Distribuzione di base di BitLocker
Questo argomento, destinato ai professionisti IT, spiega come usare le funzionalità di BitLocker per proteggere i dati tramite la crittografia unità.
Le sezioni seguenti offrono informazioni che ti aiuteranno a preparare il piano di distribuzione di base per l'implementazione di BitLocker nell'organizzazione:
Uso di BitLocker per crittografare volumi
Compatibilità con le versioni precedenti
Uso di manage-bde per crittografare volumi con BitLocker
Uso di PowerShell per crittografare volumi con BitLocker
Uso di BitLocker per crittografare volumi
BitLocker offre la crittografia dell'intero volume (FVE, Full Volume Encryption) per i volumi del sistema operativo, nonché per i volumi di dati fissi e rimovibili. Per supportare la crittografia dell'intero volume del sistema operativo, BitLocker usa un volume di sistema non crittografato per i file necessari per l'avvio, la decrittografia e il caricamento del sistema operativo. Questo volume viene creato automaticamente durante una nuova installazione dei sistemi operativi client e server.
Nel caso in cui l'unità sia stata preparata come un unico spazio contiguo, BitLocker richiede un nuovo volume in cui inserire i file di avvio. BdeHdCfg.exe può creare questi volumi.
Nota
Per altre info sull'uso di questo strumento, vedi Bdehdcfg nella documentazione di riferimento sulla riga di comando.
La crittografia BitLocker può essere eseguita usando i metodi seguenti:
Pannello di controllo BitLocker
Esplora risorse
Interfaccia della riga di comando manage-bde
Cmdlet di Windows PowerShell per BitLocker
Crittografia dei volumi con il Pannello di controllo BitLocker
La crittografia dei volumi con il Pannello di controllo BitLocker rappresenta la modalità di utilizzo di BitLocker comune per molti utenti. Il nome del Pannello di controllo BitLocker è Crittografia unità BitLocker. Il Pannello di controllo BitLocker supporta la crittografia dei volumi del sistema operativo e dei volumi di dati fissi e rimovibili. Il Pannello di controllo BitLocker organizza le unità disponibili nella categoria appropriata in base al modo in cui un dispositivo segnala la sua presenza in Windows. Solo i volumi formattati con lettere di unità assegnate verranno visualizzati correttamente nell'applet Pannello di controllo di BitLocker.
Per avviare la crittografia di un volume, seleziona Attiva BitLocker per l'unità appropriata per inizializzare la Crittografia guidata unità BitLocker. Le opzioni della Crittografia guidata unità BitLocker variano in base al tipo di volume (volume del sistema operativo o di dati).
Volume del sistema operativo
All'avvio, la Crittografia guidata unità BitLocker verifica che il computer soddisfi i requisiti di sistema di BitLocker per la crittografia di un volume del sistema operativo. Per impostazione predefinita, i requisiti di sistema sono i seguenti:
| Requisito | Descrizione |
|---|---|
Configurazione hardware |
Il computer deve soddisfare i requisiti minimi per le versioni supportate di Windows. |
Sistema operativo |
BitLocker è una funzionalità facoltativa che può essere installata da Server Manager in Windows Server 2012 e versioni successive. |
TPM Hardware |
TPM versione 1.2 o 2.0 BitLocker non richiede necessariamente un TPM (Trusted Platform Module). Tuttavia, solo un computer con un TPM può offrire la sicurezza aggiuntiva dell'autenticazione a più fattori e della verifica dell'integrità del sistema prima dell'avvio. |
Configurazione BIOS |
|
File system |
Per i computer con avvio nativo con firmware UEFI, almeno una partizione FAT32 per l'unità di sistema e una partizione NTFS per l'unità del sistema operativo. Per i computer con firmware BIOS legacy, almeno due partizioni del disco NTFS, una per l'unità di sistema e una per l'unità del sistema operativo. Per entrambi i firmware, la partizione dell'unità di sistema deve essere almeno di 350 megabyte (MB) e impostata come partizione attiva. |
Prerequisiti dell'unità con crittografia hardware (facoltativo) |
Per usare un'unità con crittografia hardware come unità di avvio, l'unità deve essere nello stato non inizializzato e con sicurezza inattiva. Il sistema deve inoltre essere sempre avviato con la versione UEFI 2.3.1 nativa o successiva e con il modulo CSM (Compatibility Support Module) disabilitato, se presente. |
Dopo la configurazione iniziale, gli utenti devono immettere una password per il volume. Se la configurazione iniziale del volume per BitLocker non riesce, viene visualizzata una finestra di dialogo di errore che descrive le azioni da eseguire.
