• Articolo

Sicurezza

Miglioramenti di Crittografia unità BitLocker

Byron Hynes

 

Panoramica:

  • Miglioramenti di BitLocker
  • Reperimento e installazione di BitLocker
  • Uso di BitLocker su un server
  • Considerazioni sulla protezione completa dei dati

Nel numero sulla sicurezza di TechNet Magazine dello scorso anno, sono state illustrate brevemente alcune funzioni di Crittografia unità BitLocker di Windows per indicare come è stato implementato nella versione iniziale di Windows Vista. Ora, con il rilascio di Service Pack 1 per

Windows Vista® e il nuovo sistema operativo Windows Server® 2008, è necessario riesaminare BitLocker®.

In questo articolo, verranno trattate alcune delle modifiche apportate all'ultima versione, verrà fornita una panoramica su come installare e utilizzare BitLocker su un server e verranno prese in esame alcune importanti considerazioni pubblicate in articoli recenti. (Per leggere l'articolo dello scorso anno, "Suggerimenti per la protezione dei dati con Crittografia unità BitLocker", andare all'indirizzo technet.microsoft.com/magazine/cc138009.aspx.)

Novità

Le modifiche introdotte in questa versione di BitLocker garantiscono un nuovo livello di flessibilità senza tuttavia alterare le operazioni di base. Le modifiche che verranno riesaminate riguardano il supporto dei volumi di dati, l'autenticazione a tre fattori per l'accesso ai computer, il supporto di Unified Extensible Firmware Interface (UEFI) e del nuovo firmware standard del settore per i sistemi a 64 bit, la protezione avanzata contro gli attacchi crittografici sui metadati del volume e il sempre maggiore utilizzo del Trusted Platform Module (TPM).

Volumi di dati

Nella versione iniziale di Windows Vista, il Pannello di controllo BitLocker consentiva di attivare la crittografia solo per il volume del sistema operativo Windows® (in genere, l'unità C:). Per molti utenti ciò si rivelava sufficiente, dato che i computer di casa in genere sono configurati con tutti i programmi e i dati dell'utente archiviati sullo stesso volume del sistema operativo. Tuttavia, per le aziende, e in particolare per i server, spesso la situazione è diversa. Di conseguenza, una delle richieste più frequenti avanzate dai clienti era la possibilità di crittografare i volumi di dati, ovvero quei volumi diversi dal volume del sistema operativo e che sono installati nel computer (BitLocker non è progettato per crittografare i supporti rimovibili).

Come mostrato nella Figura 1, su questo computer sono disponibili tre volumi utilizzabili. (In realtà, i volumi sono quattro se si considera anche la piccola partizione attiva utilizzata per l'avvio.) Il mio sistema operativo è installato sull'unità C: (ciò è indicato dal "contrassegno" Windows sull'icona) e sono presenti anche due volumi di dati, ovvero E: e P:. Il volume P: è già stato crittografato con BitLocker e al momento risulta bloccato. Il volume E: non è ancora crittografato. In Windows Vista SP1 e Windows Server 2008, è possibile crittografare e sbloccare questi volumi di dati dall'applet del Pannello di controllo BitLocker.

Figura 1 Interfaccia di BitLocker

Figura 1** Interfaccia di BitLocker **(Fare clic sull'immagine per ingrandirla)

Se il volume del sistema operativo è crittografato con BitLocker, il comportamento predefinito prevede che i volumi di dati crittografati vengano sbloccati ogni volta che si sblocca il volume del sistema operativo. Se si utilizza il Pannello di controllo per sbloccare un volume di dati, questa opzione sarà disponibile sotto forma di casella di controllo, come mostrato nella Figura 2.

Figura 2 Salvataggio delle chiavi per lo sblocco automatico

Figura 2** Salvataggio delle chiavi per lo sblocco automatico **(Fare clic sull'immagine per ingrandirla)

Per attivare o disattivare lo "sblocco automatico" di un volume di dati, è possibile utilizzare lo strumento da riga di comando manage-bde.wsf. Manage-bde.wsf è uno script potente incluso con Windows che utilizza i provider Strumentazione gestione Windows (WMI) sottostanti installati con BitLocker.

