Guida alle operazioni di BitLocker

Per determinare lo stato corrente di un volume, è possibile usare il Get-BitLockerVolume cmdlet , che fornisce informazioni sul tipo di volume, le protezioni, lo stato di protezione e altri dettagli. Ad esempio:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Con manage-bde.exe è possibile determinare lo stato del volume nel sistema di destinazione, ad esempio:

manage-bde.exe -status

Questo comando restituisce i volumi nella destinazione, nello stato di crittografia corrente, nel metodo di crittografia e nel tipo di volume (sistema operativo o dati) per ogni volume.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

La verifica dello stato di BitLocker con il Pannello di controllo è un metodo comune usato dalla maggior parte degli utenti. Una volta aperto, lo stato per ogni volume viene visualizzato accanto alla descrizione del volume e alla lettera di unità. I valori restituiti dello stato disponibili con applet includono:

Se viene effettuato il preprovisioning di un'unità con BitLocker, viene visualizzato lo stato In attesa dell'attivazione con un'icona esclamativo gialla sul volume. Questo stato significa che è stata usata solo una protezione chiara durante la crittografia del volume. In questo caso, il volume non è protetto e deve avere una chiave sicura aggiunta al volume prima che l'unità sia completamente protetta. Gli amministratori possono usare il Pannello di controllo, PowerShell o manage-bde.exe per aggiungere una protezione della chiave appropriata. Al termine, il Pannello di controllo viene aggiornato in modo da riflettere il nuovo stato.

Enable-BitLocker C: -TpmProtector

manage-bde.exe -on C:

Dall'applet Crittografia unità BitLocker Pannello di controllo:

1. Espandere l'unità del sistema operativo e selezionare l'opzione Attiva BitLocker

2. Quando richiesto, selezionare l'opzione Consenti a BitLocker di sbloccare automaticamente l'unità

3. Eseguire il backup della chiave di ripristino usando uno dei metodi seguenti:

   • Salva nell'account Microsoft Entra ID o nell'account Microsoft (se applicabile)
   • Salvare in un'unità flash USB
   • Salva in un file : il file deve essere salvato in un percorso che non si trova nel dispositivo stesso, ad esempio una cartella di rete
   • Stampare la chiave di ripristino

4. Selezionare Avanti

5. Scegliere una delle opzioni per crittografare solo lo spazio su disco usato o crittografare l'intera unità e selezionare Avanti

   • Crittografa solo lo spazio su disco usato : crittografa solo lo spazio su disco che contiene dati
   • Crittografa l'intera unità : crittografa l'intero volume, incluso lo spazio disponibile. Noto anche come crittografia completa del disco

   Ognuno dei metodi è consigliato negli scenari seguenti:

   • Crittografa solo lo spazio su disco usato:

     • L'unità non ha mai avuto dati
     • Unità formattate o cancellate che in passato non hanno mai avuto dati riservati che non sono mai stati crittografati

   • Crittografare l'intera unità (crittografia completa del disco):

     • Unità che attualmente dispongono di dati
     • Unità che attualmente dispongono di un sistema operativo
     • Unità formattate o cancellate che in passato avevano dati riservati che non erano mai stati crittografati

   Importante

   I file eliminati vengono visualizzati come spazio disponibile per il file system, che non è crittografato solo dallo spazio su disco usato. Fino a quando non vengono cancellati o sovrascritti, i file eliminati contengono informazioni che potrebbero essere recuperate con strumenti forensi dei dati comuni.

6. Selezionare una modalità di crittografia e selezionare Avanti

   • Nuova modalità di crittografia
   • Modalità compatibile

   Nota

   In genere è consigliabile scegliere Nuova modalità di crittografia , ma se l'unità verrà potenzialmente spostata in un altro dispositivo con un sistema operativo Windows precedente, selezionare Modalità compatibile

7. Selezionare Continua>riavvia ora

8. Dopo il riavvio, il sistema operativo esegue un controllo del sistema BitLocker e avvia la crittografia

Gli utenti possono controllare lo stato della crittografia usando l'applet BitLocker Pannello di controllo.

Se si sceglie di ignorare il test hardware di BitLocker, la crittografia viene avviata immediatamente senza la necessità di un riavvio.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

Se richiesto, riavviare il computer per completare il processo di crittografia.

L'applet Pannello di controllo non consente di abilitare BitLocker e di aggiungere contemporaneamente una protezione della chiave di avvio. Per aggiungere una protezione con chiave di avvio, seguire questa procedura:

• Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'opzione Modifica modalità di sblocco dell'unità all'avvio nell'unità del sistema operativo
• Quando richiesto, selezionare l'opzione Inserisci un'unità flash USB
• Selezionare l'unità USB in cui archiviare la chiave di avvio e selezionare Salva

Aggiungere le protezioni desiderate prima di crittografare il volume. Nell'esempio seguente viene aggiunta una protezione password al E: volume usando la variabile $pw come password. La $pw variabile viene mantenuta come valore SecureString per archiviare la password definita dall'utente:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Esempio: Usare PowerShell per abilitare BitLocker con una protezione TPM

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

Esempio: usare PowerShell per abilitare BitLocker con una protezione TPM+PIN, in questo caso con un PIN impostato su 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

La crittografia dei volumi di dati può essere eseguita usando il comando di base:

manage-bde.exe -on <drive letter>

o altre protezioni possono essere aggiunte prima al volume. È consigliabile aggiungere almeno una protezione primaria più una protezione di ripristino a un volume di dati.

La crittografia dei volumi di dati tramite il Pannello di controllo BitLocker funziona in modo analogo alla crittografia dei volumi del sistema operativo. Gli utenti selezionano Attiva BitLocker all'interno del Pannello di controllo BitLocker per avviare la Crittografia guidata unità BitLocker.