Dopo la creazione di una password complessa per il volume, viene generata una chiave di ripristino. La Crittografia guidata unità BitLocker chiederà un percorso per il salvataggio della chiave. Una chiave di ripristino di BitLocker è una chiave speciale che puoi creare quando attivi Crittografia unità BitLocker per la prima volta in ogni unità da crittografare. Puoi usare la chiave di ripristino per accedere al computer se l'unità in cui è installato Windows (unità del sistema operativo) è crittografata con Crittografia unità BitLocker e BitLocker rileva una condizione che impedisce di sbloccare l'unità all'avvio nel computer. Puoi usare una chiave di ripristino anche per accedere a file e cartelle in un'unità dati rimovibile (ad esempio un'unità disco rigido esterna o un'unità flash USB) crittografata con BitLocker To Go, se per qualche motivo dimentichi la password o il computer non può accedere all'unità.
Archivia la chiave di ripristino stampandola, salvandola su supporti rimovibili o salvandola come file in una cartella di rete oppure in OneDrive o in un'altra unità del computer non crittografata. Non puoi salvare la chiave di ripristino nella directory radice di un'unità non rimovibile né nel volume crittografato. Non puoi salvare la chiave di ripristino per un'unità dati rimovibile (ad esempio un'unità flash USB) su supporti rimovibili. L'ideale sarebbe archiviare la chiave di ripristino in una posizione diversa dal computer. Dopo aver creato una chiave di ripristino, puoi usare il Pannello di controllo BitLocker per eseguire copie aggiuntive.
Quando la chiave di ripristino è stata archiviata in modo corretto, la Crittografia guidata unità BitLocker chiede all'utente di scegliere come crittografare l'unità. Ci sono due opzioni:
Applica crittografia solo allo spazio utilizzato del disco: la crittografia viene applicata solo allo spazio del disco contenente dati
Applica crittografia all'intera unità: la crittografia viene applicata all'intero volume, incluso lo spazio libero
È consigliabile che le unità con pochi dati o senza dati usino l'opzione Applica crittografia solo allo spazio utilizzato del disco e che le unità contenenti dati o un sistema operativo usino l'opzione Applica crittografia all'intera unità.
Nota
I file eliminati vengono visualizzati come spazio libero per il file system, che non viene crittografato con l'opzione Applica crittografia solo allo spazio utilizzato del disco. Fino a quando non vengono cancellati o sovrascritti, i file eliminati contengono informazioni che possono essere recuperate con strumenti comuni di analisi forense dei dati.
Selezionando un tipo di crittografia e facendo clic su Avanti l'utente può scegliere se eseguire un controllo del sistema BitLocker (selezionato per impostazione predefinita) che garantisce che BitLocker possa accedere correttamente alle chiavi di crittografia e ripristino prima di avviare la crittografia del volume. È consigliabile eseguire questo controllo del sistema prima di avviare il processo di crittografia. Se il controllo del sistema non viene eseguito e si verifica un problema durante il tentativo di avvio del sistema operativo, l'utente dovrà fornire la chiave di ripristino per avviare Windows.
Dopo il completamento del controllo del sistema (se selezionato), la Crittografia guidata unità BitLocker riavvierà il computer per iniziare la crittografia. Al riavvio, gli utenti devono immettere la password scelta per l'avvio nel volume del sistema operativo. Gli utenti possono controllare lo stato della crittografia nell'area di notifica del sistema o nel Pannello di controllo BitLocker.
Fino a quando la crittografia non è stata completata, le uniche opzioni disponibili per la gestione di BitLocker riguardano la modifica della password che protegge il volume del sistema operativo, il backup della chiave di ripristino e la disattivazione di BitLocker.
Volume di dati
La crittografia dei volumi di dati con l'interfaccia del Pannello di controllo BitLocker funziona in modo analogo a quella dei volumi del sistema operativo. Gli utenti selezionano Attiva BitLocker nel pannello di controllo per avviare la Crittografia guidata unità BitLocker.
