTFS.
Quando questa impostazione dei criteri è abilitata, seleziona la casella di controllo Non installare il lettore BitLocker To Go nelle unità fisse formattate come FAT per impedire agli utenti di eseguire il lettore BitLocker To Go dalle unità fisse. Se il lettore BitLocker To Go (bitlockertogo.exe) è presente in un'unità che non ha un campo di identificazione specificato oppure se l'unità ha lo stesso campo di identificazione di quello specificato nell'impostazione dei criteri Fornisci identificatori univoci per l'organizzazione, all'utente viene chiesto di aggiornare BitLocker e il lettore BitLocker To Go viene eliminato dall'unità. In questo caso, per consentire lo sblocco dell'unità dati fissa nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2, il lettore BitLocker To Go deve essere installato nel computer. Se questa casella di controllo non è selezionata, il lettore BitLocker To Go verrà installato nell'unità dati fissa, per consentire agli utenti di sbloccarla nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Consenti accesso a unità dati rimovibili protette con BitLocker da precedenti versioni di Windows
Questa impostazione dei criteri controlla l'accesso alle unità dati rimovibili che usano il lettore BitLocker To Go e determina se il lettore BitLocker To Go può essere installato nell'unità.
Descrizione criterio |
Con questa impostazione dei criteri, puoi determinare se le unità dati rimovibili formattate con il file system FAT possono essere sbloccate e visualizzate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2. |
Introduzione |
Windows Server 2008 R2 e Windows 7 |
Tipo di unità |
Unità dati rimovibili |
Percorso criterio |
Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità dati rimovibili |
Conflitti |
Nessuno |
Conseguenze quando abilitato e quando non configurato |
Le unità dati rimovibili formattate con il file system FAT possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2 e il loro contenuto può essere visualizzato. Questi sistemi operativi hanno accesso in sola lettura alle unità protette con BitLocker. |
Conseguenze quando disabilitato |
Le unità dati rimovibili formattate con il file system FAT e protette con BitLocker non possono essere sbloccate nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2. Il lettore BitLocker To Go (bitlockertogo.exe) non viene installato. |
Informazioni di riferimento
Nota
Questa impostazione dei criteri non si applica alle unità formattate con il file system NTFS.
Quando questa impostazione dei criteri è abilitata, seleziona la casella di controllo Non installare il lettore BitLocker To Go nelle unità rimovibili formattate come FAT per impedire agli utenti di eseguire il lettore BitLocker To Go dalle unità rimovibili. Se il lettore BitLocker To Go (bitlockertogo.exe) è presente in un'unità che non ha un campo di identificazione specificato oppure se l'unità ha lo stesso campo di identificazione di quello specificato nell'impostazione dei criteri Fornisci identificatori univoci per l'organizzazione, all'utente verrà chiesto di aggiornare BitLocker e il lettore BitLocker To Go verrà eliminato dall'unità. In questo caso, per consentire lo sblocco dell'unità dati rimovibile nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2, il lettore BitLocker To Go deve essere installato nel computer. Se questa casella di controllo non è selezionata, il lettore BitLocker To Go verrà installato nell'unità dati rimovibile, per consentire agli utenti di sbloccarla nei computer che eseguono Windows Vista, Windows XP con SP3 o Windows XP con SP2 e in cui non è installato il lettore BitLocker To Go.
Impostazione FIPS
Puoi configurare l'impostazione FIPS (Federal Information Processing Standard) per la conformità FIPS. La conformità FIPS impedisce agli utenti di creare o salvare una password di BitLocker per il ripristino o come protezione con chiave. L'uso di una chiave di ripristino è consentito.
Descrizione criterio |
Note |
Introduzione |
Windows Server 2003 con SP1 |
Tipo di unità |
A livello di sistema |
Percorso criterio |
Criteri locali\Opzioni di sicurezza\Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma |
Conflitti |
Alcune applicazioni, ad esempio Servizi terminal, non supportano FIPS-140 in tutti i sistemi operativi. |
Conseguenze quando abilitato |
Gli utenti non potranno salvare una password di ripristino in nessuna posizione, inclusi Servizi di dominio Active Directory e le cartelle di rete. Non puoi inoltre usare WMI o la procedura guidata Installazione Crittografia unità BitLocker per creare una password di ripristino. |
Conseguenze quando disabilitato o non configurato |
Non viene generata alcuna chiave di crittografia BitLocker |
Informazioni di riferimento
Questo criterio deve essere abilitato per consentire la generazione di una chiave di crittografia per BitLocker. Tieni presente che, quando questo criterio è abilitato, BitLocker impedisce la creazione o l'uso di password di ripristino, al posto delle quali devono invece essere usate chiavi di ripristino.