Ad esempio, per contrassegnare il volume di dati P: affinché venga sbloccato manualmente, utilizzare il seguente comando:

manage-bde.wsf –autounlock –disable P:

Per riattivare lo sblocco automatico per P:, utilizzare:

manage-bde.wsf –autounlock –enable P:

Il Pannello di controllo BitLocker non espone tutte le funzioni che è possibile eseguire con BitLocker e i volumi di dati e, di conseguenza, è necessario utilizzare l'opzione -? per esplorare i comandi manage-bde.wsf. La sintassi di manage-bde.wsf è inclusa nelle guide "Windows BitLocker Drive Encryption Design Guide" e "Windows BitLocker Deployment Guide", disponibili nell'Area Download Microsoft all'indirizzo go.microsoft.com/fwlink/?LinkId=115215.

TPM+USB+PIN

I clienti desideravano anche utilizzare ulteriori fattori di autenticazione con BitLocker. BitLocker utilizza il chip TPM sul computer per verificare l'integrità della piattaforma, ovvero per controllare che i componenti di avvio iniziali, incluso il BIOS, non siano stati manomessi o danneggiati. Tuttavia, dal rilascio di Windows Vista, è diventato possibile anche richiedere un PIN o la presenza di un'unità flash USB contenente una chiave creata al momento dell'abilitazione di BitLocker.

Con Windows Server 2008 e Windows Vista SP1, si ha la possibilità di utilizzare congiuntamente tutti e tre gli elementi. Il TPM continua a verificare l'integrità della piattaforma, la chiave USB rappresenta "qualcosa di cui si dispone" e il PIN rappresenta "qualcosa di cui si è a conoscenza". Questa configurazione fornisce una protezione avanzata per impedire agli utenti non autorizzati di avviare i computer e sbloccare le unità protette da BitLocker.

Tuttavia, come spesso avviene nel caso della sicurezza, ciò rappresenta un compromesso. Ovviamente, quando BitLocker è configurato in questo modo, un computer non può essere riavviato automaticamente. Nel caso di un server, ad esempio, è necessario stabilire cosa ha la priorità: un riavvio semplice o livelli di protezione più elevati.

Supporto di UEFI

Con Windows Server 2008 e Windows Vista SP1, è stato aggiunto il supporto anche per i computer dotati di Unified Extensible Firmware Interface (UEFI). UEFI è una specifica che rappresenta la versione moderna del BIOS tradizionale utilizzato dalla maggior parte dei computer all'avvio. Per ulteriori informazioni sulla specifica UEFI, visitare il sito www.uefi.org.

Maggiore protezione

Quando BitLocker rileva che il sistema è stato modificato, oppure se un PIN o una chiave USB richiesta non è disponibile all'avvio, viene attivata la modalità di ripristino. Durante il ripristino, i volumi abilitati da BitLocker restano bloccati e viene visualizzata la finestra di dialogo in modalità testo Console di ripristino di emergenza.

Per sbloccare l'unità, è necessario che l'utente immetta una password di ripristino (un numero di 48 cifre) utilizzando la tastiera o un'unità flash USB. (Quando è archiviata su un'unità flash USB, la password a volte è definita "chiave di ripristino" perché è in formato binario e non di testo.)

BitLocker utilizza la password di ripristino per decrittografare le chiavi archiviate nei metadati del volume, ovvero la chiave master del volume (VMK) e la chiave di crittografia dell'intero volume (FVEK), per sbloccare l'unità. Per la riuscita di un ripristino, è necessario che sia disponibile una copia della password di ripristino.

A tale scopo, oltre all'archiviazione eseguita dall'utente (ad esempio, su un'unità flash USB), si consiglia vivamente anche un'archiviazione della password di ripristino a livello centralizzato. Il sistema operativo include la funzionalità per l'archiviazione delle password di ripristino in Servizi di dominio Active Directory® (ADDS).

I segreti archiviati nei metadati del volume, ad esempio la chiave VMK, sono crittografati e l'integrità dei metadati dell'intero volume risulta protetta tramite crittografia. Se BitLocker rileva che i metadati del volume sono stati manomessi, rifiuterà di utilizzarli e non sbloccherà nessuno dei volumi protetti. Tenere presente che la password ripristino non sarà in grado di sbloccare da sola un'unità in questo stato.

È importante evidenziare che questa situazione si verifica solo in presenza di un attacco alla sicurezza intenzionale contro il computer. In una situazione di questo tipo, esistono buone probabilità che il computer sia già caduto nelle mani di un unte malintenzionato e sia fuori dal proprio controllo. Questo problema non deriverà da una semplice modifica non pianificata della piattaforma o dal PIN dimenticato.

