Preparare l'organizzazione per BitLocker: pianificazione e criteri
Questo argomento, destinato ai professionisti IT, spiega come pianificare la distribuzione di BitLocker.
Quando progetti la tua strategia di distribuzione di BitLocker, definisci i criteri appropriati e i requisiti di configurazione in base ai requisiti aziendali dell'organizzazione. Gli argomenti seguenti ti aiuteranno a raccogliere informazioni utili per il processo decisionale in merito alla distribuzione e alla gestione dei sistemi BitLocker.
Controllo dell'ambiente
Chiavi di crittografia e autenticazione
Configurazioni hardware TPM
Configurazioni hardware non TPM
Considerazioni sulla configurazione dei dischi
Provisioning di BitLocker
Crittografia solo dello spazio utilizzato del disco
Considerazioni su Servizi di dominio Active Directory
Supporto di FIPS per la protezione con password di ripristino
Controllo dell'ambiente
Per pianificare la distribuzione aziendale di BitLocker, devi prima di tutto conoscere l'ambiente corrente. Esegui un controllo informale per definire l'ambiente hardware, i criteri e le procedure correnti. Inizia esaminando i criteri di sicurezza aziendali esistenti in relazione al software di crittografia dei dischi. Se l'organizzazione attualmente non usa software di crittografia dei dischi, questi criteri non saranno presenti. Se usi un software di crittografia dei dischi, potresti dover modificare i criteri dell'organizzazione per soddisfare i requisiti delle funzionalità di BitLocker.
Usa le domande seguenti per documentare i criteri di sicurezza di crittografia dei dischi attualmente in uso nell'organizzazione:
Ci sono criteri per determinare quali computer useranno BitLocker e quali no?
Quali criteri ci sono per controllare l'archiviazione della password di ripristino e della chiave di ripristino?
Quali sono i criteri per la convalida dell'identità degli utenti che devono eseguire il ripristino di BitLocker?
Quali criteri ci sono per controllare gli utenti dell'organizzazione che possono accedere ai dati di ripristino?
Quali criteri ci sono per controllare la rimozione delle autorizzazioni o lo smantellamento dei computer?
Chiavi di crittografia e autenticazione
BitLocker aiuta a impedire l'accesso non autorizzato ai dati nei computer persi o rubati grazie a:
Crittografia dell'intero volume del sistema operativo Windows sul disco rigido.
Verifica dell'integrità del processo di avvio.
Il TPM (Trusted Platform Module) è un componente hardware installato dai produttori in molti computer recenti. Interagisce con BitLocker per proteggere i dati utente e assicurare che un computer non sia stato manomesso mentre il sistema era offline.
BitLocker offre anche la possibilità di bloccare il normale processo di avvio finché l'utente non fornisce un PIN o non inserisce un dispositivo USB rimovibile, ad esempio un'unità flash, contenente una chiave di avvio. Queste misure di sicurezza aggiuntive consentono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o l'esecuzione non venga ripresa dallo stato di ibernazione fino a quando non viene fornito il PIN corretto o la chiave di avvio appropriata.
Nei computer senza un TPM 1.2 o versione successiva, puoi comunque usare BitLocker per crittografare il volume del sistema operativo Windows. Questa implementazione richiede tuttavia che l'utente inserisca una chiave di avvio USB per avviare il computer o riprendere l'esecuzione dallo stato di ibernazione e non consente la verifica dell'integrità di sistema prima dell'avvio offerta da BitLocker in presenza di un TPM.
