BitLocker: Usare Strumenti per Crittografia unità BitLocker per la gestione di BitLocker

  • Articolo

Questo argomento, destinato ai professionisti IT, descrive come usare alcuni strumenti per la gestione di BitLocker.

Strumenti per Crittografia unità BitLocker include gli strumenti da riga di comando manage-bde e repair-bde e i cmdlet di Windows PowerShell per BitLocker.

Sia manage-bde sia i cmdlet per BitLocker possono essere usati per eseguire qualsiasi attività che può essere completata tramite il Pannello di controllo BitLocker e sono appropriati per distribuzioni automatiche e altri scenari di script.

Repair-bde è uno strumento per circostanze speciali fornito per scenari di ripristino di emergenza in cui un'unità protetta con BitLocker non può essere sbloccata normalmente o tramite la console di ripristino.

  1. Manage-bde

  2. Repair-bde

  3. Cmdlet di Windows PowerShell per BitLocker

Manage-bde

Manage-bde è un'utilità da riga di comando che è possibile usare per lo scripting di operazioni di BitLocker. Manage-bde offre opzioni aggiuntive non visualizzate nel Pannello di controllo BitLocker. Per un elenco completo delle opzioni di manage-bde, vedi le informazioni di riferimento sulla riga di comando Manage-bde.

Manage-bde include meno impostazioni predefinite e richiede maggiore personalizzazione per la configurazione di BitLocker. Ad esempio, usando solo il comando manage-bde -on su un volume di dati, verrà crittografato interamente il volume senza alcuna protezione di autenticazione. Un volume crittografato in questo modo richiede comunque l'interazione dell'utente per attivare la protezione BitLocker, anche se il comando è stato eseguito correttamente, perché è necessario aggiungere un metodo di autenticazione al volume affinché sia interamente protetto. Le sezioni seguenti contengono esempi di scenari di utilizzo comuni per manage-bde.

Uso di manage-bde con volumi del sistema operativo

Di seguito sono riportati esempi di comandi di base validi per i volumi del sistema operativo. In generale, se usi solo il comando manage-bde -on <drive letter>, il volume del sistema operativo viene crittografato con una protezione solo TPM e senza chiave di ripristino. Tuttavia, molti ambienti richiedono una protezione più sicura, ad esempio password o PIN, nonché la possibilità di recuperare le informazioni con una chiave di ripristino. È consigliabile aggiungere a un volume del sistema operativo almeno una protezione principale e una protezione di ripristino.

Quando si usa manage-bde è consigliabile determinare lo stato del volume nel sistema di destinazione. Usa il comando seguente per determinare lo stato del volume:

manage-bde -status

Questo comando restituisce i volumi nella destinazione, lo stato corrente della crittografia e il tipo (sistema operativo o dati) di ogni volume.

L'esempio seguente mostra l'abilitazione di BitLocker in un computer senza un chip TPM. Prima di avviare il processo di crittografia, devi creare la chiave di avvio necessaria per BitLocker e salvarla nell'unità USB. Quando BitLocker è abilitato per il volume del sistema operativo, deve accedere all'unità flash USB per ottenere la chiave di crittografia (in questo esempio la lettera di unità E rappresenta l'unità USB). Ti verrà chiesto di riavviare per completare il processo di crittografia.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Nota  

Al termine della crittografia, la chiave di avvio USB deve essere inserita prima che sia possibile avviare il sistema operativo.

 

Un'alternativa alla protezione con chiave di avvio in un componente hardware non TPM consiste nell'uso di una password e di una protezione ADaccountorgroup per proteggere il volume del sistema operativo. In questo scenario devi aggiungere prima di tutto le protezioni. Ciò è possibile usando il comando:

manage-bde -protectors -add C: -pw -sid <user or group>

Questo comando richiede l'immissione e quindi la conferma della protezione con password prima di aggiungerla al volume. Con le protezioni abilitate per il volume, devi semplicemente attivare BitLocker.

Nei computer con un TPM è possibile crittografare il volume del sistema operativo senza alcuna protezione definita usando manage-bde. Il comando per eseguire questa operazione è il seguente:

manage-bde -on C:

L'unità verrà crittografata usando il TPM come protezione predefinita. In caso di dubbi riguardo alla disponibilità di una protezione TPM, esegui il comando seguente per elencare le protezioni disponibili per un volume:

 manage-bde -protectors -get <volume>

Uso di manage-bde con volumi di dati

I volumi di dati usano la stessa sintassi per la crittografia dei volumi del sistema operativo, ma non richiedono protezioni per il completamento dell'operazione. La crittografia dei volumi di dati può essere eseguita usando il comando di base manage-bde -on <drive letter> oppure puoi scegliere di aggiungere prima di tutto protezioni al volume. È consigliabile aggiungere a un volume di dati almeno una protezione principale e una protezione di ripristino.