A differenza dei volumi del sistema operativo, i volumi di dati non devono superare test di configurazione per consentire l'esecuzione della procedura guidata. All'avvio della procedura guidata, vengono visualizzati i metodi di autenticazione tra cui è possibile scegliere per sbloccare l'unità. Le opzioni disponibili sono Password, Smart card e Sblocca automaticamente l'unità nel computer. L'ultima opzione è disabilitata per impostazione predefinita e consente di sbloccare il volume di dati senza input dell'utente quando il volume del sistema operativo è sbloccato.
Dopo aver selezionato il metodo di autenticazione desiderato e aver scelto Avanti, la procedura guidata presenta le opzioni per l'archiviazione della chiave di ripristino. Queste opzioni sono uguali a quelle per i volumi del sistema operativo.
Facendo clic su Avanti dopo aver salvato la chiave di ripristino, nella procedura guidata verranno visualizzate le opzioni disponibili per la crittografia. Queste opzioni sono uguali a quelle per i volumi del sistema operativo, Applica crittografia solo allo spazio utilizzato del disco e Applica crittografia all'intera unità. Se il volume crittografato è nuovo o vuoto, è consigliabile selezionare solo la crittografia dello spazio utilizzato.
Dopo la scelta del metodo di crittografia, viene visualizzata una schermata di conferma finale prima dell'avvio del processo di crittografia. Selezionando Avvia crittografia, il processo viene avviato.
Lo stato della crittografia è visualizzato nell'area di notifica o nel Pannello di controllo BitLocker.
Opzione OneDrive
È disponibile una nuova opzione per archiviare la chiave di ripristino di BitLocker usando OneDrive. Questa opzione richiede che i computer non siano membri di un dominio e che l'utente usi un account Microsoft. Gli account locali non consentono di usare OneDrive. L'uso dell'opzione OneDrive è il metodo di archiviazione della chiave di ripristino predefinito e consigliato per i computer non appartenenti a un dominio.
Gli utenti possono verificare che la chiave di ripristino sia stata salvata correttamente controllando la cartella BitLocker in OneDrive, che viene creata automaticamente durante il processo di salvataggio. La cartella conterrà due file, un file readme.txt e la chiave di ripristino. Gli utenti che archiviano più di una password di ripristino in OneDrive possono identificare la chiave di ripristino necessaria in base al nome file. L'ID della chiave di ripristino viene aggiunto alla fine del nome file.
Uso di BitLocker in Esplora risorse
Esplora risorse consente agli utenti di avviare la Crittografia guidata unità BitLocker facendo clic con il pulsante destro del mouse su un volume e scegliendo Attiva BitLocker. Questa opzione è disponibile nei computer client per impostazione predefinita. Nei server, affinché questa opzione sia disponibile è prima necessario installare le funzionalità BitLocker ed Esperienza desktop. Dopo aver selezionato Attiva BitLocker, la procedura guidata funziona esattamente come quando viene avviata dal Pannello di controllo BitLocker.
Compatibilità con le versioni precedenti
La tabella seguente mostra la matrice di compatibilità per i sistemi che sono stati abilitati per BitLocker e in cui viene installata una versione diversa di Windows.
Tabella 1: Compatibilità tra volumi crittografati Windows 10, Windows 8.1, Windows 8 e Windows 7
Tipo di crittografia |
Windows 10 e Windows 8.1 |
Windows 8 |
Windows 7 |
Crittografia dell'intero volume in Windows 8 |
Presentato come interamente crittografato |
N/D |
Presentato come interamente crittografato |
Crittografia solo dello spazio utilizzato del disco in Windows 8 |
Presentato come in modalità di crittografia in scrittura |
N/D |
Presentato come interamente crittografato |
Volume interamente crittografato in Windows 7 |
Presentato come interamente crittografato |
Presentato come interamente crittografato |
N/D |
Volume parzialmente crittografato in Windows 7 |
Windows 10 e Windows 8.1 applicano la crittografia indipendentemente dai criteri |
Windows 8 applica la crittografia indipendentemente dai criteri |
N/D |
Crittografia dei volumi con l'interfaccia della riga di comando manage-bde
Manage-bde è un'utilità da riga di comando che è possibile usare per lo scripting di operazioni di BitLocker. Manage-bde offre opzioni aggiuntive non visualizzate nel Pannello di controllo BitLocker. Per un elenco completo delle opzioni, vedi Manage-bde.
