Domande frequenti su BitLocker
Questo argomento, dedicato ai professionisti IT, risponde alle domande frequenti che riguardano requisiti per l'uso, aggiornamento, distribuzione e amministrazione e per i criteri di gestione delle chiavi per BitLocker.
BitLocker è una funzionalità di protezione dei dati che crittografa i dischi rigidi nel computer per fornire protezione avanzata contro il furto di dati o l'esposizione in unità rimovibili e computer smarriti o rubati ed eliminazione dei dati più sicura per la disattivazione di computer protetti con BitLocker, perché è molto più difficile recuperare dati eliminati da un'unità crittografata anziché da una non crittografata.
Panoramica e requisiti
Aggiornamento
Distribuzione e amministrazione
Gestione delle chiavi
BitLocker To Go
Servizi di dominio Active Directory
Sicurezza
Sblocco di rete via BitLocker
Altre domande
Panoramica e requisiti
Come funziona BitLocker?
Funzionamento di BitLocker con unità del sistema operativo
Puoi usare BitLocker per ridurre l'accesso non autorizzato ai dati su computer smarriti o rubati crittografando tutti i file utente e di sistema nell'unità del sistema operativo, inclusi i file di scambio e i file ibernazione, e controllando l'integrità dei componenti di avvio e i dati di configurazione di avvio.
Funzionamento di BitLocker con unità dati fisse e rimovibili
Puoi usare BitLocker per crittografare l'intero contenuto di un'unità dati. Puoi usare Criteri di gruppo per specificare che BitLocker sia abilitato in un'unità prima che il computer possa scrivere dati nell'unità. BitLocker può essere configurato con un'ampia gamma di metodi per le unità dati e un'unità dati supporta più metodi di sblocco.
BitLocker supporta l'autenticazione a più fattori?
Sì, BitLocker supporta l'autenticazione a più fattori per le unità del sistema operativo. Se abiliti BitLocker in un computer con un TPM versione 1.2 o successive, puoi usare forme aggiuntive di autenticazione con la protezione TPM.
Quali sono i requisiti hardware e software di BitLocker?
Nota
BitLocker non supporta i dischi dinamici. I volumi di dati dinamici non vengono visualizzati nel Pannello di controllo. Anche se il volume del sistema operativo viene sempre visualizzato nel Pannello di controllo, indipendentemente dal fatto che sia o meno un disco dinamico, se lo è non può essere protetto con BitLocker.
Perché sono necessarie due partizioni? Perché l'unità di sistema deve avere dimensioni così grandi?
Per eseguire BitLocker sono necessarie due partizioni perché l'autenticazione e la verifica dell'integrità del sistema prima dell'avvio devono avvenire in una partizione separata dall'unità del sistema operativo crittografata. Questa configurazione aiuta a proteggere il sistema operativo e le informazioni presenti nell'unità crittografata.
Quali Trusted Platform Module (TPM) sono supportati da BitLocker?
BitLocker supporta solo TPM versione 1.2 o successive.
Come stabilisco se ho un TPM nel computer?
Apri la console MMC del TPM (tpm.msc) e cerca sotto l'intestazione Stato.
Posso usare BitLocker in un'unità del sistema operativo senza un TPM?
Sì, puoi abilitare BitLocker in un'unità del sistema operativo senza un TPM versione 1.2 o successive se il firmware BIOS o UEFI è in grado di leggere da un'unità flash USB nell'ambiente di avvio. Questo è possibile perché BitLocker non sblocca l'unità protetta finché la chiave master del volume di BitLocker non viene prima rilasciata dal TPM del computer o da un'unità flash USB che contiene la chiave di avvio di BitLocker per il computer. Tuttavia, i computer senza TPM non potranno usare la verifica dell'integrità del sistema fornita da BitLocker.
Per determinare se un computer può leggere da un dispositivo USB durante il processo di avvio, usa il controllo del sistema BitLocker come parte del processo di configurazione di BitLocker. Il controllo del sistema esegue alcuni test per verificare che il computer possa leggere correttamente i dati dai dispositivi USB nel momento appropriato e che soddisfi altri requisiti di BitLocker.
Come ottengo il supporto del BIOS per il TPM nel mio computer?
Contatta il produttore del computer per richiedere un firmware di avvio BIOS o UEFI conforme a Trusted Computing Group (TCG) che soddisfi i requisiti seguenti:
Sia conforme agli standard TCG per un computer client.
Sia dotato di un meccanismo di aggiornamento sicuro per impedire l'installazione di un firmware BIOS o di avvio dannoso nel computer.
Quali credenziali sono necessarie per usare BitLocker?
Per attivare, disattivare o modificare le configurazioni di BitLocker nelle unità dati fisse e del sistema operativo, è necessaria l'appartenenza al gruppo Administrators locale. Gli utenti standard possono attivare, disattivare o modificare le configurazioni di BitLocker nelle unità dati rimovibili.
Qual è l'ordine di avvio consigliato per i computer che saranno protetti con BitLocker?
