Política de dispositivo BitLocker

August 11, 2022

Contribuição de:

O Windows 10 e o Windows 11 incluem um recurso de criptografia de disco chamado BitLocker, que fornece proteções de arquivos e sistemas adicionais contra o acesso não autorizado de um dispositivo Windows perdido ou roubado. Para obter mais proteção, você pode usar o BitLocker com chips TPM (Trusted Platform Module), versão 1.2 ou posterior. Um chip TPM manipula operações criptográficas e gera, armazena e limita o uso de chaves criptográficas.

Começando com o Windows 10, compilação 1703, as políticas do MDM podem controlar o BitLocker. Você pode usar a política de dispositivo de BitLocker no XenMobile para definir as configurações disponíveis no Assistente de BitLocker nos dispositivos Windows 10 e Windows 11. Por exemplo, em um dispositivo com o BitLocker habilitado, o BitLocker pode solicitar aos usuários como eles querem desbloquear sua unidade na inicialização, como fazer backup de sua chave de recuperação e como desbloquear uma unidade fixa. A configuração da política do dispositivo BitLocker também configura se o seguinte deve ocorrer ou não:

Ativar o BitLocker em dispositivos sem chip TPM
Mostrar opções de recuperação na interface BitLocker.
Negar acesso de gravação a uma unidade fixa ou removível quando o BitLocker não está habilitado.

Nota:

Depois de a criptografia BitLocker ter sido iniciada em um dispositivo, você não pode alterar posteriormente as configurações de BitLocker no dispositivo por meio da implantação de uma atualização da política BitLocker no dispositivo.

Para adicionar ou configurar essa política, acesseConfigurar > Políticas de dispositivo. Para obter mais informações, consulte aPolítica de dispositivo de VPN.

Requisitos

A política de dispositivo BitLocker requer o Windows 10 ou Windows 11 Enterprise Edition.
Antes de implantar a política do dispositivo BitLocker, prepare seu ambiente para o uso do BitLocker. Para obter informações detalhadas da Microsoft, incluindo requisitos e configuração do sistema BitLocker, consulteBitLockere os artigos abaixo daquele nó.

Configurações do Windows Desktop e Tablet

Imagem da tela de configuração de políticas de dispositivos

Exigir que o dispositivo seja criptografado:determina se os usuários devem para ativar a criptografia de BitLocker em um cartão de sistema do Windows Desktop ou Tablet. Se o valor forAtivado, os dispositivos mostram uma mensagem após a conclusão do registro, indicando que a empresa requer criptografia do dispositivo. Se o valor forDesativado, o usuário não é solicitado e o BitLocker usa as configurações de política. O padrão éDesativado.
Configurar métodos de criptografia:determina os métodos de criptografia a serem usados para tipos de unidade específicos. Se o valor forDesativado, o Assistente para BitLocker solicita ao usuário para identificar o método de criptografia a ser usado para um tipo de unidade. O método de criptografia para todas as unidades padrão é XTS-AES de 128 bits. O método de criptografia para as unidades removíveis é AES-CBC de 128 bits. Se o valor forAtivado, o BitLocker usa o método de criptografia especificado na política. Se o valor forAtivado, essas configurações adicionais são exibidas:unidade do sistema operacional,unidade fixaeunidade removível. Escolha o método de criptografia padrão para cada tipo de unidade. O padrão éDesativado.
Exigir autenticação adicional na inicialização:Especifica a autenticação adicional necessária durante a inicialização do dispositivo. Especifica se deseja permitir BitLocker em dispositivos que não têm um chip TPM também. Se o valor forDesativado, os dispositivos sem TPM não podem usar criptografia BitLocker. Para obter informações sobre TPM, consulte o artigo da MicrosoftTrusted Platform Module Technology Overview. Se o valor forAtivado, as seguintes configurações adicionais são exibidas. O padrão éDesativado.
- Bloquear o BitLocker em dispositivos sem chip TPM:em um dispositivo sem chip TPM, o BitLocker exige que os usuários criem uma senha de desbloqueio ou uma chave de inicialização. A chave de inicialização é armazenada em uma unidade USB, que o usuário deve conectar ao dispositivo antes da inicialização. A senha de desbloqueio tem um mínimo de oito caracteres. O padrão éDesativado.
- Inicialização TPM:em um dispositivo com TPM, há quatro modos de desbloquear: somente TPM, TPM + PIN, TPM + chave, e TPM + PIN + chave. A inicialização do TPM é para o modo somente TPM, no qual as chaves de criptografia são armazenadas no chip TPM. Este modo não exige que um usuário forneça dados de desbloqueio adicionais. O dispositivo do usuário desbloqueie automaticamente durante a reinicialização, usando a chave de criptografia do chip TPM. O padrão éPermitir TPM.
- PIN de inicialização TPM:esta configuração é o modo de desbloqueio TPM + PIN. Um PIN pode ter até 20 dígitos. Use a configuração deComprimento mínimo do PINpara especificar o tamanho mínimo do PIN. Um usuário configura um PIN durante a instalação do BitLocker e fornece o PIN durante a inicialização do dispositivo.
- Chave de inicialização TPM:esta configuração é o modo de desbloqueio TPM + Chave. A chave de inicialização é armazenada em uma unidade USB ou outra unidade removível, que o usuário deve conectar ao dispositivo antes da inicialização.
- Chave de inicialização TPM e PIN: esta configuração é o modo de desbloqueio TPM + PIN + Chave.
  Se o desbloqueio for bem-sucedido, o sistema operacional inicia o carregamento. Se o desbloqueio falhar, o dispositivo entra no modo de recuperação.
Comprimento mínimo do PIN:o tamanho mínimo do PIN de inicialização do TPM. O padrão é6.
Configurar recuperação da unidade do sistema operacional:se a etapa de desbloqueio falhar, o BitLocker solicita ao usuário a chave de recuperação configurada. Essa configuração define as opções de recuperação da unidade do sistema operacional, disponíveis para os usuários que não tenham a senha de desbloqueio ou a chave de inicialização USB. O padrão éDesativado.
- Permitir agente de recuperação de dados baseado em certificado:especifica se deseja ou não permitir um agente de recuperação de dados baseado em certificado. Adicione um agente de recuperação de dados das Políticas de chave pública, que está localizado no Console de Gerenciamento de Política de Grupo (GPMC) ou no Editor de Política de Grupo Local. Para obter mais informações sobre agentes de recuperação de dados, consulte o artigo Microsoft deConfigurações de Política de Grupo do BitLocker. O padrão éDesativado.
- Criar senha de recuperação de 48 bits para recuperação da unidade do sistema operacional:especifica se você deseja permitir ou exigir que os usuários usem uma senha de recuperação. O BitLocker gera a senha e a armazena em um arquivo ou conta do Microsoft Cloud. O padrão éPermitir senha de 48 dígitos.
- Criar chave de recuperação de 256 bits:especifica se você deseja permitir ou exigir que os usuários usem uma chave de recuperação. Uma chave de recuperação é um arquivo BEK, que é armazenado em uma unidade USB. O padrão éPermitir uma chave de recuperação de 256 bits.
- Ocultar opções de recuperação da unidade do sistema operacional:especifica se você deseja mostrar ou ocultar as opções de recuperação na interface do BitLocker. Se o valor forAtivado, nenhuma opção de recuperação aparece na interface BitLocker. Nesse caso, registre os dispositivos no Active Directory, salve as opções de recuperação no Active Directory e definaSalvar informações de recuperação no AD DSparaAtivado. O padrão éDesativado.
- Salvar informações de recuperação no AD DS:especifica se deseja salvar as opções de recuperação nos Serviços de Domínio do Active Directory. O padrão éDesativado.
- Configurar informações de recuperação armazenadas no AD DS:especifica se deseja armazenar a senha de recuperação do BitLocker ou a senha de recuperação e o pacote de chaves nos Serviços do Domínio Active Directory. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que está fisicamente corrompida. O padrão éSenha de recuperação de backup.
- Ativar驱动器加密depois de armazenar informacoes de recuperação no AD DS:especifica se deseja impedir que os usuários ativem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação de BitLocker no Active Directory seja bem-sucedido. Se estiverAtivado, um dispositivo deve ser ingressado no domínio antes de iniciar o BitLocker. O padrão éDesativado.
Personalizar mensagem de recuperação de pré-inicialização e URL:especifica se o BitLocker mostra uma mensagem personalizada e a URL na tela de recuperação. Se o valor forAtivado, as seguintes configurações adicionais são exibidas:Usar mensagem de recuperação e URL padrão,Usar mensagem de recuperação vazia e URL,Usar mensagem personalizada de recuperaçãoeUsar URL de recuperação personalizada. Se o valor forDesativado, são exibidas a mensagem de recuperação de padrão e a URL. O padrão éDesativado.
Configurar recuperação da unidade fixa:configura as opções de recuperação aos usuários para uma unidade fixa de criptografia BitLocker. O BitLocker não exibe uma mensagem aos usuários sobre a criptografia de unidade fixa. Para desbloquear uma unidade durante a inicialização, um usuário fornece uma senha ou um cartão inteligente. As configurações de desbloqueio de inicialização, que não estão nesta política, aparecem na interface BitLocker quando um usuário habilita a criptografia BitLocker em uma unidade fixa. Para obter informações sobre as configurações relacionadas, consulteConfigurar recuperação da unidade do sistema operacional, anteriormente nessa lista. O padrão éDesativado.
Bloquear acesso de gravação a unidades fixas que não usam BitLocker:SeAtivado, os usuários podem gravar em unidades fixas somente quando essas unidades são criptografadas com o BitLocker. O padrão éDesativado.
Bloquear acesso de gravação a unidades removíveis que não usam BitLocker:SeAtivado, os usuários podem gravar em unidades removíveis somente quando essas unidades são criptografadas com o BitLocker. Defina essa configuração dependendo se a sua organização permite ou não o acesso de gravação em unidades removíveis de outra organização. O padrão éDesativado.
Solicitar outra criptografia de disco:permite que você desabilite a mensagem de aviso para outra criptografia de disco em dispositivos. O padrão éDesativado.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Política de dispositivo BitLocker

August 11, 2022

Contribuição de:

August 11, 2022

Contribuição de:

Neste artigo

Isso foi útil?