Domande frequenti su BitLocker

Per altre informazioni su BitLocker, vedere le domande frequenti.

Panoramica e requisiti

BitLocker supporta l'autenticazione a più fattori?

Sì, BitLocker supporta l'autenticazione a più fattori per le unità del sistema operativo. Se BitLocker è abilitato in un computer con una versione TPM 1.2 o successiva, è possibile usare altre forme di autenticazione con la protezione TPM.

Perché sono necessarie due partizioni?

Per eseguire BitLocker sono necessarie due partizioni perché l'autenticazione e la verifica dell'integrità del sistema prima dell'avvio devono avvenire in una partizione separata dall'unità del sistema operativo crittografata. Questa configurazione aiuta a proteggere il sistema operativo e le informazioni presenti nell'unità crittografata.

Come è possibile stabilire se un computer ha un TPM?

Lo stato TPM può essere archiviato Windows Defender dettagli del processore disicurezza dei>dispositivi delCentro> sicurezza.

Posso usare BitLocker in un'unità del sistema operativo senza un TPM?

Sì, BitLocker può essere abilitato in un'unità del sistema operativo senza TPM, se il BIOS o il firmware UEFI ha la possibilità di leggere da un'unità flash USB nell'ambiente di avvio. BitLocker non sblocca l'unità protetta fino a quando la chiave master del volume di BitLocker non viene rilasciata per la prima volta dal TPM del computer o da un'unità flash USB contenente la chiave di avvio di BitLocker per il computer. Tuttavia, i computer senza TPM non saranno in grado di usare la verifica dell'integrità del sistema fornita anche da BitLocker. Per determinare se un computer può leggere da un dispositivo USB durante il processo di avvio, usa il controllo del sistema BitLocker come parte del processo di configurazione di BitLocker. Il controllo del sistema esegue alcuni test per verificare che il computer possa leggere correttamente i dati dai dispositivi USB nel momento appropriato e che soddisfi altri requisiti di BitLocker.

Come ottengo il supporto del BIOS per il TPM nel mio computer?

Contatta il produttore del computer per richiedere un firmware di avvio BIOS o UEFI conforme a Trusted Computing Group (TCG) che soddisfi i requisiti seguenti:

  • È conforme agli standard TCG per un computer client
  • Ha un meccanismo di aggiornamento sicuro per impedire l'installazione di un BIOS dannoso o di un firmware di avvio nel computer

Quali diritti utente sono necessari per usare BitLocker?

Per attivare, disattivare o modificare le configurazioni di BitLocker nel sistema operativo e nelle unità dati fisse, è necessaria l'appartenenza al gruppo Administrators locale. Gli utenti standard possono attivare, disattivare o modificare le configurazioni di BitLocker nelle unità dati rimovibili.

Qual è l'ordine di avvio consigliato per i computer che saranno protetti con BitLocker?

Le opzioni di avvio del computer devono essere configurate in modo che l'unità disco rigido sia prima nell'ordine di avvio, prima di qualsiasi altra unità, ad esempio unità CD/DVD o unità USB. Se il disco rigido non è il primo e il computer viene in genere avviato dal disco rigido, è possibile che venga rilevata o usata una modifica dell'ordine di avvio quando vengono trovati supporti rimovibili durante l'avvio. L'ordine di avvio in genere influisce sulla misurazione di sistema verificata da BitLocker e una modifica dell'ordine di avvio genererà una richiesta per la chiave di ripristino di BitLocker. Per lo stesso motivo, se un portatile viene usato con una docking station, assicurarsi che l'unità disco rigido sia prima nell'ordine di avvio sia quando il portatile è ancorato che disaccodato.

Aggiornamento di BitLocker e Windows

È possibile aggiornare le versioni di Windows con BitLocker abilitato?

Sì.

Qual è la differenza tra le opzioni Sospendi e Decrittografa di BitLocker?

Decrittografa rimuove completamente la protezione BitLocker e decrittografa interamente l'unità.

Sospendi mantiene i dati crittografati, ma crittografa la chiave master del volume di BitLocker con una chiave non crittografata. La chiave non crittografata è una chiave crittografica archiviata come non crittografata e non protetta nell'unità disco. Archiviando questa chiave non crittografata, l'opzione Sospendi permette modifiche o aggiornamenti al computer senza i tempi e i costi imposti dalla decrittografia e la nuova crittografia dell'intera unità. Una volta apportate le modifiche e quando BitLocker è di nuovo abilitato, la chiave di crittografia viene sigillata in base ai nuovi valori dei componenti misurati che sono stati modificati in seguito all'aggiornamento, la chiave master del volume viene modificata, le protezioni vengono aggiornate di conseguenza e la chiave non crittografata viene cancellata.

È necessario sospendere la protezione BitLocker per scaricare e installare aggiornamenti e aggiornamenti di sistema?

Non è richiesta alcuna azione dell'utente per BitLocker allo scopo di applicare gli aggiornamenti da Microsoft, inclusi gli aggiornamenti qualitativi e gli aggiornamenti delle funzionalità di Windows. Gli utenti devono sospendere BitLocker per gli aggiornamenti software non Microsoft, ad esempio:

