Guida al ripristino di BitLocker

Questo argomento, destinato ai professionisti IT, descrive come recuperare chiavi di BitLocker da Servizi di dominio Active Directory.

Le organizzazioni possono usare le informazioni di ripristino salvate in Servizi di dominio Active Directory per accedere ai dati protetti con BitLocker. La creazione di un modello di ripristino per BitLocker quando pianifichi la distribuzione di BitLocker è un'operazione consigliata.

Questo articolo presuppone che tu sappia come configurare Servizi di dominio Active Directory per il backup automatico delle informazioni di ripristino di BitLocker e che conosca i tipi di informazioni di ripristino che vengono salvati in Servizi di dominio Active Directory.

Questo articolo non contiene informazioni dettagliate su come configurare Servizi di dominio Active Directory per l'archiviazione delle informazioni di ripristino di BitLocker.

Questo articolo contiene gli argomenti seguenti:

• Che cos'è il ripristino BitLocker?

• Testing del ripristino

• Pianificazione del processo di ripristino

• Uso di informazioni di ripristino aggiuntive

• Reimpostazione delle password di ripristino

• Recupero del pacchetto della chiave di BitLocker

Che cos'è il ripristino BitLocker?

Il ripristino BitLocker è il processo attraverso il quale puoi ripristinare l'accesso a un'unità protetta con BitLocker nei casi in cui non riesci a sbloccare l'unità normalmente. In uno scenario di ripristino ecco le opzioni disponibili per ripristinare l'accesso all'unità:

• L'utente può fornire la password di ripristino. Se l'organizzazione permette agli utenti di stampare o archiviare password di ripristino, l'utente può digitare la password di ripristino a 48 cifre che ha stampato o archiviato in un'unità flash USB o con il tuo account Microsoft online. Il salvataggio di una password di ripristino con l'account Microsoft online è consentito solo se BitLocker viene usato in un PC che non è membro di un dominio.

• Un agente recupero dati può usare le proprie credenziali per sbloccare l'unità. Se l'unità è un'unità del sistema operativo, deve essere montata come unità dati in un altro computer perché l'agente recupero dati possa sbloccarla.

• Un amministratore di dominio può ottenere la password di ripristino da Servizi di dominio Active Directory e usarla per sbloccare l'unità. L'archiviazione delle password di ripristino in Servizi di dominio Active Directory è un'operazione consigliata per i professionisti IT, perché permette di ottenere le password di ripristino per le unità nell'organizzazione, se necessario. Per poter usare questo metodo di ripristino, devi averlo abilitato nell'impostazione di Criteri di gruppo per BitLocker Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker, che si trova in Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Unità del sistema operativo in Editor Criteri di gruppo locali. Per altre informazioni, vedi Impostazioni di Criteri di gruppo per BitLocker.

Che cosa provoca il ripristino BitLocker?

L'elenco seguente contiene alcuni esempi di eventi specifici che provocano il passaggio di BitLocker alla modalità di ripristino durante il tentativo di avviare l'unità del sistema operativo:

• Quando viene rilevato un attacco nei PC che usano BitLocker o Crittografia dispositivo, il dispositivo viene immediatamente avviato e passa alla modalità di ripristino BitLocker. Per sfruttare questa funzionalità, gli amministratori possono configurare l'impostazione di Criteri di gruppo Accesso interattivo: soglia di blocco dell'account computer che si trova in \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in Editor Criteri di gruppo locali oppure usare il criterio MaxFailedPasswordAttempts di Exchange ActiveSync (configurabile anche tramite Windows Intune) per limitare il numero di tentativi di immissione della password non riusciti prima che il dispositivo venga bloccato.

• Modifica dell'ordine di avvio per avviare in anticipo un'altra unità del disco rigido.

• Impostazione dell'unità CD o DVD prima del disco rigido nell'ordine di avvio del BIOS e successivo inserimento o rimozione di un CD o DVD.

• Errore di avvio da un'unità di rete prima dell'avvio dal disco rigido.

• Inserimento o disinserimento di un computer portatile in un alloggiamento di espansione. In alcuni casi (a seconda del produttore del computer e del BIOS), la condizione di inserimento del computer portatile in un alloggiamento di espansione è parte della misurazione del sistema e deve essere coerente per convalidare lo stato e sbloccare BitLocker. Di conseguenza, se un computer portatile è collegato all'alloggiamento di espansione quando BitLocker è attivato, potrebbe dover essere collegato anche quando viene sbloccato. Al contrario, se un computer portatile non è collegato all'alloggiamento di espansione quando BitLocker è attivato, potrebbe dover essere scollegato anche quando viene sbloccato.

