Guida alla pianificazione di BitLocker
Una strategia di distribuzione di BitLocker include la definizione dei criteri e dei requisiti di configurazione appropriati in base ai requisiti di sicurezza dell'organizzazione. Questo articolo consente di raccogliere le informazioni per facilitare la distribuzione di BitLocker.
Controllare l'ambiente
Per pianificare una distribuzione di BitLocker, comprendere l'ambiente corrente. Eseguire un controllo informale per definire i criteri, le procedure e l'ambiente hardware correnti. Esaminare il software di crittografia del disco esistente e i criteri di sicurezza dell'organizzazione. Se l'organizzazione non usa il software di crittografia del disco, questi criteri potrebbero non esistere. Se il software di crittografia del disco è in uso, potrebbe essere necessario modificare i criteri per usare determinate funzionalità di BitLocker.
Per documentare i criteri di sicurezza correnti della crittografia dei dischi dell'organizzazione, rispondere alle domande seguenti:
☑️ | Domanda |
---|---|
🔲 | Esistono criteri per determinare quali dispositivi devono usare BitLocker e quali no? |
🔲 | Quali criteri esistono per controllare la password di ripristino e l'archiviazione delle chiavi di ripristino? |
🔲 | Quali sono i criteri per convalidare l'identità degli utenti che devono eseguire il ripristino di BitLocker? |
🔲 | Quali criteri esistono per controllare chi nell'organizzazione ha accesso ai dati di ripristino? |
🔲 | Quali criteri esistono per controllare la rimozione o il ritiro dei dispositivi? |
🔲 | Qual è il livello di complessità dell'algoritmo di crittografia? |
Chiavi di crittografia e autenticazione
Un modulo TPM (Trusted Platform Module) è un componente hardware installato in molti dispositivi Windows dai produttori. Funziona con BitLocker per proteggere i dati degli utenti e per assicurarsi che un dispositivo non sia stato manomesso mentre il sistema era offline.
BitLocker può bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo USB rimovibile che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori. Si assicurano inoltre che il computer non si avvii o riprenda dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.
Nei dispositivi che non hanno un TPM, BitLocker può comunque essere usato per crittografare il volume del sistema operativo Windows. Tuttavia, questa implementazione non fornisce la verifica dell'integrità del sistema pre-avvio offerta da BitLocker che usa un TPM.
Un'implementazione efficace della protezione delle informazioni, come la maggior parte dei controlli di sicurezza, considera l'usabilità e la sicurezza. Gli utenti preferiscono in genere un'esperienza di sicurezza semplice. Infatti, più una soluzione di sicurezza diventa trasparente, più è probabile che gli utenti siano conformi.
È fondamentale che le organizzazioni proteggano le informazioni sui propri dispositivi indipendentemente dallo stato del dispositivo o dalla finalità degli utenti. Questa protezione non deve essere complessa per gli utenti. Una situazione indesiderata e in precedenza comune è quando all'utente viene richiesto l'input durante l'avvio preliminare e quindi di nuovo durante l'accesso a Windows. È consigliabile evitare di sfidare gli utenti per l'input più di una volta.
Il TPM è in grado di proteggere in modo sicuro la chiave di crittografia BitLocker mentre è inattivi e può sbloccare in modo sicuro l'unità del sistema operativo. Quando la chiave è in uso, e quindi in memoria, una combinazione di funzionalità hardware e Windows può proteggere la chiave e impedire l'accesso non autorizzato tramite attacchi di avvio a freddo. Anche se sono disponibili altre contromisure come lo sblocco basato su PIN, non sono semplici da usare; a seconda della configurazione dei dispositivi, potrebbero non offrire maggiore sicurezza quando si tratta di protezione delle chiavi. Per altre informazioni, vedere Contromisure BitLocker.
Protezioni con chiave BitLocker
Per proteggere la chiave di crittografia BitLocker, BitLocker può usare diversi tipi di protezioni. Quando si abilita BitLocker, ogni protezione riceve una copia della chiave master del volume, che viene quindi crittografata usando il proprio meccanismo.