Devi configurare le opzioni di avvio del computer in modo che l'unità disco rigido sia la prima nell'ordine di avvio, prima di qualsiasi altra unità, come le unità CD/DVD o USB. Se il disco rigido non è il primo e in genere esegui l'avvio dal disco rigido, potrebbe essere rilevata o presupposta una modifica dell'ordine di avvio quando vengono trovati supporti rimovibili durante l'avvio. L'ordine di avvio influisce in genere sulla misurazione del sistema verificata da BitLocker e una modifica nell'ordine di avvio fa sì che ti venga richiesta la chiave di ripristino di BitLocker. Per lo stesso motivo, se hai un portatile con un alloggiamento di espansione, assicurati che l'unità disco rigido sia prima nell'ordine di avvio quando il portatile è inserito o disinserito.
Aggiornamento
Posso aggiornare il computer Windows 7 o Windows 8 a Windows 10 con BitLocker abilitato?
Sì. Apri Crittografia unità BitLocker nel Pannello di controllo, fai clic su Gestione BitLocker e quindi su Sospendi. La sospensione della protezione non decrittografa l'unità, ma disabilita i meccanismi di autenticazioni usati da BitLocker e usa una chiave non crittografata nell'unità per abilitare l'accesso. Al termine dell'aggiornamento, apri Esplora risorse, fai clic con il pulsante destro del mouse sull'unità e quindi scegli Riprendi protezione. In questo modo, i metodi di autenticazione di BitLocker vengono riapplicati e la chiave non crittografata viene eliminata.
Qual è la differenza tra le opzioni Sospendi e Decrittografa di BitLocker?
Decrittografa rimuove completamente la protezione BitLocker e decrittografa interamente l'unità.
Sospendi mantiene i dati crittografati, ma crittografa la chiave master del volume di BitLocker con una chiave non crittografata. La chiave non crittografata è una chiave crittografica archiviata come non crittografata e non protetta nell'unità disco. Archiviando questa chiave non crittografata, l'opzione Sospendi permette modifiche o aggiornamenti al computer senza i tempi e i costi imposti dalla decrittografia e la nuova crittografia dell'intera unità. Una volta apportate le modifiche e quando BitLocker è di nuovo abilitato, la chiave di crittografia viene sigillata in base ai nuovi valori dei componenti misurati che sono stati modificati in seguito all'aggiornamento, la chiave master del volume viene modificata, le protezioni vengono aggiornate di conseguenza e la chiave non crittografata viene cancellata.
Devo decrittografare l'unità protetta con BitLocker per scaricare gli aggiornamenti di sistema?
La tabella seguente indica le azioni necessarie prima di eseguire l'installazione di un aggiornamento.
| Tipo di aggiornamento | Azione |
|---|---|
Windows Anytime Upgrade |
Decrittografia |
Aggiornamento a Windows 10 |
Sospensione |
Aggiornamenti software non Microsoft, come:
|
Sospensione |
Aggiornamenti software e del sistema operativo da Windows Update |
Niente |
Nota
Se hai sospeso BitLocker, puoi riprendere la protezione BitLocker dopo aver installato l'aggiornamento. Una volta ripresa la protezione, BitLocker sigilla la chiave di crittografia in base ai nuovi valori dei componenti misurati che sono stati modificati in seguito all'aggiornamento. Se questi tipi di aggiornamenti vengono applicati senza sospendere BitLocker, il computer passerà in modalità di ripristino al riavvio e richiederà una chiave o una password di ripristino per accedere al computer.
Distribuzione e amministrazione
La distribuzione di BitLocker può essere automatizzata in un ambiente aziendale?
Sì, puoi automatizzare la distribuzione e la configurazione di BitLocker e del TPM usando script WMI o di Windows PowerShell. Il modo in cui sceglierai di implementare questi script dipende dal tuo ambiente. Puoi anche usare Manage-bde.exe per configurare BitLocker in locale o in remoto. Per altre info sulla scrittura di script che usano i provider WMI per BitLocker, vedi Provider di Crittografia unità BitLocker. Per altre info sull'uso di cmdlet di Windows PowerShell con Crittografia unità BitLocker, vedi Cmdlet per BitLocker in Windows PowerShell.
BitLocker può crittografare anche altre unità oltre a quella del sistema operativo?
Sì.
L'abilitazione di BitLocker in un computer ha un impatto notevole?
In genere comporta un sovraccarico sulle prestazioni pari a una percentuale a una cifra.
Quanto dura la crittografia iniziale quando BitLocker è attivato?
Anche se la crittografia BitLocker avviene mentre lavori e il sistema resta comunque utilizzabile, la durata della crittografia varia a seconda del tipo, delle dimensioni e della velocità dell'unità crittografata. Se esegui la crittografia di unità molto grandi, potresti volerla impostare in modo che avvenga in momenti in cui non userai l'unità.
