Esporta (0) Stampa
Espandi tutto

Configurare Active Directory per il backup delle informazioni di ripristino di Crittografia unità BitLocker di Windows e del Trusted Platform Module

Aggiornamento: giugno 2008

Si applica a: Windows Server 2008,Windows Vista

Panoramica

In questo documento viene descritta la configurazione di Active Directory® per il backup delle informazioni di ripristino relative a Crittografia unità BitLocker™ di Windows® (BitLocker) e al Trusted Platform Module (TPM). Le informazioni di ripristino includono la password di ripristino per ogni volume abilitato all'uso di BitLocker, la password del proprietario del TPM e i dati necessari per identificare i computer e i volumi a cui si riferiscono le informazioni di ripristino stesse. Facoltativamente, è inoltre possibile salvare un pacchetto contenente le chiavi effettive utilizzate per crittografare i dati e la password di ripristino necessaria per accedere a tali chiavi.

noteNota
In Microsoft® Windows Server® 2008, Active Directory è noto come Servizi di dominio Active Directory.

Il backup delle password di ripristino per un volume del disco protetto con BitLocker consente agli amministratori di ripristinare il volume nel caso in cui sia bloccato. In questo modo, si garantisce che i dati crittografati appartenenti all'organizzazione siano sempre accessibili agli utenti autorizzati.

Il backup delle informazioni del proprietario del TPM relative a un computer consente agli amministratori di configurare localmente e in remoto l'hardware di protezione TPM in tale computer. Un amministratore potrebbe ad esempio reimpostare il TPM sulle impostazioni di fabbrica durante la rimozione delle autorizzazioni o il reimpiego dei computer.

ImportantImportante
È possibile salvare le informazioni di ripristino in Active Directory se i controller di dominio eseguono Microsoft® Windows Server® 2003 con Service Pack 1 (SP1), Windows Server 2003 R2 o Windows Server 2008. Non è possibile salvare le informazioni di ripristino in Active Directory se il controller di dominio esegue una versione di Windows Server precedente a Windows Server 2003 con SP1.

Se si esegue il test di una versione non definitiva di Windows Server 2008, seguire lo stesso processo descritto per Windows Server 2003 con SP1 o versione successiva, con una eccezione: nel caso in cui sia stata installata la versione Beta 3 di Windows Server 2008 o una versione successiva, non è necessario aggiornare lo schema come descritto più avanti in questo documento.

ImportantImportante
Eseguire questi passaggi in un ambiente di prova o di preproduzione prima di implementarlo negli ambienti di produzione.

File necessari

Gli script e i file LDF di esempio seguenti disponibili nel sito Web Microsoft sono necessari al fine di configurare Active Directory per il backup delle informazioni di ripristino:

  • Add-TPMSelfWriteACE.vbs

  • BitLockerTPMSchemaExtension.ldf

  • List-ACEs.vbs

  • Get-TPMOwnerInfo.vbs

  • Get-BitLockerRecoveryInfo.vbs

Per scaricare i file, visitare la pagina all'indirizzo http://go.microsoft.com/fwlink/?LinkId=78953. Il contenuto dei file e altre informazioni utili sono inclusi nelle appendici seguenti:

noteNota
Se è stata testata una versione non definitiva o beta di Microsoft Windows Vista e l'installazione di Active Directory è stata configurata con versioni precedenti degli script o delle estensioni dello schema, è necessario verificare che vengano utilizzate le versioni rilasciate finali di tali file. Se inoltre è stata eseguita una versione precedente di List-ACEs.vbs, prima di procedere è necessario rimuovere le voci di controllo di accesso (ACE) correlate a BitLocker aggiunte precedentemente.

Informazioni generali

In questa sezione sono contenute informazioni sul backup delle informazioni di ripristino di BitLocker e del TPM in Active Directory.

Per impostazione predefinita, non viene eseguito il backup delle informazioni di ripristino. Gli amministratori possono configurare le impostazioni dei Criteri di gruppo per consentire il backup delle informazioni di ripristino di BitLocker o del TPM. Prima di configurare tali impostazioni, l'amministratore di dominio deve verificare che sia stato esteso lo schema di Active Directory con i percorsi di archiviazione necessari e che siano state concesse le autorizzazioni di accesso per l'esecuzione del backup,

nonché configurare Active Directory prima di configurare BitLocker nei computer client. Se viene attivato innanzitutto BitLocker, le informazioni di ripristino relative a tali computer non verranno aggiunte in Active Directory. Per ulteriori informazioni, vedere la sezione Domande e risposte più avanti in questo documento.