  • Alcuni aggiornamenti del firmware TPM se questi aggiornamenti cancellano il TPM all'esterno dell'API di Windows. Non tutti gli aggiornamenti del firmware TPM cancellano il TPM. Gli utenti non devono sospendere BitLocker se l'aggiornamento del firmware TPM usa l'API Windows per cancellare il TPM perché in questo caso BitLocker verrà sospeso automaticamente. È consigliabile che gli utenti testino gli aggiornamenti del firmware TPM se non vogliono sospendere la protezione BitLocker
  • Aggiornamenti delle applicazioni non Microsoft che modificano la configurazione UEFI\BIOS
  • Aggiornamenti manuali o non Microsoft per proteggere i database di avvio (solo se BitLocker usa l'avvio protetto per la convalida dell'integrità)
  • Aggiornamenti al firmware UEFI\BIOS, all'installazione di driver UEFI aggiuntivi o alle applicazioni UEFI senza usare il meccanismo di aggiornamento di Windows (solo se BitLocker non usa l'avvio protetto per la convalida dell'integrità durante gli aggiornamenti)
  • BitLocker può essere controllato se usa l'avvio protetto per la convalida dell'integrità con la riga di manage-bde.exe -protectors -get C:comando . Se viene usato l'avvio protetto per la convalida dell'integrità, segnala l'uso dell'avvio protetto per la convalida dell'integrità

Nota

Se BitLocker viene sospeso, è possibile riprendere la protezione BitLocker dopo l'installazione dell'aggiornamento o dell'aggiornamento. Una volta ripresa la protezione, BitLocker sigilla la chiave di crittografia in base ai nuovi valori dei componenti misurati che sono stati modificati in seguito all'aggiornamento. Se questi tipi di aggiornamenti vengono applicati senza sospendere BitLocker, il computer entrerà in modalità di ripristino al riavvio e richiederà una chiave di ripristino o una password per accedere al computer.

Distribuzione e amministrazione

La distribuzione di BitLocker può essere automatizzata in un ambiente aziendale?

Sì, la distribuzione e la configurazione di BitLocker possono essere automatizzate usando Windows PowerShell o con il manage-bde.exe comando . Per altre informazioni sui comandi di gestione comuni di BitLocker, vedere la guida alle operazioni di BitLocker.

L'abilitazione di BitLocker in un computer ha un impatto notevole?

In genere, si verifica un sovraccarico delle prestazioni ridotto, spesso in percentuali a una cifra, che è relativo alla velocità effettiva delle operazioni di archiviazione in cui deve operare.

Quanto dura la crittografia iniziale quando BitLocker è attivato?

Anche se la crittografia BitLocker si verifica in background mentre un utente continua a lavorare con il sistema che rimane utilizzabile, i tempi di crittografia variano a seconda del tipo di unità crittografata, delle dimensioni dell'unità e della velocità dell'unità. Se si crittografano unità di grandi dimensioni, la crittografia potrebbe voler essere pianificata nei momenti in cui l'unità non viene usata.

Quando BitLocker è abilitato, è anche possibile impostare BitLocker per crittografare l'intera unità o solo lo spazio usato nell'unità. In un nuovo disco rigido, la crittografia del solo spazio usato può rivelarsi notevolmente più rapida rispetto alla crittografia dell'intera unità. Quando è selezionata questa opzione di crittografia, BitLocker crittografa automaticamente i dati man mano che vengono salvati, garantendo che nessun dato venga archiviato come non crittografato.

Che cosa succede se il computer viene spento durante la crittografia o la decrittografia?

Se il computer viene spento o passa all'ibernazione, il processo di crittografia e decrittografia BitLocker viene ripreso al punto in cui è stato interrotto al successivo avvio di Windows. La ripresa della crittografia o della decrittografia di BitLocker è vera anche se l'alimentazione è improvvisamente non disponibile.

BitLocker crittografa e decrittografa l'intera unità durante la lettura e la scrittura dei dati?

No, BitLocker non crittografa e decrittografa l'intera unità durante la lettura e la scrittura dei dati. I settori crittografati nell'unità protetta da BitLocker vengono decrittografati solo quando vengono richiesti dalle operazioni di lettura del sistema. I blocchi scritti nell'unità vengono crittografati prima che il sistema li scriva nel disco fisico. Nell'unità protetta con BitLocker non vengono mai archiviati dati non crittografati.

Come è possibile impedire agli utenti di archiviare i dati in un'unità non crittografata?

Le impostazioni dei criteri possono essere configurate in modo da richiedere che le unità dati siano protette da BitLocker prima che un computer protetto da BitLocker possa scrivervi dati. Per altre info, vedi Impostazioni dei criteri di BitLocker. Quando queste impostazioni dei criteri sono abilitate, il sistema operativo protetto da BitLocker monta tutte le unità dati non protette da BitLocker come di sola lettura.

Che cos'è la crittografia usa solo spazio su disco?

BitLocker consente agli utenti di scegliere di crittografare solo i propri dati. Anche se non è il modo più sicuro per crittografare un'unità, questa opzione può ridurre i tempi di crittografia di oltre il 99%, a seconda della quantità di dati che devono essere crittografati. Per altre informazioni, vedere Crittografia solo spazio su disco.

Quali modifiche del sistema causerebbero l'esito negativo del controllo dell'integrità nell'unità del sistema operativo?

I tipi di modifiche apportate al sistema seguenti possono provocare la mancata riuscita di un controllo dell'integrità e impedire al TPM di rilasciare la chiave di BitLocker per decrittografare l'unità del sistema operativo protetta:

  • Spostamento dell'unità protetta da BitLocker in un nuovo computer
  • Installazione di una nuova scheda madre con un nuovo TPM
  • Disattivazione, disabilitazione o cancellazione del TPM
  • Modifica delle impostazioni di configurazione di avvio
  • Modifica del BIOS, del firmware UEFI, del record di avvio master, del settore di avvio, del gestore di avvio, della ROM dell'opzione o di altri componenti di avvio anticipato o dei dati di configurazione di avvio

Che cosa provoca l'avvio di BitLocker in modalità di ripristino durante il tentativo di avviare l'unità del sistema operativo?