Puoi anche scegliere se BitLocker debba crittografare l'intera unità o solo lo spazio usato nell'unità quando attivi BitLocker. In un nuovo disco rigido, la crittografia del solo spazio usato può rivelarsi notevolmente più rapida rispetto alla crittografia dell'intera unità. Quando è selezionata questa opzione di crittografia, BitLocker crittografa automaticamente i dati man mano che vengono salvati, garantendo che nessun dato venga archiviato come non crittografato.
Che cosa succede se il computer viene spento durante la crittografia o la decrittografia?
Se il computer viene spento o passa all'ibernazione, il processo di crittografia e decrittografia BitLocker viene ripreso al punto in cui è stato interrotto al successivo avvio di Windows. Lo stesso vale per i casi in cui l'alimentazione è improvvisamente non disponibile.
BitLocker crittografa e decrittografa l'intera unità durante la lettura e la scrittura dei dati?
No, BitLocker non crittografa o decrittografa l'intera unità durante la lettura e la scrittura dei dati. I settori crittografati nell'unità protetta con BitLocker vengono decrittografati solo quando vengono richiesti da operazioni di lettura del sistema. I blocchi scritti nell'unità vengono crittografati prima che il sistema li scriva nel disco fisico. Nell'unità protetta con BitLocker non vengono mai archiviati dati non crittografati.
Come posso impedire agli utenti in una rete di archiviare dati in un'unità non crittografata?
Puoi usare impostazioni di Criteri di gruppo per specificare che le unità dati vengano protette con BitLocker prima che un computer protetto con BitLocker possa scrivervi dati. Per altre info, vedi Impostazioni di Criteri di gruppo per BitLocker.
Quando queste impostazioni sono abilitate, nel sistema operativo protetto con BitLocker qualsiasi unità dati non protetta da BitLocker potrà essere montata come di sola lettura.
Quali modifiche apportate al sistema potrebbero causare la mancata riuscita del controllo dell'integrità nell'unità del sistema operativo?
I tipi di modifiche apportate al sistema seguenti possono provocare la mancata riuscita di un controllo dell'integrità e impedire al TPM di rilasciare la chiave di BitLocker per decrittografare l'unità del sistema operativo protetta:
Spostamento dell'unità protetta con BitLocker in un nuovo computer.
Installazione di una nuova scheda madre con un nuovo TPM.
Disattivazione, disabilitazione o cancellazione del TPM.
Modifica di qualsiasi impostazione di configurazione di avvio.
Modifica del firmware BIOS o UEFI, del record di avvio principale, del settore di avvio, di Boot Manager, della ROM facoltativa o di qualsiasi altro componente di avvio o dei dati di configurazione di avvio.
Che cosa provoca l'avvio di BitLocker in modalità di ripristino durante il tentativo di avviare l'unità del sistema operativo?
Poiché BitLocker è progettato per proteggere il computer da diversi attacchi, potrebbe essere avviato in modalità di ripristino per svariati motivi. In BitLocker il ripristino consiste nel decrittografare una copia della chiave master del volume usando una chiave di ripristino archiviata in un'unità flash USB o una chiave crittografica derivata da una password di ripristino. Poiché il TPM non viene coinvolto in alcuno scenario di ripristino, il ripristino è comunque possibile se il TPM non riesce a eseguire la convalida dei componenti di avvio, non funziona correttamente o viene rimosso.
Posso scambiare dischi rigidi nello stesso computer se BitLocker è abilitato nell'unità del sistema operativo?
Sì, puoi scambiare più dischi rigidi nello stesso computer se BitLocker è abilitato, ma solo se i dischi rigidi erano protetti con BitLocker nello stesso computer. Poiché le chiavi di BitLocker sono univoche per il TPM e l'unità del sistema operativo, se vuoi preparare un'unità dati o del sistema operativo di backup da usare in caso di errori del disco, devi assicurarti che siano state associate al TPM corretto. Puoi anche configurare dischi rigidi diversi per sistemi operativi diversi e quindi abilitare BitLocker in ognuno con metodi di autenticazione differenti, ad esempio uno solo con TPM e uno con TPM+PIN, senza provocare conflitti.
Posso accedere all'unità protetta con BitLocker se inserisco il disco rigido in un computer diverso?
Sì, se l'unità è un'unità dati, puoi sbloccarla dalla voce del Pannello di controllo Crittografia unità BitLocker proprio come faresti per qualsiasi altra unità dati usando una password o una smart card. Se l'unità dati è stata configurata solo per lo sblocco automatico, dovrai sbloccarla usando la chiave di ripristino. Il disco rigido crittografato può essere sbloccato da un agente recupero dati (se configurato) o usando una chiave di ripristino.
Perché l'opzione "Attiva BitLocker" non è disponibile quando faccio clic con il pulsante destro del mouse su un'unità?
Alcune unità non possono essere crittografate con BitLocker. I motivi per cui un'unità non può essere crittografata possono essere dimensioni disco insufficienti, un file system incompatibile oppure il fatto che l'unità è un disco dinamico o è designata come partizione di sistema. Per impostazione predefinita, la visualizzazione dell'unità di sistema (o partizione di sistema) è nascosta. Tuttavia, se non è stata creata come unità nascosta durante l'installazione del sistema operativo a causa di un processo di installazione personalizzato, l'unità potrebbe essere visualizzata, ma non può comunque essere crittografata.
