Panoramica di BitLocker
Si applica a: Windows Server 2012, Windows 8
Questo argomento fornisce una panoramica generale di BitLocker, incluso un elenco di funzionalità nuove e modificate, di requisiti di sistema, di applicazioni pratiche e di funzionalità deprecate. Contiene collegamenti a contenuti aggiuntivi che forniscono altre informazioni sull'uso di BitLocker.
Argomenti correlati
Descrizione delle funzionalità
Crittografia unità BitLocker è una funzionalità di protezione dati del sistema operativo resa disponibile per la prima volta in Windows Vista. Nelle versioni successive del sistema operativo la sicurezza offerta da BitLocker è stata costantemente migliorata per consentire al sistema operativo di fornire la protezione di BitLocker ad altri dispositivi e unità. L'integrazione di BitLocker nel sistema operativo consente di eliminare i rischi di furto o esposizione dei dati in caso di smarrimento, furto o rimozione inappropriata delle autorizzazioni di un computer. Manage-bde è lo strumento da riga di comando che può essere usato anche per eseguire attività sul computer correlato a BitLocker. Quando si installa il componente facoltativo BitLocker in un server, sarà necessario installare anche la funzionalità Archiviazione avanzata, usata per supportare le unità hardware crittografate. Un'altra funzionalità di BitLocker che può essere installata nei server è lo sblocco di rete via BitLocker. I computer che eseguono Windows RT, Windows RT 8.1 o Windows 8.1 possono essere protetti usando Crittografia dispositivo, una versione personalizzata di BitLocker.
BitLocker offre la maggior parte della protezione quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. TPM è un componente hardware installato in molti computer recenti dai produttori. Usa BitLocker per la protezione dei dati utente e per assicurare che un computer non sia stato manomesso mentre il sistema era offline.
Sui computer senza TPM versione 1.2 o successiva, è ugualmente possibile usare BitLocker per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiederà all'utente di inserire una chiave di avvio USB per avviare il computer o riavviare il sistema dallo stato di ibernazione. In Windows 8 l'uso di una password è un'altra opzione per proteggere il volume del sistema operativo su un computer senza TPM. Entrambe le opzioni non permettono la verifica dell'integrità del sistema prima dell'avvio offerta da BitLocker con un modulo TPM.
Oltre al modulo TPM, BitLocker consente di bloccare il normale processo di avvio finché l'utente non fornisce un PIN o inserisce un dispositivo rimovibile, ad esempio un'unità flash USB, contenente una chiave di avvio. Queste misure di sicurezza aggiuntive garantiscono l'autenticazione a più fattori e la certezza che il computer non verrà avviato o riattivato dalla modalità di ibernazione fino a quando non appaiono il PIN o la chiave di avvio corretta.
Applicazioni pratiche
In caso di smarrimento o furto di un computer, i dati presenti sono esposti a rischi di accesso non autorizzato tramite l'esecuzione di uno strumento di attacco software direttamente in tale computer o il trasferimento del disco rigido in un computer diverso. BitLocker contribuisce a ridurre gli accessi non autorizzati ai dati migliorando le protezioni file e sistema. BitLocker consente inoltre di rendere inaccessibili i dati quando computer protetti con BitLocker vengono ritirati o riciclati.
Strumenti di amministrazione remota del server include due nuovi strumenti per la gestione di BitLocker.
Visualizzatore password di ripristino BitLocker. Visualizzatore password di ripristino BitLocker consente di individuare e visualizzare le password di ripristino di Crittografia unità BitLocker di cui è stato eseguito il backup in Servizi di dominio Active Directory. Può inoltre essere utilizzato per recuperare dati archiviati in un'unità crittografata mediante BitLocker. Lo strumento Visualizzatore password di ripristino BitLocker è un'estensione dello snap-in Utenti e computer di Active Directory di Microsoft Management Console (MMC).
Utilizzando tale strumento, è possibile esaminare la finestra di dialogo Proprietà di un oggetto computer per visualizzare le password di ripristino BitLocker corrispondenti. È inoltre possibile fare clic con il pulsante destro del mouse su un contenitore di dominio e quindi cercare una password di ripristino di BitLocker in tutti i domini della foresta di Active Directory. Le password di ripristino sono visualizzabili solo dall'amministratore di dominio o da un utente a cui l'amministratore di dominio ha delegato le autorizzazioni.
Strumenti Crittografia unità BitLocker. Strumenti Crittografia unità BitLocker include gli strumenti da riga di comando manage-bde e repair-bde, nonché i cmdlet di BitLocker per Windows PowerShell. Sia manage-bde che i cmdlet di BitLocker consentono di eseguire tutte le attività disponibili nel pannello di controllo di BitLocker e si prestano a essere utilizzate nelle distribuzioni automatiche e in altri scenari che prevedono l'esecuzione di script. Repair-bde è progettato per essere utilizzato nei casi di ripristino di emergenza in cui non è possibile sbloccare normalmente o mediante la console di ripristino un'unità protetta con BitLocker.
Funzionalità nuove e modificate
La tabella seguente identifica le funzionalità nuove e modificate per BitLocker in Windows 8 e Windows Server 2012. Vedere Novità di BitLocker.