Poiché BitLocker è progettato per proteggere i computer da numerosi attacchi, esistono numerosi motivi per cui BitLocker potrebbe iniziare in modalità di ripristino. Ad esempio:

  • Modifica dell'ordine di avvio del BIOS per l'avvio di un'altra unità prima del disco rigido
  • Aggiunta o rimozione di hardware, ad esempio l'inserimento di una nuova scheda nel computer
  • Rimozione, inserimento o esaurimento completo della carica su una batteria intelligente su un computer portatile

In BitLocker il ripristino consiste nel decrittografare una copia della chiave master del volume usando una chiave di ripristino archiviata in un'unità flash USB o una chiave crittografica derivata da una password di ripristino. Il TPM non è coinvolto in scenari di ripristino, quindi il ripristino è comunque possibile se il TPM non riesce a convalidare il componente di avvio, non funziona correttamente o viene rimosso.

Cosa può impedire a BitLocker di eseguire l'associazione a PCR 7?

BitLocker può essere impedito di eseguire l'associazione a PCR 7 se un sistema operativo non Windows è stato avviato prima di Windows o se l'avvio protetto non è disponibile per il dispositivo, perché è disabilitato o l'hardware non lo supporta.

Posso scambiare dischi rigidi nello stesso computer se BitLocker è abilitato nell'unità del sistema operativo?

Sì, è possibile scambiare più dischi rigidi nello stesso computer se BitLocker è abilitato, ma solo se i dischi rigidi sono protetti da BitLocker nello stesso computer. Le chiavi di BitLocker sono univoche per il TPM e l'unità del sistema operativo. Se è necessario preparare un sistema operativo o un'unità dati di backup in caso di errore del disco, assicurarsi che siano corrispondenti al TPM corretto. È anche possibile configurare dischi rigidi diversi per sistemi operativi diversi e quindi abilitare BitLocker in ognuno di essi con metodi di autenticazione diversi (ad esempio uno con solo TPM e uno con TPM+PIN) senza conflitti.

Posso accedere all'unità protetta con BitLocker se inserisco il disco rigido in un computer diverso?

Sì, se l'unità è un'unità dati, può essere sbloccata dall'elemento Crittografia unità BitLocker Pannello di controllo usando una password o una smart card. Se l'unità dati è stata configurata solo per lo sblocco automatico, sarà necessario sbloccarla usando la chiave di ripristino. Il disco rigido crittografato può essere sbloccato da un agente recupero dati (se configurato) o usando una chiave di ripristino.

Perché l'opzione "Attiva BitLocker" non è disponibile quando si fa clic con il pulsante destro del mouse su un'unità?

Alcune unità non possono essere crittografate con BitLocker. I motivi per cui un'unità non può essere crittografata includono dimensioni insufficienti del disco, un file system incompatibile, se l'unità è un disco dinamico o un'unità è designata come partizione di sistema. Per impostazione predefinita, la visualizzazione dell'unità di sistema (o partizione di sistema) è nascosta. Tuttavia, se non viene creato come unità nascosta quando il sistema operativo è stato installato a causa di un processo di installazione personalizzato, tale unità potrebbe essere visualizzata ma non può essere crittografata.

Quali tipi di configurazioni del disco sono supportati da BitLocker?

Qualsiasi numero di unità dati fisse interne può essere protetto con BitLocker. In alcune versioni sono supportati anche i dispositivi di archiviazione con collegamento diretto basati su ATA e SATA.

Gestione delle chiavi

Come è possibile autenticare o sbloccare l'unità dati rimovibile?

Le unità dati rimovibili possono essere sbloccate usando una password o una smart card. È anche possibile configurare una protezione SID per sbloccare un'unità usando le credenziali del dominio utente. Dopo l'avvio della crittografia, l'unità può anche essere sbloccata automaticamente in un computer specifico per un account utente specifico. Gli amministratori di sistema possono configurare le opzioni disponibili per gli utenti, inclusi la complessità delle password e i requisiti di lunghezza minima. Per sbloccare usando una protezione SID, usare manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

Qual è la differenza tra una password del proprietario del TPM, una password di ripristino, una chiave di ripristino, un PIN, un PIN avanzato e una chiave di avvio?

Sono disponibili più chiavi che possono essere generate e usate da BitLocker. Alcune chiavi sono necessarie e altre sono protezioni facoltative che è possibile scegliere di usare a seconda del livello di sicurezza richiesto.

Password del proprietario di TPM

Prima di abilitare BitLocker in un computer con TPM versione 1.2, è necessario inizializzare il TPM. Il processo di inizializzazione genera una password del proprietario del TPM, ovvero una password impostata nel TPM. È necessario essere in grado di fornire la password del proprietario del TPM per modificare lo stato del TPM, ad esempio quando si abilita o disabilita il TPM o si reimposta il blocco TPM.

Password di ripristino e chiave di ripristino

Quando si configura BitLocker, è necessario scegliere come ripristinare l'accesso alle unità protette da BitLocker nel caso in cui non sia possibile usare il metodo di sblocco specificato, ad esempio se il TPM non è in grado di convalidare i componenti di avvio, se il PIN viene dimenticato o se la password viene dimenticata. In queste situazioni, è necessario essere in grado di fornire la chiave di ripristino o la password di ripristino per sbloccare i dati crittografati nell'unità. Quando si forniscono le informazioni di ripristino, è possibile usare uno dei formati seguenti:

  • Password di ripristino costituita da 48 cifre suddivise in otto gruppi. Durante il ripristino, è necessario digitare questa password nella console di ripristino di BitLocker usando i tasti funzione sulla tastiera
  • File di chiave in un'unità flash USB letto direttamente dalla console di ripristino di BitLocker. Durante il ripristino, è necessario inserire questo dispositivo USB