Manage-bde offre molte opzioni più estese per la configurazione di BitLocker. Ciò significa che l'uso della sintassi dei comandi potrebbe richiedere attenzione ed eventualmente una personalizzazione successiva da parte dell'utente. Ad esempio, usando solo il comando manage-bde -on su un volume di dati, verrà crittografato interamente il volume senza alcuna protezione di autenticazione. Un volume crittografato in questo modo richiede comunque l'interazione dell'utente per attivare la protezione BitLocker, anche se il comando è stato eseguito correttamente, perché è necessario aggiungere un metodo di autenticazione al volume affinché sia interamente protetto.
Gli utenti che usano la riga di comando devono determinare la sintassi appropriata per una situazione specifica. La sezione seguente illustra la crittografia generale per i volumi del sistema operativo e di dati.
Volume del sistema operativo
Di seguito sono riportati esempi di comandi di base validi per i volumi del sistema operativo. In generale, se usi solo il comando manage-bde -on <drive letter>, il volume del sistema operativo viene crittografato con una protezione solo TPM e senza chiave di ripristino. Tuttavia, molti ambienti richiedono una protezione più sicura, ad esempio password o PIN, nonché la possibilità di recuperare le informazioni con una chiave di ripristino.
Determinazione dello stato del volume
Quando si usa manage-bde è consigliabile determinare lo stato del volume nel sistema di destinazione. Usa il comando seguente per determinare lo stato del volume:
manage-bde -status
Questo comando restituisce i volumi nella destinazione, lo stato corrente della crittografia e il tipo (sistema operativo o dati) di ogni volume. Usando queste informazioni gli utenti possono determinare il metodo di crittografia migliore per il loro ambiente.
Abilitazione di BitLocker senza TPM
Supponi, ad esempio, di voler abilitare BitLocker in un computer senza un chip TPM. Per abilitare correttamente BitLocker per il volume del sistema operativo, devi usare un'unità flash USB come chiave di avvio (in questo esempio, la lettera di unità E). Devi creare prima di tutto la chiave di avvio necessaria per BitLocker usando l'opzione –protectors e salvarla nell'unità USB in E, quindi avviare il processo di crittografia. Quando ti viene chiesto, dovrai riavviare il computer per completare il processo di crittografia.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Abilitazione di BitLocker solo con un TPM
È possibile crittografare il volume del sistema operativo senza alcuna protezione definita usando manage-bde. Il comando per eseguire questa operazione è il seguente:
manage-bde -on C:
L'unità verrà crittografata usando il TPM come protezione. Se un utente non è sicuro del tipo di protezione di un volume, può usare l'opzione -protectors in manage-bde per elencare queste informazioni con il comando:
manage-bde -protectors -get <volume>
Provisioning di BitLocker con due protezioni
Un altro esempio è quello di un utente con hardware non TPM che vuole aggiungere una password e una protezione basata su SID al volume del sistema operativo. In questo caso, l'utente aggiunge prima le protezioni. Ciò è possibile usando il comando:
manage-bde -protectors -add C: -pw -sid <user or group>
Questo comando richiede all'utente di immettere e quindi confermare la protezione con password prima di aggiungerla al volume. Con le protezioni abilitate per il volume, l'utente deve semplicemente attivare BitLocker.
Volume di dati
I volumi di dati usano la stessa sintassi per la crittografia dei volumi del sistema operativo, ma non richiedono protezioni per il completamento dell'operazione. La crittografia dei volumi di dati può essere eseguita usando il comando di base manage-bde -on <drive letter> oppure gli utenti possono scegliere di aggiungere protezioni al volume. È consigliabile aggiungere a un volume di dati almeno una protezione principale e una protezione di ripristino.
Abilitazione di BitLocker con una password
Una protezione comune per un volume di dati è quella con password. Nell'esempio seguente aggiungiamo una protezione con password al volume e attiviamo BitLocker.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Uso di manage-bde per crittografare volumi con BitLocker
Crittografia dei volumi con i cmdlet di Windows PowerShell per BitLocker
I cmdlet di Windows PowerShell offrono un metodo alternativo per usare BitLocker. Usando le funzionalità di scripting di Windows PowerShell, gli amministratori possono integrare le opzioni di BitLocker negli script esistenti con facilità. L'elenco seguente mostra i cmdlet disponibili per BitLocker.
Nome |
Parametri |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
Analogamente a manage-bde, i cmdlet di Windows PowerShell offrono maggiori possibilità di configurazione rispetto alle opzioni disponibili nel pannello di controllo. Come con manage-bde, gli utenti devono considerare le esigenze specifiche del volume da crittografare prima di eseguire i cmdlet di Windows PowerShell.