Archiviazione delle informazioni di ripristino di BitLocker in Active Directory

Le informazioni di ripristino di BitLocker di cui è stato eseguito il backup vengono archiviate in un oggetto figlio dell'oggetto computer. L'oggetto computer rappresenta quindi il contenitore di un oggetto delle informazioni di ripristino per BitLocker.

Ogni oggetto delle informazioni di ripristino per BitLocker include la password di ripristino e altre informazioni di ripristino. Ogni oggetto computer può comprendere più oggetti delle informazioni di ripristino per BitLocker, in quanto possono esistere più password di ripristino associate a un volume abilitato per l'uso di BitLocker.

Nel nome dell'oggetto delle informazioni di ripristino per BitLocker sono incorporati un identificatore univoco globale (GUID) e le informazioni di data e ora, per una lunghezza fissa di 63 caratteri, nel formato seguente:

<Data e ora di creazione dell'oggetto>< GUID del ripristino>

Ad esempio:

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

Il nome comune (cn) dell'oggetto delle informazioni di ripristino per BitLocker è ms-FVE-RecoveryInformation. Ogni oggetto ms-FVE-RecoveryInformation dispone degli attributi seguenti:

  • ms-FVE-RecoveryPassword

    Questo attributo contiene la password di ripristino di 48 cifre utilizzata per ripristinare un volume del disco crittografato con BitLocker. Gli utenti immettono tale password per sbloccare un volume quando viene attivata la modalità di ripristino di BitLocker.

  • ms-FVE-RecoveryGuid

    Questo attributo contiene il GUID associato alla password di ripristino di BitLocker. Nella modalità di ripristino di BitLocker, tale GUID viene visualizzato all'utente in modo da consentire l'individuazione della password di ripristino corretta per sbloccare il volume ed è incluso inoltre nel nome dell'oggetto delle informazioni di ripristino.

  • ms-FVE-VolumeGuid

    Questo attributo contiene il GUID associato a un volume del disco supportato da BitLocker.

    Mentre la password (archiviata in ms-FVE-RecoveryGuid) è univoca per ogni password di ripristino, questo identificatore di volume è univoco per ogni volume crittografato con BitLocker.

  • ms-FVE-KeyPackage

    Questo attributo contiene la chiave di crittografia di BitLocker per un volume protetta dalla password di ripristino corrispondente.

    Con questo pacchetto della chiave e la password di ripristino (archiviata in ms-FVE-RecoveryPassword), è possibile decrittografare parti di un volume protetto con BitLocker nel caso in cui il disco sia danneggiato. Ogni pacchetto della chiave funzionerà solo per un volume con l'identificatore di volume corrispondente (archiviato in ms-FVE-VolumeGuid). Per utilizzare questo pacchetto della chiave, è necessario uno strumento specializzato.

Se BitLocker e Microsoft Windows Vista sono stati testati prima del relativo rilascio, sarà possibile notare le modifiche seguenti apportate agli attributi dell'oggetto delle informazioni di ripristino a partire dalle versioni non definitive o beta di Microsoft Windows Vista:

  • GUID aggiunti al catalogo globale per facilitare le ricerche a livello di foresta (isMemberOfPartialAttributeSet)

  • Utilizzo del bit riservato per gli attributi GUID (bit 128 di searchFlags) rimossi

  • Dimensioni di ogni attributo limitate per ridurre al minimo i rallentamenti della replica in caso di attacco flood al database di Active Directory (rangeUpper)

  • Descrizioni degli attributi aggiornate per maggiore chiarezza (adminDescription)

  • Bit aggiuntivo impostato per salvare i valori degli attributi durante la creazione di copie degli oggetti (bit 16 di searchFlags)

  • Bit aggiuntivo impostato per creare un indice per contenitore degli attributi GUID (bit 2 di searchFlags).

Per ulteriori dettagli sulla sintassi degli attributi, vedere il file di estensione dello schema nell'Appendice D: contenuto del file BitLockerTPMSchemaExtension.ldf.