PIN e PIN avanzato

Per un livello di sicurezza superiore con il TPM, è possibile configurare BitLocker con un PIN (Personal Identification Number). Il PIN è un valore creato dall'utente che deve essere immesso ogni volta che il computer viene avviato o ripreso dall'ibernazione. Il PIN può essere costituito da 4 a 20 cifre come specificato dall'impostazione Configura lunghezza minima PIN per i criteri di avvio e viene archiviato internamente come hash a 256 bit dei caratteri Unicode immessi. Questo valore non viene mai visualizzato all'utente. Il PIN viene usato per fornire un altro fattore di autenticazione in combinazione con l'autenticazione TPM.
Per un livello di sicurezza ancora più elevato con il TPM, è possibile configurare BitLocker per l'uso di PIN avanzati. I PIN avanzati sono PIN che usano l'intero set di caratteri della tastiera oltre al set numerico per consentire combinazioni di PIN più possibili e hanno una lunghezza compresa tra 4 e 20 caratteri. Per usare pin avanzati, è necessario abilitare l'impostazione dei criteri Consenti PIN avanzati per l'avvio prima di aggiungere il PIN all'unità. Abilitando questo criterio, tutti i PIN creati possono usare caratteri di tastiera completi.

Chiave di avvio

La configurazione di una chiave di avvio è un altro metodo per abilitare un livello di sicurezza superiore con il TPM. La chiave di avvio è una chiave archiviata in un'unità flash USB e l'unità flash USB deve essere inserita ogni volta che il computer viene avviato. La chiave di avvio viene usata per fornire un altro fattore di autenticazione in combinazione con l'autenticazione TPM. Per usare un'unità flash USB come chiave di avvio, l'unità flash USB deve essere formattata usando il file system NTFS, FAT o FAT32.

Importante

È necessario disporre di una chiave di avvio per usare BitLocker in un computer non TPM.

Come si possono memorizzare la password e la chiave di ripristino?

La password di ripristino e la chiave di ripristino per un'unità del sistema operativo o un'unità dati fissa possono essere salvate in una cartella, salvate in uno o più dispositivi USB, salvate in un account Microsoft o stampate.

Per le unità dati rimovibili, la password di ripristino e la chiave di ripristino possono essere salvate in una cartella, salvate in un account Microsoft o stampate. Per impostazione predefinita, una chiave di ripristino per un'unità rimovibile non può essere archiviata in un'unità rimovibile.

Un amministratore di dominio può anche configurare le impostazioni dei criteri per generare automaticamente le password di ripristino e archiviarle in Active Directory Domain Services (Ad DS) o Microsoft Entra ID per qualsiasi unità protetta da BitLocker.

È possibile aggiungere un altro metodo di autenticazione senza decrittografare l'unità se ho abilitato solo il metodo di autenticazione tramite TPM?

Lo Manage-bde.exe strumento da riga di comando può essere usato per sostituire la modalità di autenticazione solo TPM con una modalità di autenticazione a più fattori. Ad esempio, se BitLocker è abilitato solo con l'autenticazione TPM e deve essere aggiunta l'autenticazione PIN, usare i comandi seguenti da un prompt dei comandi con privilegi elevati, sostituendo il PIN numerico a 4-20 cifre con il PIN numerico desiderato:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Quando deve essere considerato un metodo di autenticazione aggiuntivo?

Il nuovo hardware che soddisfa i requisiti di Programma di compatibilità hardware con Windows rende un PIN meno critico come prevenzione ed essendo dotato di una protezione solo TPM è in genere sufficiente in combinazione con criteri quali il blocco del dispositivo. Ad esempio, Surface Pro e Surface Book non hanno porte DMA esterne da attaccare. Per l'hardware meno recente, in cui potrebbe essere necessario un PIN, è consigliabile abilitare PIN avanzati che consentono caratteri non numerici, ad esempio lettere e segni di punteggiatura, e impostare la lunghezza del PIN in base alla tolleranza di rischio e alle funzionalità di anti-martellamento hardware disponibili per i TPM nei computer.

Se perdo le informazioni di ripristino, i dati protetti con BitLocker saranno irrecuperabili?

BitLocker è progettato perché l'unità crittografata sia irrecuperabile senza l'autenticazione necessaria. In modalità di ripristino l'utente deve avere la password di ripristino o la chiave di ripristino per sbloccare l'unità crittografata.

Importante

Archiviare le informazioni di ripristino in Microsoft Entra ID, Active Directory Domain Services, account Microsoft o un'altra posizione sicura.

L'unità flash USB usata come chiave di avvio può essere usata anche per archiviare la chiave di ripristino?

Sebbene l'uso di un'unità flash USB sia come chiave di avvio che per l'archiviazione della chiave di ripristino sia tecnicamente possibile, non è consigliabile usare un'unità flash USB per archiviare entrambe le chiavi. Se l'unità flash USB che contiene la chiave di avvio viene smarrita o rubata, verrà persa anche la chiave di ripristino. Inoltre, l'inserimento di questa chiave causerebbe l'avvio automatico del computer dalla chiave di ripristino anche se i file misurati in TPM sono stati modificati, il che aggira il controllo dell'integrità del sistema del TPM.

Posso salvare la chiave di avvio su più unità flash USB?

Sì, la chiave di avvio del computer può essere salvata in più unità flash USB. Facendo clic con il pulsante destro del mouse su un'unità protetta da BitLocker e selezionando Gestisci BitLocker verranno fornite le opzioni per salvare le chiavi di ripristino su unità flash USB aggiuntive in base alle esigenze.

Posso salvare più chiavi di avvio (diverse) sulla stessa unità flash USB?

Sì, le chiavi di avvio di BitLocker per computer diversi possono essere salvate nella stessa unità flash USB.

Posso generare più chiavi di avvio (diverse) per lo stesso computer?