Un buon punto iniziale consiste nel determinare lo stato corrente del volume o dei volumi nel computer. A questo scopo, puoi usare il cmdlet Get-BitLocker per il volume. L'output di questo cmdlet mostra le informazioni su tipo di volume, protezioni, stato della protezione e altre informazioni utili.
In alcuni casi, potrebbero non venire visualizzate tutte le protezioni quando usi Get-BitLockerVolume, a causa della mancanza di spazio nella visualizzazione dell'output. Se non vedi tutte le protezioni per un volume, puoi usare il comando pipe (|) di Windows PowerShell per formattare un elenco delle protezioni.
Nota
Nel caso in cui siano presenti più di quattro protezioni per un volume, il comando pipe potrebbe esaurire lo spazio di visualizzazione. Per i volumi con più di quattro protezioni, usa il metodo descritto nella sezione seguente per generare un elenco di tutte le protezioni con l'ID protezione.
Get-BitLockerVolume C: | fl
Se vuoi rimuovere le protezioni esistenti prima del provisioning di BitLocker nel volume, puoi usare il cmdlet Remove-BitLockerKeyProtector. A tale scopo, il GUID associato alla protezione deve essere rimosso.
Un semplice script può inviare nella pipe i valori restituiti da ogni comando Get-BitLockerVolume a un'altra variabile come illustrato di seguito:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
In questo modo, possiamo visualizzare le informazioni nella variabile $keyprotectors per determinare il GUID per ogni protezione.
Usando queste informazioni, possiamo quindi rimuovere la protezione con chiave per un volume specifico usando il comando:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Nota
Per eseguire il cmdlet per BitLocker è necessario che il GUID della protezione con chiave sia racchiuso tra virgolette. Verifica che l'intero GUID, con le parentesi graffe, sia incluso nel comando.
Volume del sistema operativo
L'uso dei cmdlet di Windows PowerShell per BitLocker è simile all'uso dello strumento manage-bde per la crittografia dei volumi del sistema operativo. Windows PowerShell offre agli utenti molta flessibilità. Ad esempio, gli utenti possono aggiungere la protezione desiderata come parte del comando per la crittografia del volume. Di seguito sono disponibili esempi di scenari utente comuni e dei passaggi necessari per attuarli usando i cmdlet di BitLocker per Windows PowerShell.
Per abilitare BitLocker solo con la protezione TPM. Usa il comando seguente:
Enable-BitLocker C:
L'esempio seguente aggiunge un'ulteriore protezione, le protezioni StartupKey, e specifica di ignorare il test dell'hardware di BitLocker. In questo esempio la crittografia viene avviata immediatamente senza la necessità di un riavvio.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Volume di dati
La crittografia dei volumi di dati tramite Windows PowerShell è analoga a quella dei volumi del sistema operativo. Devi aggiungere le protezioni desiderate prima di crittografare il volume. L'esempio seguente aggiunge una protezione con password al volume E usando la variabile $pw come password. La variabile $pw viene mantenuta come valore SecureString per archiviare la password definita dall'utente. Infine, viene avviata la crittografia.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Uso di una protezione basata su SID in Windows PowerShell
La protezione ADAccountOrGroup è una protezione basata su SID Active Directory. Questa protezione può essere aggiunta sia ai volumi del sistema operativo sia a quelli di dati, anche se non sblocca i volumi del sistema operativo nell'ambiente prima dell'avvio. La protezione richiede il SID del gruppo o dell'account di dominio per consentire il collegamento alla protezione stessa. BitLocker può proteggere un disco compatibile con cluster aggiungendo una protezione basata su SID per l'oggetto nome cluster (CNO, Cluster Name Object) che consente il corretto failover del disco e lo sblocco in qualsiasi computer membro del cluster.
Avviso
La protezione basata su SID richiede l'uso di una protezione aggiuntiva (ad esempio TPM, PIN, chiave di ripristino e così via) quando viene applicata ai volumi del sistema operativo.