Quali tipi di configurazioni del disco sono supportati da BitLocker?
Qualsiasi numero di unità dati fisse interne può essere protetto con BitLocker. In alcune versioni basate su ATA e SATA sono supportati anche i dispositivi con un sistema di archiviazione collegato direttamente.
Gestione delle chiavi
Qual è la differenza tra una password proprietario TPM, una password di ripristino, una chiave di ripristino, una password, un PIN, un PIN avanzato e una chiave di avvio?
BitLocker può generare e usare molti tipi di chiavi. Alcune chiavi sono obbligatorie, mentre altre sono protezioni facoltative che puoi scegliere a seconda del livello di sicurezza che ti serve.
Come possono essere archiviate la password di ripristino e la chiave di ripristino?
La password di ripristino e la chiave di ripristino per un'unità del sistema operativo o un'unità dati fissa possono essere salvate in una cartella, in uno o più dispositivi USB o nel tuo account Microsoft oppure possono essere stampate.
Per le unità dati rimovibili, la password di ripristino e la chiave di ripristino possono essere salvate in una cartella o nel tuo account Microsoft oppure possono essere stampate. Per impostazione predefinita, non puoi archiviare una chiave di ripristino per un'unità rimovibile in un'unità rimovibile.
Un amministratore di dominio può configurare anche Criteri di gruppo per la generazione automatica delle password di ripristino e la loro archiviazione in Servizi di dominio Active Directory per qualsiasi unità protetta con BitLocker.
È possibile aggiungere un altro metodo di autenticazione senza decrittografare l'unità se ho abilitato solo il metodo di autenticazione tramite TPM?
Puoi usare lo strumento da riga di comando Manage-bde.exe per sostituire la tua modalità di autenticazione solo TPM con una modalità di autenticazione a più fattori. Ad esempio, se BitLocker è abilitato solo con autenticazione tramite TPM e vuoi aggiungere l'autenticazione tramite PIN, usa i comandi seguenti da un prompt dei comandi con privilegi elevati, sostituendo <4-20 digit numeric PIN> con il PIN numerico che vuoi usare:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
Se perdo le informazioni di ripristino, i dati protetti con BitLocker saranno irrecuperabili?
BitLocker è progettato perché l'unità crittografata sia irrecuperabile senza l'autenticazione necessaria. In modalità di ripristino l'utente deve avere la password di ripristino o la chiave di ripristino per sbloccare l'unità crittografata.
Importante
Archivia le informazioni di ripristino in Servizi di dominio Active Directory, insieme al tuo account Microsoft, o in un'altra posizione sicura.
L'unità flash USB usata come chiave di avvio può essere usata anche per archiviare la chiave di ripristino?
Anche se tecnicamente possibile, l'uso di un'unità flash USB per archiviare entrambe le chiavi non è una procedura consigliata. Se l'unità flash USB che contiene la chiave di avvio viene smarrita o rubata, perderai l'accesso alla chiave di ripristino. Inoltre, l'inserimento di questa chiave provocherebbe l'avvio automatico del computer dalla chiave di ripristino anche se i file misurati dal TPM sono stati modificati, comportamento che elude il controllo dell'integrità del sistema del TPM.
Posso salvare la chiave di avvio su più unità flash USB?
Sì, puoi salvare una chiave di avvio del computer su più unità flash USB. Facendo clic con il pulsante destro del mouse su un'unità protetta con BitLocker e scegliendo Gestione BitLocker, potrai accedere alle opzioni per duplicare le chiavi di ripristino nel modo necessario.
Posso salvare più chiavi di avvio (diverse) sulla stessa unità flash USB?
Sì, puoi salvare le chiavi di avvio di BitLocker per diversi computer sulla stessa unità flash USB.
Posso generare più chiavi di avvio (diverse) per lo stesso computer?
Puoi generare chiavi di avvio diverse per lo stesso computer tramite script. Tuttavia, per i computer che hanno un TPM, la creazione di chiavi di avvio diverse impedisce a BitLocker di usare il controllo dell'integrità del sistema del TPM.
Posso generare più combinazioni di PIN?
Non puoi generare più combinazioni di PIN.
Quali chiavi di crittografia vengono usate in BitLocker? Come funzionano insieme?
I dati non elaborati vengono crittografati con la chiave di crittografia dell'intero volume, che viene quindi crittografata con la chiave master del volume. La chiave master del volume viene a sua volta crittografata tramite uno dei diversi metodi possibili, a seconda dei tuoi scenari di autenticazione (ovvero protezioni con chiave o TPM) e di ripristino.
Dove vengono archiviate le chiavi di crittografia?
La chiave di crittografia dell'intero volume viene crittografata dalla chiave master del volume e archiviata nell'unità crittografata. La chiave master del volume viene crittografata dalla protezione con chiave appropriata e archiviata nell'unità crittografata. Se BitLocker è stato sospeso, anche la chiave non crittografata usata per crittografare la chiave master del volume viene archiviata nell'unità crittografata, insieme alla chiave master del volume crittografata.