Per sbloccare il volume, saranno necessari i tre elementi seguenti:

  • Password di ripristino (come testo da digitare in un'unità flash USB)
  • Pacchetto di chiavi binarie che include le versioni crittografate delle chiavi FVEK e VMK
  • Strumento di ripristino BitLocker

In breve, è necessario che l'azienda abbia sempre la possibilità di accedere a questi elementi.

Il backup della password ripristino può essere eseguito manualmente o automaticamente. Si consiglia di utilizzare l'impostazione Criteri di gruppo per consentire il backup automatico della password di ripristino in Servizi di dominio Active Directory.

Quando si configura questa impostazione, come mostrato nella Figura 3, è necessario includere l'opzione per eseguire il backup del pacchetto di chiavi binarie. Tale pacchetto contiene le versioni crittografate delle chiavi VMK e FVEK, che consentono di utilizzare lo strumento di ripristino BitLocker, se necessario.

Figura 3 Configurazione di Criteri di gruppo per includere i pacchetti di chiavi nelle informazioni di ripristino

Figura 3** Configurazione di Criteri di gruppo per includere i pacchetti di chiavi nelle informazioni di ripristino **(Fare clic sull'immagine per ingrandirla)

Lo strumento di ripristino BitLocker è stato progettato per consentire il ripristino dei dati dai dischi danneggiati che sono stati abilitati da BitLocker. Si tratta di uno strumento avanzato, ideato appositamente per gli amministratori esperti. Per ulteriori informazioni sullo strumento di ripristino BitLocker, leggere l'articolo della Microsoft Knowledge Base all'indirizzo support.microsoft.com/kb/928201 oppure visualizzare il mio webcast "Microsoft BitLocker in the Enterprise: BitLocker Tools to Make Your Life Easier" (che include una demo in diretta) all'indirizzo go.microsoft.com/fwlink/?LinkId=114985.

A questo punto, è opportuno ricordare che BitLocker non elimina la necessità di eseguire il backup dei dati. Se il disco è danneggiato o ha subito un attacco intenzionale, non si avrà la certezza che lo strumento di ripristino BitLocker riesca a ripristinare tutti i dati.

Maggiore uso del TPM

Pur non trattandosi di una vera e propria novità introdotta in BitLocker, vale comunque la pena prenderla in considerazione. Prima di SP1, l'unica parte del sistema operativo Windows che utilizzava il TPM era BitLocker, mentre ora viene utilizzato anche per altre funzioni. Quando Windows individua un TPM disponibile, lo utilizza come una fonte di maggiore entropia durante la generazione dei numeri causali. Ciò migliora la qualità di tutti i tipi di crittografia (e consente di far funzionare meglio anche tutto il resto).

Tuttavia, ciò vuol dire anche che non tutti gli eventi correlati al TPM e mostrati nel Visualizzatore eventi sono necessariamente correlati a BitLocker. Un professionista IT ha la responsabilità di accertarsi che tutti gli altri componenti del sistema, e l'eventuale software di altri fornitori, possano utilizzare e utilizzino effettivamente il TPM e che, di conseguenza, consentano la registrazione degli eventi.

BitLocker in Windows Server 2008

Data la base di codice condivisa tra Windows Vista e Windows Server 2008, le modifiche di BitLocker introdotte in SP1 possono essere considerate parte integrante di Windows Server 2008. Ma perché BitLocker è tanto importante su un server? Dopo tutto, BitLocker è progettato per proteggere un computer dagli attacchi offline. Pertanto, BitLocker non offre alcuna protezione a un sistema in esecuzione e si presume che, ovviamente, i server restino in esecuzione ininterrottamente.

Quando viene disattivato, esistono casi in cui un server, o un disco rigido di un server, può essere esposto a un attacco offline. Anche se l'attacco non si verifica, BitLocker può rivelarsi estremamente utile al momento di rimuovere le autorizzazioni di un server o disco rigido, come verrà illustrato più avanti. Osserviamo prima di tutto come installare ed eseguire BitLocker su un server.