Per aggiungere una protezione ADAccountOrGroup a un volume, è necessario che il nome del gruppo o il SID del dominio effettivo sia preceduto dal dominio e da una barra rovesciata. Nell'esempio seguente l'account CONTOSO\Administrator viene aggiunto come protezione al volume di dati G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Per gli utenti che vogliono usare il SID per l'account o il gruppo, il primo passaggio consiste nel determinare il SID associato all'account. Per ottenere il SID specifico per un account utente in Windows PowerShell, usa il comando seguente:
get-aduser -filter {samaccountname -eq "administrator"}
Nota
L'uso di questo comando richiede la funzionalità RSAT-AD-PowerShell.
Suggerimento
Oltre che con il comando di Windows PowerShell precedente, puoi ottenere informazioni sull'utente connesso in locale e sull'appartenenza a gruppi usando: WHOAMI /ALL. A tale scopo non è necessario usare funzionalità aggiuntive.
Nell'esempio seguente l'utente vuole aggiungere una protezione basata su SID di dominio al volume del sistema operativo crittografato in precedenza. L'utente conosce il SID del gruppo o dell'account utente che vuole aggiungere e usa il comando seguente:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
Nota
Le protezioni basate su Active Directory vengono normalmente usate per sbloccare volumi abilitati per il cluster di failover.
Uso di PowerShell per crittografare volumi con BitLocker
Controllo dello stato di BitLocker
Per controllare lo stato di BitLocker di un volume specifico, gli amministratori possono esaminare lo stato dell'unità nell'applet Pannello di controllo BitLocker, in Esplora risorse, con lo strumento da riga di comando manage-bde o con i cmdlet di Windows PowerShell. Ogni opzione offre diversi livelli di dettaglio e facilità d'uso. Esamineremo ognuno dei metodi disponibili nella sezione seguente.
Controllo dello stato di BitLocker con il pannello di controllo
Il controllo dello stato di BitLocker con il pannello di controllo è il metodo più comune usato dalla maggior parte degli utenti. Dopo l'apertura, lo stato di ogni volume viene visualizzato accanto alla lettera di unità e alla descrizione del volume. I valori restituiti disponibili relativi allo stato nel pannello di controllo sono i seguenti:
Stato |
Descrizione |
Attivato |
BitLocker è abilitato per il volume |
Disattivato |
BitLocker non è abilitato per il volume |
Sospeso |
BitLocker è sospeso e non sta attivamente proteggendo il volume |
In attesa dell'attivazione |
BitLocker è abilitato con una chiave di protezione non crittografata e richiede ulteriori operazioni per garantire la protezione completa |
In caso di pre-provisioning di un'unità con BitLocker, viene visualizzato lo stato "In attesa dell'attivazione" con un'icona a forma di punto esclamativo giallo nel volume E. Questo stato indica che è stata usata solo una protezione non crittografata durante il processo di crittografia del volume. In questo caso, il volume non è in uno stato protetto ed è necessario aggiungere una chiave sicura affinché l'unità sia interamente protetta. Gli amministratori possono usare il pannello di controllo, lo strumento manage-bde o le API WMI per aggiungere una protezione con chiave appropriata. Al termine, il pannello di controllo verrà aggiornato per riflettere il nuovo stato.
Usando il pannello di controllo, gli amministratori possono scegliere Attiva BitLocker per avviare la Crittografia guidata unità BitLocker e aggiungere una protezione, ad esempio un PIN per un volume del sistema operativo (o una password se non c'è un TPM) oppure una protezione con password o smart card per un volume di dati.
La finestra relativa alla sicurezza dell'unità viene visualizzata prima di modificare lo stato del volume. Selezionando Attiva BitLocker, il processo di crittografia viene completato.
Una volta completata l'attivazione della protezione BitLocker, viene visualizzato l'avviso di completamento.
Controllo dello stato di BitLocker con manage-bde
Gli amministratori che preferiscono un'interfaccia della riga di comando possono usare manage-bde per controllare lo stato del volume. Manage-bde è in grado di restituire più informazioni sul volume rispetto agli strumenti dell'interfaccia utente grafica del pannello di controllo. Ad esempio, manage-bde può visualizzare la versione di BitLocker in uso, il tipo di crittografia e le protezioni associate a un volume.
Per controllare lo stato di un volume tramite manage-bde, usa il comando seguente:
manage-bde -status <volume>
Nota
Se al comando -status non viene associata una lettera di unità, viene visualizzato lo stato di tutti i volumi del computer.
Controllo dello stato di BitLocker con Windows PowerShell
I comandi di Windows PowerShell offrono un altro modo per eseguire una query sullo stato di BitLocker per i volumi. Come manage-bde, Windows PowerShell offre il vantaggio di poter controllare lo stato di un volume in un computer remoto.