• Modifiche alla tabella delle partizioni NTFS nel disco, tra cui creazione, eliminazione o ridimensionamento di una partizione primaria.

• Immissione non corretta del PIN (Personal Identification Number) per un numero eccessivo di volte, che comporta l'attivazione della logica di anti-hammering del TPM. La logica di anti-hammering è costituita da metodi software o hardware che aumentano la difficoltà e i costi di un attacco di forza bruta su un PIN evitando di accettare le immissioni del PIN dopo un certo periodo di tempo.

• Disattivazione del supporto per la lettura del dispositivo USB nell'ambiente prima dell'avvio dal firmware BIOS o UEFI se usi chiavi basate su USB invece di un TPM.

• Disattivazione, disabilitazione o cancellazione del TPM.

• Aggiornamento di componenti di avvio critici, come un aggiornamento del firmware BIOS o UEFI, che provoca la modifica delle misurazioni di avvio correlate.

• Smarrimento del PIN quando è stata abilitata l'autenticazione tramite PIN.

• Aggiornamento del firmware della ROM facoltativa.

• Aggiornamento del firmware del TPM.

• Aggiunta o rimozione di hardware, ad esempio l'inserimento di una nuova scheda nel computer, tra cui alcune schede wireless PCMIA.

• Rimozione, inserimento o esaurimento completo della carica di una Smart Battery in un computer portatile.

• Modifiche apportate al record di avvio principale nel disco.

• Modifiche apportate a Boot Manager nel disco.

• TPM nascosto dal sistema operativo. Alcune impostazioni del firmware BIOS o UEFI possono essere usate per impedire l'enumerazione del TPM nel sistema operativo. Se implementata, questa opzione può nascondere il TPM dal sistema operativo. Quando il TPM è nascosto, l'avvio sicuro del firmware BIOS e UEFI è disabilitato e il TPM non risponde ai comandi provenienti da alcun software.

• Uso di una tastiera diversa che non immette correttamente il PIN o la cui mappatura non corrisponde a quella presupposta dall'ambiente prima dell'avvio. Questo problema può impedire l'immissione di PIN avanzati.

• Modifica dei registri PCR usati dal profilo di convalida del TPM. Ad esempio, l'inclusione di PCR[1] provocherebbe la misurazione da parte di BitLocker della maggior parte delle modifiche apportate alle impostazioni del BIOS, provocando il passaggio di BitLocker alla modalità di ripristino anche in caso di modifica di impostazioni del BIOS critiche non di avvio.

  Nota  

  Alcuni computer hanno impostazioni del BIOS che ignorano le misurazioni in certi registri PCR, come PCR[2]. La modifica di questa impostazione nel BIOS provocherebbe il passaggio di BitLocker alla modalità di ripristino, perché la misurazione del registro PCR sarebbe diversa.

   

• Spostamento dell'unità protetta con BitLocker in un nuovo computer.

• Aggiornamento della scheda madre a una nuova con un nuovo TPM.

• Smarrimento dell'unità flash USB che contiene la chiave di avvio quando è stata abilitata l'autenticazione tramite chiave di avvio.

• Errore della verifica automatica del TPM.

• Presenza di un firmware BIOS o UEFI o di un componente ROM facoltativo non conforme agli standard Trusted Computing Group per un computer client. Ad esempio, un'implementazione non conforme può registrare dati volatili (come data e ora) nelle misurazioni TPM, provocando misurazioni diverse a ogni avvio e l'avvio di BitLocker in modalità di ripristino.

• Modifica dell'autorizzazione di utilizzo della chiave radice di archiviazione del TPM in un valore diverso da zero.

  Nota  

  Poiché il processo di inizializzazione del TPM di BitLocker imposta il valore di autorizzazione di utilizzo su zero, un altro utente o processo deve aver modificato esplicitamente questo valore.

   

• Disabilitazione del controllo dell'integrità del codice o abilitazione delle firme di test in Windows Boot Manager (Bootmgr).

• Pressione del tasto F8 o F10 durante il processo di avvio.

• Aggiunta o rimozione di schede aggiuntive, come schede video o di rete, o aggiornamento del firmware nelle schede aggiuntive.

• Uso di un tasto di scelta rapida del BIOS durante il processo di avvio per modificare l'ordine di avvio in base a un'unità diversa dal disco rigido.