(Get-BitLockerVolume -mountpoint C).KeyProtector

 manage-bde.exe -protectors -get C:

Queste informazioni non sono disponibili nel Pannello di controllo.

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

manage-bde.exe -protectors -add -recoverypassword C:

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare il volume in cui si vuole aggiungere una protezione e selezionare l'opzione Backup della chiave di ripristino.

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

manage-bde.exe -protectors -add -pw D:

Nell'applet Crittografia unità BitLocker Pannello di controllo espandere l'unità in cui si vuole aggiungere una protezione password e selezionare l'opzione Aggiungi password. Quando richiesto, immettere e confermare una password per sbloccare l'unità. Selezionare Fine per completare il processo.

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Per aggiungere la protezione a un volume, sono necessari il SID di dominio o il nome del gruppo preceduto dal dominio e una barra rovesciata. Nell'esempio seguente l'account CONTOSO\Administrator viene aggiunto come protezione al volume di dati G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Per usare il SID per l'account o il gruppo, il primo passaggio consiste nel determinare il SID associato all'entità di sicurezza. Per ottenere il SID specifico per un account utente in Windows PowerShell, usare il comando seguente:

Get-ADUser -filter {samaccountname -eq "administrator"}

manage-bde.exe -protectors -add -sid <user or group>

Questa opzione non è disponibile nel Pannello di controllo.

Per rimuovere le protezioni esistenti in un volume, usare il Remove-BitLockerKeyProtector cmdlet . È necessario specificare un GUID associato alla protezione da rimuovere.

I comandi seguenti restituiscono l'elenco di protezioni chiave e GUID:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Usando queste informazioni, la protezione della chiave per un volume specifico può essere rimossa usando il comando :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

I comandi seguenti restituiscono l'elenco delle protezioni chiave:

manage-bde.exe -status C:

Il comando seguente rimuove la protezione delle chiavi di un determinato tipo:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Dall'applet Crittografia unità BitLocker Pannello di controllo espandere l'unità in cui si vuole rimuovere una protezione e selezionare l'opzione per rimuoverla, se disponibile.

Suspend-BitLocker -MountPoint D

manage-bde.exe -protectors -disable d:

È possibile sospendere la protezione BitLocker per l'unità del sistema operativo solo quando si usa il Pannello di controllo.

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'unità del sistema operativo e selezionare l'opzione Sospendi protezione.

Resume-BitLocker -MountPoint D

manage-bde.exe -protectors -enable d:

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'unità del sistema operativo e selezionare l'opzione Riprendi protezione.

Rimuovere tutte le password di ripristino dal volume del sistema operativo:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Aggiungere una protezione password di ripristino di BitLocker per il volume del sistema operativo:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Ottenere l'ID della nuova password di ripristino:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Copiare l'ID della password di ripristino dall'output.

Usando il GUID del passaggio precedente, sostituire {ID} nel comando seguente e usare il comando seguente per eseguire il backup della password di ripristino per Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

In alternativa, usare il comando seguente per eseguire il backup della password di ripristino in Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Rimuovere tutte le password di ripristino dal volume del sistema operativo:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Aggiungere una protezione password di ripristino di BitLocker per il volume del sistema operativo:

manage-bde.exe -protectors -add C: -RecoveryPassword

Ottenere l'ID della nuova password di ripristino:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Usando il GUID del passaggio precedente, sostituire {ID} nel comando seguente e usare il comando seguente per eseguire il backup della password di ripristino per Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

In alternativa, usare il comando seguente per eseguire il backup della password di ripristino in Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Questo processo non può essere eseguito usando il Pannello di controllo. Usare invece una delle altre opzioni.

Windows PowerShell offre la possibilità di decrittografare più unità in un unico passaggio. Nell'esempio seguente l'utente dispone di tre volumi crittografati, che desidera decrittografare.

Usando il comando Disable-BitLocker, è possibile rimuovere contemporaneamente tutte le protezioni e la crittografia senza la necessità di altri comandi. Un esempio di questo comando è:

Disable-BitLocker

Per evitare di specificare singolarmente ogni punto di montaggio, usare il -MountPoint parametro in una matrice per sequenziare lo stesso comando in una riga, senza richiedere un input utente aggiuntivo. Esempio:

Disable-BitLocker -MountPoint C,D

La decrittografia con manage-bde.exe offre il vantaggio di non richiedere la conferma dell'utente per avviare il processo. Manage-bde usa il comando -off per avviare il processo di decrittografia. Un comando di esempio per la decrittografia è:

manage-bde.exe -off C:

Questo comando disabilita le protezioni mentre decrittografa il volume e rimuove tutte le protezioni al termine della decrittografia.

La decrittografia di BitLocker tramite il Pannello di controllo viene eseguita usando una procedura guidata. Dopo aver aperto l'applet Pannello di controllo BitLocker, selezionare l'opzione Disattiva BitLocker per avviare il processo. Per continuare, selezionare la finestra di dialogo di conferma. Dopo la conferma di Disattiva BitLocker , viene avviato il processo di decrittografia dell'unità.

Al termine della decrittografia, l'unità aggiorna lo stato nel Pannello di controllo e diventa disponibile per la crittografia.

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

Per altre informazioni, vedere Unlock-BitLocker

manage-bde.exe -unlock D: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

Per altre informazioni, vedere manage-bde unlock

È possibile sbloccare l'unità dal Pannello di controllo o da Explorer. Dopo aver aperto l'applet Pannello di controllo BitLocker, selezionare l'opzione Sblocca unità per avviare il processo. Quando richiesto, immettere la chiave di ripristino a 48 cifre.