La generazione di chiavi di avvio diverse per lo stesso computer può essere eseguita tramite script. Tuttavia, per i computer che hanno un TPM, la creazione di chiavi di avvio diverse impedisce a BitLocker di usare il controllo dell'integrità del sistema del TPM.

Posso generare più combinazioni di PIN?

Non è possibile generare più combinazioni di PIN.

Quali chiavi di crittografia vengono usate in BitLocker? Come funzionano insieme?

I dati non elaborati vengono crittografati con la chiave di crittografia dell'intero volume, che viene quindi crittografata con la chiave master del volume. La chiave master del volume viene a sua volta crittografata con uno dei diversi metodi possibili a seconda degli scenari di autenticazione (ovvero protezione delle chiavi o TPM) e ripristino.

Dove vengono archiviate le chiavi di crittografia?

La chiave di crittografia dell'intero volume viene crittografata dalla chiave master del volume e archiviata nell'unità crittografata. La chiave master del volume viene crittografata dalla protezione con chiave appropriata e archiviata nell'unità crittografata. Se BitLocker è stato sospeso, anche la chiave non crittografata usata per crittografare la chiave master del volume viene archiviata nell'unità crittografata, insieme alla chiave master del volume crittografata.

Questo processo di archiviazione garantisce che la chiave master del volume non venga mai archiviata non crittografata ed è protetta a meno che BitLocker non sia disabilitato. Le chiavi vengono salvate anche in altri due percorsi dell'unità per scopi di ridondanza. Le chiavi possono essere lette ed elaborate da Boot Manager.

Perché devo usare i tasti funzione per immettere il PIN o altre password di ripristino di 48 caratteri?

I tasti da F1 a F10 sono codici tasto mappati a livello universale e disponibili nell'ambiente prima dell'avvio in tutti i computer e in tutte le lingue. I tasti numerici da 0 a 9 non sono utilizzabili nell'ambiente di preavvio in tutte le tastiere.

Quando usano un PIN avanzato, gli utenti devono eseguire il controllo del sistema facoltativo durante il processo di configurazione di BitLocker per garantire che il PIN possa essere immesso correttamente nell'ambiente prima dell'avvio.

In che modo BitLocker aiuta a impedire un attacco di individuazione del PIN in grado di sbloccare l'unità del sistema operativo?

È possibile che un PIN (Personal Identification Number) possa essere individuato da un utente malintenzionato che esegue un attacco di forza bruta. Un attacco di forza bruta si verifica quando un utente malintenzionato usa uno strumento automatico per provare diverse combinazioni di PIN fino a individuare quella corretta. Per i computer protetti da BitLocker, questo tipo di attacco, noto anche come attacco dizionario, richiede che l'utente malintenzionato abbia accesso fisico al computer.

Per impostazione predefinita, il TPM è in grado di individuare questi tipi di attacchi e di rispondervi in modo efficace. Poiché i TPM di produttori diversi possono supportare diversi PIN e mitigazioni degli attacchi, contattare il produttore del TPM per determinare in che modo il TPM del computer riduce gli attacchi di forza bruta del PIN. Dopo aver determinato il produttore del TPM, contattare il produttore per raccogliere le informazioni specifiche del fornitore del TPM. La maggior parte dei produttori usa il conteggio degli errori di autenticazione tramite PIN per aumentare esponenzialmente il periodo di blocco per l'interfaccia del PIN. Tuttavia, ogni produttore ha criteri diversi riguardo a tempi e modi per la riduzione o la reimpostazione del contatore degli errori.

Come posso determinare il produttore del mio TPM?

Il produttore del TPM può essere determinato in Windows Defender dettagli del processore disicurezza dei>dispositivi delCentro> sicurezza.

Come posso valutare un meccanismo di prevenzione degli attacchi con dizionario di un TPM?

Le domande seguenti possono essere utili quando si chiede a un produttore di TPM di progettare un meccanismo di mitigazione degli attacchi del dizionario:

  • Quanti tentativi di autenticazione non riusciti possono verificarsi prima del blocco?
  • Qual è l'algoritmo per determinare la durata di un blocco in base al numero di tentativi non riusciti e altri parametri significativi?
  • Quali azioni possono provocare la riduzione o la reimpostazione del conteggio degli errori e della durata del blocco?

È possibile gestire la lunghezza e la complessità del PIN con le impostazioni dei criteri?

La lunghezza minima del PIN può essere configurata usando l'impostazione Configura lunghezza minima PIN per l'avvio Criteri di gruppo e consentire l'uso di PIN alfanumerici abilitando l'impostazione Consenti PIN avanzati per i criteri di avvio. La complessità del PIN non può essere richiesta tramite le impostazioni dei criteri.

Per altre info, vedi Impostazioni dei criteri di BitLocker.

Come vengono usati il PIN e il TPM per derivare la chiave master del volume?

BitLocker esegue l'hash del PIN specificato dall'utente tramite SHA-256 e i primi 160 bit dell'hash vengono usati come dati di autorizzazione inviati al TPM per sigillare la chiave master del volume. La chiave master del volume è ora protetta sia dal TPM che dal PIN. Per annullare la visualizzazione della chiave master del volume, è necessario immettere il PIN ogni volta che il computer si riavvia o riprende dall'ibernazione.

BitLocker To Go

Che cos'è BitLocker To Go?

BitLocker To Go è un tipo di Crittografia unità BitLocker per unità dati rimovibili. Questa funzionalità include la crittografia di:

  • Unità flash USB
  • Schede SD
  • Unità disco rigido esterne
  • Altre unità formattate tramite il file system NTFS, FAT16, FAT32 o exFAT.

Il partizionamento delle unità deve soddisfare i requisiti di partizionamento di Crittografia unità BitLocker.