Nota  

Prima di avviare il ripristino, ti consigliamo di determinare che cosa lo ha provocato. In questo modo, puoi evitare che questo problema si verifichi di nuovo in futuro. Se, ad esempio, determini che un attacco ha modificato il computer ottenendo accesso fisico, puoi creare nuovi criteri di sicurezza per tenere traccia di chi ha presenza fisica. Dopo che la password di ripristino è stata usata per ripristinare l'accesso al PC, BitLocker sigilla la chiave di crittografia in base ai valori correnti dei componenti misurati.

 

Per gli scenari pianificati, come gli aggiornamenti dell'hardware o del firmware noti, puoi evitare di avviare il ripristino sospendendo temporaneamente la protezione BitLocker. Poiché la sospensione di BitLocker lascia l'unità completamente crittografata, l'amministratore può riprendere rapidamente la protezione BitLocker una volta completata l'attività pianificata. Anche l'uso della sospensione e della ripresa fa sì che la chiave di crittografia venga sigillata senza richiedere l'immissione della chiave di ripristino.

Nota  

Se sospeso, BitLocker riprende automaticamente la protezione al riavvio del PC, a meno che non sia stato specificato un conteggio dei riavvii usando lo strumento da riga di comando manage-bde.

Se la manutenzione del software richiede il riavvio del computer e se usi l'autenticazione a due fattori, puoi abilitare Sblocco di rete via BitLocker per fornire il fattore di autenticazione secondario quando i computer non hanno un utente locale che possa fornire il metodo di autenticazione aggiuntivo.

 

Nonostante il ripristino sia stato descritto nel contesto di un comportamento non pianificato o indesiderato, puoi provocare il ripristino anche come scenario di produzione previsto, per gestire il controllo di accesso. Ad esempio, quando ridistribuisci computer desktop o portatili in altri reparti o ad altri dipendenti dell'azienda, puoi forzare il ripristino BitLocker prima che il computer venga assegnato a un nuovo utente.

Testing del ripristino

Prima di creare un processo di ripristino completo di BitLocker, ti consigliamo di testare il funzionamento del processo di ripristino per utenti finali (persone che chiamano l'help desk per recuperare la password di ripristino) e amministratori (persone che aiutano l'utente finale a recuperare la password di ripristino). Il comando -forcerecovery di manage-bde è un metodo facile per eseguire le istruzioni del processo di ripristino prima che gli utenti riscontrino una situazione di ripristino.

Per forzare un ripristino per il computer locale

1. Fai clic sul pulsante Start, digita cmd nella casella Avvia ricerca, fai clic con il pulsante destro del mouse su cmd.exe e quindi scegli Esegui come amministratore.

2. Al prompt dei comandi digita il comando seguente e quindi premi INVIO:

   manage-bde -forcerecovery <Volume>

Per forzare un ripristino per un computer remoto

1. Nella schermata Start digita cmd.exe e quindi fai clic su Esegui come amministratore.

2. Al prompt dei comandi digita il comando seguente e quindi premi INVIO:

   manage-bde. -ComputerName <ComputerName>-forcerecovery <Volume>

Nota  

<ComputerName> rappresenta il nome del computer remoto. <Volume> rappresenta il volume protetto con BitLocker nel computer remoto.

 

Pianificazione del processo di ripristino

Quando pianifichi il processo di ripristino, esamina prima di tutto le procedure consigliate dell'organizzazione per individuare le informazioni correlate al ripristino. Ad esempio: in che modo l'azienda gestisce lo smarrimento delle password di Windows? In che modo esegue la reimpostazione dei PIN delle smart card? Puoi usare queste procedure consigliate e le risorse correlate (persone e strumenti) per formulare un modello di ripristino di BitLocker.

Le organizzazioni che ricorrono a Crittografia unità BitLocker e BitLocker To Go per proteggere dati su un numero elevato di computer e unità rimovibili che eseguono il sistema operativo Windows 10, Windows 8 o Windows 7 e Windows To Go possono valutare se usare lo strumento Microsoft BitLocker Administration and Monitoring (MBAM) versione 2.0, incluso in Microsoft Desktop Optimization Pack (MDOP) per Microsoft Software Assurance. MBAM semplifica le implementazioni di BitLocker per distribuzione e gestione e permette agli amministratori di effettuare il provisioning e il monitoraggio della crittografia per unità fisse e del sistema operativo. MBAM chiede la conferma dell'utente prima di crittografare le unità fisse. MBAM gestisce anche le chiavi di ripristino per unità fisse e rimovibili, semplificando la gestione del ripristino. MBAM può essere usato come parte di una distribuzione di Microsoft System Center o come soluzione autonoma. Per altre info, vedi Microsoft BitLocker Administration and Monitoring.