Protezione chiave | Descrizione |
---|---|
Sblocco automatico | Usato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. BitLocker usa le informazioni crittografate archiviate nel Registro di sistema e i metadati del volume per sbloccare eventuali volumi di dati che usano lo sblocco automatico. |
Password e password per l'unità del sistema operativo | Per sbloccare un'unità, l'utente deve fornire una password. Se usato per le unità del sistema operativo, all'utente viene richiesta una password nella schermata di avvio preliminare. Questo metodo non offre alcuna logica di blocco, pertanto non protegge da attacchi di forza bruta. |
Chiave di avvio | Chiave di crittografia che può essere archiviata su supporti rimovibili, con un formato di nome file di <protector_id>.bek . All'utente viene richiesta l'unità flash USB con la chiave di ripristino e/o la chiave di avvio, quindi riavviare il dispositivo. |
Certificato smart card | Usato per sbloccare i volumi che non ospitano un sistema operativo. Per sbloccare un'unità, l'utente deve usare una smart card. |
TPM | Dispositivo hardware usato per stabilire una radice di attendibilità sicura, convalidando i componenti di avvio anticipato. La protezione TPM può essere usata solo con l'unità del sistema operativo. |
TPM + PIN | Protezione a chiave numerica o alfanumerica immessa dall'utente che può essere usata solo con volumi del sistema operativo e oltre al TPM. Il TPM convalida i componenti di avvio iniziali. L'utente deve immettere il PIN corretto prima che il processo di avvio possa continuare e prima che l'unità possa essere sbloccata. Il TPM entra in blocco se il PIN non corretto viene immesso ripetutamente, per proteggere il PIN da attacchi di forza bruta. Il numero di tentativi ripetuti che attivano un blocco è variabile. |
TPM + chiave di avvio | Il TPM convalida correttamente i componenti di avvio iniziali. L'utente deve inserire un'unità USB contenente la chiave di avvio prima che il sistema operativo possa avviarsi. |
TPM + Tasto di avvio + PIN | Il TPM convalida correttamente i componenti di avvio iniziali. L'utente deve immettere il PIN corretto e inserire un'unità USB contenente la chiave di avvio prima che il sistema operativo possa essere avviato. |
Password di ripristino | Numero di 48 cifre usato per sbloccare un volume quando è in modalità di ripristino. I numeri possono spesso essere digitati su una tastiera normale. Se i numeri sulla tastiera normale non rispondono, è possibile usare i tasti funzione (F1-F10) per immettere i numeri. |
TPM + Chiave di rete | Il TPM convalida correttamente i componenti di avvio iniziali ed è stata fornita una chiave di rete crittografata valida da un server WdS. Questo metodo di autenticazione fornisce lo sblocco automatico dei volumi del sistema operativo mantenendo l'autenticazione a più fattori. Questa protezione della chiave può essere usata solo con i volumi del sistema operativo. |
Chiave di ripristino | Chiave di crittografia archiviata su supporti rimovibili che possono essere usati per il ripristino dei dati crittografati in un volume BitLocker. Il formato del nome file è <protector_id>.bek . |
Agente di recupero dati | Gli agenti di ripristino dei dati sono account in grado di decrittografare le unità protette da BitLocker usando i relativi certificati. Il ripristino di un'unità protetta da BitLocker può essere eseguito da un agente di recupero dati configurato con il certificato appropriato. |
Utente o gruppo di Active Directory | Protezione basata su una sicurezza di gruppo o utente di Active Directory identificata. Le unità dati vengono sbloccate automaticamente quando tali utenti tentano di accedervi. |
Supporto per i dispositivi senza TPM
Determinare se i computer che non hanno un TPM 1.2 o versioni successive nell'ambiente saranno supportati. Se si decide di supportare i dispositivi senza TPM, un utente deve usare una chiave di avvio USB o una password per avviare il sistema. La chiave di avvio richiede processi di supporto aggiuntivi simili all'autenticazione a più fattori.
Quali aree dell'organizzazione necessitano di un livello di base di protezione dei dati?
Il metodo di autenticazione solo TPM offre l'esperienza utente più trasparente per le organizzazioni che necessitano di un livello di base di protezione dei dati per soddisfare i criteri di sicurezza. Ha il costo totale di proprietà più basso. Solo TPM potrebbe essere più appropriato anche per i dispositivi che sono incustoditi o che devono essere riavviati automaticamente.