Come con BitLocker, le unità crittografate da BitLocker To Go possono essere aperte usando una password o una smart card in un altro computer. In Pannello di controllo usare Crittografia unità BitLocker.

BitLocker e Active Directory Domain Services (Ad DS)

Quale tipo di informazioni viene archiviato in Active Directory Domain Services?

Informazioni archiviate Descrizione
Password di ripristino di BitLocker La password di ripristino consente lo sblocco e l'accesso all'unità dopo un evento imprevisto di ripristino. Gli amministratori di dominio possono visualizzare la password di ripristino di BitLocker usando il Visualizzatore password di ripristino di BitLocker. Per altre informazioni su questo strumento, vedere BitLocker: Use BitLocker Recovery Password Viewer.For more information about this tool, see BitLocker: Use BitLocker Recovery Password Viewer.
Pacchetto di chiavi BitLocker Il pacchetto di chiavi consente di riparare i danni al disco rigido che altrimenti impedirebbero il ripristino standard. L'uso del pacchetto di chiavi per il ripristino richiede lo strumento di ripristino BitLocker, Repair-bde.

Cosa succede se BitLocker è abilitato in un computer prima che il computer si unisca al dominio?

Se BitLocker è abilitato in un'unità prima che vengano applicate le impostazioni dei criteri per applicare un backup, non verrà eseguito automaticamente il backup delle informazioni di ripristino in Servizi di dominio Active Directory quando il computer aggiunge il dominio o quando le impostazioni dei criteri vengono applicate successivamente. Tuttavia, le impostazioni dei criteri Scegliere come ripristinare le unità del sistema operativo protette con BitLocker, Scegliere come ripristinare le unità fisse protette con BitLocker e Scegliere come ripristinare le unità rimovibili protette da BitLocker possono essere scelte per richiedere la connessione del computer a un dominio prima che BitLocker possa essere abilitato per garantire che le informazioni di ripristino per le unità protette da BitLocker nell'organizzazione vengano sottoposte a backup in Servizi di dominio Active Directory.

Per altre informazioni su come eseguire il backup della password di ripristino in Servizi di dominio Active Directory o Microsoft Entra ID, vedere la guida alle operazioni di BitLocker.

Importante

L'aggiunta di un computer al dominio deve essere il primo passaggio per i nuovi computer all'interno di un'organizzazione. Dopo che i computer sono stati aggiunti a un dominio, l'archiviazione della chiave di ripristino di BitLocker in Servizi di dominio Active Directory è automatica (se abilitata con le impostazioni dei criteri).

È presente una voce del registro eventi registrata nel computer client per indicare l'esito positivo o negativo del backup di Microsoft Entra ID o Active Directory?

Sì, una voce del registro eventi che indica l'esito positivo o negativo di un backup viene registrata nel computer client. Tuttavia, anche se una voce del registro eventi indica che il backup è stato completato correttamente, le informazioni potrebbero essere state successivamente rimosse da Servizi di dominio Active Directory oppure BitLocker potrebbe essere stato riconfigurato in modo tale che le informazioni di Active Directory non possano più sbloccare l'unità (ad esempio rimuovendo la protezione con chiave della password di ripristino). Inoltre, è anche possibile che la voce di log possa essere contraffatta.

In definitiva, per determinare se in Servizi di dominio Active Directory esiste un backup legittimo, è necessario eseguire una query su Servizi di dominio Active Directory con credenziali di amministratore di dominio usando lo strumento Visualizzatore password di ripristino BitLocker.

Se cambio la password di ripristino di BitLocker nel computer e archivio la nuova password in Servizi di dominio Active Directory, Servizi di dominio Active Directory sovrascriverà la vecchia password?

No. Per impostazione predefinita, le voci della password di ripristino di BitLocker non vengono eliminate da Active Directory Domain Services. Pertanto, è possibile che vengano visualizzate più password per ogni unità. Per identificare la password più recente, controlla la data nell'oggetto.

Che cosa succede se inizialmente il backup non riesce? BitLocker lo ritenterà?

Se il backup inizialmente non riesce, ad esempio quando un controller di dominio non è raggiungibile al momento dell'esecuzione dell'installazione guidata di BitLocker, BitLocker non riprova a eseguire il backup delle informazioni di ripristino in Active Directory Domain Services.

Quando un amministratore seleziona la casella di controllo Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità (sistema operativo | dati fissi | dati rimovibili) in una delle caselle di controllo Scegliere come ripristinare le unità del sistema operativo protette con BitLocker, Scegliere come ripristinare le unità dati fisse protette da BitLocker e Scegliere come ripristinare le unità dati rimovibili protette da BitLocker impostazioni dei criteri, gli utenti non possono abilitare BitLocker a meno che il computer non sia connesso al dominio e il backup delle informazioni di ripristino di BitLocker in Active Directory Domain Services non abbia esito positivo. Con queste impostazioni configurate in caso di errore del backup, BitLocker non può essere abilitato, assicurando che gli amministratori siano in grado di ripristinare le unità protette da BitLocker nell'organizzazione.

Per altre info, vedi Impostazioni dei criteri di BitLocker.

Quando un amministratore cancella queste caselle di controllo, l'amministratore consente a un'unità di essere protetta da BitLocker senza eseguire correttamente il backup delle informazioni di ripristino in Active Directory Domain Services; Tuttavia, BitLocker non ritenterà automaticamente il backup se ha esito negativo. Gli amministratori possono invece creare uno script di backup, come descritto in precedenza in Cosa succede se BitLocker è abilitato in un computer prima che il computer si unisca al dominio? per acquisire le informazioni dopo il ripristino della connettività.

Sicurezza

Quale forma di crittografia viene usata da BitLocker? È configurabile?