Una volta avviato un ripristino BitLocker, gli utenti possono usare una password di ripristino per sbloccare l'accesso a dati non crittografati. Considera sia il metodo di ripristino self-service sia il metodo di recupero della password di ripristino per la tua organizzazione.

Nel determinare il processo di ripristino, devi:

• Acquisire familiarità con il modo in cui recuperare la password di ripristino. Vedi:

  • Ripristino self-service

  • Recupero della password di ripristino

• Determinare una serie di passaggi per le operazioni successive al ripristino, tra cui l'analisi del motivo per cui si è verificato il ripristino e la reimpostazione della password di ripristino. Vedi:

  • Analisi successiva al ripristino

Ripristino self-service

In alcuni casi, gli utenti potrebbero aver stampato la password di ripristino o averla archiviata in un'unità flash USB e possono quindi eseguire il ripristino self-service. Consigliamo che l'organizzazione crei un criterio per il ripristino self-service. Se il ripristino self-service include l'uso di una password o di una chiave di ripristino archiviata in un'unità flash USB, agli utenti deve essere sconsigliato di tenere l'unità flash USB insieme al PC, in particolare durante un viaggio. Ad esempio, se il PC e gli elementi da ripristinare si trovano entrambi nella stessa borsa, sarebbe molto facile per un utente non autorizzato ottenere l'accesso al PC. Un altro criterio da prendere in considerazione consiste nel fare in modo che gli utenti chiamino l'help desk prima o dopo un ripristino self-service, per permettere l'identificazione della causa principale.

Recupero della password di ripristino

Se l'utente non ha stampato una password di ripristino o non l'ha archiviata in un'unità flash USB, deve essere in grado di recuperarla da un'origine online. Se il PC è membro di un dominio, è possibile eseguire il backup della password di ripristino in Servizi di dominio Active Directory. Tuttavia, questo non avviene per impostazione predefinita, ma devi aver configurato l'impostazione di Criteri di gruppo appropriata prima dell'abilitazione di BitLocker nel PC. Le impostazioni di Criteri di gruppo per BitLocker sono disponibili in Editor Criteri di gruppo locali o Console Gestione Criteri di gruppo in Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker. Le impostazioni dei criteri seguenti definiscono i metodi di ripristino che è possibile usare per ripristinare l'accesso a un'unità protetta con BitLocker se un metodo di autenticazione ha esito negativo o non può essere usato.

• Scegli modalità di ripristino delle unità del sistema operativo protette con BitLocker

• Scegli modalità di ripristino delle unità fisse protette con BitLocker

• Scegli modalità di ripristino delle unità rimovibili protette con BitLocker

In ognuna di queste impostazioni dei criteri seleziona Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory e quindi scegli le informazioni di ripristino di BitLocker da archiviare in Servizi di dominio Active Directory. Seleziona la casella di controllo Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory se vuoi impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup in Servizi di dominio Active Directory delle informazioni di ripristino di BitLocker per l'unità non riesca.

Nota  

Se i PC fanno parte di un gruppo di lavoro, agli utenti deve essere consigliato di salvare la propria password di ripristino di BitLocker con l'account Microsoft online. Ti consigliamo di avere una copia online della password di ripristino di BitLocker per garantire di non perdere mai l'accesso ai dati se è necessario un ripristino.

 

Visualizzatore password di ripristino BitLocker per lo strumento Utenti e computer di Active Directory permette agli amministratori di dominio di visualizzare le password di ripristino di BitLocker per oggetti computer specifici in Active Directory.

Puoi usare l'elenco seguente come modello per creare il tuo processo di ripristino per il recupero della password di ripristino. Questo processo di esempio usa Visualizzatore password di ripristino BitLocker per lo strumento Utenti e computer di Active Directory.

• Registrare il nome del computer dell'utente

• Verificare l'identità dell'utente

• Individuare la password di ripristino in Servizi di dominio Active Directory

• Raccogliere informazioni per determinare il motivo per cui si è verificato il ripristino

• Assegnare all'utente la password di ripristino

Registrare il nome del computer dell'utente

Puoi usare il nome del computer dell'utente per individuare la password di ripristino in Servizi di dominio Active Directory. Se l'utente ignora il nome del computer, chiedigli di leggere la prima parola riportata in Etichetta unità nell'interfaccia utente di immissione delle password di Crittografia unità BitLocker. Si tratta del nome del computer al momento dell'abilitazione di BitLocker ed è probabilmente anche il nome attuale del computer.