Una protezione comune per un volume di dati è quella con password. Nell'esempio seguente aggiungiamo una protezione con password al volume e attiviamo BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Potresti riscontrare un problema che danneggia un'area del disco rigido in cui BitLocker archivia informazioni critiche. Questo tipo di problema può essere provocato da un errore del disco rigido o dalla chiusura imprevista di Windows.

Lo strumento di ripristino di BitLocker (Repair-bde) può essere usato per accedere a dati crittografati in un disco rigido danneggiato gravemente se l'unità è stata crittografata usando BitLocker. Repair-bde può ricostruire parti critiche dell'unità e recuperare dati, a condizione di usare una password di ripristino o una chiave di ripristino valida per decrittografare i dati. Se i metadati di BitLocker nell'unità sono danneggiati, devi poter fornire un pacchetto della chiave di backup oltre alla password di ripristino o alla chiave di ripristino. Viene eseguito il backup di questo pacchetto della chiave in Servizi di dominio Active Directory se hai usato l'impostazione predefinita per il backup in Servizi di dominio Active Directory. Con il pacchetto della chiave e la password di ripristino o la chiave di ripristino puoi decrittografare parti di un volume protetto con BitLocker se il disco è danneggiato. Ogni pacchetto della chiave funziona solo per un'unità con identificatore unità corrispondente. Puoi usare Visualizzatore password di ripristino BitLocker per ottenere questo pacchetto della chiave da Servizi di dominio Active Directory.

Suggerimento  

Se non esegui il backup delle informazioni di ripristino in Servizi di dominio Active Directory o se in alternativa vuoi salvare i pacchetti della chiave, puoi usare il comando manage-bde -KeyPackage per generare un pacchetto della chiave per un volume.

 

Lo strumento da riga di comando Repair-bde deve essere usato quando il sistema operativo non si avvia o quando non riesci ad avviare la console di ripristino di BitLocker. Devi usare Repair-bde nei casi seguenti:

  1. Hai crittografato l'unità con Crittografia unità BitLocker.

  2. Windows non si avvia o non riesci ad avviare la console di ripristino di BitLocker.

  3. Non hai una copia dei dati contenuti nell'unità crittografata.

Nota  

Il danno all'unità potrebbe non essere correlato a BitLocker. Di conseguenza, ti consigliamo di provare altri strumenti per semplificare la diagnosi e la risoluzione del problema dell'unità prima di usare lo strumento di ripristino di BitLocker. Ambiente ripristino Windows offre altre opzioni per ripristinare i computer.

 

Repair-bde ha queste limitazioni:

  • Lo strumento da riga di comando Repair-bde non può ripristinare un'unità in cui si è verificato un errore durante il processo di crittografia o decrittografia.

  • Lo strumento da riga di comando Repair-bde presuppone che se l'unità indica la presenza di crittografia, significa che è stata crittografata completamente.

Per altre informazioni sull'uso di repair-bde, vedi Repair-bde.

Cmdlet di Windows PowerShell per BitLocker

I cmdlet di Windows PowerShell offrono agli amministratori un nuovo metodo quando si usa BitLocker. Usando le funzionalità di scripting di Windows PowerShell, gli amministratori possono integrare le opzioni di BitLocker negli script esistenti con facilità. L'elenco seguente mostra i cmdlet disponibili per BitLocker.

Nome

Parametri

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

Analogamente a manage-bde, i cmdlet di Windows PowerShell offrono maggiori possibilità di configurazione rispetto alle opzioni disponibili nel pannello di controllo. Come con manage-bde, gli utenti devono considerare le esigenze specifiche del volume da crittografare prima di eseguire i cmdlet di Windows PowerShell.

Un buon punto iniziale consiste nel determinare lo stato corrente del volume o dei volumi nel computer. A questo scopo, puoi usare il cmdlet Get-BitLockerVolume.

L'output del cmdlet Get-BitLockerVolume mostra le informazioni su tipo di volume, protezioni, stato della protezione e altre informazioni.

Suggerimento  

In alcuni casi, potrebbero non venire visualizzate tutte le protezioni quando usi Get-BitLockerVolume, a causa della mancanza di spazio nella visualizzazione dell'output. Se non vedi tutte le protezioni per un volume, puoi usare il comando pipe (|) di Windows PowerShell per formattare un elenco completo delle protezioni.