Puoi salvare la chiave di ripristino facoltativa in un'unità USB. Poiché le password di ripristino non possono essere salvate in Servizi di dominio Active Directory quando lo standard FIPS è abilitato, se il backup in Servizi di dominio Active Directory è richiesto da Criteri di gruppo, viene generato un errore.
Puoi modificare l'impostazione FIPS usando l'editor dei criteri di sicurezza (Secpol.msc) o modificando il Registro di sistema di Windows. Per eseguire queste procedure, devi essere un amministratore.
Per altre informazioni sull'impostazione di questo criterio, vedi Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma.
Impostazioni di Criteri di gruppo per il risparmio energia: sospensione e ibernazione
Le impostazioni risparmio energia predefinite di un computer comportano l'attivazione frequente della modalità sospensione, per risparmiare energia in caso di inattività e prolungare la durata della batteria del sistema. Quando un computer passa allo stato di sospensione, i programmi e i documenti aperti vengono mantenuti in memoria. Quando un computer si riattiva dallo stato di sospensione, agli utenti non viene richiesto di eseguire nuovamente l'autenticazione con una chiave di avvio USB o un PIN per l'accesso ai dati crittografati. Ciò potrebbe comportare situazioni in cui la sicurezza dei dati è compromessa.
Tuttavia, quando un computer passa allo stato di ibernazione, l'unità viene bloccata e quando si riattiva dall'ibernazione l'unità viene sbloccata, il che significa che gli utenti dovranno fornire un PIN o una chiave di avvio se viene usata l'autenticazione a più fattori con BitLocker. Di conseguenza, le organizzazioni che usano BitLocker potrebbero scegliere di usare l'ibernazione invece della sospensione per migliorare la sicurezza. Questa impostazione non ha un impatto sulla modalità solo TPM, perché offre un'esperienza utente trasparente all'avvio e in caso di ripresa dagli stati di ibernazione.
Puoi disabilitare le impostazioni di Criteri di gruppo seguenti, disponibili in Configurazione computer\Modelli Amministrativi\Sistema\Risparmio energia, per disabilitare tutti gli stati di sospensione disponibili:
Consenti stati di standby (S1-S3) durante la sospensione (alimentazione da rete elettrica)
Consenti stati di standby (S1-S3) durante la sospensione (a batteria)
Informazioni sul registro di configurazione di piattaforma (PCR, Platform Configuration Register)
Un profilo di convalida della piattaforma è costituito da un set di indici PCR compresi tra 0 e 23. L'ambito dei valori può essere specifico della versione del sistema operativo.
La modifica del profilo di convalida della piattaforma predefinito influisce sulla sicurezza e sulla gestibilità del computer. La sensibilità di BitLocker alle modifiche alla piattaforma (dannose o autorizzate) aumenta o diminuisce a seconda, rispettivamente, dell'inclusione o dell'esclusione dei registri PCR.
Informazioni su PCR 7
PCR 7 misura lo stato dell'avvio protetto. Con PCR 7, BitLocker può usare l'avvio protetto per la convalida dell'integrità. L'avvio protetto garantisce che l'ambiente prima dell'avvio del computer carichi solo il firmware firmato digitalmente da autori di software autorizzati. Le misurazioni di PCR 7 indicano se l'avvio protetto è attivato e quali chiavi sono considerate attendibili nella piattaforma. Se l'avvio protetto è attivato e il firmware misura PCR 7 correttamente per la specifica UEFI, BitLocker può eseguire il binding a queste informazioni, invece che a PCR 0, 2 e 4, che contengono le misurazioni esatte del firmware e delle immagini Bootmgr caricate. Ciò riduce le probabilità di avvio di BitLocker in modalità di ripristino in seguito ad aggiornamenti del firmware e delle immagini e ti offre una maggiore flessibilità per la gestione della configurazione prima dell'avvio.
Le misurazioni PCR 7 devono seguire le linee guida descritte nell'appendice A relativa al protocollo EFI TrEE (Trusted Execution Environment).
Le misurazioni PCR 7 sono un requisito di logo obbligatorio per i sistemi che supportano la tecnologia InstantGo (PC sempre attivi e connessi), come nel caso dei dispositivi Microsoft Surface RT. In tali sistemi, se il TPM con la misurazione PCR 7 e l'avvio protetto sono configurati correttamente, per impostazione predefinita BitLocker esegue il binding a PCR 7 e PCR 11.
Vedi anche
Impostazioni di Criteri di gruppo per TPM
Domande frequenti su BitLocker
Preparare l'organizzazione per BitLocker: pianificazione e criteri