Protezioni con chiave di BitLocker
| Protezione con chiave | Descrizione |
|---|---|
TPM |
Dispositivo hardware usato per aiutare a stabilire una radice di attendibilità sicura. BitLocker supporta solo TPM 1.2 o versione successiva. |
PIN |
Protezione con chiave numerica immessa dall'utente che è possibile usare solo in aggiunta al TPM. |
PIN avanzato |
Protezione con chiave alfanumerica immessa dall'utente che è possibile usare solo in aggiunta al TPM. |
Chiave di avvio |
Chiave di crittografia che è possibile archiviare nella maggior parte dei supporti rimovibili. Questa protezione con chiave può essere usata da sola nei computer senza TPM oppure in combinazione con un TPM per una maggiore sicurezza. |
Password di ripristino |
Numero di 48 cifre usato per sbloccare un volume quando si trova in modalità di ripristino. Spesso i numeri possono essere digitati su una normale tastiera oppure, se non rispondono, puoi sempre usare i tasti funzione (F1-F10) per immetterli. |
Chiave di ripristino |
Chiave di crittografia archiviata su supporti rimovibili che è possibile usare per recuperare i dati crittografati su un volume BitLocker. |
Metodi di autenticazione di BitLocker
| Metodo di autenticazione | Richiede l'interazione dell'utente | Descrizione |
|---|---|---|
Solo TPM |
No |
Il TPM convalida i componenti di avvio. |
TPM + PIN |
Sì |
Il TPM convalida i componenti di avvio. L'utente deve immettere il PIN corretto per consentire la continuazione del processo di avvio e lo sblocco dell'unità. Il TPM attiva un blocco se viene immesso ripetutamente il PIN errato, per proteggere il PIN da attacchi di forza bruta. Il numero di tentativi ripetuti in seguito a cui viene attivato il blocco è variabile. |
TPM + chiave di rete |
No |
Il TPM convalida correttamente i componenti di avvio e il server di Servizi di distribuzione Windows fornisce una chiave di rete crittografata valida. Questo metodo di autenticazione consente lo sblocco automatico dei volumi del sistema operativo al riavvio del sistema, mantenendo comunque l'autenticazione a più fattori. |
TPM + chiave di avvio |
Sì |
Il TPM convalida correttamente i componenti di avvio e viene inserita un'unità flash USB contenente la chiave di avvio. |
Solo chiave di avvio |
Sì |
All'utente viene chiesto di inserire l'unità flash USB contenente la chiave di ripristino e/o di avvio e di riavviare il computer. |
Prevedi il supporto di computer senza TPM 1.2 o versione successiva?
Determina se saranno supportati computer che non hanno un TPM 1.2 o versione successiva nell'ambiente. Se decidi di supportare BitLocker in questo tipo di computer, un utente deve usare una chiave di avvio USB per avviare il sistema. Ciò richiede processi di supporto aggiuntivi, in modo analogo all'autenticazione a più fattori.
Quali aree dell'organizzazione richiedono un livello di protezione dei dati di base?
Il metodo di autenticazione solo TPM offre l'esperienza utente più trasparente per le organizzazioni che necessitano di un livello di protezione dei dati di base per soddisfare i criteri di sicurezza. Questa soluzione offre il costo totale di proprietà più basso. Il metodo solo TPM può anche essere più appropriato per computer eseguiti automaticamente o che devono essere riavviati automaticamente.
Il metodo di autenticazione solo TPM offre però il livello più basso di protezione dei dati. Questo metodo di autenticazione protegge dagli attacchi che modificano i componenti di avvio, ma il livello di protezione può essere influenzato da potenziali punti deboli nell'hardware o nei componenti di avvio. I metodi di autenticazione a più fattori di BitLocker migliorano in modo significativo il livello generale di protezione dei dati.
Quali aree dell'organizzazione richiedono un livello di protezione dei dati più sicuro?
Se ci sono aree dell'organizzazione in cui i dati presenti nei computer utente sono considerati estremamente sensibili, la procedura consigliata è quella di distribuire BitLocker con l'autenticazione a più fattori in tali sistemi. Richiedendo all'utente di immettere un PIN, si aumenta significativamente il livello di protezione del sistema. Puoi anche usare Sblocco rete via BitLocker per consentire a questi computer di sbloccarsi automaticamente quando sono connessi a una rete cablata attendibile in grado di fornire la chiave di sblocco di rete.
Quale metodo di autenticazione a più fattori preferisce la tua organizzazione?
Le differenze per quanto riguarda la protezione offerta dai metodi di autenticazione a più fattori non possono essere quantificate facilmente. Prendi in considerazione l'impatto di ogni metodo di autenticazione sul supporto fornito dall'help desk, sulla formazione degli utenti, sulla produttività degli utenti e sui processi di gestione dei sistemi automatizzati.
Configurazioni hardware TPM
Nel tuo piano di distribuzione identifica quali piattaforme hardware basate su TPM saranno supportate. Documenta i modelli di hardware di un OEM di tua scelta, per testare e supportare le relative configurazioni. L'hardware TPM richiede particolare attenzione durante tutti gli aspetti della pianificazione e della distribuzione.