Verificare l'identità dell'utente

Devi verificare che la persona che chiede la password di ripristino sia davvero l'utente autorizzato del computer. Potresti anche voler verificare che il computer con il nome specificato dall'utente appartenga effettivamente all'utente.

Individuare la password di ripristino in Servizi di dominio Active Directory

Individua l'oggetto computer con il nome corrispondente in Servizi di dominio Active Directory. Poiché i nomi degli oggetti computer sono elencati nel catalogo globale di Servizi di dominio Active Directory, devi essere in grado di individuare l'oggetto anche se hai una foresta multidominio.

Più password di ripristino

Se più password di ripristino sono archiviate in un oggetto computer in Servizi di dominio Active Directory, il nome dell'oggetto per le informazioni di ripristino di BitLocker include la data di creazione della password.

In caso di dubbi sulla password da specificare in qualsiasi momento o se pensi che potresti aver specificato una password non corretta, chiedi all'utente di leggere l'ID password di otto caratteri visualizzato nella console di ripristino.

Poiché l'ID password è un valore univoco associato a ogni password di ripristino in Servizi di dominio Active Directory, l'esecuzione di una query usando questo ID troverà la password corretta per sbloccare il volume crittografato.

Raccogliere informazioni per determinare il motivo per cui si è verificato il ripristino

Prima di assegnare all'utente la password di ripristino, devi raccogliere tutte le informazioni per determinare il motivo per cui il ripristino è stato necessario, in modo da poter analizzare la causa principale durante l'analisi successiva al ripristino. Per altre info sull'analisi successiva al ripristino, vedi Analisi successiva al ripristino.

Assegnare all'utente la password di ripristino

Poiché la password di ripristino è costituita da 48 cifre, l'utente potrebbe doverla registrare scrivendola o digitandola in un computer diverso. Se usi MBAM, la password di ripristino verrà rigenerata una volta ripristinata dal database MBAM per evitare rischi di sicurezza associati a una password non controllata.

Nota  

Poiché la password di ripristino a 48 cifre è lunga e contiene una combinazione di cifre, l'utente potrebbe udirla o digitarla non correttamente. La console di ripristino della fase di avvio usa numeri checksum predefiniti per rilevare gli errori di input in ogni blocco di 6 cifre della password di ripristino a 48 cifre e offre all'utente l'opportunità di correggere gli errori.

 

Analisi successiva al ripristino

Quando un volume viene sbloccato usando una password di ripristino, viene scritto un evento nel registro eventi e le misurazioni di convalida della piattaforma vengono reimpostate nel TPM perché corrispondano alla configurazione corrente. Lo sblocco del volume significa che la chiave di crittografia è stata rilasciata per crittografia in tempo reale quando i dati vengono scritti nel volume e per decrittografia in tempo reale quando i dati vengono letti dal volume. Una volta sbloccato il volume, BitLocker si comporta allo stesso modo, indipendentemente da come è stato concesso l'accesso.

Se noti che in un computer avvengono sbocchi ripetuti con password di ripristino, potresti voler chiedere a un amministratore di eseguire l'analisi successiva al ripristino per determinare la causa principale del ripristino e aggiornare la convalida della piattaforma BitLocker in modo che l'utente non debba più immettere una password di ripristino a ogni avvio del computer. Vedi:

• Determinare la causa principale del ripristino

• Aggiornare la protezione BitLocker

Determinare la causa principale del ripristino

Se un utente ha dovuto ripristinare l'unità, è importante determinare il prima possibile la causa principale che ha avviato il ripristino. La corretta analisi dello stato del computer e il rilevamento di eventuali manomissioni può rivelare minacce con implicazioni più ampie per la sicurezza aziendale.

Mentre in alcuni casi un amministratore può indagare in remoto riguardo alla causa del ripristino, l'utente finale potrebbe dover portare sul posto il computer che contiene l'unità ripristinata per analizzare ulteriormente la causa principale.

Esamina le domande seguenti per l'organizzazione e prova a dare una risposta:

1. Quale modalità di protezione BitLocker viene usata (TPM, TPM+PIN, TPM+chiave di avvio, solo chiave di avvio)? Quale profilo PCR è usato nel PC?

2. L'utente ha semplicemente dimenticato il PIN o ha smarrito la chiave di avvio? Se è stato smarrito un token, dove potrebbe essere?