Reperimento e installazione di BitLocker

BitLocker è incluso in tutte le edizioni di Windows Server 2008, ma è un componente, o una funzione, opzionale da installare da Server Manager o dalla riga di comando. BitLocker viene implementato, in parte, come driver di filtro NTFS. L'installazione di questo driver di filtro richiede un riavvio del computer e, di conseguenza, l'attivazione di BitLocker su un server richiederà un riavvio. Inoltre, come con Windows Vista, BitLocker richiede una configurazione con carico separato, in cui la partizione attiva utilizzata per avviare il computer resti non crittografata. Lo strumento Preparazione unità BitLocker consente di configurare correttamente i dischi rigidi per il supporto di BitLocker se il server non risulta preconfigurato dal produttore. Tuttavia, se si è esperti del partizionamento dei dischi rigidi, è possibile configurarli manualmente.

Per installare BitLocker in Windows Server 2008, è possibile utilizzare l'interfaccia grafica di Server Manager per selezionare BitLocker dall'elenco di funzioni, come mostrato nella Figura 4, oppure è possibile utilizzare l'interfaccia della riga di comando di Server Manager, generando il comando:

Figura 4 Selezione di BitLocker in Server Manager

Figura 4** Selezione di BitLocker in Server Manager **(Fare clic sull'immagine per ingrandirla)

ServerManagerCmd –install BitLocker –restart

Quando si utilizza Server Manager, vengono installati BitLocker e i corrispondenti strumenti di gestione. È possibile inoltre installare i componenti di gestione senza installare BitLocker. Ciò evita la necessità di un riavvio dato che il driver di filtro non è incluso. Il nome di questo componente è "RSAT-BitLocker".

BitLocker funziona alla perfezione sui computer in cui è in esecuzione l'opzione di installazione Server Core, ma non è possibile utilizzare Server Manager per installare BitLocker su Server Core oppure l'interfaccia utente grafica per gestire BitLocker su Server Core. Per installare i componenti, è invece possibile utilizzare lo strumento da riga di comando pkgmgr o ocsetup.

Dopo aver installato i file binari di BitLocker e configurato i dischi nella configurazione con carico separato, è possibile abilitare BitLocker sul volume del sistema operativo. In Windows Server 2008, l'applet del Pannello di controllo BitLocker fornisce le stesse icone e opzioni fornite in Windows Vista SP1. Per abilitare le modalità avanzate di BitLocker, sarà necessario regolare le impostazioni predefinite utilizzando l'editor dei criteri locali o un oggetto Criteri di gruppo valido per il server.

Su Server Core, oppure se semplicemente non si desidera utilizzare il Pannello di controllo, è possibile utilizzare manage-bde.wsf per abilitare BitLocker. Per abilitare BitLocker sull'unità C:, digitare

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

dove C: rappresenta il volume da crittografare e F:\ rappresenta una chiave USB o un altro volume in cui verrà archiviata una copia della chiave di ripristino (in formato binario). È anche possibile utilizzare un percorso UNC per archiviare la chiave di ripristino su un'unità di rete. Verrà generata e visualizzata anche una password di ripristino (in formato di testo numerico). Se si è certi che la piattaforma hardware soddisfa tutti i requisiti di BitLocker, è possibile aggiungere il parametro –skiphardwaretest. In questo modo, verrà evitato il riavvio.

Scenari per i server

Prendiamo ora in considerazione alcuni scenari specifici in cui BitLocker si rivela utile per i server. È opportuno ricordare che BitLocker è stato progettato per fornire una protezione dagli attacchi offline, ovvero quei tipi di attacchi realizzati quando Windows non è in esecuzione.

Succursali L'uso di BitLocker su un server si rivela utile nell'ambito della strategia di distribuzione in succursali di Windows Server 2008. Circa un terzo/quarto dei server viene installato nelle succursali, ovvero in uffici con un minore livello di sicurezza fisica, accesso al supporto IT e, probabilmente, connettività ai centri dati. Tra l'altro, le succursali risultano anche il luogo ideale per gli attacchi. Insieme a funzioni quali i controller di dominio di sola lettura, BitLocker consente di proteggere i dati sensibili che devono essere archiviati in una succursale, anche se non si tratta dello stesso livello di sicurezza garantito in un centro dati.

Passiamo ora ad illustrare il livello di protezione appropriato. Cosa si rivela più importante: prevenire un accesso non autorizzato ai dati oppure che un server torni immediatamente operativo senza alcun intervento da parte degli utenti? Il mio parere è che in molte succursali è opportuno richiedere l'immissione di un PIN per il riavvio di un server, anche se la decisione deve spettare all'azienda.