Archiviazione delle informazioni di ripristino del TPM in Active Directory

Per ogni computer è disponibile un'unica password del proprietario del TPM. Quando il TPM viene inizializzato o quando questa password viene modificata, viene eseguito il backup dell'hash della password del proprietario del TPM come attributo dell'oggetto computer.

Il nome comune (cn) dell'attributo del TPM è ms-TPM-OwnerInformation.

Configurare Active Directory

Per configurare Active Directory per il backup delle informazioni di ripristino di BitLocker e del TPM, completare le attività seguenti.

Controllare i prerequisiti generali

Controllare i prerequisiti seguenti:

  1. Tutti i controller di dominio accessibili dai client idonei per BitLocker eseguono Windows Server 2003 con SP1 o versione successiva. In ogni controller di dominio fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer e quindi fare clic sulla scheda Generale.

    ImportantImportante
    Se nella scheda Generale è elencato Windows Server 2003 ma non sono disponibili informazioni sul Service Pack, è necessario eseguire l'aggiornamento. Per ulteriori informazioni sull'aggiornamento a Windows Server 2003 con SP1, visitare la pagina all'indirizzo http://go.microsoft.com/fwlink/?LinkID.

    ImportantImportante
    L'utilizzo dei controller di dominio che eseguono Windows Server 2000 o Windows Server 2003 senza SP1 per il backup delle informazioni di ripristino di BitLocker o del TPM non è stato testato e non è supportato. Tali sistemi operativi, inoltre, non includono la funzionalità per il contrassegno di riservatezza di Active Directory utilizzata per proteggere l'accesso alle informazioni di ripristino di BitLocker e del TPM.

    Il contrassegno di riservatezza è una funzionalità disponibile in Windows Server 2003 con SP1 e versione successiva. Mediante tale funzionalità, solo gli amministratori di dominio e i delegati appropriati dispongono dell'accesso in lettura agli attributi con il contrassegno di riservatezza. L'estensione dello schema BitLocker e TPM contrassegna gli attributi selezionati come "riservati" utilizzando la proprietà "searchFlags". Per ulteriori informazioni su questo contrassegno, vedere la pagina relativa al funzionamento dello schema di Active Directory all'indirizzo http://go.microsoft.com/fwlink/?LinkID=79649.

    BitLocker non impone requisiti per i livelli di funzionalità del dominio o della foresta. È tuttavia consigliabile rimuovere i controller di dominio che eseguono sistemi operativi precedenti a Windows Server 2003 con SP1 dagli ambienti di livello funzionale misto (o aggiornati), in quanto le informazioni di BitLocker e del TPM di cui è stato eseguito il backup non verranno protette in tali controller di dominio.

  2. Si dispone dei privilegi di amministratore di dominio per la foresta di destinazione.

  3. Sono stati ottenuti i file seguenti:

    • BitLockerTPMSchemaExtension.ldf

    • Add-TPMSelfWriteACE.vbs

Estendere lo schema

La procedura seguente estende lo schema per consentire il salvataggio delle informazioni in Active Directory.

Se è stato installato un controller di dominio che esegue Windows Server 2008 versione Beta 3 o successiva, le estensioni dello schema richieste sono state eseguite automaticamente e non è necessario completare questa procedura.

Se è stato installato un controller di dominio che esegue Windows Server 2008 versione Beta 2, è necessario aggiornare lo schema a sch39 o versione successiva oppure completare la procedura seguente.

Per estendere lo schema di Active Directory con gli attributi di BitLocker e del TPM
  1. Accedere con un account di dominio del gruppo Schema Admins. Tale account deve essere utilizzato per estendere lo schema.

    Per impostazione predefinita, l'account predefinito Administrator nel dominio radice della foresta è membro del gruppo Schema Admins. Per ulteriori informazioni, vedere la sezione sulla concessione dei diritti di accesso per apportare modifiche allo schema nella pagina relativa al funzionamento dello schema di Active Directory all'indirizzo http://go.microsoft.com/fwlink/?LinkID=79649.