Tuttavia, il metodo di autenticazione solo TPM non offre un livello elevato di protezione dei dati. Questo metodo di autenticazione protegge dagli attacchi che modificano i componenti di avvio anticipato. Tuttavia, il livello di protezione può essere influenzato da potenziali punti deboli nell'hardware o nei componenti di avvio iniziali. I metodi di autenticazione a più fattori di BitLocker aumentano significativamente il livello complessivo di protezione dei dati.
Suggerimento
Un vantaggio dell'autenticazione solo TPM è che un dispositivo può avviare Windows senza alcuna interazione dell'utente. In caso di dispositivo smarrito o rubato, potrebbe esserci un vantaggio di questa configurazione: se il dispositivo è connesso a Internet, può essere cancellato in remoto con una soluzione di gestione dei dispositivi come Microsoft Intune.
Quali aree dell'organizzazione necessitano di un livello di protezione dei dati più sicuro?
Se sono presenti dispositivi con dati altamente sensibili, distribuire BitLocker con autenticazione a più fattori in tali sistemi. Richiedere all'utente di immettere un PIN aumenta significativamente il livello di protezione per il sistema. Lo sblocco di rete BitLocker può essere usato anche per consentire a questi dispositivi di sbloccare automaticamente quando sono connessi a una rete cablata attendibile in grado di fornire la chiave di sblocco di rete.
Quale metodo di autenticazione a più fattori preferisce l'organizzazione?
Le differenze di protezione fornite dai metodi di autenticazione a più fattori non possono essere facilmente quantificate. Considerare l'impatto di ogni metodo di autenticazione sul supporto tecnico, sulla formazione degli utenti, sulla produttività degli utenti e su qualsiasi processo di gestione automatizzata dei sistemi.
Gestire password e PIN
Quando BitLocker è abilitato in un'unità di sistema e il dispositivo ha un TPM, gli utenti possono essere tenuti a immettere un PIN prima che BitLocker sblocchi l'unità. Tale requisito del PIN può impedire a un utente malintenzionato che ha accesso fisico a un dispositivo di accedere anche all'accesso a Windows, rendendo quasi impossibile per l'utente malintenzionato accedere o modificare i dati utente e i file di sistema.
La richiesta di un PIN all'avvio è una funzionalità di sicurezza utile perché funge da secondo fattore di autenticazione. Tuttavia, questa configurazione comporta alcuni costi, soprattutto se è necessario modificare regolarmente il PIN.
Inoltre, i dispositivi modern standby non richiedono un PIN per l'avvio: sono progettati per iniziare raramente e sono presenti altre mitigazioni che riducono ulteriormente la superficie di attacco del sistema.
Per altre informazioni sul funzionamento della sicurezza di avvio e sulle contromisure fornite da Windows, vedere Autenticazione di avvio preliminare.
Configurazioni hardware TPM
Nel piano di distribuzione identificare le piattaforme hardware basate su TPM supportate. Documentare i modelli hardware di uno o più OEM usati dall'organizzazione in modo che le relative configurazioni possano essere testate e supportate. L'hardware TPM richiede una considerazione speciale durante tutti gli aspetti della pianificazione e della distribuzione.
Stati TPM 1.2 e inizializzazione
Per TPM 1.2, sono presenti più stati possibili. Windows inizializza automaticamente il TPM, che lo porta a uno stato abilitato, attivato e di proprietà. Questo stato è lo stato richiesto da BitLocker prima di poter usare il TPM.
Chiavi di verifica dell'autenticità
Affinché un TPM sia utilizzabile da BitLocker, deve contenere una chiave di verifica dell'autenticità, ovvero una coppia di chiavi RSA. La metà privata della coppia di chiavi viene mantenuta all'interno del TPM e non viene mai rivelata o accessibile all'esterno del TPM. Se il TPM non ha una chiave di verifica dell'autenticità, BitLocker forza il TPM a generarne uno automaticamente come parte della configurazione di BitLocker.
Una chiave di verifica dell'autenticità può essere creata in vari punti del ciclo di vita del TPM, ma deve essere creata una sola volta per tutta la durata del TPM. Se non esiste una chiave di verifica dell'autenticità per il TPM, è necessario crearla prima di poter assumere la proprietà di TPM.