3. Se era attiva la modalità TPM, il ripristino è stato provocato da una modifica del file di avvio?

4. Se il ripristino è stato provocato da una modifica del file di avvio, si è trattato di un'azione voluta dall'utente (come l'aggiornamento del BIOS) o di un software dannoso?

5. Qual è stata l'ultima volta in cui l'utente è riuscito ad avviare il computer e che cosa potrebbe essere successo al computer da allora?

6. L'utente potrebbe aver ricevuto software dannoso o aver lasciato il computer incustodito dall'ultimo avvio?

Per aiutarti a rispondere a queste domande, usa lo strumento da riga di comando di BitLocker per visualizzare la configurazione e la modalità di protezione correnti, ad esempio manage-bde -status. Analizza il registro eventi per trovare gli eventi che aiutano a determinare il motivo per cui è stato avviato il ripristino, ad esempio se è stata apportata una modifica al file di avvio. Entrambe queste funzionalità possono essere eseguite in remoto.

Risolvere la causa principale

Dopo aver identificato che cosa ha provocato il ripristino, puoi reimpostare la protezione BitLocker ed evitare il ripristino a ogni avvio.

I dettagli di questa reimpostazione possono variare in base alla causa principale del ripristino. Se non riesci a determinare la causa principale o se il computer potrebbe essere infetto a causa di un software dannoso o un rootkit, l'help desk dovrà applicare criteri antivirus basati su procedure consigliate per rispondere nel modo appropriato.

Nota  

Puoi eseguire il ripristino del profilo di convalida di BitLocker sospendendo e riprendendo BitLocker.

 

• PIN sconosciuto

• Chiave di avvio smarrita

• Modifiche ai file di avvio

PIN sconosciuto

Se un utente ha dimenticato il PIN, devi reimpostare il PIN mentre sei connesso al computer per impedire a BitLocker di avviare il ripristino a ogni riavvio del computer.

Per impedire il ripristino ripetuto a causa di un PIN sconosciuto

1. Sblocca il computer usando la password di ripristino.

2. Reimposta il PIN:

   2. Fai clic con il pulsante destro del mouse sull'unità e quindi scegli Cambia PIN.

   3. Nella finestra di dialogo Crittografia unità BitLocker fai clic su Reimpostare un PIN dimenticato. Se non hai effettuato l'accesso con un account amministratore, devi specificare credenziali amministrative a questo punto.

   4. Nella finestra di dialogo per la reimpostazione del PIN fornisci e conferma il nuovo PIN e quindi fai clic su Fine.

3. Userai il nuovo PIN la prossima volta che dovrai sbloccare l'unità.

Chiave di avvio smarrita

Se hai smarrito l'unità flash USB che contiene la chiave di avvio, devi sbloccare l'unità usando la chiave di ripristino e quindi creare una nuova chiave di avvio.

Per impedire il ripristino ripetuto a causa di una chiave di avvio smarrita

1. Accedi come amministratore al computer associato alla chiave di avvio smarrita.

2. Apri Gestione BitLocker.

3. Fai clic su Duplica la chiave di avvio, inserisci l'unità USB pulita in cui intendi scrivere la chiave e quindi fai clic su Salva.

Modifiche ai file di avvio

Questo errore può verificarsi se hai aggiornato il firmware. Come best practice, devi sospendere BitLocker prima di apportare modifiche al firmware e quindi riprendere la protezione al termine dell'aggiornamento. In questo modo, impedirai che il computer passi alla modalità di ripristino. Tuttavia, se le modifiche sono state apportate quando la protezione BitLocker era attivata, puoi semplicemente accedere al computer usando la password di ripristino perché il profilo di convalida della piattaforma venga aggiornato in modo da evitare il ripristino la prossima volta.

Ambiente ripristino Windows e BitLocker

Ambiente ripristino Windows può essere usato per ripristinare l'accesso a un'unità protetta da BitLocker o da Crittografia dispositivo. Se un PC non viene avviato dopo due errori, Ripristino all'avvio viene avviato automaticamente. Quando Ripristino all'avvio viene avviato automaticamente a causa di errori di avvio, esegue il ripristino solo del sistema operativo e dei file dei driver, purché i registri di avvio o qualsiasi altro punto di arresto anomalo disponibile indichino un file danneggiato specifico. In Windows 8.1 e versioni successive nei dispositivi che includono firmware per supportare misurazioni TPM specifiche per PCR[7] il TPM può verificare che Ambiente ripristino Windows sia un sistema operativo attendibile e sbloccherà qualsiasi unità protetta con BitLocker se Ambiente di ripristino Windows non è stato modificato. Se Ambiente ripristino Windows è stato modificato, ad esempio se il TPM è stato disabilitato, le unità resteranno bloccate fino a quando non viene fornita la chiave di ripristino di BitLocker. Se Ripristino all'avvio non può essere eseguito automaticamente dal PC e invece Ambiente ripristino Windows viene avviato manualmente da un disco di ripristino, è necessario fornire la chiave di ripristino di BitLocker per sbloccare le unità protette con BitLocker.

Uso di informazioni di ripristino aggiuntive

Oltre alla password di ripristino di BitLocker a 48 cifre, altri tipi di informazioni di ripristino sono archiviati in Active Directory. Questa sezione descrive come possono essere usate queste informazioni aggiuntive.

Pacchetto della chiave di BitLocker

Se i metodi di ripristino descritti nelle sezioni precedenti di questo documento non sbloccano il volume, puoi usare lo strumento di ripristino BitLocker per decrittografare il volume a livello di blocco. Lo strumento usa il pacchetto della chiave di BitLocker per aiutare a recuperare i dati crittografati da unità danneggiate gravemente. Puoi usare questi dati recuperati per mettere in salvo i dati crittografati, anche dopo che la password di ripristino corretta non è riuscita a sbloccare il volume danneggiato. Ti consigliamo di salvare comunque la password di ripristino. Un pacchetto della chiave non può essere usato senza la password di ripristino corrispondente.

Nota  

Per usare il pacchetto della chiave di BitLocker, devi usare lo strumento di ripristino BitLocker repair-bde.

 

Il pacchetto della chiave di BitLocker non viene salvato per impostazione predefinita. Per salvare la chiave insieme alla password di ripristino in Servizi di dominio Active Directory, devi selezionare l'opzione Esegui backup delle password di ripristino e dei pacchetti della chiave nelle impostazioni di Criteri di gruppo che controllano il metodo di ripristino. Puoi anche esportare il pacchetto della chiave da un volume di lavoro. Per altre informazioni su come esportare pacchetti della chiave, vedi Recupero del pacchetto della chiave di BitLocker.

Reimpostazione delle password di ripristino

Una volta fornita e usata, la password di ripristino deve essere annullata. Puoi eseguire questa operazione anche quando vuoi annullare intenzionalmente una password di ripristino esistente per qualsiasi motivo.

Puoi reimpostare la password di ripristino in due modi:

• Usando manage-bde Puoi usare manage-bde per rimuovere la vecchia password di ripristino e aggiungerne una nuova. La procedura identifica il comando e la sintassi per questo metodo.

• Eseguendo uno script Puoi eseguire uno script per reimpostare la password senza decrittografare il volume. Lo script di esempio nella procedura mostra questa funzionalità. Lo script di esempio crea una nuova password di ripristino e annulla tutte le altre password.

Per reimpostare una password di ripristino con manage-bde

1. Rimuovi la password di ripristino precedente.

   Manage-bde –protectors –delete C: –type RecoveryPassword
   

2. Aggiungi la nuova password di ripristino.

   Manage-bde –protectors –add C: -RecoveryPassword
   

3. Ottieni l'ID della nuova password di ripristino. Dalla schermata copia l'ID della password di ripristino.

   Manage-bde –protectors –get C: -Type RecoveryPassword
   

4. Esegui il backup della nuova password di ripristino in Servizi di dominio Active Directory.

   Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
   

   Avviso  

   Devi includere le parentesi graffe nella stringa dell'ID.

    

Per eseguire lo script di esempio per la password di ripristino

1. Salva lo script di esempio seguente in un file VBScript. Ad esempio, ResetPassword.vbs.

2. Al prompt dei comandi digita un comando simile al seguente:

   cscript ResetPassword.vbs

Importante  

Questo script di esempio è configurato per funzionare solo per il volume C. Devi personalizzare lo script in modo che corrisponda al volume in cui vuoi testare la reimpostazione della password.

 

Nota  

Per gestire un computer remoto, puoi specificare il nome del computer remoto invece di quello del computer locale.

 

Puoi usare lo script di esempio seguente per creare un file VBScript per la reimpostazione delle password di ripristino.

' Target drive letter
strDriveLetter = "c:"

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------

nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Removes the other, "stale", recovery passwords 
' ----------------------------------------------------------------------------------

nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)

If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Delete those key protectors other than the one we just added. 