BitLocker usa Advanced Encryption Standard (AES) come algoritmo di crittografia con lunghezze di chiave configurabili di 128 bit o 256 bit. L'impostazione di crittografia predefinita è AES-128, ma le opzioni sono configurabili usando le impostazioni dei criteri.

Qual è la procedura consigliata per l'uso di BitLocker in un'unità del sistema operativo?

La procedura consigliata per la configurazione di BitLocker in un'unità del sistema operativo consiste nell'implementare BitLocker in un computer con una versione TPM 1.2 o successiva.

Quali sono le implicazioni dell'uso delle opzioni di risparmio energia di sospensione o ibernazione?

BitLocker nelle unità del sistema operativo nella configurazione di base offre sicurezza aggiuntiva per la modalità di ibernazione. In modalità sospensione, il computer è vulnerabile agli attacchi diretti di accesso alla memoria, poiché i dati non protetti rimangono nella RAM. Pertanto, per una maggiore sicurezza, è consigliabile disabilitare la modalità sospensione. L'autenticazione di avvio può essere configurata usando un'impostazione di criteri.

Quali sono i vantaggi di un TPM?

La maggior parte dei sistemi operativi usa uno spazio di memoria condiviso e prevede che sia il sistema operativo stesso a gestire la memoria fisica. Un TPM è un componente hardware che usa il proprio firmware interno e i propri circuiti logici per elaborare le istruzioni, in modo da garantire la schermatura dalle vulnerabilità software esterne. Gli attacchi al TPM richiedono l'accesso fisico al computer. Inoltre, gli strumenti e le competenze necessarie per attaccare l'hardware sono spesso più costosi e in genere non sono così disponibili come quelli usati per attaccare il software. Poiché ogni TPM è univoco per il computer che lo contiene, inoltre, gli attacchi contro più computer con TPM sarebbero difficili e molto dispendiosi in termini di tempo.

Nota

La configurazione di BitLocker con un fattore di autenticazione aggiuntivo offre una protezione ancora maggiore dagli attacchi hardware TPM.

Sblocco di rete

Che cos'è Lo sblocco di rete di BitLocker?

Lo sblocco di rete BitLocker consente una gestione più semplice per i client e i server abilitati per BitLocker che usano il metodo di protezione TPM+PIN in un ambiente di dominio. Quando un computer connesso a una rete aziendale cablata viene riavviato, lo sblocco di rete permette di ignorare la richiesta di immissione del PIN. Lo strumento sblocca automaticamente i volumi del sistema operativo protetti con BitLocker usando una chiave attendibile fornita dal server Servizi di distribuzione Windows come metodo di autenticazione secondaria.

Per usare Lo sblocco di rete, è necessario configurare un PIN per il computer. Quando il computer non è connesso alla rete, sarà necessario fornire un PIN per sbloccarlo.

Lo sblocco di rete di BitLocker ha requisiti software e hardware per i computer client, i servizi di distribuzione Windows e i controller di dominio che devono essere soddisfatti prima che possano essere usati.

Lo sblocco di rete usa due protezioni: la protezione TPM e la protezione fornita dalla rete o dal PIN. Lo sblocco automatico usa una singola protezione, quella archiviata nel TPM. Se il computer è aggiunto a una rete senza la protezione della chiave, verrà richiesto di immettere un PIN. Se il PIN non è disponibile, la chiave di ripristino dovrà essere usata per sbloccare il computer se non può essere connesso alla rete.

Per altre info, vedi BitLocker: Come abilitare lo sblocco di rete.

Usare BitLocker con altri programmi

È possibile usare EFS con BitLocker?

Sì, è possibile usare Encrypting File System (EFS) per crittografare i file in un'unità protetta da BitLocker. BitLocker consente di proteggere l'intera unità del sistema operativo da attacchi offline, mentre EFS può fornire crittografia aggiuntiva a livello di file basata sull'utente per la separazione della sicurezza tra più utenti dello stesso computer. EFS può essere usato anche in Windows per crittografare i file in altre unità che non sono crittografate da BitLocker. I segreti radice di EFS vengono archiviati per impostazione predefinita nell'unità del sistema operativo; Pertanto, se BitLocker è abilitato per l'unità del sistema operativo, anche i dati crittografati da EFS in altre unità sono protetti indirettamente da BitLocker.

Posso eseguire un debugger del kernel con BitLocker?

Sì. Tuttavia, il debugger deve essere attivato prima di abilitare BitLocker. L'attivazione del debugger assicura che vengano calcolate le misurazioni appropriate durante la sigillatura nel TPM, in modo da permettere l'avvio corretto del computer. Se il debug deve essere attivato o disattivato quando si usa BitLocker, assicurarsi di sospendere prima BitLocker per evitare di mettere il computer in modalità di ripristino.

In che modo BitLocker gestisce le immagini della memoria?

BitLocker ha uno stack dei driver di archiviazione che garantisce che i dump della memoria vengano crittografati quando BitLocker è abilitato.

BitLocker può supportare le smart card per l'autenticazione prima dell'avvio?

BitLocker non supporta le smart card per l'autenticazione pre-avvio. Non esiste un singolo standard di settore per il supporto delle smart card nel firmware e la maggior parte dei computer non implementa il supporto del firmware per le smart card o supporta solo smart card e lettori specifici. Questa mancanza di standardizzazione rende difficile il loro supporto.

Posso usare un driver TPM non Microsoft?

Microsoft non supporta i driver TPM non Microsoft e consiglia vivamente di non usarli con BitLocker. Se si tenta di usare un driver TPM non Microsoft con BitLocker, BitLocker potrebbe segnalare che un TPM non è presente nel computer e non consentire l'uso del TPM con BitLocker.

Altri strumenti che gestiscono o modificano il record di avvio principale possono funzionare con BitLocker?

