Configurazione di BitLocker
Impostazioni generali |
||
Richiedi la crittografia del dispositivo | A seconda dell’edizione di Windows e della configurazione del sistema, agli utenti potrebbe essere chiesto di attivare la crittografia del dispositivo: – Per confermare che la crittografia di un altro provider non è abilitata. – Per disattivare BitLocker Drive Encryption e poi riattivare BitLocker. |
|
Metodi di crittografia |
||
Metodo di crittografia per le unità del sistema operativo | ||
Metodo di crittografia per unità di dati fisse | ||
Metodo di crittografia per unità dati rimovibili | ||
Disattiva l’avviso sulla crittografia dei dischi di terze parti | Disattiva l’avviso di un servizio di crittografia del disco di terze parti in uso sul dispositivo. A partire dalla versione 1803 di Windows 10, questa impostazione è supportata solo per i dispositivi uniti ad Azure Active Directory. |
|
Consenti l’esecuzione della crittografia quando l’utente non amministratore è collegato | È supportato solo per i dispositivi uniti ad Azure Active Directory |
|
Estensioni AppTec360 |
||
Crittografia silenziosa | Se viene selezionato insieme a “Richiedi la crittografia del dispositivo”, AppTec360 Management Service eseguirà la crittografia automatica e silenziosa delle unità del dispositivo. |
|
Genera automaticamente le credenziali utente | L’unità OS crittografata sarà protetta da credenziali utente generate automaticamente. O un PIN TPM, quando è disponibile un TPM, o una password testuale di 6 cifre. Le credenziali generate vengono inviate all’indirizzo e-mail registrato per il dispositivo in questione. Se questa opzione è disattivata, l’unica protezione possibile per la crittografia silenziosa è l’utilizzo del TPM. In questo caso, per i dispositivi senza TPM, la crittografia silenziosa fallirà. |
|
Crittografa le unità fisse | Tutte le unità dati fisse disponibili saranno inoltre crittografate e protette con lo “Sblocco Automatico” utilizzando una chiave memorizzata sull’unità OS. |
|
Impostazioni dell’unità del sistema operativo |
Richiedi un’autenticazione aggiuntiva all’avvio | Questa impostazione ti permette di configurare se BitLocker richiede un’autenticazione ad ogni avvio del computer. Questa impostazione viene applicata durante la configurazione di BitLocker. Se attivi questa impostazione, gli utenti possono configurare le opzioni di avvio avanzate nella procedura guidata di BitLocker. |
|
Blocca BitLocker senza un TPM compatibile |
||
Solo TPM |
||
TPM e PIN |
||
TPM e chiave |
||
TPM, chiave e PIN | Se vuoi richiedere l’uso di un PIN e di una chiavetta USB (chiave), l’utente deve configurare BitLocker utilizzando lo strumento da riga di comando “manage-bde” invece della procedura guidata di configurazione di BitLocker Drive Encryption. |
|
Richiedi la lunghezza minima del PIN |
|
Caratteri minimi |
|
Configura il messaggio e l’URL del recupero pre-avvio | Configura l’intero messaggio di recupero o sostituisci l’URL esistente che viene visualizzato nella schermata di recupero della chiave pre-avvio quando l’unità OS è bloccata. Nota: non tutti i caratteri e le lingue sono supportati nel pre-boot. Si consiglia vivamente di verificare che i caratteri utilizzati vengano visualizzati correttamente nella schermata di ripristino pre-avvio. |
|
Opzione messaggio di ripristino pre-avvio |
||
Messaggio di recupero personalizzato |
||
URL di recupero personalizzato |
||
Opzioni di recupero dell’unità OS | Questa impostazione ti permette di controllare come vengono recuperate le unità del sistema operativo protette da BitLocker in assenza delle credenziali necessarie. Questa impostazione viene applicata durante la configurazione di BitLocker. Per impostazione predefinita è consentito un agente di recupero dati basato su certificati, le opzioni di recupero possono essere specificate dall’utente, compresa la password e la chiave di recupero, e le informazioni di recupero non vengono salvate in AD DS. |
|
Agente di recupero dati basato su certificati a blocchi | Specifica se un agente di recupero dati può essere utilizzato con le unità del sistema operativo protette da BitLocker. Prima di poter utilizzare un agente di recupero dati, deve essere aggiunto dalla voce Criteri di chiave pubblica nella Console di gestione dei Criteri di gruppo o nell’Editor dei Criteri di gruppo locali. Consulta la BitLocker Drive Encryption Deployment Guide su Microsoft TechNet per maggiori informazioni sull’aggiunta di agenti di recupero dati. |
|
Impostazioni della password di recupero BitLocker |
||
Impostazioni della chiave di recupero BitLocker |
||
Salvare le informazioni di recupero di BitLocker nei servizi di dominio di Active Directory |
||
Configurazione dello storage di recupero AD DS BitLocker | La memorizzazione del pacchetto di chiavi supporta il recupero dei dati da un’unità danneggiata fisicamente. |
|
Richiedi l’archiviazione dei dati di recupero in AD DS | Impedisci agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e che non sia stato attivato il sistema. |
|
Impostazioni fisse dell’unità |
||
Opzioni di recupero delle unità fisse | Questa impostazione ti permette di controllare come vengono recuperate le unità fisse protette da BitLocker in assenza delle credenziali necessarie. Questa impostazione viene applicata durante la configurazione di BitLocker. Per impostazione predefinita è consentito un agente di recupero dati basato su certificati, le opzioni di recupero possono essere specificate dall’utente, compresa la password e la chiave di recupero, e le informazioni di recupero non vengono salvate in AD DS. |
|
Agente di recupero dati basato su certificati a blocchi |
||
Impostazioni della password di recupero BitLocker |
||
Impostazioni della chiave di recupero BitLocker |
||
Salvare le informazioni di recupero di BitLocker nei servizi di dominio di Active Directory |
||
Configurazione dello storage di recupero AD DS BitLocker | La memorizzazione del pacchetto di chiavi supporta il recupero dei dati da un’unità danneggiata fisicamente. |
|
Richiedi l’archiviazione dei dati di recupero in AD DS | Impedisci agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in AD DS abbia successo. Nota: la password di recupero viene generata automaticamente. |
|
Negare l’accesso in scrittura alle unità fisse non protette |
||
Impostazioni dell’unità rimovibile |
|
Negare l’accesso in scrittura alle unità rimovibili non protette | Negare l’accesso in scrittura alle unità dati rimovibili che non sono protette da Bitlocker. Nota: se “Dischi rimovibili: Nega accesso in scrittura” è abilitato nei criteri di gruppo, questa impostazione del criterio verrà ignorata. |
Negare l’accesso in scrittura ai dispositivi configurati in un’altra organizzazione | Solo le unità con campi di identificazione corrispondenti a quelli del computer potranno accedere alla scrittura. Questi campi sono definiti dall’impostazione del criterio di gruppo “Fornisci gli identificatori unici per la tua organizzazione”. |