Ulteriori informazioni su Crittografia unità BitLocker

Crittografia unità BitLocker consente di proteggere unità del sistema operativo, unità dati fisse e unità dati rimovibili che vengono perse o rubate. Questo avviene crittografando il contenuto delle unità e obbligando gli utenti ad autenticare le proprie credenziali per accedere alle informazioni. Nell'unità in cui è installato Windows, BitLocker utilizza Trusted Platform Module (TPM) per rilevare se il processo di avvio del computer è stato manomesso. È inoltre possibile imporre agli utenti l'utilizzo di un PIN o di una chiave di avvio per accedere ai dati dell'unità. Gli utenti possono accedere alle unità dati fisse e rimovibili protette con BitLocker utilizzando una password o una smart card oppure sbloccando l'unità automaticamente.

BitLocker per le unità del sistema operativo è progettato per funzionare con sistemi dotati di hardware di sicurezza TPM e BIOS. Per garantire la compatibilità con Crittografia unità BitLocker, i produttori di computer devono rispettare gli standard stabiliti dal Trusted Computing Group (TCG). Per ulteriori informazioni sul Trusted Computing Group, visitare il sito Web all'indirizzo http://go.microsoft.com/fwlink/?LinkId=67440 (potrebbe essere in inglese).

Attivare BitLocker

La procedura guidata per la configurazione di BitLocker, che può essere avviata dal Pannello di controllo o da Esplora risorse, viene utilizzata per attivare BitLocker in un'unità dati fissa o rimovibile installata nel computer o nell'unità del sistema operativo di computer dotati di TPM compatibile. Per attivare BitLocker in un'unità del sistema operativo di un computer senza TPM oppure per utilizzare altre funzionalità e opzioni di BitLocker, è possibile modificare le impostazioni di Criteri di gruppo di BitLocker che controllano quali funzionalità sono accessibili tramite la procedura guidata per la configurazione di BitLocker.

Nei computer con un TPM compatibile, le unità del sistema operativo protette con BitLocker possono essere sbloccate in quattro modi:

  • Solo TPM. Se si utilizza la convalida solo TPM non è necessaria alcuna interazione con l'utente per decrittografare l'unità e consentirvi l'accesso. Se la convalida TPM ha esito positivo, l'utente può accedere secondo la modalità standard. Se il TPM è mancante o risulta modificato oppure se il TPM rileva modifiche a file di avvio critici del sistema operativo, BitLocker entra nella modalità di ripristino e per accedere di nuovo ai dati è necessario immettere una password di ripristino.

  • TPM con chiave di avvio. Oltre alla protezione offerta dal TPM, una parte della chiave di crittografia viene archiviata in un'unità flash USB, detta chiave di avvio. Senza la chiave di avvio non è possibile accedere ai dati presenti nel volume crittografato.

  • TPM con PIN. Oltre alla protezione offerta dal TPM, è necessario che l'utente immetta un PIN. Se il PIN non viene immesso, non è possibile accedere ai dati presenti nel volume crittografato.

  • TPM con chiave di avvio e PIN. Questa opzione può essere configurata solo tramite lo strumento da riga di comando Manage-bde. Oltre alla protezione dei componenti principali offerta dal TPM, una parte della chiave di crittografia viene archiviata in un'unità flash USB ed è necessario un PIN per l'autenticazione dell'utente nel TPM. Questo consente di implementare un'autenticazione a più fattori, in modo che se la chiave USB viene smarrita o rubata, non può essere utilizzata per accedere all'unità perché è necessario anche il PIN corretto.

    Nota

    • È consigliabile utilizzare sempre il driver TPM di Windows predefinito con BitLocker. Se è installato un driver TPM non Microsoft, il driver TPM predefinito potrebbe non venire caricato e BitLocker potrebbe segnalare che nel computer non è presente alcun TPM. In tal caso BitLocker non potrà utilizzare il TPM. Se le impostazioni di Criteri di gruppo sono configurate per imporre l'utilizzo di BitLocker con un TPM, BitLocker non potrà essere attivato finché non viene rimosso il driver non Microsoft.

Per utilizzare BitLocker per proteggere un'unità del sistema operativo in un computer senza TPM, è disponibile l'opzione seguente:

  • Solo chiave di avvio. Tutte le informazioni necessarie della chiave di crittografia vengono archiviate in un'unità flash USB. L'utente deve inserire l'unità flash USB nel computer durante l'avvio. La chiave archiviata nell'unità flash USB sblocca il computer. Se il computer non dispone di un TPM, tutte le informazioni necessarie per la lettura dell'unità crittografata vengono incluse nella chiave di avvio. L'utilizzo di un TPM è consigliato perché consente di migliorare la protezione contro attacchi al processo di avvio del computer.

Quando si attiva BitLocker in unità dati fisse o rimovibili, BitLocker può utilizzare i metodi di sblocco seguenti:

  • Password. È possibile utilizzare una password per sbloccare le unità dati fisse (ad esempio, i dischi rigidi interni) e le unità dati rimovibili (ad esempio, i dischi rigidi esterni e le unità flash USB). È possibile utilizzare le impostazioni di Criteri di gruppo per impostare una lunghezza minima per la password.

  • Smart card. Per utilizzare una smart card con BitLocker, è necessario che la smart card contenga un certificato compatibile. Il certificato viene scelto automaticamente da BitLocker a meno che non siano presenti più certificati compatibili, nel qual caso è necessario scegliere manualmente il certificato da utilizzare.

    Nota sulla sicurezza

    • Se si crittografa un'unità utilizzando una smart card, nell'unità viene creata una protezione basata su certificato. In questa protezione saranno contenute alcune informazioni non crittografate necessarie per sbloccare l'unità. La chiave pubblica e l'identificazione personale del certificato utilizzato per crittografare l'unità vengono archiviate non crittografate nei metadati della protezione dell'unità. Queste informazioni potrebbero essere utilizzate per identificare l'Autorità di certificazione (CA) che ha emesso il certificato.

  • Sblocco automatico. Le unità dati fisse crittografate con BitLocker possono essere configurate per sbloccarsi automaticamente quando si accede a Windows. Lo sblocco automatico per le unità dati rimovibili può essere selezionato dopo che l'unità è stata crittografata. Per sbloccare automaticamente le unità dati fisse, è necessario che anche l'unità in cui è installato Windows sia crittografata con BitLocker.

Accedere al contenuto in unità dati protette con BitLocker

Dopo che l'unità dati è stata protetta con BitLocker, l'accesso all'unità deve essere autenticato prima della visualizzazione del contenuto. Le unità dati fisse possono essere sbloccate automaticamente dopo lo sblocco dell'unità del sistema operativo. Se l'unità non si sblocca automaticamente, è possibile fare clic su Computer per visualizzare le unità del computer, fare clic con il pulsante destro del mouse sull'unità e scegliere Sblocca oppure utilizzare Crittografia unità BitLocker nel Pannello di controllo. In base al metodo di autenticazione configurato per il computer, l'unità verrà sbloccata automaticamente oppure verrà richiesta una smart card o una password. Quando le unità dati rimovibili vengono inserite nel computer, dopo aver rilevato che l'unità è protetta da BitLocker verrà richiesto di immettere una password o una smart card.

Opzioni di ripristino

Per impedire la perdita dell'accesso alle unità protette con BitLocker in caso di errore del TPM, password dimenticate oppure perdita di smart card o chiavi USB, è importante che gli amministratori possano accedere alle unità BitLocker. BitLocker supporta le modalità seguenti per ripristinare l'accesso alle unità protette:

  • Chiave di ripristino o password di ripristino. Con BitLocker è possibile utilizzare una chiave di ripristino o una password di ripristino. Se non è disponibile una chiave di BitLocker, ad esempio nel caso di smarrimento della smart card o di dimenticanza della password, è possibile utilizzare una password di ripristino di 48 cifre per sbloccare l'unità protetta. In alternativa a una password, per sbloccare l'unità protetta è possibile utilizzare una chiave di ripristino archiviata in un file in un supporto rimovibile, ad esempio un'unità flash USB.

  • Backup delle chiavi in Servizi di dominio Active Directory. Le password di ripristino di BitLocker possono essere archiviate in Servizi di dominio Active Directory. Questo consente agli amministratori, ad esempio gli addetti del supporto tecnico, di aiutare gli utenti nel ripristinare le unità protette con BitLocker in caso di dimenticanza o di perdita della password di ripristino.

  • Agente di recupero dati. Un agente di recupero dati è una specifica persona, ad esempio un amministratore di sistema, che può utilizzare le proprie credenziali amministrative per sbloccare le unità protette con BitLocker. BitLocker non è configurato con agenti di recupero dati predefiniti, né questi ultimi sono attivati per impostazione predefinita. È necessario attivarli e configurarli tramite Criteri di gruppo.

Ulteriori riferimenti