Impostazioni crittografia dell'unità del sistema operativo

Questa impostazione di criteri consente di specificare se l'unità del sistema operativo debba essere crittografata o meno.

Per una maggiore sicurezza, quando è abilitata con la protezione TPM e PIN, è possibile disabilitare i seguenti criteri in Sistema/Risparmio energia/Impostazioni relative alla modalità sospensione:
Consenti stati di standby (S1-S3) durante la sospensione (Alimentazione da rete elettrica)
Consenti stati di standby (S1-S3) durante la sospensione (A batteria)

Per usare BitLocker in un computer senza TPM, selezionare la casella di controllo "Consenti BitLocker senza un TPM compatibile" (supportato in Windows 8 o versione successiva). In questa modalità è necessaria una password per l'avvio. Se si dimentica la password, sarà necessario usare una delle opzioni di ripristino di BitLocker per accedere all'unità.

In un computer con un TPM compatibile è possibile usare due tipi di metodi di autenticazione all'avvio per fornire maggiore protezione ai dati crittografati. Quando il computer viene avviato, può usare solo il TPM per l'autenticazione oppure richiedere l'immissione di un PIN con un numero di cifre compreso tra 4 e 20.

Se si abilita questa impostazione di criteri, l'utente dovrà mettere l'unità del sistema operativo sotto la protezione di BitLocker e l'unità verrà crittografata.

Se si disabilita questo criterio, l'utente non potrà mettere l'unità del sistema operativo sotto la protezione di BitLocker. Se si applica questo criterio dopo aver crittografato l'unità del sistema operativo, tale unità verrà decrittografata.

Se non si configura questo criterio, non è necessario mettere l'unità del sistema operativo sotto la protezione di BitLocker.

Supportata in: Almeno Windows 7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
Value NameShouldEncryptOSDrive
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Consenti BitLocker senza un TMP compatibile (richiede una password)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Seleziona la protezione per l'unità del sistema operativo:


  1. Solo TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value1
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2
  2. TPM e PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value4
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2

Impostazioni per i computer con un TPM:

Configura lunghezza minima PIN per l'avvio

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameMinimumPIN
Value TypeREG_DWORD
Default Value4
Min Value4
Max Value20

bitlockermanagement.admx

Modelli amministrativi (Computer)

Modelli amministrativi (utenti)