Panoramica di Crittografia unità BitLocker

BitLocker può utilizzare un TPM per verificare l'integrità dei componenti di avvio e dei dati configurazione di avvio. In questo modo l'unità crittografata risulta accessibile solo se tali componenti non sono stati alterati e l'unità crittografata si trova nel computer originale.

BitLocker assicura l'integrità del processo di avvio mediante le azioni seguenti:

• Offrendo un metodo per controllare che l'integrità dei file di avvio non sia stata compromessa e verificare che tali file non siano stati sottoposti a modifiche dannose, come nel caso di virus del settore di avvio o rootkit.
  
  
• Migliorando la protezione per limitare gli attacchi basati su software non in linea. Qualsiasi software alternativo che potrebbe avviare il sistema non ha accesso alle chiavi di decrittografia per l'unità del sistema operativo Windows.
  
  
• Bloccando il sistema in caso di alterazione. In caso di alterazione di uno qualsiasi dei file monitorati, il sistema non verrà avviato. L'utente viene informato dell'alterazione in quando il sistema non si avvia come di norma. Quando si verifica un blocco del sistema, BitLocker consente di eseguire un semplice processo di ripristino.
  
  

Per utilizzare BitLocker, è necessario che il computer soddisfi determinati requisiti:

• Affinché BitLocker possa utilizzare la verifica dell'integrità del sistema offerta da un TPM, è necessario che nel computer sia installato un TPM versione 1.2. In caso contrario, per attivare BitLocker sarà necessario salvare una chiave di avvio in un dispositivo rimovibile, ad esempio un'unità memoria flash USB.
  
  
• In un computer con un TPM è inoltre necessario che sia installato un BIOS conforme alle specifiche del Trusted Computing Group (TCG). Il BIOS stabilisce una catena di certificati per l'avvio preliminare al sistema operativo e deve includere il supporto per Static Root of Trust Measurement in base alle specifiche del TCG. Un computer senza un TPM non richiede un BIOS conforme alle specifiche del TCG.
  
  
• Il BIOS di sistema deve supportare, per computer con o senza TPM, la classe di dispositivi di archiviazione di massa USB, inclusa la lettura di piccoli file su un'unità memoria flash USB nell'ambiente preliminare al sistema operativo. Per ulteriori informazioni su USB, vedere le specifiche per l'archiviazione di massa USB Bulk-Only e UFI Command nel sito Web USB (https://go.microsoft.com/fwlink/?LinkId=83120).
  
  
• Il disco rigido deve essere partizionato con almeno due unità:
  
  
  • L'unità del sistema operativo, o unità di avvio, contiene il sistema operativo e i relativi file di supporto e deve essere formattata con il file system NTFS.
    
    
  • L'unità di sistema contiene i file necessari per il caricamento di Windows dopo che il BIOS ha preparato l'hardware del sistema. BitLocker non è attivato in questa unità. Affinché BitLocker funzioni, è necessario che l'unità di sistema non sia crittografata, sia diversa dall'unità del sistema operativo e sia formattata con il file system NTFS. L'unità di sistema deve avere una dimensione minima di 1,5 gigabyte (GB).
    
    

BitLocker viene installato automaticamente insieme al sistema operativo, ma deve essere appositamente attivato utilizzando la procedura guidata per l'installazione di BitLocker, accessibile dal Pannello di controllo o tramite clic con il pulsante destro del mouse sull'unità in Esplora risorse.

Dopo l'installazione e la configurazione iniziale del sistema operativo, l'amministratore di sistema può inizializzare BitLocker in qualsiasi momento utilizzando questa procedura guidata. Il processo di inizializzazione prevede due passaggi:

1. Nei computer con un TPM, inizializzare il TPM utilizzando l'Inizializzazione guidata TPM o l'elemento Crittografia unità BitLocker nel Pannello di controllo oppure eseguendo uno script appositamente progettato.
   
   
2. Configurare BitLocker. Accedere dal Pannello di controllo alla procedura guidata per l'installazione di BitLocker, che consente di eseguire la configurazione in modo semplificato e visualizza opzioni di autenticazione avanzate.
   
   

Quando un amministratore locale inizializza BitLocker, deve anche creare una password di ripristino o una chiave di ripristino. In assenza di una chiave di ripristino o una password di ripristino, qualora si verifichi un problema con l'unità protetta da BitLocker, tutti i dati presenti nell'unità crittografata potrebbero risultare inaccessibili e non essere ripristinabili.

	Nota
	L'inizializzazione di BitLocker e del TPM deve essere eseguita da un membro del gruppo Administrators locale nel computer.

Per informazioni dettagliate sulla configurazione e la distribuzione di BitLocker, vedere la guida dettagliata relativa a Crittografia unità BitLocker di Windows (https://go.microsoft.com/fwlink/?LinkID=140225).

BitLocker è in grado di utilizzare l'infrastruttura Servizi di dominio Active Directory esistente di un'organizzazione per archiviare chiavi di ripristino in remoto. BitLocker offre una procedura guidata per l'installazione e la gestione e assicura estendibilità e gestibilità tramite un'interfaccia Strumentazione gestione Windows (WMI) con supporto di scripting. BitLocker dispone inoltre di una console di ripristino, integrata nel processo di avvio, che consente all'utente o al personale di supporto tecnico di riaccedere a un computer bloccato.

Per ulteriori informazioni sulla creazione di script per BitLocker, vedere la pagina relativa a Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983).

Molti personal computer oggi vengono riutilizzati da persone diverse dal proprietario o dall'utente iniziale del computer. Negli scenari relativi alle organizzazioni, i computer potrebbero essere ridistribuiti in altri reparti oppure potrebbero essere riciclati nell'ambito di un ciclo di aggiornamento dell'hardware dei computer standard.

I dati presenti in unità non crittografate potrebbero continuare a essere leggibili anche dopo la formattazione dell'unità. Le organizzazioni spesso ricorrono a più operazioni di sovrascrittura oppure alla distruzione fisica per limitare il rischio di esposizione dei dati in unità per cui è stata eseguita la rimozione delle autorizzazioni.

BitLocker può consentire di definire un semplice processo di rimozione delle autorizzazioni economicamente vantaggioso. Lasciando i dati crittografati da BitLocker e rimuovendo le chiavi, un'organizzazione può limitare in modo definitivo il rischio di esposizione di tali dati. Dopo la rimozione di tutte le chiavi di BitLocker, è pressoché impossibile accedere a dati crittografati con BitLocker perché sarebbe necessario violare la crittografia AES a 128 bit o 256 bit.

BitLocker non è in grado di proteggere un computer contro tutti i possibili attacchi. Se ad esempio utenti malintenzionati o programmi dannosi quali virus o rootkit hanno accesso al computer prima dello smarrimento o del furto, potrebbero essere in grado di introdurre punti di debolezza tramite cui accedere successivamente ai dati crittografati. Se si lascia nel computer la chiave di avvio USB o non si tengono segreti il PIN o la password di accesso a Windows, la protezione BitLocker può essere compromessa.

La modalità di autenticazione solo TPM è la più facile da distribuire, gestire e utilizzare. Potrebbe inoltre essere la più appropriata per computer in modalità automatica o che richiedono un riavvio in modalità automatica. La modalità solo TPM offre tuttavia un livello minimo di protezione dei dati. Se in alcune parti dell'organizzazione vengono archiviati dati altamente confidenziali su computer portatili, in tali computer è consigliabile distribuire BitLocker con l'autenticazione a più fattori.

Per ulteriori informazioni sulla sicurezza BitLocker, vedere la pagina relativa al toolkit di crittografia dei dati per computer portatili (https://go.microsoft.com/fwlink/?LinkId=85982).

Per i server in ambienti condivisi o potenzialmente non sicuri, ad esempio all'interno di una succursale, è possibile utilizzare BitLocker per crittografare l'unità del sistema operativo e unità dati aggiuntive nello stesso server.

Per impostazione predefinita, BitLocker non viene installato con Windows Server 2008 R2. Per aggiungerlo, utilizzare la pagina Server Manager di Windows Server 2008 R2. Dopo aver installato BitLocker in un server, è necessario eseguire un riavvio. Utilizzando WMI è possibile attivare BitLocker in remoto.

BitLocker è supportato in server Extensible Firmware Interface (EFI) che utilizzano un'architettura del processore a 64 bit.

	Nota
	BitLocker non supporta le configurazioni cluster.

Dopo aver crittografato e protetto l'unità con BitLocker, gli amministratori locali e di dominio possono utilizzare la pagina Gestione BitLocker dell'elemento Crittografia unità BitLocker nel Pannello di controllo per modificare la password di sblocco dell'unità, rimuovere la password dall'unità, aggiungere una smart card per lo sblocco dell'unità, salvare o stampare di nuovo la chiave di ripristino, sbloccare automaticamente l'unità, duplicare le chiavi e reimpostare il PIN.

	Nota
	È possibile controllare i tipi di chiavi utilizzabili in un computer tramite Criteri di gruppo. Per ulteriori informazioni sull'utilizzo di Criteri di gruppo con BitLocker, vedere la guida alla distribuzione di BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286).

Un amministratore potrebbe avere necessità di disattivare temporaneamente BitLocker in determinati scenari, ad esempio per:

• Riavviare il computer per la manutenzione senza l'input dell'utente, ad esempio l'immissione di un PIN o l'inserimento di una chiave di avvio.
  
  
• Aggiornare il BIOS.
  
  
• Installare un componente hardware dotato di memoria di sola lettura facoltativa (ROM facoltativa).
  
  
• Aggiornare componenti di avvio critici senza avviare il ripristino di BitLocker, Ad esempio:
  
  
  • Installare una versione diversa del sistema operativo o un altro sistema operativo, con una possibile modifica del record di avvio principale (MBR).
    
    
  • Ripartizionare il disco, con una possibile modifica della tabella di partizione.
    
    
  • Eseguire altre attività di sistema che comportano una modifica dei componenti di avvio convalidati dal TPM.
    
    
• Aggiornare la scheda madre per sostituire o rimuovere il TPM senza avviare il ripristino di BitLocker.
  
  
• Disattivare o cancellare il TPM senza avviare il ripristino di BitLocker.
  
  
• Spostare un'unità protetta da BitLocker in un altro computer senza avviare il ripristino di BitLocker.
  
  

Questi scenari vengono definiti collettivamente come scenario di aggiornamento del computer. BitLocker può essere attivato o disattivato tramite l'elemento Crittografia unità BitLocker nel Pannello di controllo.

Per l'aggiornamento di un computer protetto da BitLocker, è necessario eseguire la procedura seguente:

1. Disattivare temporaneamente BitLocker impostando la modalità di disabilitazione.
   
   
2. Aggiornare il sistema o il BIOS.
   
   
3. Riattivare BitLocker.
   
   

L'impostazione della modalità di disabilitazione di BitLocker consente di mantenere crittografata l'unità, mentre la chiave master dell'unità viene crittografata con una chiave simmetrica archiviata in forma non crittografata nel disco rigido. La disponibilità di questa chiave non crittografata disattiva la protezione dai dati offerta da BitLocker, ma consente di eseguire i successivi avvii del computer senza un ulteriore input dell'utente. Quando BitLocker viene riattivato, la chiave non crittografata viene rimossa dal disco e la protezione BitLocker viene riattivata. La chiave master dell'unità viene inoltre impostata e crittografata di nuovo.

Lo spostamento dell'unità crittografata, ovvero del disco fisico, in un altro computer protetto da BitLocker non richiede passaggi aggiuntivi. La chiave che protegge la chiave master dell'unità, infatti, è archiviata in forma non crittografata nel disco.

	Attenzione
	L'esposizione della chiave master dell'unità anche per un breve periodo di tempo comporta un rischio di protezione. Questo perché l'autore di un attacco potrebbe avere la possibilità di accedere alla chiave master dell'unità e alla chiave di crittografia dell'intera unità quando tali chiavi vengono esposte dalla chiave non crittografata.

Per informazioni dettagliate sulla disattivazione di BitLocker, vedere la guida dettagliata relativa a Crittografia unità BitLocker di Windows (https://go.microsoft.com/fwlink/?LinkID=140225).

Il processo di ripristino può essere avviato da una serie di scenari, ad esempio:

• Lo spostamento dell'unità protetta da BitLocker in un nuovo computer.
  
  
• L'installazione di una nuova scheda madre con un nuovo TPM.
  
  
• La disattivazione o la cancellazione del TPM.
  
  
• L'aggiornamento del BIOS.
  
  
• L'aggiornamento della ROM facoltativa.
  
  
• L'aggiornamento di componenti di avvio critici che causano un errore della convalida dell'integrità del sistema.
  
  
• Lo smarrimento del PIN quando è attivata l'autenticazione con un PIN.
  
  
• La perdita dell'unità memoria flash USB contenente la chiave di avvio quando è attivata l'autenticazione con una chiave di avvio.
  
  

Un amministratore può inoltre avviare il ripristino come meccanismo di controllo di accesso, ad esempio durante la ridistribuzione del computer. L'amministratore può decidere di bloccare un'unità crittografata e richiedere agli utenti di ottenere le informazioni di ripristino di BitLocker per lo sblocco dell'unità.