Questo processo di archiviazione garantisce che la chiave master del volume non venga mai archiviata come non crittografata e sia protetta, a meno che BitLocker non sia disabilitato. Le chiavi vengono salvate anche in altri due percorsi dell'unità per scopi di ridondanza. Le chiavi possono essere lette ed elaborate da Boot Manager.
Perché devo usare i tasti funzione per immettere il PIN o altre password di ripristino di 48 caratteri?
I tasti da F1 a F10 sono codici tasto mappati a livello universale e disponibili nell'ambiente prima dell'avvio in tutti i computer e in tutte le lingue. I tasti numerici da 0 a 9 non possono essere usati nell'ambiente prima dell'avvio in tutte le tastiere.
Quando usano un PIN avanzato, gli utenti devono eseguire il controllo del sistema facoltativo durante il processo di configurazione di BitLocker per garantire che il PIN possa essere immesso correttamente nell'ambiente prima dell'avvio.
In che modo BitLocker aiuta a impedire un attacco di individuazione del PIN in grado di sbloccare l'unità del sistema operativo?
Un PIN (Personal Identification Number) può essere individuato da un utente malintenzionato che esegue un attacco di forza bruta. Un attacco di forza bruta si verifica quando un utente malintenzionato usa uno strumento automatico per provare diverse combinazioni di PIN fino a individuare quella corretta. Per i computer protetti con BitLocker, questo tipo di attacco, chiamato anche attacco con dizionario, richiede che l'utente malintenzionato abbia accesso fisico al computer.
Per impostazione predefinita, il TPM è in grado di individuare questi tipi di attacchi e di rispondervi in modo efficace. Poiché i TPM di produttori diversi possono supportare opzioni di prevenzione diverse per PIN e attacchi, contatta il produttore del tuo TPM per determinare in che modo il TPM del tuo computer previene attacchi di forza bruta contro i PIN.
Una volta individuato il produttore del tuo TPM, contattalo per ottenere informazioni specifiche del fornitore del TPM. La maggior parte dei produttori usa il conteggio degli errori di autenticazione tramite PIN per aumentare esponenzialmente il periodo di blocco per l'interfaccia del PIN. Tuttavia, ogni produttore ha criteri diversi riguardo a tempi e modi per la riduzione o la reimpostazione del contatore degli errori.
Come posso determinare il produttore del mio TPM?
Puoi determinare il produttore del tuo TPM nella console MMC del TPM (tpm.msc) sotto l'intestazione Informazioni produttore TPM.
Come posso valutare un meccanismo di prevenzione degli attacchi con dizionario di un TPM?
Le domande seguenti possono esserti utili quando contatti il produttore di un TPM per chiedergli informazioni sulla progettazione di un meccanismo di prevenzione degli attacchi con dizionario:
Quanti tentativi di autenticazione non riusciti possono verificarsi prima del blocco?
Qual è l'algoritmo per determinare la durata di un blocco in base al numero di tentativi non riusciti e altri parametri significativi?
Quali azioni possono provocare la riduzione o la reimpostazione del conteggio degli errori e della durata del blocco?
La lunghezza e la complessità del PIN possono essere gestite con Criteri di gruppo?
Sì e no. Puoi configurare la lunghezza minima del PIN usando l'impostazione di Criteri di gruppo Configura lunghezza minima PIN per l'avvio e permettere l'uso di PIN alfanumerici abilitando l'impostazione di Criteri di gruppo Consenti PIN avanzati per l'avvio. Tuttavia, non puoi specificare la complessità del PIN tramite Criteri di gruppo.
Per altre info, vedi Impostazioni di Criteri di gruppo per BitLocker.
BitLocker To Go
BitLocker To Go è un tipo di Crittografia unità BitLocker per unità dati rimovibili. Questa funzionalità include la crittografia di unità flash USB, schede SD, unità disco rigido esterne e altre unità formattate con i file system NTFS, FAT16, FAT32 o exFAT.
Servizi di dominio Active Directory
Cosa succede se BitLocker viene abilitato in un computer prima che questo sia stato aggiunto al dominio?
Se BitLocker viene abilitato in un'unità prima dell'applicazione di Criteri di gruppo per specificare il backup, non verrà eseguito il backup automatico delle informazioni di ripristino in Servizi di dominio Active Directory quando il computer viene aggiunto al dominio o quando viene successivamente applicato Criteri di gruppo. Tuttavia, puoi usare le impostazioni di Criteri di gruppo Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker, Scegli modalità di ripristino delle unità fisse protette con BitLocker e Scegli modalità di ripristino delle unità rimovibili protette con BitLocker per specificare che il computer venga connesso a un dominio prima che sia possibile abilitare BitLocker per garantire il backup in Servizi di dominio Active Directory delle informazioni di ripristino per le unità protette con BitLocker nell'organizzazione.