For Each sKeyProtectorID In aKeyProtectorIDs

If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If

Next

WScript.Echo "A new recovery password has been added. Old passwords have been removed."

' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Recupero del pacchetto della chiave di BitLocker

Puoi usare due metodi diversi per recuperare il pacchetto della chiave, come descritto in Uso di informazioni di ripristino aggiuntive:

• Esportare da Servizi di dominio Active Directory un pacchetto della chiave precedentemente salvato. Devi avere accesso in lettura alle password di ripristino di BitLocker archiviate in Servizi di dominio Active Directory.

• Esportare un nuovo pacchetto della chiave da un volume protetto con BitLocker sbloccato. Devi avere accesso come amministratore locale al volume di lavoro prima che si verifichi qualsiasi danno.

Lo script di esempio seguente esporta da Servizi di dominio Active Directory tutti i pacchetti della chiave precedentemente salvati.

Per eseguire lo script di esempio per il recupero dei pacchetti della chiave

1. Salva lo script di esempio seguente in un file VBScript. Ad esempio, GetBitLockerKeyPackageADDS.vbs.

2. Al prompt dei comandi digita un comando simile al seguente:

   cscript GetBitLockerKeyPackageADDS.vbs -?

Puoi usare lo script di esempio seguente per creare un file VBScript per il recupero del pacchetto della chiave di BitLocker da Servizi di dominio Active Directory.

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageAD [Path To Saved Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackageAD E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else 
      strFilePath = args(0)
      ' Get the name of the local computer      
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName      
    End If    
      
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage

End Select



' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------

Function GetStrPathToComputer(strComputerName) 

    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone

    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com    

    strBase = "<GC://" & namingContext & ">"
 
    Set objConnection = CreateObject("ADODB.Connection") 
    Set objCommand = CreateObject("ADODB.Command") 
    objConnection.Provider = "ADsDSOOBject" 
    objConnection.Open "Active Directory Provider" 
    Set objCommand.ActiveConnection = objConnection 

    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree" 

    objCommand.CommandText = strQuery 
    objCommand.Properties("Page Size") = 100 
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False 

    ' Enumerate all objects found. 

    Set objRecordSet = objCommand.Execute 
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If

    ' Found object matching name

    Do Until objRecordSet.EOF 
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext 
    Loop 


    ' Clean up. 
    Set objConnection = Nothing 
    Set objCommand = Nothing 
    Set objRecordSet = Nothing 

End Function


' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------


Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)

WScript.Echo "Accessing object: " + strPathToComputer

Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80


' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------

' Get all the recovery information child objects of the computer object

Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)

objFveInfos.Filter = Array("msFVE-RecoveryInformation")

' Iterate through each recovery information object and saves any existing key packages

nCount = 1
strFilePathCurrent = strFilePath & nCount

For Each objFveInfo in objFveInfos

   strName = objFveInfo.Get("name")

   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")

   WScript.echo 
   WScript.echo "Recovery Object Name: " + strName 
   WScript.echo "Recovery Password: " + strRecoveryPassword

   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")

   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If

   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage
   
   WScript.echo "Related key package successfully saved to " + strFilePathCurrent


   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount

Next


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

WScript.Quit

The following sample script exports a new key package from an unlocked, encrypted volume.

To run this script, start by saving the code into a VBS file (for example, GetBitLockerKeyPackage.vbs). Then, open an administrator command prompt and use “cscript” to run the saved file (for example, type "cscript GetBitLockerKeyPackage.vbs  -?").



' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Saved Key Package]"
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage

End Select

' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 

' Default key protector ID to use. Specify "" to let the script choose.

strDefaultKeyProtectorID = ""

' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------

nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

nExternalKeyProtectorType = 2 ' type associated with "External Key" protector

nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If


' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------

if strDefaultKeyProtectorID = "" Then

' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If

' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If 

' Fail case: no recovery key protectors exist. 
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If

End If

' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------

' is the type valid?

nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)

If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' what's a string that can be used to describe it?

strDefaultKeyProtectorType = ""

Select Case nDefaultKeyProtectorType 

  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"

  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"

  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."

End Select


' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------

nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If

Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next

' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage

' Display helpful information
' ----------------------------------------------------------------------------------

WScript.Echo "The backup key package has been saved to " & strFilePath & "."

WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."

' Display the recovery password or a note about saving the recovery key file

If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then

nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword

ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Vedi anche

• Panoramica di BitLocker