  2. Controllare che l'installazione di Windows Server consenta gli aggiornamenti dello schema.

    In Windows Server 2003, gli aggiornamenti dello schema di Active Directory sono consentiti per impostazione predefinita. Per ulteriori informazioni, inclusi i passaggi necessari per consentire gli aggiornamenti dello schema, vedere l'articolo 285172 della Microsoft Knowledge Base all'indirizzo http://go.microsoft.com/fwlink/?LinkId=79644.

  3. Controllare che si disponga dell'accesso al controller di dominio che rappresenta il master operazioni schema nella foresta di Active Directory. È possibile eseguire gli aggiornamenti dello schema solo nel master operazioni schema.

  4. Esaminare BitLockerTPMSchemaExtension.ldf, il file LDIF contenente l'estensione dello schema.

    Per informazioni generali sulle modifiche apportate dall'estensione dello schema, vedere Informazioni generali più indietro in questo documento.

    Per informazioni di riferimento sulle estensioni dello schema, vedere la pagina relativa al funzionamento dello schema di Active Directory all'indirizzo http://go.microsoft.com/fwlink/?LinkId=79649.

  5. Utilizzare lo strumento da riga di comando Ldifde per estendere lo schema nel controller di dominio utilizzato come master operazioni schema. Per importare l'estensione dello schema in un dominio denominato nttest.microsoft.com, ad esempio, accedere come utente del gruppo Schema Admins e quindi al prompt dei comandi digitare quanto segue:

    ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "DC=nttest,dc=microsoft,dc=com" -k -j .

    È consigliabile immettere questo comando come un'unica riga, sebbene venga visualizzato su più righe per migliorarne la leggibilità nel documento. Il punto finale (".") fa parte del comando.

    L'utilizzo di -k consente di eliminare gli errori di tipo "Oggetto già esistente" se le parti dello schema esistono già. L'utilizzo di -j . consente di salvare un file di registro esteso nella directory di lavoro corrente.

Per ulteriori informazioni sui parametri di Ldifde, vedere l'articolo 237677 della Microsoft Knowledge Base all'indirizzo http. L'output di esempio ottenuto eseguendo il comando è incluso nell'Appendice B: esempio di output dello strumento Ldifde più avanti in questo documento.

Impostare le autorizzazioni necessarie per il backup delle informazioni relative alla password del TPM

La procedura seguente aggiunge una voce di controllo di accesso (ACE) per consentire l'esecuzione del backup delle informazioni di ripristino del TPM.

Un client Microsoft Windows Vista è in grado di eseguire il backup delle informazioni di ripristino di BitLocker con l'autorizzazione predefinita dell'oggetto computer. Un client Microsoft Windows Vista non è invece in grado di eseguire il backup delle informazioni del proprietario del TPM a meno che venga incluso questo ACE aggiuntivo.

Nell'Appendice C: autorizzazioni predefinite per un oggetto computer più avanti in questo documento vengono descritte le autorizzazioni predefinite di Active Directory nell'oggetto classe Computer che contiene la classe delle informazioni di ripristino di BitLocker e l'attributo delle informazioni del proprietario del TPM.

Per aggiungere un ACE in modo da consentire il backup delle informazioni di ripristino del TPM
  1. Esaminare Add-TPMSelfWriteACE.vbs, lo script di esempio contenente l'estensione dell'autorizzazione.

  2. Al prompt dei comandi digitare quanto segue e quindi premere INVIO:

    cscript Add-TPMSelfWriteACE.vbs

Questo script aggiunge un singolo ACE all'oggetto dominio di primo livello. L'ACE è un'autorizzazione ereditabile che consente a SELF (il computer stesso) di scrivere nell'attributo ms-TPM-OwnerInformation per gli oggetti computer del dominio.

Per ulteriori informazioni di riferimento, vedere la pagina relativa all'utilizzo degli script per la gestione della protezione di Active Directory all'indirizzo http://go.microsoft.com/fwlink/?LinkId=79652.

Lo script di esempio fornito opera in base ai presupposti seguenti:

  • Si dispone dei privilegi di amministratore di dominio per impostare le autorizzazioni relative all'oggetto dominio di primo livello.

  • Il dominio di destinazione corrisponde al dominio per l'account utente che esegue lo script.