Per altre info, vedi Impostazioni di Criteri di gruppo per BitLocker.
L'interfaccia Strumentazione gestione Windows (WMI) di BitLocker non permette agli amministratori di scrivere uno script per il backup o la sincronizzazione delle informazioni di ripristino esistenti di un client online. Tuttavia, BitLocker non gestisce automaticamente questo processo. Puoi usare anche lo strumento da riga di comando manage-bde per eseguire il backup automatico delle informazioni di ripristino in Servizi di dominio Active Directory. Ad esempio, per eseguire il backup di tutte le informazioni di ripristino per l'unità C in Servizi di dominio Active Directory, devi usare il comando seguente da un prompt dei comandi con privilegi elevati: manage-bde -protectors -adbackup C:.
Importante
L'aggiunta di un computer al dominio deve essere il primo passaggio per i nuovi computer all'interno di un'organizzazione. Una volta aggiunti i computer al dominio, l'archiviazione della chiave di ripristino di BitLocker in Servizi di dominio Active Directory è un processo automatico (se abilitato in Criteri di gruppo).
Viene registrata una voce del registro eventi nel computer client per indicare l'esito positivo o negativo del backup in Active Directory?
Sì, una voce del registro eventi che indica l'esito positivo o negativo di un backup in Active Directory viene registrata nel computer client. Tuttavia, anche se una voce del registro eventi indica che il backup è stato completato correttamente, le informazioni potrebbero essere state successivamente rimosse da Servizi di dominio Active Directory oppure BitLocker potrebbe essere stato riconfigurato in modo tale che le informazioni di Active Directory non possano più sbloccare l'unità (ad esempio rimuovendo la protezione con chiave della password di ripristino). La voce di registro, inoltre, potrebbe anche essere stata falsificata.
In definitiva, per determinare se in Servizi di dominio Active Directory esiste un backup legittimo, è necessario eseguire una query su Servizi di dominio Active Directory con credenziali di amministratore di dominio usando lo strumento Visualizzatore password di ripristino BitLocker.
Se cambio la password di ripristino di BitLocker nel computer e archivio la nuova password in Servizi di dominio Active Directory, Servizi di dominio Active Directory sovrascriverà la vecchia password?
No. Da progettazione, le voci delle password di ripristino di BitLocker non vengono eliminate da Servizi di dominio Active Directory. Di conseguenza, potresti visualizzare più password per ogni unità. Per identificare la password più recente, controlla la data nell'oggetto.
Che cosa succede se inizialmente il backup non riesce? BitLocker riprova il backup?
Se inizialmente il backup non riesce, ad esempio quando un controller di dominio non è raggiungibile durante l'esecuzione della configurazione guidata di BitLocker, BitLocker non riprova a eseguire il backup delle informazioni di ripristino in Servizi di dominio Active Directory.
Quando un amministratore seleziona la casella di controllo Richiedi backup BitLocker su Servizi di dominio Active Directory dell'impostazione dei criteri Archivia informazioni di ripristino di BitLocker in Servizi di dominio Active Directory (Windows Server 2008 e Windows Vista) o la casella di controllo equivalente Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità (del sistema operativo | dati fissa | dati rimovibile) in una qualsiasi tra le impostazioni dei criteri Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker, Scegli modalità di ripristino delle unità fisse protette con BitLocker e Scegli modalità di ripristino delle unità rimovibili protette con BitLocker, questo impedisce agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup delle informazioni di ripristino BitLocker in Servizi di dominio Active Directory non sia riuscito. Se con queste impostazioni configurate il backup non riesce, BitLocker non può essere abilitato e ciò garantisce che gli amministratori possano ripristinare le unità protette con BitLocker nell'organizzazione.
Per altre info, vedi Impostazioni di Criteri di gruppo per BitLocker.
Quando un amministratore deseleziona queste caselle di controllo, permette a un'unità di essere protetta con BitLocker senza che il backup delle informazioni di ripristino in Servizi di dominio Active Directory sia riuscito. Tuttavia, BitLocker non riproverà automaticamente il backup in questo caso. In alternativa, gli amministratori possono creare uno script per il backup, come descritto sopra in Cosa succede se BitLocker viene abilitato in un computer prima che questo venga aggiunto al dominio?, per acquisire le informazioni una volta ripristinata la connettività.
Sicurezza
Quale forma di crittografia viene usata da BitLocker? È configurabile?
BitLocker usa Advanced Encryption Standard (AES) come algoritmo di crittografia con lunghezza delle chiavi configurabile di 128 o 256 bit. L'impostazione di crittografia predefinita è AES-128, ma le opzioni possono essere configurate con Criteri di gruppo.
Qual è la procedura consigliata per l'uso di BitLocker in un'unità del sistema operativo?
La procedura consigliata per la configurazione di BitLocker in un'unità del sistema operativo consiste nell'implementare BitLocker in un computer con un TPM versione 1.2 o successive e un firmware BIOS o UEFI conforme a Trusted Computing Group (TCG) insieme a un PIN. Specificando un PIN impostato dall'utente oltre alla convalida tramite TPM, un utente malintenzionato che ha accesso fisico al computer non può assolutamente avviare il computer.
Quali sono le implicazioni dell'uso delle opzioni di risparmio energia di sospensione o ibernazione?
BitLocker abilitato nelle unità del sistema operativo con la configurazione di base (con un TPM, ma senza autenticazione avanzata) offre sicurezza aggiuntiva per la modalità di ibernazione. Tuttavia, BitLocker offre maggiore sicurezza quando è configurato per l'uso di una modalità di autenticazione avanzata (TPM+PIN, TPM+USB o TPM+PIN+USB) con la modalità di ibernazione. Questo metodo è più sicuro perché la riattivazione dall'ibernazione richiede l'autenticazione BitLocker. La procedura consigliata consiste nel disabilitare la modalità sospensione e usare il metodo di autenticazione con TPM+PIN.
Quali sono i vantaggi di un TPM?
La maggior parte dei sistemi operativi usa uno spazio di memoria condiviso e prevede che sia il sistema operativo stesso a gestire la memoria fisica. Un TPM è un componente hardware che usa il proprio firmware interno e i propri circuiti logici per elaborare le istruzioni, in modo da garantire la schermatura dalle vulnerabilità software esterne. Gli attacchi al TPM richiedono l'accesso fisico al computer. Inoltre, le competenze e gli strumenti necessari per gli attacchi contro l'hardware sono spesso più costosi e in genere non altrettanto disponibili di quelli usati per gli attacchi contro il software. Poiché ogni TPM è univoco per il computer che lo contiene, inoltre, gli attacchi contro più computer con TPM sarebbero difficili e molto dispendiosi in termini di tempo.
Nota
La configurazione di BitLocker con un fattore aggiuntivo di autenticazione garantisce una protezione ancora maggiore contro gli attacchi hardware al TPM.
Sblocco di rete via BitLocker
Sblocco di rete via BitLocker semplifica la gestione per i desktop e i server in cui è abilitato BitLocker e che usano il metodo di protezione con TPM+PIN in un ambiente di dominio. Quando un computer connesso a una rete aziendale cablata viene riavviato, lo sblocco di rete permette di ignorare la richiesta di immissione del PIN. Lo strumento sblocca automaticamente i volumi del sistema operativo protetti con BitLocker usando una chiave attendibile fornita dal server Servizi di distribuzione Windows come metodo di autenticazione secondaria.
Per usare lo sblocco di rete, devi aver configurato anche un PIN per il tuo computer. Quando il computer non è connesso alla rete, dovrai specificare un PIN per sbloccarlo.
Sblocco di rete via BitLocker impone requisiti software e hardware per computer client, Servizi di distribuzione Windows e controller di dominio che devono essere soddisfatti prima di poterlo usare.
Lo sblocco di rete usa due protezioni, la protezione TPM e quella fornita dalla rete o dal PIN, mentre lo sblocco automatico usa un'unica protezione, quella archiviata nel TPM. Se il computer viene connesso a una rete senza la protezione con chiave, ti chiederà di immettere il PIN. Se il PIN non è disponibile, dovrai usare la chiave di ripristino per sbloccare il computer se questo non può essere connesso alla rete.
Per altre info, vedi BitLocker: Come abilitare lo sblocco di rete.
Altre domande
Posso eseguire un debugger del kernel con BitLocker?
Sì. Tuttavia, il debugger deve essere attivato prima di abilitare BitLocker. L'attivazione del debugger assicura che vengano calcolate le misurazioni appropriate durante la sigillatura nel TPM, in modo da permettere l'avvio corretto del computer. Se devi attivare o disattivare il debug quando usi BitLocker, assicurati di sospendere BitLocker per primo per evitare che il computer passi in modalità di ripristino.
In che modo BitLocker gestisce le immagini della memoria?
BitLocker ha uno stack dei driver di archiviazione che garantisce che i dump della memoria vengano crittografati quando BitLocker è abilitato.
BitLocker può supportare le smart card per l'autenticazione prima dell'avvio?
BitLocker non può supportare le smart card per l'autenticazione prima dell'avvio. Non è disponibile alcun supporto per singole smart card standard del settore nel firmware e la maggior parte dei computer non implementa il supporto del firmware per le smart card né supporta solo smart card e lettori specifici. Questa mancanza di standardizzazione rende il supporto delle smart card molto difficoltoso.
Posso usare un driver TPM non Microsoft?
Microsoft non supporta driver TPM non Microsoft e ne sconsiglia caldamente l'uso con BitLocker. Il tentativo di usare un driver TPM non Microsoft con BitLocker può far sì che BitLocker segnali l'assenza del TPM nel computer e non ne permetta l'uso.
Altri strumenti che gestiscono o modificano il record di avvio principale possono funzionare con BitLocker?