Caratteristica/funzionalità |
Windows 7 |
Windows 8 e Windows Server 2012 |
|---|---|---|
Reimpostare la password o il PIN di BitLocker |
Sono necessari i privilegi di amministratore per reimpostare il PIN di BitLocker su un'unità del sistema operativo e la password su un'unità dati fissa o rimovibile. |
Gli utenti standard possono reimpostare il PIN di BitLocker e la password su unità di sistemi operativi, unità dati fisse e unità dati rimovibili. |
Crittografia disco |
Quando BitLocker è abilitato, viene crittografato l'intero disco. |
Quando BitLocker è abilitato, è possibile scegliere di crittografare l'intero disco o solo lo spazio usato sul disco. Man mano che lo spazio su disco verrà utilizzato, il disco sarà crittografato. |
Supporto di unità hardware crittografate |
Non supportato in modalità nativa da BitLocker. |
BitLocker supporta i dischi rigidi con il logo Windows precrittografati dal produttore. |
Sblocco con una chiave basata su rete per fornire l'autenticazione a due fattori |
Non disponibile. Per l'autenticazione a due fattori, è necessaria la presenza fisica al computer. |
Nuovo tipo di protezione con chiave che consente di utilizzare una speciale chiave di rete per sbloccare e ignorare la richiesta di inserimento del PIN in situazioni in cui i computer vengono riavviati su reti cablate attendibili. Rende possibile la manutenzione di computer protetti mediante PIN in modalità remota al di fuori dell'orario lavorativo e fornisce autenticazione a due fattori senza richiedere la presenza fisica di un operatore presso il computer, continuando a garantire che l'autenticazione utente sia richiesta quando il computer non è connesso alla rete attendibile. |
Protezione per i cluster |
Non disponibile. |
Windows Server 2012 include il supporto di BitLocker per i volumi condivisi cluster di Windows e i cluster di failover di Windows eseguiti nel dominio stabilito da un controller di dominio di Windows Server 2012 che ha abilitato il servizio Centro distribuzione chiavi Kerberos. |
Collegamento di una protezione con chiave BitLocker a un account Active Directory |
Non disponibile. |
Consente di collegare una protezione con chiave BitLocker a un account utente, gruppo o computer in Active Directory. Tale protezione con chiave può essere usata per sbloccare i volumi di dati protetti con BitLocker quando un utente ha eseguito l'accesso con le credenziali corrette o ha effettuato l'accesso a un computer con le credenziali corrette. |
Funzionalità rimosse o deprecate
Non è più possibile aggiungere l'opzione di diffusione all'algoritmo di crittografia Advanced Encryption Standard (AES).
L'impostazione di Criteri di gruppo "Configurazione profilo di convalida della piattaforma TPM " è deprecata in Windows 8 e Windows Server 2012. È stata sostituita con i criteri specifici del sistema per i computer basati su BIOS e su UEFI.
L'opzione –tpm non è più supportata da manage-bde.
Requisiti di sistema
I requisiti hardware per BitLocker sono i seguenti:
Affinché BitLocker possa utilizzare la verifica dell'integrità del sistema offerta da un TPM (Trusted Platform Module), è necessario che nel computer sia installato TPM 1.2 o TPM 2.0. In caso contrario, per attivare BitLocker è necessario salvare una chiave di avvio in un dispositivo rimovibile, ad esempio un'unità flash USB.
In un computer con un TPM è inoltre necessario che sia installato un firmware UEFI o un BIOS conforme alle specifiche del Trusted Computing Group (TCG). Il BIOS o il firmware UEFI stabilisce una catena di certificati per l'avvio preliminare al sistema operativo e deve includere il supporto per SRTM (Static Root of Trust Measurement) in base alle specifiche del TCG. Un computer senza un TPM non richiede un firmware conforme alle specifiche del TCG.
Il firmware UEFI o il BIOS di sistema deve supportare, per computer con o senza TPM, la classe di dispositivi di archiviazione di massa USB, inclusa la lettura di piccoli file in un'unità flash USB nell'ambiente preliminare al sistema operativo. Per altre informazioni su USB, vedere le specifiche per l'archiviazione di massa USB Bulk-Only e UFI Command nel sito Web USB.
Il disco rigido deve essere partizionato con almeno due unità:
L'unità del sistema operativo, o unità di avvio, contiene il sistema operativo e i relativi file di supporto. Deve essere formattata con il file system NTFS.
L'unità di sistema contiene i file necessari per il caricamento di Windows dopo che il firmware ha preparato l'hardware del sistema. BitLocker non è abilitato in questa unità. Affinché BitLocker funzioni, è necessario che l'unità di sistema non sia crittografata, sia diversa dall'unità del sistema operativo e sia formattata con il file system FAT32 nei computer che usano firmware basato su UEFI o con il file system NTFS nei computer che usano firmware BIOS. La dimensione consigliata per l'unità di sistema è di circa 350 MB. In BitLocker devono essere disponibili circa 250 MB di spazio libero dopo l'attivazione.
Quando viene installato in un nuovo computer, le partizioni necessarie per BitLocker vengono create automaticamente da Windows.
In questa raccolta
Novità di BitLocker per Windows 8 e Windows Server 2012 [reindirizzamento]
BitLocker: Utilizzare strumenti crittografia unità BitLocker per gestire BitLocker
BitLocker: Utilizzare il Visualizzatore Password di ripristino di BitLocker
Protezione dei cluster condivisi volumi e le reti SAN con BitLocker