    Se ad esempio si esegue lo script come TESTDOMAIN\admin, verranno estese le autorizzazioni relative a TESTDOMAIN. Potrebbe essere necessario modificare lo script di esempio se si desidera impostare autorizzazioni per più domini ma non si dispone degli account Administrator del dominio per ognuno di tali domini. Trovare la variabile strPathToDomain nello script e modificarla per il dominio di destinazione, ad esempio:

    "LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com"

  • Il dominio è configurato in modo che le autorizzazioni dell'oggetto dominio di primo livello vengano ereditate dagli oggetti computer di destinazione.

    Le autorizzazioni non verranno applicate se un contenitore della gerarchia non consente autorizzazioni ereditate dal contenitore padre. Per impostazione predefinita, l'eredità delle autorizzazioni viene impostata da Active Directory. Se non si è certi che la propria configurazione sia diversa da quella predefinita, è possibile continuare con i passaggi di configurazione per impostare l'autorizzazione e quindi verificare la configurazione come descritto più avanti in questo documento oppure facendo clic sul pulsante Autorizzazioni valide mentre si visualizzano le proprietà di un oggetto computer per controllare che SELF sia in grado di scrivere l'attributo msTPM-OwnerInformation.

Configurare Criteri di gruppo per consentire il backup delle informazioni di ripristino di BitLocker e del TPM in Active Directory

Queste istruzioni sono valide per la configurazione del criterio locale in un computer client Microsoft Windows Vista. In un ambiente di produzione, invece, è probabile che venga modificato un oggetto Criteri di gruppo che si applica ai computer del dominio.

Per ulteriori informazioni sulla configurazione dell'oggetto Criteri di gruppo di Microsoft Windows Vista nel dominio, vedere la pagina relativa alla guida dettagliata alla gestione dei file ADMX dei Criteri di gruppo all'indirizzo http://go.microsoft.com/fwlink/?LinkId=79653.

noteNota
Quando si attivano le singole impostazioni dei Criteri di gruppo, è consigliabile mantenere le opzioni predefinite. Leggere il testo esplicativo prima di apportare eventuali modifiche.

Per attivare le impostazioni del criterio locale per il backup delle informazioni di ripristino di BitLocker e del TPM in Active Directory
  1. Accedere al computer come amministratore.

  2. Fare clic sul pulsante Start, digitare quanto segue nella casella Inizia ricerca e quindi premere INVIO:

    gpedit.msc

  3. Per attivare le impostazioni dei Criteri di gruppo per il backup delle informazioni di ripristino di BitLocker in Active Directory:

    1. Aprire Configurazione computer, Modelli amministrativi, Componenti di Windows e quindi Crittografia unità BitLocker.

    2. Nel riquadro destro fare doppio clic su Attiva backup BitLocker su Servizi di dominio Active Directory.

    3. Selezionare l'opzione Attivata.

    4. Verificare che la casella di controllo Richiedi backup BitLocker su Servizi di dominio Active Directory sia selezionata.

  4. Attivare l'impostazione dei Criteri di gruppo per il backup delle informazioni di ripristino del TPM in Active Directory.

    1. Aprire Configurazione computer, Modelli amministrativi, Sistema e quindi Servizi Trusted Platform Module.

    2. Nel riquadro destro fare doppio clic su Attiva backup TPM su Servizi di dominio Active Directory.

    3. Selezionare l'opzione Attivata.

    4. Verificare che la casella di controllo Richiedi backup TPM su Servizi di dominio Active Directory sia selezionata.

Testare la configurazione di Active Directory

Tramite l'aggiunta di computer client basati su Microsoft Windows Vista al dominio appena configurato e l'attivazione di BitLocker, è possibile verificare se il backup delle informazioni di ripristino di BitLocker e del TPM in Active Directory è stato eseguito correttamente.

Tutte le interfacce utente e le interfacce di programmazione all'interno delle funzionalità di gestione di BitLocker e del TPM saranno conformi alle impostazioni dei Criteri di gruppo configurate. Quando tali impostazioni sono attivate, verrà eseguito automaticamente il backup delle impostazioni di ripristino (ad esempio delle password di ripristino) in Active Directory ogni volta che queste informazioni vengono create e modificate.

Se si seleziona l'opzione per richiedere il backup, l'inizializzazione del TPM o l'attivazione di BitLocker con qualsiasi metodo viene bloccata fino alla corretta esecuzione del backup. In tal caso, nessun utente potrà attivare BitLocker o inizializzare il TPM a meno che il controller di dominio sia configurato correttamente, il computer client disponga della connettività di rete al controller di dominio e non si verifichino altri errori durante il processo di backup.