Sconsigliamo di modificare il record di avvio principale nei computer le cui unità del sistema operativo sono protette con BitLocker per diversi motivi correlati a sicurezza, affidabilità e supporto del prodotto. Le modifiche apportate al record di avvio principale possono modificare l'ambiente di sicurezza e impedire il normale avvio del computer, nonché complicare qualsiasi tentativo di ripristino da un record di avvio principale danneggiato. Le modifiche apportate al record di avvio principale da altri componenti oltre Windows possono forzare il passaggio del computer alla modalità di ripristino o impedirne interamente il riavvio.
Perché il controllo del sistema non riesce durante la crittografia dell'unità del sistema operativo?
Il controllo del sistema è progettato per garantire che il firmware BIOS o UEFI del computer sia compatibile con BitLocker e che il TPM funzioni correttamente. Il controllo del sistema può non riuscire per diversi motivi:
Il firmware BIOS o UEFI non riesce a leggere le unità flash USB.
Nel firmware BIOS o UEFI o nel menu di avvio non è abilitata la lettura delle unità flash USB.
Nel computer sono presenti più unità flash USB.
Il PIN non è stato immesso correttamente.
Il firmware BIOS o UEFI del computer supporta solo i tasti funzione (F1-F10) per l'immissione di numerali nell'ambiente prima dell'avvio.
La chiave di avvio è stata rimossa prima del riavvio completo del computer.
Il TPM non ha funzionato correttamente e non è riuscito a rimuovere il sigillo dalle chiavi.
Che cosa posso fare se la chiave di ripristino nell'unità flash USB non viene letta?
Alcuni computer non riescono a leggere le unità flash USB nell'ambiente prima dell'avvio. Prima di tutto, controlla il firmware BIOS o UEFI e le impostazioni di avvio per verificare che sia abilitato l'uso di unità USB. In caso contrario, abilita l'uso di unità USB nel firmware BIOS o UEFI e nelle impostazioni di avvio e quindi riprova a leggere la chiave di ripristino dall'unità flash USB. Se la chiave continua a non essere letta, dovrai montare il disco rigido come unità dati in un altro computer in modo che vi sia un sistema operativo che provi a leggere la chiave di ripristino dall'unità flash USB. Se l'unità flash USB è stata danneggiata, potresti dover specificare una password di ripristino o usare le informazioni di ripristino di cui hai eseguito il backup in Servizi di dominio Active Directory. Inoltre, se usi la chiave di ripristino nell'ambiente prima dell'avvio, assicurati che l'unità sia formattata con il file system NTFS, FAT16 o FAT32.
Perché non riesco a salvare la chiave di ripristino nell'unità flash USB?
Per impostazione predefinita, l'opzione di salvataggio nell'unità USB non viene visualizzata per le unità rimovibili. Se l'opzione non è disponibile, significa che un amministratore di sistema ha disabilitato l'uso delle chiavi di ripristino.
Perché non riesco a sbloccare automaticamente la mia unità?
Per lo sblocco automatico delle unità dati fisse, è necessario che anche l'unità del sistema operativo sia protetta da BitLocker. Se usi un computer la cui unità del sistema operativo non è protetta con BitLocker, l'unità non può essere automaticamente sbloccata. Per le unità dati rimovibili, puoi aggiungere lo sblocco automatico facendo clic con il pulsante destro del mouse sull'unità in Esplora risorse e quindi scegliendo Gestione BitLocker. Potrai comunque usare credenziali password o smart card quando attivi BitLocker per lo sblocco dell'unità rimovibile in altri computer.
Posso usare BitLocker in modalità provvisoria?
In modalità provvisoria BitLocker è disponibile con funzionalità limitate. Le unità protette con BitLocker possono essere sbloccate e decrittografate usando la voce Crittografia unità BitLocker del Pannello di controllo. La possibilità di fare clic con il pulsante destro del mouse per accedere alle opzioni di BitLocker da Esplora risorse non è disponibile in modalità provvisoria.
Come "blocco" un'unità dati?
Le unità dati fisse e rimovibili possono essere bloccate usando lo strumento da riga di comando Manage-bde e il comando -lock.
Nota
Prima di bloccare l'unità, assicurati che tutti i dati siano salvati nell'unità. Una volta bloccata, l'unità non sarà più accessibile.
Ecco la sintassi di questo comando:
manage-bde <driveletter> -lock
Oltre che con l'uso di questo comando, le unità dati verranno bloccate all'arresto e al riavvio del sistema operativo. Un'unità dati rimovibile viene bloccata automaticamente anche quando viene rimossa dal computer.
Posso usare BitLocker con il servizio Copia Shadow del volume?
Sì. Tuttavia, le copie shadow eseguite prima di abilitare BitLocker verranno automaticamente eliminate quando BitLocker è abilitato su unità con crittografia software. Se usi un'unità con crittografia hardware, le copie shadow vengono mantenute.
BitLocker supporta dischi rigidi virtuali (VHD)?
BitLocker non è supportato su VHD di avvio, ma è supportato su VHD di volumi dati, tra cui quelli usati dai cluster, se esegui Windows 10, Windows 8.1, Windows 8, Windows Server 2012 o Windows Server 2012 R2.