Stati di esistenza di un TPM
Per ciascuno degli stati di esistenza di un TPM, il TPM può passare a un altro stato, ad esempio da disabilitato ad abilitato. Gli stati non sono esclusivi.
| Stato | Descrizione |
|---|---|
Abilitato |
La maggior parte delle funzionalità del TPM è disponibile. Il TPM può essere abilitato e disabilitato più volte nel periodo di avvio se viene acquisita la proprietà del modulo. |
Disabilitato |
Il TPM limita la maggior parte delle operazioni. Le eccezioni includono la possibilità di segnalare le funzionalità del TPM, estendere e ripristinare le funzioni del registro PCR (Platform Configuration Register) ed eseguire l'hashing e l'inizializzazione di base. Il TPM può essere abilitato e disabilitato più volte in un periodo di avvio. |
Attivato |
La maggior parte delle funzionalità del TPM è disponibile. Il TPM può essere attivato e disattivato solo tramite la presenza fisica e questa operazione richiede un riavvio. |
Disattivato |
Simile allo stato disabilitato, con l'eccezione che la proprietà può essere acquisita quando il TPM è disattivato e abilitato. Il TPM può essere attivato e disattivato solo tramite la presenza fisica e questa operazione richiede un riavvio. |
Con proprietario |
La maggior parte delle funzionalità del TPM è disponibile. Il TPM ha una chiave di verifica dell'autenticità e una chiave radice di archiviazione e il proprietario conosce le informazioni sui dati di autorizzazione del proprietario. |
Senza proprietario |
Il TPM non ha una chiave radice di archiviazione e potrebbe disporre o meno di una chiave di verifica dell'autenticità. |
Importante
BitLocker non può usare il TPM finché lo stato non è abilitato, attivato e con proprietario. Solo quando il TPM è in questo stato sono disponibili tutte le operazioni.
Lo stato del TPM esiste indipendentemente dal sistema operativo del computer. Quando il TPM è abilitato, attivato e con proprietario, lo stato del TPM viene mantenuto se si reinstalla il sistema operativo.
Chiavi di verifica dell'autenticità
Affinché possa essere usato da BitLocker, un TPM deve contenere una chiave di verifica dell'autenticità, ovvero una coppia di chiavi RSA. La parte privata della coppia di chiavi è contenuta all'interno del TPM e non viene mai rivelata né è accessibile esternamente al TPM. Se il TPM non contiene una chiave di verifica dell'autenticità, BitLocker può far sì che il TPM ne generi una automaticamente durante l'installazione.
Una chiave di verifica dell'autenticità può essere creata in vari punti del ciclo di vita del TPM, ma deve essere creata solo una volta nel corso della durata del TPM. Se non c'è una chiave di verifica dell'autenticità per il TPM, questa deve essere creata prima che sia possibile acquisire la proprietà del TPM.
Per altre informazioni sul TPM e su TCG, vedi le specifiche di Trusted Computing Group per il modulo TPM (Trusted Platform Module ) (https://go.microsoft.com/fwlink/p/?linkid=69584).
Configurazioni hardware non TPM
I dispositivi che non includono un TPM possono comunque essere protetti dalla crittografia dell'unità. Le aree di lavoro Windows To Go possono essere protette da BitLocker tramite una password di avvio e i PC senza un TPM possono usare una chiave di avvio.
Usa le domande seguenti per identificare i problemi che possono influire sulla distribuzione in una configurazione non TPM:
Sono previste regole di complessità per le password?
È disponibile un budget per unità flash USB per ognuno di questi computer?
I dispositivi senza TPM esistenti supportano i dispositivi USB in fase di avvio?
Testa le singole piattaforme hardware con l'opzione di controllo del sistema BitLocker durante l'abilitazione di BitLocker. Il controllo del sistema garantisce che BitLocker possa leggere correttamente le informazioni di ripristino da un dispositivo USB e le chiavi di crittografia prima di crittografare il volume. Le unità CD e DVD non possono fungere da dispositivo di archiviazione a blocchi e non possono essere usate per archiviare il materiale di ripristino di BitLocker.