Spedizione di dischi È spesso necessario spedire i dati archiviati in un disco rigido a una destinazione distante. Ciò può comportare la spedizione di un singolo disco oppure la preconfigurazione e la spedizione dell'intero server. Durante la spedizione, i dati contenuti nei dischi risultano non controllati ed è possibile che vengano copiati, perduti o rubati.

Per attenuare questo rischio, è sufficiente abilitare BitLocker sui volumi del computer prima della spedizione e, quindi, rimuovere tutte le protezioni con chiave, ad eccezione di una chiave o password di ripristino. Tale chiave o password può essere spedita separatamente dal server oppure comunicata telefonicamente o tramite un messaggio di posta elettronica crittografato al personale del luogo di destinazione. Dopo aver ricevuto il computer o il disco, la password di ripristino consente di sbloccare l'unità. L'unità può rimanere crittografata (riaggiungendo qualsiasi altra protezione con chiave) oppure può essere decrittografata completamente dopo la spedizione, se lo si desidera.

Questo è un metodo particolarmente efficace per la gestione dei server e dei controller di dominio delle succursali.

Furto di un server Come già messo in evidenza nella sezione precedente, i server (soprattutto i controller di dominio) sono esposti al rischio reale di furto. Può capitare che dei ladri si approprino di un portatile, ma un server può essere un bersaglio molto più ambito. Se BitLocker è configurato per richiedere solo il controllo di integrità TPM, il server rubato potrebbe essere semplicemente accesso e avviato. Al contrario, se le unità in un server sono protette con BitLocker e quest'ultimo è configurato in una modalità avanzata (ovvero, richiede una chiave USB, un PIN o entrambi), sarà molto difficile per i ladri riuscire ad appropriarsi delle informazioni in un lasso di tempo relativamente breve.

Furto di un disco Se un disco viene rubato, il TPM fornisce sempre un livello elevato di protezione. Solo il TPM del server originale può essere utilizzare per bloccare l'unità protetta da BitLocker; di conseguenza, non sarà possibile inserire semplicemente il disco in un altro computer e leggerne i dati.

Minore esposizione ai rischi Ordinando l'hardware per server che include un chip TPM e utilizzando il controllo di integrità della piattaforma BitLocker, è possibile aumentare il livello di protezione da alcuni tipi di malware. In particolare, BitLocker rileverà le modifiche apportate quando Windows è offline oppure quelle introdotte a componenti di avvio iniziali, soprattutto se per l'installazione del malware (ad esempio, un rootkit) è necessario un riavvio. Sebbene questa non sia una soluzione definitiva, se combinata con funzioni come l'integrità del codice di Windows e prodotti come Microsoft® ForefrontTM Client Security, consente di implementare una strategia di difesa in profondità efficace.

Rimozione sicura delle autorizzazioni Uno degli scenari in cui BitLocker si rivela molto utile è alla fine del ciclo di vita di un server o disco. Quante volte si è sentito parlare di utenti che si disfano dei server, o dei i loro dischi, senza rimuoverne le autorizzazioni nel modo corretto? Sapevate che i dischi rigidi usati vendono venduti meglio nei siti di aste di quelli nuovi perché acquirenti privi di scrupoli sperano di accaparrarsi le informazioni preziose in essi contenute?

Fortunatamente, anziché dovere intraprendere un processo oneroso in termini di tempi e denaro per rimuovere dal disco i dati ancora utili, BitLocker consente di agire diversamente. Fondamentalmente, le informazioni non vengono mai scritte nel disco in un formato utile. Considerato che i dati crittografati sono inutilizzabili, è possibile rimuovere tutte le informazioni importanti in modo semplice e rapido. Dopo questa operazione, la sorte dell'hardware del disco non ha più alcuna importanza; può essere venduto, riciclato, riutilizzato o altro ancora senza il timore che i dati possano finire nelle mani sbagliate.

In Windows Vista e Windows Server 2008, il comando di formattazione è stato aggiornato per cancellare le chiavi di BitLocker, incluse le sovrascritture multiple. In questo modo, si avrà ora disposizione un metodo semplice ed efficace per rimuovere le autorizzazioni di un'unità.

Informazioni recenti

Durante la scrittura di questo articolo, avvenuta alcune settimane prima della sua pubblicazione, una serie di recenti articoli, documenti e report hanno illustrato alcune interessanti caratteristiche relative all'hardware e il loro impatto su BitLocker, altre funzioni di sicurezza di Windows e ulteriori prodotti di crittografia di diversi fornitori. Soffermiamoci ora ad analizzare alcune di queste pubblicazioni.