Usando il cmdlet Get-BitLockerVolume, viene visualizzato lo stato corrente di BitLocker per ogni volume del sistema. Per ottenere informazioni più dettagliate su un volume specifico, usa il comando seguente:
Get-BitLockerVolume <volume> -Verbose | fl
Questo comando visualizza le informazioni su metodo di crittografia, tipo di volume, protezioni con chiave e così via.
Provisioning di BitLocker durante la distribuzione del sistema operativo
Gli amministratori possono abilitare BitLocker prima della distribuzione del sistema operativo da Ambiente preinstallazione di Windows. Questa operazione viene eseguita con una protezione con chiave non crittografata generata in modo casuale applicata al volume formattato e crittografando il volume prima dell'esecuzione del processo di installazione di Windows. Se la crittografia usa l'opzione Applica crittografia solo allo spazio utilizzato del disco descritta in questo documento, questo passaggio richiede solo pochi secondi e si integra perfettamente nei normali processi di distribuzione.
Decrittografia dei volumi di BitLocker
La decrittografia dei volumi rimuove BitLocker e qualsiasi protezione associata dai volumi. La decrittografia deve essere eseguita quando non è più necessaria una protezione. La decrittografia di BitLocker non deve essere usata come passaggio per la risoluzione dei problemi. È possibile rimuovere BitLocker da un volume con l'applet Pannello di controllo BitLocker, manage-bde o i cmdlet di Windows PowerShell. Ognuno di questi metodi verrà illustrato in modo più dettagliato di seguito.
Decrittografia dei volumi con l'applet Pannello di controllo BitLocker
La decrittografia di BitLocker usando il pannello di controllo viene eseguita tramite una procedura guidata. Il pannello di controllo può essere chiamato da Esplora risorse o aprendolo direttamente. Dopo aver aperto il Pannello di controllo BitLocker, gli utenti devono selezionare l'opzione Disattiva BitLocker per avviare il processo.
Una volta selezionata l'opzione, l'utente sceglie di continuare facendo clic nella finestra di dialogo di conferma. Dopo la conferma della disattivazione di BitLocker, il processo di decrittografia dell'unità viene avviato e lo stato viene segnalato nel pannello di controllo.
Il pannello di controllo non segnala lo stato di avanzamento del processo di decrittografia, che viene però visualizzato nell'area di notifica della barra delle applicazioni. Selezionando l'icona dell'area di notifica verrà aperta una finestra di dialogo modale con lo stato di avanzamento.
Una volta completata la decrittografia, lo stato dell'unità verrà aggiornato nel pannello di controllo e l'unità sarà disponibile per la crittografia.
Decrittografia dei volumi con l'interfaccia della riga di comando manage-bde
La decrittografia dei volumi con manage-bde è molto semplice. La decrittografia con manage-bde offre il vantaggio di non richiedere la conferma dell'utente per l'avvio del processo. Manage-bde usa il comando -off per avviare il processo di decrittografia. Ecco un comando di esempio per la decrittografia:
manage-bde -off C:
Questo comando disabilita le protezioni mentre decrittografa il volume e rimuove tutte le protezioni una volta completata la decrittografia. Se un utente vuole verificare lo stato della decrittografia, può usare il comando seguente:
manage-bde -status C:
Decrittografia dei volumi con i cmdlet di Windows PowerShell per BitLocker
La decrittografia con i cmdlet di Windows PowerShell è semplice, simile a quella con manage-bde. Il vantaggio aggiuntivo offerto da Windows PowerShell è la possibilità di decrittografare più unità in un unico passaggio. Nell'esempio seguente l'utente ha tre volumi crittografati, che vuole decrittografare.
Usando il comando Disable-BitLocker, è possibile rimuovere contemporaneamente tutte le protezioni e la crittografia senza la necessità di comandi aggiuntivi. Ecco un esempio di questo comando:
DisableBitLocker
Se un utente non vuole inserire ogni punto di montaggio singolarmente usando il parametro -MountPoint in una matrice, può creare una sequenza con lo stesso comando su un'unica riga senza richiedere input aggiuntivo da parte dell'utente. Ecco un comando di esempio:
Disable-BitLocker -MountPoint E:,F:,G:
Vedi anche
Preparare l'organizzazione per BitLocker: pianificazione e criteri
Guida al ripristino di BitLocker