Testare il backup con Windows Vista

Per testare il backup, è consigliabile utilizzare un computer client basato su Microsoft Windows Vista.

Il backup delle informazioni di ripristino di BitLocker viene eseguito quando:

  • Si crea una password di ripristino durante la configurazione di BitLocker, utilizzando la procedura guidata disponibile nel Pannello di controllo.

  • Si crea una password di ripristino dopo che il disco è già stato crittografato, utilizzando lo strumento da riga di comando manage-bde.wsf.

Il backup delle informazioni di ripristino del TPM viene eseguito quando:

  • Si imposta la password del proprietario del TPM durante l'inizializzazione del TPM.

  • Si modifica la password del proprietario del TPM.

Scenario di test di esempio con Windows Vista

In questo scenario di test di esempio viene illustrata la procedura di verifica della configurazione di Active Directory tramite Microsoft Windows Vista. Gli script di esempio inclusi, disponibili per il download, facilitano la procedura di verifica.

ImportantImportante
Per verificare il corretto funzionamento di ogni componente nell'ambiente in uso, è consigliabile eseguire i test aggiuntivi necessari. Non presupporre che questo scenario consentirà di testare completamente tutti gli aspetti della configurazione.

È inoltre possibile che gli scenari di test varino in base ai criteri dell'organizzazione. Nelle organizzazioni in cui gli utenti rappresentano il Creator Owner degli oggetti computer che aggiungono al dominio, ad esempio, è possibile che tali utenti siano in grado di leggere le informazioni del proprietario del TPM per i rispettivi oggetti computer.

Per eseguire un test di esempio
  1. Accedere a un controller di dominio come amministratore di dominio.

  2. Copiare i file script di esempio in un percorso appropriato.

  3. Aprire una finestra del prompt dei comandi e modificare il percorso predefinito sostituendolo con il percorso dei file script di esempio.

  4. Al prompt dei comandi digitare quanto segue:

    cscript List-ACEs.vbs

    Output previsto: presupponendo che sia stato utilizzato il file Add-TPMSelfWriteACE.vbs predefinito e che siano stati rimossi gli altri ACE obsoleti, deve esistere solo un ACE correlato a BitLocker e al TPM:

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. Accedere come amministratore locale (amministratore non di dominio) a un client Microsoft Windows Vista aggiunto al dominio.

  6. Fare clic sul pulsante Start, digitare quanto seguenella casella Inizia ricerca e quindi premere INVIO:

    tpm.msc

  7. Fare clic sul collegamento Inizializza TPM o Cambia password proprietario.

  8. Impostare una password del proprietario e selezionare l'opzione per eseguire il backup delle informazioni stampando la password o salvandola in un file, a seconda delle esigenze.

    Output previsto: l'azione verrà completata senza un messaggio di errore.

  9. Con lo stesso account, aprire una finestra del prompt dei comandi con privilegi elevati e quindi selezionare la cartella in cui è stata salvata una copia degli script di esempio forniti in questo documento.

    noteNota
    Per aprire una finestra del prompt dei comandi con privilegi elevati, fare clic con il pulsante destro del mouse su un collegamento al prompt dei comandi e quindi scegliere Esegui come amministratore.

  10. Al prompt dei comandi digitare quanto segue:

    cscript Get-TPMOwnerInfo.vbs

    Output previsto: l'errore "Active Directory: Impossibile trovare la proprietà della directory nella cache". Non viene visualizzata alcuna informazione poiché di norma un amministratore non di dominio non è in grado di leggere l'attributo ms-TPM-OwnerInformation.

    noteNota
    Se gli utenti rappresentano il Creator Owner degli oggetti computer che aggiungono al dominio, è possibile che tali utenti siano in grado di leggere le informazioni del proprietario del TPM per i rispettivi oggetti computer.

  11. Accedere come amministratore di dominio allo stesso computer client.

  12. Con lo stesso account di amministratore di dominio, aprire una finestra del prompt dei comandi con privilegi elevati e selezionare la cartella in cui è stata salvata una copia degli script di esempio forniti in questo documento.

  13. Al prompt dei comandi digitare quanto segue:

    cscript Get-TPMOwnerInfo.vbs

    Output previsto: una stringa che rappresenta l'hash della password creata in precedenza.

    Di norma l'amministratore di dominio dispone dell'accesso in lettura all'attributo ms-TPM-OwnerInformation.

  14. Per creare una password di ripristino, al prompt dei comandi con privilegi elevati digitare quanto segue:

    manage-bde -protectors -add -RecoveryPassword C:

    Output previsto: l'azione verrà completata senza un messaggio di errore.

  15. Per leggere tutti gli oggetti di BitLocker figlio dell'oggetto Active Directory del computer client, al prompt dei comandi digitare quanto segue:

    cscript Get-BitLockerRecoveryInfo.vbs

    Output previsto: un amministratore di dominio visualizzerà una o più password di ripristino, inclusa quella creata nel passaggio 14.

    Un amministratore non di dominio non sarà in grado di leggere tali password.

  16. Eliminare tutti gli oggetti figlio di ripristino di BitLocker utilizzando gli strumenti di Active Directory, ad esempio lo strumento di amministrazione Utenti e computer di Active Directory. Per impostazione predefinita, i client che eseguono Microsoft Windows Vista non dispongono delle autorizzazioni per eliminare le password di ripristino obsolete di BitLocker.

Risolvere i problemi comuni

Nella sezione seguente vengono illustrati alcuni problemi potenziali comuni e le relative soluzioni.

Problemi relativi all'autorizzazione di accesso

Se si è in grado di leggere le informazioni di ripristino di BitLocker e del TPM di cui è stato eseguito il backup tramite un account di amministratore non di dominio, controllare che vengano eseguite installazioni di Windows Server supportate in tutti i controller di dominio nella rete.

ImportantImportante
I controller di dominio che eseguono Windows 2000 Server o la versione iniziale di Windows Server 2003 non sono supportati per il backup delle informazioni di ripristino di BitLocker e del TPM.

Errori di script

Durante l'esecuzione di uno script potrebbe verificarsi un errore. Nelle sezioni seguenti vengono illustrate le cause e le soluzioni degli errori di script più frequenti.

Get-TPMOwnerInfo.vbs

Se durante l'esecuzione di Get-TPMOwnerInfo.vbs viene visualizzato il messaggio di errore "Active Directory: Impossibile trovare la proprietà della directory nella cache", non si dispone dell'autorizzazione per la lettura dell'oggetto attributo relativo alle informazioni del proprietario del TPM in Active Directory.

Generale

Se viene visualizzato il messaggio di errore "Il dominio specificato non esiste o è impossibile contattarlo", verificare che il computer sia stato aggiunto al dominio e che la connettività di rete sia disponibile.

Se viene visualizzato il messaggio di errore "Oggetto inesistente sul server", controllare che tutti i computer specificati per nome nella riga di comando siano attualmente connessi alla rete.

Per ogni errore viene indicato il numero di riga in cui si è verificato. Per la risoluzione del problema, consultare il codice sorgente script.

Domande e risposte

In questa sezione sono contenute domande correlate raccolte dal team di BitLocker a partire dal primo rilascio di questo documento.

Questo schema fa parte di Windows Server 2008?

Sì, lo schema fa parte di Windows Server 2008. Windows Windows Server 2008 versione Beta 2 contiene gli oggetti che consentiranno il backup di tutte le informazioni di ripristino di BitLocker e del TPM nelle versioni non definitive di Microsoft Windows Vista. L'aggiornamento dello schema per la versione rilasciata di Microsoft Windows Vista corrisponde alle modifiche pianificate per Windows Server 2008 versione Beta 3.

È possibile applicare l'aggiornamento dello schema a un controller di dominio basato su Windows Server 2003?

Microsoft supporta le estensioni dello schema BitLocker solo in Windows Server 2003 con SP1 o versioni successive e in Windows Server 2008. Il primo rilascio di Windows Server 2003 non include la funzionalità per il contrassegno di riservatezza che blocca in modo appropriato l'accesso alle informazioni di ripristino di cui è stato eseguito il backup.

Questo schema è supportato da Microsoft per l'utilizzo in produzione?