Get-BitLockerVolume C: | fl

 

Se vuoi rimuovere le protezioni esistenti prima del provisioning di BitLocker nel volume, puoi usare il cmdlet Remove-BitLockerKeyProtector. A tale scopo, il GUID associato alla protezione deve essere rimosso.

Un semplice script può inviare nella pipe i valori restituiti da ogni comando Get-BitLockerVolume a un'altra variabile come illustrato di seguito:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

In questo modo, puoi visualizzare le informazioni nella variabile $keyprotectors per determinare il GUID per ogni protezione.

Usando queste informazioni, puoi quindi rimuovere la protezione con chiave per un volume specifico usando il comando:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Nota  

Per eseguire il cmdlet per BitLocker è necessario che il GUID della protezione con chiave sia racchiuso tra virgolette. Verifica che l'intero GUID, con le parentesi graffe, sia incluso nel comando.

 

Uso di cmdlet di Windows PowerShell per BitLocker con volumi del sistema operativo

L'uso dei cmdlet di Windows PowerShell per BitLocker è simile all'uso dello strumento manage-bde per la crittografia dei volumi del sistema operativo. Windows PowerShell offre agli utenti molta flessibilità. Ad esempio, gli utenti possono aggiungere la protezione desiderata come parte del comando per la crittografia del volume. Di seguito sono disponibili alcuni esempi di scenari utente comuni e i passaggi necessari per attuarli in Windows PowerShell per BitLocker.

L'esempio seguente mostra come abilitare BitLocker in un'unità del sistema operativo usando solo la protezione TPM:

Enable-BitLocker C:

L'esempio seguente aggiunge un'ulteriore protezione, la protezione StartupKey, e specifica di ignorare il test dell'hardware di BitLocker. In questo esempio la crittografia viene avviata immediatamente senza la necessità di un riavvio.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Uso di cmdlet di Windows PowerShell per BitLocker con volumi di dati

La crittografia dei volumi di dati tramite Windows PowerShell è analoga a quella dei volumi del sistema operativo. Devi aggiungere le protezioni desiderate prima di crittografare il volume. L'esempio seguente aggiunge una protezione con password al volume E usando la variabile $pw come password. La variabile $pw viene mantenuta come valore SecureString per archiviare la password definita dall'utente.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Uso di una protezione ADAccountOrGroup in Windows PowerShell

La protezione ADAccountOrGroup, introdotta in Windows 8 e Windows Server 2012, è una protezione basata su SID di Active Directory. Questa protezione può essere aggiunta sia ai volumi del sistema operativo sia a quelli di dati, anche se non sblocca i volumi del sistema operativo nell'ambiente prima dell'avvio. La protezione richiede il SID del gruppo o dell'account di dominio per consentire il collegamento alla protezione stessa. BitLocker può proteggere un disco compatibile con cluster aggiungendo una protezione basata su SID per l'oggetto nome cluster (CNO, Cluster Name Object) che consente il corretto failover del disco e lo sblocco da qualsiasi computer membro del cluster.

Avviso  

La protezione ADAccountOrGroup richiede l'uso di una protezione aggiuntiva (ad esempio TPM, PIN o chiave di ripristino) quando viene applicata ai volumi del sistema operativo.

 

Per aggiungere una protezione ADAccountOrGroup a un volume, è necessario che il nome del gruppo o il SID del dominio effettivo sia preceduto dal dominio e da una barra rovesciata. Nell'esempio seguente l'account CONTOSO\Administrator viene aggiunto come protezione al volume di dati G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Per gli utenti che vogliono usare il SID per l'account o il gruppo, il primo passaggio consiste nel determinare il SID associato all'account. Per ottenere il SID specifico per un account utente in Windows PowerShell, usa il comando seguente:

Nota  

L'uso di questo comando richiede la funzionalità RSAT-AD-PowerShell.

 

get-aduser -filter {samaccountname -eq "administrator"}

Suggerimento  

Oltre che con il comando di PowerShell precedente, puoi ottenere informazioni sull'utente connesso in locale e sull'appartenenza a gruppi usando: WHOAMI /ALL. A tale scopo non è necessario usare funzionalità aggiuntive.

 

L'esempio seguente aggiunge una protezione ADAccountOrGroup al volume del sistema operativo crittografato in precedenza usando il SID dell'account.

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Nota  

Le protezioni basate su Active Directory vengono normalmente usate per sbloccare volumi abilitati per il cluster di failover.

 

Altre informazioni

Panoramica di BitLocker

Domande frequenti su BitLocker

Preparare l'organizzazione per BitLocker: pianificazione e criteri

BitLocker: Come abilitare lo sblocco di rete

BitLocker: Come eseguire la distribuzione in Windows Server 2012