Considerazioni sulla configurazione dei dischi
Per funzionare correttamente, BitLocker richiede una configurazione specifica del disco. BitLocker richiede due partizioni che soddisfino i requisiti seguenti:
La partizione del sistema operativo contiene il sistema operativo e i relativi file di supporto e deve essere formattata con il file system NTFS.
La partizione di sistema (o partizione di avvio) contiene i file necessari per caricare Windows dopo che il firmware UEFI o il BIOS ha preparato l'hardware del sistema. BitLocker non è abilitato per questa partizione. Per il funzionamento di BitLocker, la partizione di sistema non deve essere crittografata e deve trovarsi in una partizione diversa da quella del sistema operativo. Sulle piattaforme UEFI la partizione di sistema deve essere formattata con il file system FAT32. Sulle piattaforme BIOS la partizione di sistema deve essere formattata con il file system NTFS. Le dimensioni devono essere di almeno 350 MB.
L'installazione di Windows configura automaticamente le unità disco del computer per supportare la crittografia BitLocker.
Ambiente ripristino Windows (Windows RE) è una piattaforma di ripristino estendibile basata su Ambiente preinstallazione di Windows (Windows PE). Se un computer non si avvia, Windows passa automaticamente a questo ambiente e lo strumento Ripristino all'avvio, disponibile in Ambiente ripristino Windows, esegue in modo automatico la diagnosi e il ripristino di un'installazione di Windows non avviabile. Ambiente ripristino Windows contiene anche i driver e gli strumenti necessari per sbloccare un volume protetto da BitLocker fornendo una chiave di ripristino o una password di ripristino. Per usare Ambiente ripristino Windows insieme a BitLocker, l'immagine di avvio di Ambiente ripristino Windows deve trovarsi in un volume non protetto da BitLocker.
Ambiente ripristino Windows può essere usato anche da un supporto di avvio diverso dal disco rigido locale. Se scegli di non installare Ambiente ripristino Windows nel disco rigido locale di computer abilitati per BitLocker, per il ripristino puoi usare metodi di avvio alternativi, come Servizi di distribuzione Windows, CD-ROM o unità flash USB.
Provisioning di BitLocker
In Windows Vista e Windows 7 il provisioning di BitLocker viene effettuato dopo l'installazione per volumi di dati e di sistema tramite l'interfaccia della riga di comando manage-bde o l'interfaccia utente del pannello di controllo. Con i sistemi operativi più recenti, il provisioning di BitLocker può essere effettuato facilmente prima di installare il sistema operativo. Il pre-provisioning richiede che il computer abbia un TPM.
Per controllare lo stato di BitLocker di un volume specifico, gli amministratori possono esaminare lo stato dell'unità nell'applet Pannello di controllo BitLocker o in Esplora risorse. Lo stato "In attesa dell'attivazione" con un'icona a forma di punto esclamativo giallo indica che è stato effettuato il pre-provisioning dell'unità per BitLocker. Questo stato indica che per crittografare il volume è stata usata solo una protezione non crittografata. In questo caso, il volume non è protetto ed è necessario aggiungere una chiave sicura affinché l'unità possa essere considerata interamente protetta. Gli amministratori possono usare le opzioni del pannello di controllo, lo strumento manage-bde o le API WMI per aggiungere una protezione con chiave appropriata. Lo stato del volume verrà quindi aggiornato.
Quando si usano le opzioni del pannello di controllo, gli amministratori possono scegliere Attiva BitLocker e seguire i passaggi della procedura guidata per aggiungere una protezione, ad esempio un PIN per un volume del sistema operativo (o una password se non c'è un TPM) oppure una protezione con password o smart card per un volume di dati. La finestra relativa alla sicurezza dell'unità viene quindi visualizzata, prima di modificare lo stato del volume.
Gli amministratori possono abilitare BitLocker prima della distribuzione del sistema operativo da Ambiente preinstallazione di Windows (WinPE). Questa operazione viene eseguita con una protezione con chiave non crittografata generata in modo casuale applicata al volume formattato e crittografando il volume prima dell'esecuzione del processo di installazione di Windows. Se la crittografia usa l'opzione Applica crittografia solo allo spazio utilizzato del disco, questo passaggio richiede solo pochi secondi e si integra perfettamente nei normali processi di distribuzione.
Crittografia solo dello spazio utilizzato del disco
Quando si abilita BitLocker per un volume, la configurazione guidata BitLocker consente agli amministratori di scegliere tra il metodo di applicazione della crittografia solo allo spazio utilizzato del disco o della crittografia completa. Gli amministratori possono usare la nuova impostazione di Criteri di gruppo per BitLocker per applicare la crittografia solo allo spazio utilizzato del disco o all'intero disco.
All'avvio della configurazione guidata BitLocker viene chiesto il metodo di autenticazione da usare (per i volumi di dati sono disponibili password e smart card). Una volta scelto il metodo e salvata la chiave di ripristino, viene chiesto di scegliere il tipo di crittografia dell'unità, scegliendo tra crittografia solo dello spazio utilizzato del disco o dell'intera unità.
L'applicazione della crittografia solo allo spazio utilizzato del disco significa che solo la parte dell'unità che contiene i dati verrà crittografata, mentre lo spazio non utilizzato resterà non crittografato. In questo modo il processo di crittografia risulta molto più veloce, soprattutto per unità di dati e PC nuovi. Quando BitLocker è abilitato con questo metodo, man mano che i dati vengono aggiunti all'unità, la parte di unità usata viene crittografata, quindi non ci sono mai dati non crittografati archiviati nell'unità.
La crittografia dell'intera unità significa che tutta l'unità verrà crittografata, indipendentemente dal fatto che vi siano o meno dati archiviati. Questa opzione è utile per le unità che sono state reimpiegate e possono contenere dati rimasti dall'utilizzo precedente.
Considerazioni su Servizi di dominio Active Directory
BitLocker si integra con Servizi di dominio Active Directory per consentire la gestione centralizzata delle chiavi. Per impostazione predefinita, non viene eseguito il backup delle informazioni di ripristino in Active Directory. Gli amministratori possono configurare le impostazioni di Criteri di gruppo per abilitare il backup delle informazioni di ripristino di BitLocker o TPM. Prima di configurare queste impostazioni, verifica che siano state concesse le autorizzazioni di accesso per eseguire il backup.
Per impostazione predefinita, gli amministratori di dominio sono gli unici utenti che possono accedere alle informazioni di ripristino di BitLocker. Quando pianifichi il processo di supporto, definisci quali parti dell'organizzazione devono poter accedere alle informazioni di ripristino di BitLocker. Usa queste informazioni per definire come verranno delegati i diritti appropriati nell'ambiente di Servizi di dominio Active Directory.
È consigliabile richiedere il backup delle informazioni di ripristino sia per il TPM sia per BitLocker in Servizi di dominio Active Directory. Puoi implementare questa procedura configurando le impostazioni di Criteri di gruppo seguenti per i computer protetti da BitLocker.
| Impostazione di Criteri di gruppo per BitLocker | Configurazione |
|---|---|
Crittografia unità BitLocker: Attiva backup BitLocker su Servizi di dominio Active Directory |
Richiedi backup BitLocker su Servizi di dominio Active Directory (password e pacchetti della chiave) |
Servizi Trusted Platform Module: Attiva backup TPM su Servizi di dominio Active Directory |
Richiedi backup TPM su Servizi di dominio Active Directory |
Per ogni oggetto computer verranno salvati i dati di ripristino seguenti:
Password di ripristino
Password di ripristino di 48 cifre usata per ripristinare un volume protetto da BitLocker. Gli utenti immettono questa password per sbloccare un volume quando BitLocker entra in modalità di ripristino.
Dati del pacchetto della chiave
Con il pacchetto della chiave e la password di ripristino puoi decrittografare parti di un volume protetto da BitLocker se il disco è gravemente danneggiato. Ogni pacchetto della chiave funziona solo con il volume in cui è stato creato, che può essere identificato tramite l'ID di volume corrispondente.
Hash della password di autorizzazione del proprietario del TPM
Quando viene acquisita la proprietà del TPM, è possibile ottenere un hash della password della proprietà e archiviarlo in Servizi di dominio Active Directory. Queste informazioni possono quindi essere usate per reimpostare la proprietà del TPM.
A partire da Windows 8 è stata implementata una modifica dello schema di Servizi di dominio Active Directory in merito alla modalità con cui il valore di autorizzazione del proprietario del TPM viene archiviato in Servizi di dominio Active Directory. Il valore di autorizzazione del proprietario del TPM viene ora archiviato in un oggetto separato collegato all'oggetto computer. Questo valore viene archiviato come proprietà nell'oggetto computer per gli schemi predefiniti di Windows Server 2008 R2 e versioni successive.
Per sfruttare questa integrazione, devi aggiornare i controller di dominio a Windows Server 2012 oppure estendere lo schema di Active Directory e configurare gli oggetti Criteri di gruppo specifici di BitLocker.
Nota
L'account usato per aggiornare lo schema di Active Directory deve essere un membro del gruppo Schema Admins.
Lo schema predefinito dei controller di dominio Windows Server 2012 prevede il backup delle informazioni di autorizzazione del proprietario del TPM in un oggetto separato. Se non esegui l'aggiornamento del controller di dominio a Windows Server 2012, devi estendere lo schema affinché questa modifica sia supportata.
Per supportare computer Windows 8 e versioni successive gestiti da un controller di dominio Windows Server 2003 o Windows 2008
Ci sono due estensioni dello schema che puoi copiare e aggiungere allo schema di Servizi di dominio Active Directory:
TpmSchemaExtension.ldf
Questa estensione dello schema offre la parità con lo schema di Windows Server 2012. Con questa modifica, le informazioni di autorizzazione del proprietario del TPM vengono archiviate in un oggetto TPM separato collegato all'oggetto computer corrispondente. Solo l'oggetto computer che ha creato l'oggetto TPM può aggiornale. Questo significa che tutti gli aggiornamenti successivi agli oggetti TPM avranno esito negativo in scenari di avvio doppio o in scenari in cui viene creata una nuova immagine del computer con la conseguente creazione di un nuovo oggetto computer Active Directory. Per supportare questi scenari, è stato creato un aggiornamento dello schema.
TpmSchemaExtensionACLChanges.ldf
Questo aggiornamento dello schema modifica gli ACL nell'oggetto TPM rendendoli meno restrittivi, in modo che qualsiasi sistema operativo successivo che acquisisce la proprietà dell'oggetto computer possa aggiornare il valore di autorizzazione del proprietario in Servizi di dominio Active Directory. Tuttavia, questa opzione è meno sicura perché qualsiasi computer del dominio può ora aggiornare il valore OwnerAuth dell'oggetto TPM (anche se non può leggere il valore OwnerAuth) e sono possibili attacchi di tipo DoS all'interno dell'azienda. Il metodo di prevenzione consigliato in uno scenario di questo tipo consiste nell'eseguire un regolare backup degli oggetti TPM e abilitare il controllo per il rilevamento delle modifiche per questi oggetti.
Per scaricare le estensioni dello schema, vedi Estensioni dello schema di Servizi di dominio Active Directory per il supporto del backup del TPM.
Se nell'ambiente hai un controller di dominio Windows Server 2012, le estensioni dello schema sono già disponibili e non è necessario eseguire l'aggiornamento.
Attenzione
Per configurare gli oggetti Criteri di gruppo per eseguire il backup delle informazioni di BitLocker e TPM in Servizi di dominio Active Directory, almeno uno dei controller di dominio nella foresta deve eseguire Windows Server 2008 R2 o una versione successiva.
Se il backup in Active Directory del valore di autorizzazione del proprietario del TPM è abilitato in un ambiente senza le estensioni dello schema necessarie, il provisioning del TPM non riesce e il TPM rimane in uno stato Non pronto per i computer che eseguono Windows 8 e versioni successive.
Impostazione delle autorizzazioni appropriate in Servizi di dominio Active Directory
Per inizializzare correttamente il TPM in modo che sia possibile attivare BitLocker, è necessario che siano configurate le autorizzazioni appropriate per l'account SELF in Servizi di dominio Active Directory per l'attributo ms-TPMOwnerInformation. I passaggi seguenti illustrano in modo dettagliato l'impostazione di queste autorizzazioni come richiesto da BitLocker:
Apri Utenti e computer di Active Directory.
Seleziona l'unità organizzativa che contiene gli account computer per cui BitLocker sarà attivato.
Fai clic con il pulsante destro del mouse sull'unità organizzativa e scegli Delega controllo per aprire la procedura Delega guidata del controllo.
Fai clic su Avanti per passare alla pagina Utenti o gruppi e quindi fai clic su Aggiungi.
Nella finestra di dialogo Seleziona utenti, computer o gruppi digita SELF come nome dell'oggetto e quindi fai clic su OK. Una volta che l'oggetto è stato convalidato, verrà visualizzata di nuovo la pagina Utenti o gruppi della procedura guidata, con l'account SELF elencato. Fai clic su Avanti.
Nella pagina Attività da delegare scegli Crea un'attività personalizzata per eseguire la delega e quindi fai clic su Avanti.
Nella pagina Tipo di oggetti Active Directory scegli Solo i seguenti oggetti contenuti nella cartella, seleziona Oggetti computer e quindi fai clic su Avanti.
Nella pagina Autorizzazioni per Mostra queste autorizzazioni seleziona Generale, Proprietà e Creazione/eliminazione di oggetti figlio. Scorri verso il basso nell'elenco Autorizzazioni e seleziona entrambe le autorizzazioni di scrittura per msTPM-OwnerInformation e scrittura per msTPM-TpmInformationForComputer, quindi fai clic su Avanti.
Fai clic su Finish per applicare le impostazioni delle autorizzazioni.
Supporto di FIPS per la protezione con password di ripristino
Una funzionalità introdotta in Windows Server 2012 R2 e Windows 8.1 consente di usare tutte le funzionalità di BitLocker in modalità FIPS.
Nota
Lo standard FIPS (Federal Information Processing Standard) degli Stati Uniti definisce i requisiti di sicurezza e interoperabilità per i sistemi informatici usati dal governo federale degli Stati Uniti. Lo standard FIPS 140 definisce gli algoritmi di crittografia approvati. Lo standard FIPS 140 specifica anche i requisiti per la generazione e la gestione delle chiavi. Il National Institute of Standards and Technology (NIST) usa il programma CMVP (Cryptographic Module Validation Program) per determinare se una particolare implementazione di un algoritmo di crittografia è conforme allo standard FIPS 140. Un'implementazione di un algoritmo di crittografia è considerata conforme allo standard FIPS 140 solo se è stata inviata per la convalida NIST e l'ha superata. Un algoritmo che non è stato inviato non può essere considerato conforme a FIPS, anche se l'implementazione produce dati identici a quelli di un'implementazione convalidata dello stesso algoritmo.
Prima di queste versioni supportate di Windows, quando Windows è in modalità FIPS, BitLocker impedisce la creazione o l'uso delle password di ripristino, obbligando invece l'utente a usare chiavi di ripristino. Per altre informazioni su questi problemi di sicurezza, vedi l'articolo del supporto tecnico kb947249.
Nei computer che eseguono questi sistemi supportati con BitLocker abilitato:
È possibile creare protezioni con password di ripristino conformi a FIPS quando Windows è in modalità FIPS. Queste protezioni usano l'algoritmo FIPS 140 NIST SP800-132.
Le password di ripristino create in modalità FIPS in Windows 8.1 possono essere distinte dalle password di ripristino create in altri sistemi.
Lo sblocco del ripristino usando l'algoritmo conforme a FIPS basato su protezione con password di ripristino funziona in tutti i casi in cui attualmente è possibile usare password di ripristino.
Quando le password di ripristino conformi a FIPS sbloccano i volumi, il volume viene sbloccato per consentire l'accesso in lettura/scrittura anche mentre è in modalità FIPS.
Le protezioni con password di ripristino conformi a FIPS possono essere esportate e archiviate in Active Directory in modalità FIPS.
Le impostazioni di Criteri di gruppo per BitLocker per le password di ripristino funzionano nello stesso modo per tutte le versioni di Windows che supportano BitLocker, in modalità FIPS o meno.
Tuttavia, non puoi usare le password di ripristino generate in un sistema in modalità FIPS per i sistemi precedenti a Windows Server 2012 R2 e Windows 8.1. Le password di ripristino create in Windows Server 2012 R2 e Windows 8.1 non sono compatibili con BitLocker nei sistemi operativi precedenti a Windows Server 2012 R2 e Windows 8.1. Al loro posto, è necessario usare chiavi di ripristino.
Altre informazioni
Impostazioni di Criteri di gruppo per TPM
Domande frequenti su BitLocker