Sì, questo schema è supportato attraverso i normali canali. Per ulteriori informazioni sulle opzioni di supporto Microsoft, visitare la pagina all'indirizzo http://go.microsoft.com/fwlink//?LinkID=76619.

Nel client viene memorizzata una voce del registro eventi per indicare un'operazione di backup di Active Directory riuscita o non riuscita?

Nel client viene memorizzata una voce del registro eventi che indica un'operazione di backup di Active Directory riuscita o non riuscita.

Tuttavia tale voce è utile solo in parte. Anche se la voce del registro eventi indica un'operazione riuscita, è possibile che le informazioni siano state successivamente rimosse da Active Directory o che BitLocker sia stato riconfigurato in modo che le informazioni di Active Directory non possano più sbloccare l'unità (ad esempio rimovendo la protezione con chiave della password di ripristino). È inoltre possibile che la voce del registro sia contraffatta.

Per determinare infine se in Active Directory è disponibile un backup legittimo, è necessario eseguire una query in Active Directory con le credenziali di amministrazione di dominio.

Cosa succede se BitLocker viene attivato in un computer prima che quest'ultimo venga aggiunto al dominio?

Gli utenti potrebbero chiedersi cosa succede nel caso in cui BitLocker venga attivato in un computer prima di applicare Criteri di gruppo per imporre il backup. Il backup delle informazioni di ripristino in Active Directory verrà eseguito automaticamente al momento dell'aggiunta del computer al dominio oppure alla successiva all'applicazione di Criteri di gruppo?

Queste funzionalità non sono disponibili in Microsoft Windows Vista. In genere, il primo passaggio da eseguire per i nuovi computer di un'organizzazione è la relativa aggiunta al dominio.

L'interfaccia Strumentazione gestione Windows (WMI) di BitLocker consente agli amministratori di scrivere uno script per eseguire il backup delle password di ripristino esistenti di un client in linea o sincronizzarle. Un account amministrativo può elencare le password di ripristino di un volume sbloccato utilizzando il metodo GetKeyProtectorNumericalPassword dell'interfaccia WMI di BitLocker oppure i parametri "-protectors -get" dello strumento da riga di comando manage-bde.wsf di BitLocker.

Cosa succede se inizialmente l'operazione di backup non riesce? Verranno eseguiti ulteriori tentativi in BitLocker?

Se inizialmente l'operazione di backup non riesce, ad esempio quando un controller di dominio non è raggiungibile durante l'esecuzione della configurazione guidata BitLocker, non verranno effettuati tentativi ripetuti per eseguire il backup delle informazioni di ripristino in Active Directory.

Quando un amministratore seleziona la casella di controllo Richiedi backup BitLocker su Servizi di dominio Active Directory o la casella di controllo Richiedi backup TPM su Servizi di dominio Active Directory, se il backup non riesce non sarà possibile attivare BitLocker.

Quando un amministratore deseleziona queste caselle di controllo, consente in tal modo di crittografare un volume con BitLocker senza che il backup delle informazioni di ripristino in Active Directory abbia esito positivo. In BitLocker non verranno tuttavia eseguiti ulteriori tentativi automatici. In alternativa gli amministratori possono creare uno script di backup, come descritto nella domanda precedente, per acquisire informazioni dopo il ripristino della connettività.

In BitLocker le informazioni di ripristino vengono crittografate per l'invio ad Active Directory?

Sì, la trasmissione delle informazioni di ripristino da un client Microsoft Windows Vista ad Active Directory è protetta tramite Kerberos. In particolare, la connessione utilizza i contrassegni di autenticazione ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING e ADS_USE_SIGNING.

Per ulteriori informazioni sui contrassegni di autenticazione di Active Directory, visitare la pagina all'indirizzo http://go.microsoft.com/fwlink/?LinkId=79643.

noteNota
Dopo la trasmissione delle informazioni di ripristino, Active Directory non archivia le informazioni di ripristino di BitLocker e del TPM in formato crittografato. Le autorizzazioni relative al controllo di accesso vengono tuttavia impostate in modo che solo gli amministratori di dominio o i delegati appropriati possano leggere le informazioni archiviate quando il server è in linea. Nelle organizzazioni in cui è fondamentale impedire attacchi offline contro i server delle succursali di uffici, è consigliabile attivare BitLocker in tali server dopo averli aggiornati a Windows Server 2008.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft