Exigir autenticação adicional na inicialização (Windows Server 2008 e Windows Vista)

Essa configuração de política permite controlar se o Assistente para Instalação da Criptografia de Unidade de Disco BitLocker poderá configurar um método de autenticação adicional que será solicitado sempre que o computador for iniciado. Essa configuração de política é aplicada ao ativar o BitLocker.

Observação: essa política só é aplicável aos computadores executando o Windows Server 2008 ou o Windows Vista.

Em um computador com um TPM compatível, dois métodos de autenticação podem ser usados na inicialização para oferecer proteção adicional de dados criptografados. Quando o computador é iniciado, ele pode exigir que os usuários insiram um pen drive que contém uma chave de inicialização. Ele também pode exigir que os usuários insiram um PIN (número de identificação pessoal) de inicialização de 4 a 20 dígitos.

Um pen drive que contém uma chave de inicialização é necessário em computadores que não possuem um TPM compatível. Sem um TPM, os dados criptografados por BitLocker são protegidos apenas pelo material da chave contido no pen drive.

Se você habilitar essa configuração de política, o assistente mostrará a página para permitir que o usuário configure opções de inicialização avançada para o BitLocker. Você pode configurar mais opções para computadores com ou sem TPM.

Se você desabilitar ou não definir essa configuração de política, o assistente de configuração do BitLocker mostrará as etapas básicas que permitem que os usuários ativem o BitLocker em computadores com TPM. Nesse assistente básico, não será possível configurar uma chave ou um PIN de inicialização adicional.

Suporte em: Windows Server 2008 e Windows Vista

Permitir o BitLocker sem um TPM compatível (exige uma senha ou uma chave de inicialização em uma unidade flash USB)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableNonTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Configurações para computadores com um TPM:

Configurar chave de inicialização de TPM:


  1. Permitir chave de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value2
  2. Exigir chave de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value1
  3. Não permitir chave de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value0

Configurar PIN de inicialização de TPM:


  1. Permitir PIN de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value2
  2. Exigir PIN de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value1
  3. Não permitir PIN de inicialização com TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value0

Importante: se você exigir uma chave de inicialização, não poderá permitir o PIN de inicialização.

Se você exigir um PIN de inicialização, não poderá permitir a chave de inicialização. Caso contrário, ocorrerá um erro de política.

Observação: não permita as opções de PIN e chave de inicialização ao mesmo tempo para ocultar a página avançada em um computador com um TPM.


volumeencryption.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)