Per altre informazioni sul TPM e sul TCG, vedere Trusted Computing Group: Trusted Platform Module (TPM) Specifications.For more information about the TPM and the TCG, see the Trusted Computing Group: Trusted Platform Module (TPM) Specifications.
Configurazioni hardware non TPM
I dispositivi senza TPM possono comunque essere protetti con la crittografia dell'unità usando una chiave di avvio.
Usare le domande seguenti per identificare i problemi che potrebbero influire sulla distribuzione in una configurazione non TPM:
- Esiste un budget per le unità flash USB per ognuno di questi dispositivi?
- I dispositivi non TPM esistenti supportano le unità USB in fase di avvio?
Testare le singole piattaforme hardware con l'opzione di controllo del sistema BitLocker durante l'abilitazione di BitLocker. Il controllo di sistema assicura che BitLocker possa leggere correttamente le informazioni di ripristino da un dispositivo USB e le chiavi di crittografia prima di crittografare il volume.
Considerazioni sulla configurazione del disco
Per funzionare correttamente, BitLocker richiede una configurazione del disco specifica. BitLocker richiede due partizioni che soddisfano i requisiti seguenti:
- La partizione del sistema operativo contiene il sistema operativo e i relativi file di supporto; deve essere formattato con il file system NTFS
- La partizione di sistema (o partizione di avvio) include i file necessari per caricare Windows dopo che il BIOS o il firmware UEFI ha preparato l'hardware di sistema. BitLocker non è abilitato in questa partizione. Per il funzionamento di BitLocker, la partizione di sistema non deve essere crittografata e deve trovarsi in una partizione diversa dal sistema operativo. Nelle piattaforme UEFI, la partizione di sistema deve essere formattata con il file system FAT 32. Nelle piattaforme BIOS, la partizione di sistema deve essere formattata con il file system NTFS. Deve avere almeno 350 MB di dimensioni.
Il programma di installazione di Windows configura automaticamente le unità disco dei computer per supportare la crittografia BitLocker.
Windows Recovery Environment (Windows RE) è una piattaforma di ripristino estendibile basata su Windows Pre-installation Environment (Windows PE). Quando il computer non viene avviato, Windows passa automaticamente a questo ambiente e lo strumento ripristino di avvio in Ambiente ripristino Windows automatizza la diagnosi e il ripristino di un'installazione di Windows non avviabile. Windows RE contiene anche i driver e gli strumenti necessari per sbloccare un volume protetto da BitLocker fornendo una chiave di ripristino o una password di ripristino. Per usare Windows RE con BitLocker, l'immagine di avvio di Ripristino Windows deve trovarsi in un volume non protetto da BitLocker.
Ambiente ripristino Windows può essere usato anche da supporti di avvio diversi dal disco rigido locale. Se Ambiente ripristino Windows non è installato nel disco rigido locale dei computer abilitati per BitLocker, è possibile usare metodi diversi per avviare Ambiente ripristino Windows. Ad esempio, è possibile usare Servizi di distribuzione Windows (WDS) o un'unità flash USB per il ripristino.
Provisioning di BitLocker
Gli amministratori possono abilitare BitLocker prima della distribuzione del sistema operativo dall'ambiente di pre-installazione di Windows (WinPE). Questo passaggio viene eseguito con una protezione con chiave chiara generata in modo casuale applicata al volume formattato. Crittografa il volume prima di eseguire il processo di installazione di Windows. Se la crittografia usa l'opzione Solo spazio su disco usato , questo passaggio richiede solo pochi secondi e può essere incorporato nei processi di distribuzione esistenti. Il preprovisioning richiede un TPM.
Per controllare lo stato di BitLocker di un determinato volume, gli amministratori possono esaminare lo stato dell'unità nell'applet BitLocker Pannello di controllo o in Esplora risorse. Lo stato In attesa di attivazione indica che è stato eseguito il preprovisioning dell'unità per BitLocker ed è presente solo una protezione chiara usata per crittografare il volume. In questo caso, il volume non è protetto e deve avere una chiave sicura aggiunta al volume prima che l'unità venga considerata completamente protetta. Gli amministratori possono usare le opzioni Pannello di controllo, i cmdlet di PowerShell, lo manage-bde.exe
strumento o le API WMI per aggiungere una protezione della chiave appropriata. Lo stato del volume viene quindi aggiornato.
Quando si usano le opzioni di Pannello di controllo, gli amministratori possono scegliere di attivare BitLocker e seguire i passaggi della procedura guidata per aggiungere una protezione, ad esempio un PIN per un volume del sistema operativo (o una password se non esiste un TPM) o una protezione con password o smart card a un volume di dati. Viene quindi visualizzata la finestra di sicurezza dell'unità prima di modificare lo stato del volume.
Crittografia usata solo spazio su disco
L'installazione guidata di BitLocker offre agli amministratori la possibilità di scegliere solo lo spazio su disco usato o il metodo di crittografia completa quando si abilita BitLocker per un volume. Gli amministratori possono usare le impostazioni dei criteri di BitLocker per applicare solo lo spazio su disco usato o la crittografia completa del disco.
L'avvio dell'installazione guidata di BitLocker richiede l'uso del metodo di autenticazione (password e smart card sono disponibili per i volumi di dati). Dopo aver scelto il metodo e salvato la chiave di ripristino, la procedura guidata chiede di scegliere il tipo di crittografia dell'unità. Selezionare Solo spazio su disco usato o Crittografia unità completa .
Con Solo spazio su disco usato, solo la parte dell'unità che contiene dati viene crittografata. Lo spazio inutilizzato rimane non crittografato. Questo comportamento causa una maggiore velocità del processo di crittografia, in particolare per i nuovi dispositivi e le unità dati. Quando BitLocker è abilitato con questo metodo, poiché i dati vengono aggiunti all'unità, la parte dell'unità usata viene crittografata. Quindi, non ci sono mai dati non crittografati archiviati nell'unità.
Con la crittografia dell'unità completa, l'intera unità viene crittografata, indipendentemente dal fatto che i dati siano archiviati o meno. Questa opzione è utile per le unità che sono state riutilizzate e che potrebbero contenere resti di dati dell'uso precedente.
Attenzione
Prestare attenzione quando si crittografa solo lo spazio usato in un volume esistente in cui i dati riservati potrebbero essere già stati archiviati in uno stato non crittografato. Quando si usa la crittografia dello spazio usata, i settori in cui vengono archiviati dati non crittografati in precedenza possono essere recuperati tramite strumenti di ripristino del disco fino a quando non vengono sovrascritti da nuovi dati crittografati. Al contrario, la crittografia dello spazio usato solo in un volume nuovo di zecca può ridurre significativamente i tempi di distribuzione senza il rischio per la sicurezza, perché tutti i nuovi dati verranno crittografati durante la scrittura sul disco.
Supporto del disco rigido crittografato
I dischi rigidi crittografati offrono funzionalità di crittografia di onboarding per crittografare i dati nelle unità. Questa funzionalità migliora le prestazioni sia dell'unità che del sistema scaricando i calcoli di crittografia dal processore del dispositivo all'unità stessa. I dati vengono crittografati rapidamente dall'unità usando hardware dedicato e appositamente creato. Se si prevede di usare la crittografia a unità intere con Windows, Microsoft consiglia di ricercare i produttori e i modelli di dischi rigidi per determinare se uno dei dischi rigidi crittografati soddisfa i requisiti di sicurezza e budget.
Per altre informazioni sui dischi rigidi crittografati, vedere Dischi rigidi crittografati.
considerazioni Microsoft Entra ID e Active Directory Domain Services
BitLocker si integra con Microsoft Entra ID e Active Directory Domain Services (AD DS) per fornire la gestione centralizzata delle chiavi. Per impostazione predefinita, non viene eseguito il backup di informazioni di ripristino in Microsoft Entra ID o Active Directory Domain Services. Gli amministratori possono configurare l'impostazione dei criteri per ogni tipo di unità per abilitare il backup delle informazioni di ripristino di BitLocker.
