Se il tuo PC o notebook venisse perso o rubato, probabilmente ti roderebbe parecchio il costo per andarlo a ricomprare. Ma più che il costo dell’hardware di per sè, sicuramente risulterà più elevato il “valore” il valore dei dati presenti nel dispostivo. Anche se il sistema fosse protetto da password per l’accesso utilizzando l’account utente di Windows, un ladro potrebbe avviare il PC da un dispositivo rimovibile e sfogliare i contenuti dell’hard disk, oppure smontare il disco ed agganciarlo come “secondario” rispetto ad un sistema già esistente. Il modo più efficace per fermare questo tipo di scenario sarà quello di crittografare l’intero dispositivo in modo che i suoi contenuti siano disponibili solo per te o per qualcuno in possesso della chiave di ripristino.

Cosa è BitLocker?

BitLocker è il tools di crittografia proprietario e di facile utilizzo di Microsoft per Windows in grado di crittografare l’intera unità e di proteggere il sistema da modifiche non autorizzate come malware a livello di firmware. BitLocker è disponibile per chiunque abbia una macchina che esegue Windows Vista o 7 Ultimate, Windows Vista o 7 Enterprise, Windows 8.1 Pro, Windows 8.1 Enterprise o Windows 10 Pro. E’ inoltre disponibile come funzionalità aggiuntiva sui sistemi operativi Server a partire da Windows Server 2008 in su.

Requisiti per Bitlocker

Per utilizzare BitLocker è necessario quindi un PC Windows con una delle versioni del sistema operativo sopra menzionate, più un’unità di archiviazione con almeno due partizioni e un Trusted Platform Module (TPM). Un TPM è un chip speciale che esegue un controllo di autenticazione su hardware, software e firmware. Se il TPM rileva una modifica non autorizzata, il PC si avvierà in modalità limitata per scoraggiare potenziali aggressori. Se non sai se il tuo computer ha un TPM o più partizioni, non preoccuparti: BitLocker eseguirà un controllo di sistema all’avvio per controllare se il tuo PC può utilizzare BitLocker. Se si scopre che non si dispone di un TPM, è comunque possibile eseguire BitLocker agendo tramite le group policy.

Microsoft Bitlocker encryption

Come funziona Bitlocker in Windows 10?

Su tutti i dispositivi progettati per Windows 10, la crittografia del dispositivo viene abilitata automaticamente. La procedura di installazione di Windows crea automaticamente le partizioni necessarie e inizializza la crittografia sull’unità del sistema operativo con una chiave non crittografata. Per completare il processo di crittografia, è necessario eseguire accedere tramite un account con diritti di amministratore sul dispositivo.

Tale azione rimuove la chiave di cancellazione, carica una chiave di ripristino nell’account OneDrive dell’utente e crittografa i dati sull’unità di sistema. Questo processo avviene automaticamente e funziona su qualsiasi edizione di Windows 10. Accedendo al dispositivo usando un account Active Directory su un dominio Windows o un account Azure Active Directory. Entrambe le configurazioni richiedono un’edizione aziendale di Windows 10 (Pro, Enterprise o Education) e la chiave di ripristino viene salvata in un percorso disponibile per il dominio o l’amministratore di Active Directory. Se si accedi utilizzando un account locale su un dispositivo che esegue un’edizione aziendale di Windows 10, si dovranno utilizzare gli strumenti di gestione di BitLocker per abilitare la crittografia sulle unità disponibili. 

Bitlocker Encryption

Come attivare Bitlocker senza il chip TPM

Nel momento in cui il PC non includa il chip Trusted Platform Module, non sarà possibile attivare direttamente BitLocker su Windows 10, ma bisognerà agire tramite delle Group Policy locali o di dominio a seconda della configurazione. 
Accedendo tramite GPEDIT.MSC da riga di comando si potrà accedere rapidamente all’editor delle GPO locali; da lì seguendo il percorso:

Configurazione Computer -> Modelli Amministrativi -> Componenti di Windows -> Crittografia unità Bitlocker -> Unità del sistema operativo -> Richiedi Autenticazione aggiuntiva all’avvio

Group policy locali bitlocker

Impostare poi la policy su Enabled e selezionare l’opzione Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio su unità flash USB)

Abilitare Bitlocker senza TPM

Cliccare su Ok per applicare quindi le modifiche

Dopodichè sarà quindi possibile abilitare il Bitlocker sia da esplora risorse con il pulsante destro sopra l’unità disco C: oppure dal pannello di controllo.

Attivare Bitlocker Windows 10

attivare bitlocker da pannello di controllo

Salvare ed utilizzare un Recovery Key di Bitlocker

In circostanze normali, lo sblocco dell’unità avviene automaticamente quando si accede a Windows 10 utilizzando un account autorizzato su quel dispositivo. Se si tenta di accedere al sistema in qualsiasi altro modo, ad esempio avviando da un’unità di installazione di Windows 10 o un’unità di avvio USB basata su Linux, verrà richiesta una chiave di ripristino per accedere all’unità corrente.

Potrebbe anche essere visualizzato un prompt per una chiave di ripristino qualora aggiornamento del Bios e del firmware va a modificare il sistema, non riconoscendo quindi più il TPM. In qualità di amministratore di sistema all’interno di una organizzazione, sarà possibile utilizzare una chiave di ripristino (manualmente o con l’assistenza del software di gestione) per accedere ai dati su qualsiasi dispositivo di proprietà della tua organizzazione, anche qualora l’utente non ne faccia più parte.

La Recovery Key (chiave di ripristino) è una chiave di 48 cifre che sblocca l’unità crittografata in tali circostanze. Senza quella chiave, i dati sull’unità rimangono crittografati. La chiave di ripristino viene archiviata automaticamente nel cloud se hai abilitato la crittografia del dispositivo tramite l’utilizzo di un account Microsoft. Per trovare la chiave, è necessario andare all’indirizzo https://onedrive.com/recoverykey e accedere con l’account Microsoft associato (questa opzione funziona anche su un telefono cellulare.)

Onedrive recovery keys bitlocker

 

Se è stata abilitata la crittografia BitLocker su un dispositivo Windows 10 con un account Azure AD, sarà possibile la chiave di ripristino elencata all’interno del tuo profilo Azure AD, tramite Impostazioni – Account ed infine su Gestisci il mio account. Nel momento in cui si utilizza un dispositivo non registrato con Azure AD, andando su https://account.activedirectory.windowsazure.com/profile e accedendo con le tue credenziali di Azure AD, sarà possibile trovare il nome del dispositivo sotto l’intestazione Dispositivi e da lì facendo clic su Ottieni chiavi BitLocker sarà possibile visualizzare la chiave di ripristino per quel dispositivo.

Nelle edizioni aziendali di Windows 10, è possibile stampare o salvare una copia della Recovery Key ed archiviare il file o la stampa (o entrambi) in un luogo sicuro come sistema di protezione aggiuntivo.

BITLOCKER TO GO per la protezione dei dischi rimovibili

Anche i dispositivi di archiviazione rimovibili richiedono la crittografia. Ciò include le unità flash USB, le schede MicroSD e i classici dischi esterni USB: ed è qui che entra in gioco BitLocker To Go. Per attivare la crittografia BitLocker per un’unità rimovibile, è necessario eseguire un’edizione aziendale di Windows 10. E’ possibile sbloccare quel dispositivo su un dispositivo che esegue qualsiasi edizione, incluso Windows 10 Home. Come parte del processo di crittografia, è necessario impostare una password che verrà utilizzata per sbloccare l’unità. È inoltre necessario salvare la chiave di ripristino per l’unità, visto che non viene salvato automaticamente su un account cloud OneDrive.

Infine sarà necessario scegliere una modalità di crittografia: consigliamo di utilizzare l’opzione Nuova modalità di crittografia (XTS-AES) se si prevede di utilizzare il dispositivo esclusivamente su Windows 10, scegliere invece Modalità compatibile per un’unità che si potrebbe voler aprire su un dispositivo che esegue una versione precedente di Windows. La prossima volta che si inserirà quel dispositivo in un PC Windows, ti verrà richiesta la password. Facendo clic su Altre opzioni e selezionando la casella di controllo per sbloccare automaticamente il dispositivo se si desidera un accesso semplificato alle unità rimovibili.