Uno di questi documenti è stato pubblicato dai ricercatori della Princeton University che hanno dimostrato (in modo straordinario!) una caratteristica della memoria dei computer moderni definita anche "residuo di dati nella DRAM" (disponibile all'indirizzo citp.princeton.edu/pub/coldboot.pdf). In parole semplici, è possibile accedere al contenuto della memoria del computer per un determinato periodo di tempo dopo la disattivazione della memoria stessa. BitLocker, naturalmente, mantiene le chiavi per decrittografare i dati nella memoria durante l'esecuzione di Windows e il problema riguarda la possibilità che utenti non autorizzati si approprino delle chiavi.

Un'altra ricerca condotta da Adam Boileau (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) ha dimostrato come lo standard IEEE 1394 (noto come FireWire) consenta l'accesso diretto alla memoria (DMA), che può essere utilizzata per acquisire i segreti da Windows, quali password o chiavi di decrittografia. Il punto interessante è che il DMA è esattamente lo scopo dello standard IEEE 1394; non si tratta di un difetto, ma piuttosto del motivo specifico per il quale è stato progettato il FireWire.

L'elemento in comune di questi attacchi è che richiedono l'accesso fisico a un computer in esecuzione al momento o che lo sia stato di recente. BitLocker non è progettato per fornire una protezione contro gli attacchi online e non elimina la necessità di un livello di sicurezza fisica. Una corretta strategia di difesa in profondità richiede l'uso di una serie di strumenti e funzioni, la creazione di un ambiente di sicurezza fisica, la definizione di criteri aziendali essenziali e una formazione continua degli utente.

Quelle menzionate non sono delle vere e proprie novità. Sono caratteristiche conosciute da tempo e, in effetti, sono trattate nel Microsoft® Data Encryption Toolkit (DET). L'analisi dei rischi fornita nel DET ha l'obiettivo di consentire ai clienti di raggiungere un equilibrio tra fattori quali la sicurezza, l'utilizzabilità e i costi di implementazione e gestione. Non si tratta di una cosa da poco. Riteniamo che dei clienti con una buona formazione possano decidere meglio in merito ai compromessi da raggiungere tra sicurezza, utilizzabilità e costi.

Oltre al DET, alcuni dei miei colleghi hanno fornito informazioni aggiuntive e una raccolta di commenti davvero preziose. In primo luogo, Russ Humphries ha illustrato i compromessi relativi alla sicurezza nel contesto del "residuo di dati nella DRAM" sul suo blog all'indirizzo go.microsoft.com/fwlink/?LinkId=115217. Quindi, Douglas MacIver ha trattato ulteriori contromisure e operazioni di configurazione che è possibile eseguire oggi sul blog di System Integrity (SI) all'indirizzo go.microsoft.com/fwlink/?LinkId=115218. Si consiglia vivamente di leggere con attenzione questi due blog preziosi. Sarebbe inoltre opportuno leggere anche il DET.

Il suggerimento fondamentale è quello di utilizzare una modalità avanzata (ovvero, una che richiede una chiave USB o un PIN) e di non lasciare un computer non presidiato in modalità sospensione (attivare invece lo stato di ibernazione).

Conclusioni

BitLocker resta una delle funzioni più preziose di Windows Vista. Con il rilascio di SP1, è stato potenziato sulla base dei commenti e suggerimenti dei clienti per abilitare un maggior numero di scenari e soddisfare una più ampia serie di esigenze di protezione dei dati. Il miglioramento della protezione dei dati in Windows Server 2008 offre nuovi modi per proteggere i dati e mantenere la conformità nei casi in cui i dati siano archiviati nei server o nelle workstation client, nel centro dati, nella succursale o con un utente che opera tramite il telelavoro.

Byron Hynes è un Enterprise Technology Strategist di Enterprise and Partner Group (EPG) presso Microsoft, che si occupa delle funzioni e dei prodotti di sicurezza. Prima dell'assunzione in EPG, ha lavorato nella divisione Windows Server e utilizza BitLocker (System Integrity) dal 2005. Sarà lieto di ricevere eventuali commenti e domande da parte vostra. È possibile contattarlo presso Tech•Ed 2008 oppure inviargli un messaggio di posta elettronica all'indirizzo bhynes@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.