Non è consigliabile modificare il record di avvio master nei computer le cui unità del sistema operativo sono protette da BitLocker per diversi motivi di sicurezza, affidabilità e supporto del prodotto. Le modifiche apportate al record di avvio master (MBR) potrebbero modificare l'ambiente di sicurezza e impedire l'avvio normale del computer e complicare le operazioni di ripristino da un MBR danneggiato. Le modifiche apportate al record di avvio principale da altri componenti oltre Windows possono forzare il passaggio del computer alla modalità di ripristino o impedirne interamente il riavvio.

Perché il controllo del sistema non riesce quando si esegue la crittografia dell'unità del sistema operativo?

Il controllo del sistema è progettato per garantire che il BIOS o il firmware UEFI del computer sia compatibile con BitLocker e che il TPM funzioni correttamente. Il controllo del sistema può non riuscire per diversi motivi:

  • Il BIOS o il firmware UEFI del computer non è in grado di leggere le unità flash USB
  • Il BIOS, il firmware uEFI o il menu di avvio del computer non dispone di unità flash USB di lettura abilitate
  • Sono presenti più unità flash USB inserite nel computer
  • Il PIN non è stato immesso correttamente
  • Il BIOS o il firmware UEFI del computer supporta solo l'uso dei tasti funzione (F1-F10) per immettere i numeri nell'ambiente di preavvio
  • La chiave di avvio è stata rimossa prima che il computer terminasse il riavvio
  • Il TPM non funziona correttamente e non riesce a rimuovere le chiavi

Cosa è possibile fare se la chiave di ripristino nell'unità flash USB non può essere letta?

Alcuni computer non possono leggere le unità flash USB nell'ambiente di preavvio. Prima di tutto, controllare il BIOS o il firmware UEFI e le impostazioni di avvio per assicurarsi che l'uso delle unità USB sia abilitato. Se non è abilitato, abilitare l'uso di unità USB nel BIOS o nel firmware UEFI e nelle impostazioni di avvio, quindi provare a leggere di nuovo la chiave di ripristino dall'unità flash USB. Se l'unità flash USB non può ancora essere letta, il disco rigido dovrà essere montato come unità dati in un altro computer in modo che sia presente un sistema operativo per tentare di leggere la chiave di ripristino dall'unità flash USB. Se l'unità flash USB è stata danneggiata o danneggiata, potrebbe essere necessario specificare una password di ripristino o usare le informazioni di ripristino di cui è stato eseguito il backup in Servizi di dominio Active Directory. Inoltre, se la chiave di ripristino viene usata nell'ambiente di preavvio, assicurarsi che l'unità sia formattata usando il file system NTFS, FAT16 o FAT32.

Perché non riesco a salvare la chiave di ripristino nell'unità flash USB?

L'opzione Salva su USB non viene visualizzata per impostazione predefinita per le unità rimovibili. Se l'opzione non è disponibile, significa che un amministratore di sistema ha disabilitato l'uso delle chiavi di ripristino.

Perché non riesco a sbloccare automaticamente la mia unità?

Lo sblocco automatico per le unità dati fisse richiede che anche l'unità del sistema operativo sia protetta da BitLocker. Se viene usato un computer che non dispone di un'unità del sistema operativo protetta da BitLocker, l'unità fissa non può essere sbloccata automaticamente. Per le unità dati rimovibili, è possibile aggiungere lo sblocco automatico facendo clic con il pulsante destro del mouse sull'unità in Esplora risorse e selezionando Gestisci BitLocker. Le credenziali della password o della smart card fornite quando BitLocker è stato attivato possono comunque essere usate per sbloccare l'unità rimovibile in altri computer.

Posso usare BitLocker in modalità provvisoria?

In modalità provvisoria BitLocker è disponibile con funzionalità limitate. Le unità protette con BitLocker possono essere sbloccate e decrittografate usando la voce Crittografia unità BitLocker del Pannello di controllo. Fare clic con il pulsante destro del mouse per accedere alle opzioni di BitLocker da Esplora risorse non è disponibile in modalità provvisoria.

Come "blocco" un'unità dati?

Entrambe le unità dati fisse e rimovibili possono essere bloccate usando lo strumento da riga di comando Manage-bde e il comando -lock.

Nota

Assicurarsi che tutti i dati vengano salvati nell'unità prima di bloccarli. Una volta bloccata, l'unità non sarà più accessibile.

Ecco la sintassi di questo comando:

manage-bde.exe <driveletter> -lock

Oltre che con l'uso di questo comando, le unità dati verranno bloccate all'arresto e al riavvio del sistema operativo. Un'unità dati rimovibile viene bloccata automaticamente anche quando viene rimossa dal computer.

Posso usare BitLocker con il servizio Copia Shadow del volume?

Sì. Tuttavia, le copie shadow eseguite prima di abilitare BitLocker verranno automaticamente eliminate quando BitLocker è abilitato su unità con crittografia software. Se viene usata un'unità crittografata hardware, le copie shadow vengono mantenute.

BitLocker supporta dischi rigidi virtuali (VHD)?

BitLocker deve funzionare come qualsiasi computer fisico specifico entro le limitazioni hardware, purché l'ambiente (fisico o virtuale) soddisfi i requisiti del sistema operativo Windows per l'esecuzione.

  • Con TPM: sì, è supportato.
  • Senza TPM: sì, è supportato (con protezione password).

BitLocker è supportato anche nei dischi rigidi virtuali del volume di dati, ad esempio quelli usati dai cluster.

È possibile utilizzare BitLocker con le macchine virtuali?

Sì, BitLocker può essere usato con macchine virtuali (VM) se l'ambiente soddisfa i requisiti hardware e software di BitLocker.