I dati di ripristino seguenti vengono salvati per ogni oggetto computer:
- Password di ripristino: password di ripristino di 48 cifre usata per recuperare un volume protetto da BitLocker. Gli utenti devono immettere questa password per sbloccare un volume quando BitLocker entra in modalità di ripristino
- Pacchetto chiave: con il pacchetto della chiave e la password di ripristino, le parti di un volume protetto da BitLocker possono essere decrittografate se il disco è gravemente danneggiato. Ogni pacchetto di chiavi funziona solo con il volume in cui è stato creato, identificato dall'ID del volume corrispondente
Supporto FIPS per la protezione password di ripristino
I dispositivi configurati per funzionare in modalità FIPS possono creare protezioni password di ripristino conformi a FIPS, che usano l'algoritmo FIPS-140 NIST SP800-132 .
Nota
Il Stati Uniti Federal Information Processing Standard (FIPS) definisce i requisiti di sicurezza e interoperabilità per i sistemi informatici usati dal governo federale degli Stati Uniti. Lo standard FIPS-140 definisce algoritmi di crittografia approvati. Lo standard FIPS-140 definisce anche i requisiti per la generazione di chiavi e per la gestione delle chiavi. Il National Institute of Standards and Technology (NIST) usa il programma CMVP (Cryptographic Module Validation Program) per determinare se una particolare implementazione di un algoritmo di crittografia è conforme allo standard FIPS-140. Un'implementazione di un algoritmo di crittografia è considerata conforme a FIPS-140 solo se è stata inviata per e ha superato la convalida NIST. Un algoritmo che non è stato inviato non può essere considerato conforme a FIPS anche se l'implementazione produce dati identici come implementazione convalidata dello stesso algoritmo.
- Le protezioni delle password di ripristino conformi a FIPS possono essere esportate e archiviate in Active Directory Domain Services
- Le impostazioni dei criteri di BitLocker per le password di ripristino funzionano allo stesso modo per tutte le versioni di Windows che supportano BitLocker, in modalità FIPS o meno
Sblocco di rete
Alcune organizzazioni hanno requisiti di sicurezza dei dati specifici della posizione, in particolare negli ambienti con dati di alto valore. L'ambiente di rete potrebbe fornire una protezione dei dati fondamentale e applicare l'autenticazione obbligatoria. Pertanto, i criteri dichiarano che tali dispositivi non devono lasciare l'edificio o essere disconnessi dalla rete aziendale. Misure di sicurezza come blocchi di sicurezza fisici e geofencing potrebbero aiutare a applicare questo criterio come controlli reattivi. Oltre a queste misure di sicurezza, è necessario un controllo di sicurezza proattivo che concede l'accesso ai dati solo quando il dispositivo è connesso alla rete aziendale.
Sblocco di rete consente l'avvio automatico dei dispositivi protetti da BitLocker quando sono connessi a una rete aziendale cablata in cui vengono eseguiti Servizi di distribuzione Windows. Ogni volta che il dispositivo non è connesso alla rete aziendale, un utente deve immettere un PIN per sbloccare l'unità (se è abilitato lo sblocco basato su PIN). Lo sblocco di rete richiede l'infrastruttura seguente:
- Dispositivi client con firmware UEFI (Unified Extensible Firmware Interface) versione 2.3.1 o successiva, che supporta DHCP (Dynamic Host Configuration Protocol)
- Windows Server che esegue il ruolo Servizi di distribuzione Windows (WDS)
- Un server DHCP
Per altre informazioni su come configurare la funzionalità di sblocco di rete, vedere Sblocco di rete.
Ripristino di BitLocker
Le organizzazioni devono pianificare con attenzione una strategia di ripristino di BitLocker come parte del piano di implementazione complessivo di BitLocker. Esistono diverse opzioni per l'implementazione di un modello di recupero BitLocker, descritte in Panoramica del ripristino di BitLocker.
Monitorare BitLocker
Le organizzazioni possono usare Microsoft Intune o Configuration Manager per monitorare la crittografia dei dispositivi in più dispositivi. Per altre informazioni, vedere Monitorare la crittografia dei dispositivi con Intune e Visualizzare i report di BitLocker in Configuration Manager.
Passaggi successivi
Informazioni su come pianificare una strategia di ripristino di BitLocker per l'organizzazione:
Informazioni sulle opzioni disponibili per configurare BitLocker e su come configurarle tramite i provider di servizi di configurazione (CSP) o criteri di gruppo: