Windows Server 2022: Configurazione BitLocker

In questo articolo verrà mostrato come procedere alla configurazione di BitLocker to go e BitLocker.

Configurazione di BitLocker To Go

BitLocker To Go è un tipo di crittografia unità BitLocker per unità dati rimovibili. Questa funzionalità include la crittografia di:

• Unità flash USB
• Schede SD
• Unità disco rigido esterne
• Altre unità formattate tramite il file system NTFS, FAT16, FAT32 o exFAT.

Come con BitLocker, le unità crittografate da BitLocker To Go possono essere aperte da un altro computer usando una password o una smart card.

Per la configurazione di BitLocker To Go procedere come indicato di seguito:

Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di controllo.

FIG 1 - Accedere al Pannello di controllo

Cliccare su Sistema e sicurezza.

FIG 2 - Pannello di controllo

In Crittografia unità BitLocker, cliccare su Gestione BitLocker.

FIG 3 - Sistema e sicurezza

Cliccare sull'unità rimovibile su cui attivare BitLocker To Go, quindi cliccare su Attiva BitLocker.

FIG 4 - Unità dati rimovibili, Attiva BitLocker

Trattandosi di un'unità rimovibile, il TPM non verrà utilizzato pertanto è necessario specificare se si intende impostare una password e/o utilizzare una smart card per sbloccare l'unità. In questo caso selezionare la casella Usa password per sbloccare unità, immettere la password nelle apposite caselle e cliccare su Avanti.

FIG 5 - Metodo desiderato per sbloccare l'unità

In questa fase viene chiesto di indicare come si intende procedere per il backup della chiave di ripristino. Il backup della chiave di ripristino è utile nei casi in cui la password è stata dimenticata o nel caso in cui la smart card è stata smarrita. Le opzioni possibili tra cui scegliere sono due: il salvataggio in un file o la stampa. Selezionare Salva in un file.

FIG 6 - Modalità backup della chiave di ripristino

Selezionare il percorso in cui salvare il file ed eventualmente modificare il nome, quindi cliccare su Salva

FIG 7 - Salva chiave di ripristino di BitLocker con nome

Completato il salvataggio del file di ripristino si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.

FIG 8 - Modalità backup della chiave di ripristino

A questo punto possiamo indicare se crittografare solo lo spazio utilizzato o l'intera unità. Selezionare Applica crittografia all'intera unità e cliccare su Avanti.

FIG 9 - Applica crittografia all'intera unità

Nella schermata successiva viene chiesto di scegliere la modalità di crittografia desiderata. In Windows 10 (versione 1511) è stata introdotta una nuova modalità di crittografia del disco (XTS-AES). Questa nuova modalità offre maggiore supporto per l'integrità ma non è compatibile con le versioni precedenti. Per le unità rimovibili è consigliabile selezionare la modalità compatibile in modo da poter essere utilizzata anche su versioni precedenti di Windows. Selezionare Modalità compatibile e cliccare su Avanti.

FIG 10 - Modalità di crittografia

Nella schermata successiva vengono fornite alcune informazioni sul processo di crittografia: 

• Sarà possibile sbloccare l'unità utilizzando la password impostata; 
• La crittografia può richiedere tempo a seconda delle dimensioni dell'unità. 
• I file non saranno protetti finché la crittografia dell'unità non sarà portata a termine. 

Cliccare su Avvia crittografia.

FIG 11 - Avvia crittografia

Al termine del processo una finestra di dialogo ci avvisa che la crittografia è stata completata. Cliccare su Chiudi.

FIG 12 - Crittografia completata

Ritornando a Gestione BitLocker vedremo che ora l'unità è protetta.

FIG 13 - BitLocker attivato su unità dati rimovibile

Configurazione BitLocker

Per l'attivazione di BitLocker su unità dati fisse, come quella dove risiede il sistema operativo i passaggi sono analoghi a quelli visti per BitLocker To Go:

Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di Controllo.

Cliccare su Sistema e sicurezza.

In Crittografia unità BitLocker, cliccare su Gestione BitLocker.

Cliccare sull'unità su cui attivare BitLocker, quindi cliccare su Attiva BitLocker.

FIG 14 - Attiva BitLocker

Nella schermata Come eseguire il backup della chiave di ripristino, è possibile scegliere di salvare in un file o stampare la chiave di ripristino. Selezionare Salva in un file quindi salvare il file in un percorso sicuro. Cliccare su Avanti.

A questo punto ci viene richiesto come crittografare l'unità. È possibile crittografare l'intera unità o solo lo spazio utilizzato. Si consiglia di scegliere la modalità richiesta dalla propria organizzazione. Una volta eseguita la scelta della modalità desiderata, cliccare su Avanti.

Selezionare Nuova modalità di crittografia e fare clic su Avanti.

Nella schermata finale, selezionate la casella di controllo Esegui controllo sistema BitLocker. Questo assicura che BitLocker possa leggere le chiavi prima di crittografare l'unità.

Fare clic su Continua. Si torna alla schermata di BitLocker e viene chiesto di riavviare il sistema.

Fare clic su Riavvia ora. Dopo il riavvio del sistema, BitLocker inizierà la crittografia dell'unità. Al termine della crittografia, verrà visualizzato il messaggio dell'attivazione di BitLocker.

Cosa fare se non c'è un modulo TPM

Può capitare di imbattersi in un server che non dispone di un modulo TPM. Quando si cerca di attivare BitLocker, viene visualizzato un errore che indica che non è stato possibile trovare un TPM compatibile. 

FIG 15 - TPM non disponibile

Questo non significa che non si possa usare BitLocker, ma solo che ci sarà più lavoro da fare per crittografare l'unità dati. Seguire questi passaggi:

Avviare l'Editor criteri di gruppo locali (WIN+R quindi digitare gpedit.msc all'interno della casella esegui e premere invio).

FIG 16 - Avvio Editor criteri di gruppo locali

Posizionarsi su Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità dati fisse. Eseguire un doppio click sulla voce Configura utilizzo della crittografia hardware per unità dati fisse.

FIG 17 - Editor criteri di gruppo locali

Selezionare Attivata e assicurarsi che sia selezionata l'opzione Usa crittografia basata sul software BitLocker se non è disponibile la crittografia hardware. Quindi cliccare su OK.

FIG 18 - Configura utilizzo della crittografia hardware per unità dati fisse

Spostarsi su Unità del sistema operativo (Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo) ed eseguire un doppio click su Richiedi autenticazione aggiuntiva all'avvio.

FIG 19 - Editor criteri di gruppo locali, Unità del sistema operativo

Cliccare su Attivata e assicurarsi che sia selezionata la casella di controllo Consenti BitLocker senza un TPM compatibile. Quindi cliccare su OK

Chiudere l'Editor criteri di gruppo locali. Adesso sarà possibile utilizzare BitLocker sulle unità fisse anche in assenza del TPM.

FIG 20 - Richiedi autenticazione aggiuntiva all'avvio

Windows Server 2022: Installazione Bitlocker

La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.

BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.

Trusted Platform Module (TPM)

BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.

Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Installazione di BitLocker tramite GUI

Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella schermata Prima di iniziare, fate clic su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.

FIG 6 - Selezione funzionalità

Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.

FIG 7 - Aggiungi funzionalità

Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.

FIG 9 - Conferma selezioni per l'installazione

Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.

FIG 10 - Conferma riavvii automatici

Cliccare su Installa per procedere con l'installazione.

FIG 11 - Conferma selezioni per l'installazione

Al termine dell'installazione il server verrà riavviato automaticamente. Dopo il riavvio l'esito dell'operazione verrà mostrata in una finestra di dialogo come quella di FIG 12. Cliccare su Chiudi.

FIG 12 - Stato installazione

A questo punto si può passare alla configurazione di BitLocker che verrà trattata nel prossimo articolo

Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.

Installazione BitLocker tramite PowerShell

Per installare BitLocker tramite PowerShell basta eseguire il comando 

 Install-WindowsFeature –Name BitLocker -Restart  

Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.

PowerShell: Disabilita la BitLocker Drive Encryption per un volume

Il cmdlet Disable-BitLocker disattiva la BitLocker Drive Encryption per un volume BitLocker. Il cmdlet, una volta eseguito, rimuove tutte le chiavi di protezione e inizia a decriptare il contenuto del volume specificato.

Se il volume che ospita il sistema operativo contiene qualche chiave di sblocco automatico, il cmdlet non eseguirà alcuna operazione. In questi casi sarà prima necessario usare il cmdlet Clear-BitLockerAutoUnlock per rimuovere tutte le chiavi di sblocco automatico e poi sarà possibile disabilitare BitLocker sul volume.

Sintassi

Disable-BitLocker
       [-MountPoint] <String[]>
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita BitLocker sui volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

 
-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
Disable-BitLocker -MountPoint "E:"  
Disabilita BitLocker sul volume specificato e inizia a decriptare i dati.

FIG 1 - Disable-BitLocker

Esempio 2
$VL = Get-BitLockerVolume
Disable-BitLocker -MountPoint $VL
Disabilita BitLocker su tutti i volumi.
Il primo comando usa Get-BitLockerVolume per ottenere tutti i volumi BitLocker per il computer corrente e li memorizza nella variabile $VL.
Il secondo comando disabilita la crittografia BitLocker per tutti i volumi BitLocker memorizzati nella variabile $VL. BitLocker inizia a decifrare i dati sui volumi.

PowerShell: Disabilitare lo sblocco automatico per un volume BitLocker

Nell'articolo PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker è stato mostrato come rimuovere tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption mediante il cmdlet Clear-BitLockerAutoUnlock. Per rimuovere le chiavi di sblocco automatico di BitLocker di specifici volumi si utilizza il cmdlet Disable-BitLockerAutoUnlock. 

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker utilizza informazioni crittografate memorizzate nel registro e nei metadati del volume per accedere ai volumi di dati che utilizzano lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. Il volume va specificato indicando la lettera di unità o un oggetto volume BitLocker.

Sintassi

Disable-BitLockerAutoUnlock

       [-MountPoint] <String[]>

       [-WhatIf]

       [-Confirm]

       [<CommonParameters>]

   

Parametri

-Confirm

Chiede conferma prima di eseguire il cmdlet.

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita lo sblocco automatico per i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.  

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

Disable-BitLockerAutoUnlock -MountPoint "E:"

Questo comando disabilita lo sblocco automatico per il volume BitLocker specificato.

FIG 1 - Disable-BitLockerAutoUnlock

PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker

Il cmdlet Clear-BitLockerAutoUnlock rimuove tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption. BitLocker memorizza queste chiavi per le unità dati fisse di un sistema su un volume che ospita un volume del sistema operativo abilitato a BitLocker, in modo tale da poter sbloccare automaticamente i volumi delle unità fisse e removibili del sistema. Questo rende più facile per gli utenti l'accesso ai volumi di dati.

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker usa informazioni criptate memorizzate nel registro e nei metadati del volume per sbloccare qualsiasi volume di dati che usa lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. È possibile usare il cmdlet Disable-BitLockerAutoUnlock per rimuovere le chiavi per volumi specifici che usano lo sblocco automatico invece di tutti i volumi.

Sintassi

Clear-BitLockerAutoUnlock []

Esempi

Esempio 1

Clear-BitLockerAutoUnlock

Questo comando cancella tutte le chiavi di sblocco automatico memorizzate nel computer corrente.

PowerShell: Ripristinare l'accesso ai dati su un volume BitLocker

Il cmdlet Unlock-BitLocker ripristina l'accesso ai dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per impedire l'accesso si può utilizzare il cmdlet Lock-BitLocker.

Per ripristinare l'accesso è necessario specificare il protettore della chiave per il volume che può essere uno de seguenti:

• Account Active Directory Domain Services (AD DS);
• Password;
• Chiave di recupero;
• Password di recupero.

Sintassi

Unlock-BitLocker

      [-MountPoint] <String[]>

      -Password <SecureString>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      -RecoveryPassword <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      -RecoveryKeyPath <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      [-AdAccountOrGroup]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

  

Parametri

-AdAccountOrGroup

Indica che BitLocker richiede le credenziali dell'account per sbloccare il volume. Per utilizzare questo parametro, l'account dell'utente corrente deve essere un protettore di chiavi per il volume.

-Confirm

Chiede conferma prima di eseguire il cmdlet.  

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet sblocca i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

-Password

Specifica una stringa sicura che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-RecoveryKeyPath

Specifica il percorso di una cartella in cui sono memorizzate le chiavi di recupero. La chiave memorizzata nel percorso specificato, se trovata, funge da protezione per la crittografia del volume.

-RecoveryPassword

Specifica una password di recupero. La password specificata funge da protezione per la chiave di crittografia del volume.

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Unlock-BitLocker -MountPoint "E:" -Password $SecureString

Questo esempio sblocca un volume BitLocker specificato usando una password.

Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura che contiene una password e la salva nella variabile $SecureString.

Il secondo comando sblocca il volume BitLocker specificato utilizzando la password salvata nella variabile $SecureString.

Esempio 2

Unlock-BitLocker -MountPoint "E:" -RecoveryKeyPath "C:\temp\2CEC9CE8-7638-4123-A976-3FD7359E675F.BEK" 

Sblocca il volume BitLocker specificato utilizzando la chiave di recupero indicata dal parametro -RecoveryKeyPath

FIG 1 - Unlock-BitLocker

PowerShell: Impedire l'accesso ai dati crittografati su un volume BitLocker

Il cmdlet Lock-BitLocker impedisce l'accesso a tutti i dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per ripristinare l'accesso si utilizza il cmdlet Unlock-BitLocker.

Il cmdlet richiede di specifcare il volume da bloccare indicando la lettera dell'unità o un'oggetto volume BitLocker. Con Lock-BitLocker non è possibile bloccare un volume che ospita il sistema operativo. Se si tenta di bloccare un volume già bloccato non viene eseguita alcuna operazione.

Sintassi

Lock-BitLocker

    [-MountPoint] <String[]>

    [-ForceDismount]

    [-WhatIf]

    [-Confirm]

    [<CommonParameters>]

Parametri

-Confirm

Chiede conferma prima di eseguire il cmdlet.

-ForceDismount

Specificando tale parametro, il cmdlet tenta di bloccare l'unità anche se è in uso.

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet tenta di bloccare i volumi specificati. 

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

Lock-BitLocker -MountPoint "E:" -ForceDismount

Questo comando blocca il volume BitLocker specificato con il parametro MountPoint. Il comando utilizza il parametro ForceDismount per bloccare il volume anche se è in uso.

FIG 1 - Lock-BitLocker

PowerShell: Abilitare BitLocker tramite il cmdlet Enable-BitLocker

Il cmdlet Enable-BitLocker permette l'abilitazione di BitLocker Drive Encryption per uno specifico volume.

Per abilitare la crittografia tramite BitLocker, è necessario indicare un volume, l'eventuale metodo di crittografia desiderato e la protezione della chiave. Il volume può essere specificato tramite la lettera dell'unità o specificando un oggetto volume BitLocker. Per quanto riguarda il metodo di crittografia, è possibile scegliere tra gli algoritmi Advanced Encryption Standard (AES) AES-128 o AES-256, oppure utilizzare la crittografia hardware se supportata dall'hardware del disco. BitLocker usa un protettore di chiavi per cifrare la chiave di crittografia del volume. Quando un utente accede a un'unità crittografata con BitLocker, come all'avvio del computer, BitLocker richiede il relativo protettore di chiave che può essere, per esempio, un PIN richiesto all'utente oppure un'unità USB contenente la chiave. BitLocker decifra la chiave di crittografia e la usa per leggere i dati dall'unità. Per la protezione della chiave può essere utilizzato uno dei seguenti metodi o una loro combinazione:

• Trusted Platform Module (TPM). BitLocker usa il TPM del computer per proteggere la chiave di crittografia. Gli utenti potranno accedere all'unità crittografata finché è collegata alla scheda di sistema che ospita il TPM e l'integrità dell'avvio del sistema è intatta. In generale, le protezioni basate sul TPM possono essere associate solo a un volume del sistema operativo.
• TPM e numero di identificazione personale (PIN). BitLocker usa una combinazione di TPM e un PIN fornito dall'utente. Un PIN è composto da quattro a venti caratteri (numeri, simboli, lettere, spazi).
• TPM, PIN e chiave di avvio. BitLocker utilizza una combinazione di TPM, un PIN fornito dall'utente e un input da un dispositivo di memoria USB che contiene una chiave esterna.
• TPM e chiave d'avvio. BitLocker usa una combinazione di TPM e input da un dispositivo di memoria USB.
• Chiave d'avvio. BitLocker usa l'input da un dispositivo di memoria USB che contiene la chiave esterna.
• Password. BitLocker usa una password.
• Chiave di recupero. BitLocker usa una chiave di recupero memorizzata come file specificato.
• Password di recupero. BitLocker usa una password di recupero.
• Account Active Directory Domain Services (AD DS). BitLocker usa l'autenticazione del dominio.

Per aggiungere un nuovo protettore dopo aver abilitato la crittografia del volume è possibile utilizzare il cmdlet Add-BitLockerKeyProtector.

Per un protettore di password o chiave pin si può creare un stringa sicura tramite l'utilizzo del cmdlet ConvertTo-SecureString. Le stringhe sicure possono essere utilizzate all'interno di script mantenendo la riservatezza delle password.

Il cmdlet Enable-BitLocker restituisce un oggetto volume BitLocker. Se viene impostata la password di recupero come protezione della chiave ma non viene esplicitamente specificata, questo cmdlet provvederà a generarne una in maniera casuale di 48 cifre. Il cmdlet memorizza la password come campo RecoveryPassword dell'attributo KeyProtector dell'oggetto volume BitLocker.

Se viene utilizzata la chiave di avvio o la chiave di recupero come parte del protettore di chiavi, è opportuno fornire un percorso in cui memorizzare la chiave. In questo caso il cmdlet memorizzerà il nome del file che contiene la chiave nel campo KeyFileName del campo KeyProtector nell'oggetto volume BitLocker.

Se si usa il cmdlet Enable-BitLocker su un volume crittografato o su un volume con crittografia in corso, esso non compie alcuna azione. Se il cmdlet viene utilizzato su un'unità che ha la crittografia in pausa, riprende la crittografia sul volume.

Per impostazione predefinita, questo cmdlet cripta l'intera unità. Per crittografare solo lo spazio usato nel disco è necessario specificare il parametro UsedSpaceOnly. Questa opzione può ridurre significativamente il tempo di crittografia.

È una pratica comune aggiungere una password di recupero a un volume del sistema operativo utilizzando il cmdlet Add-BitLockerKeyProtector, salvare la password di recupero utilizzando il cmdlet Backup-BitLockerKeyProtector, e infine abilitare BitLocker per l'unità. Questa procedura assicura un'opzione di recupero.

Sintassi

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-PasswordProtector]

      [[-Password] <SecureString>]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-RecoveryPasswordProtector]

      [[-RecoveryPassword] <String>]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-StartupKeyProtector]

      [-StartupKeyPath] <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-StartupKeyPath] <String>

      [-TpmAndStartupKeyProtector]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-StartupKeyPath] <String>

      [-TpmAndPinAndStartupKeyProtector]

      [[-Pin] <SecureString>]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-AdAccountOrGroupProtector]

      [-Service]

      [-AdAccountOrGroup] <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [[-Pin] <SecureString>]

      [-TpmAndPinProtector]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-TpmProtector]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Enable-BitLocker

      [-MountPoint] <String[]>

      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]

      [-HardwareEncryption]

      [-SkipHardwareTest]

      [-UsedSpaceOnly]

      [-RecoveryKeyProtector]

      [-RecoveryKeyPath] <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]   

Parametri

-AdAccountOrGroup

Specifica un account usando il formato Domain\User. Questo cmdlet aggiunge l'account specificato come key protector per la chiave di crittografia del volume.

-AdAccountOrGroupProtector

Indica che BitLocker usa un account AD DS come protezione per la chiave di crittografia del volume.

-Confirm

Chiede conferma prima di eseguire il cmdlet.

-EncryptionMethod

Permette di specificare un metodo di crittografia da utilizzare. I valori accettabili per questo parametro sono:

• Aes128
• Aes256
• Hardware

-HardwareEncryption

Indica che il volume utilizza la crittografia hardware.

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Questo cmdlet abilita la protezione per i volumi specificati. Per ottenere un oggetto volume BitLocker viene utilizzato il cmdlet Get-BitLockerVolume.

-Password

Specifica un oggetto secure string che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-PasswordProtector

Indica che BitLocker usa una password come protezione per la chiave di crittografia del volume.

-Pin

Specifica un oggetto stringa sicura che contiene un PIN. BitLocker usa il PIN specificato, con altri dati, come protezione per la chiave di crittografia del volume.

-RecoveryKeyPath

Specifica il percorso di una cartella. Questo parametro aggiunge una chiave di recupero generata casualmente come protezione per la chiave di crittografia del volume e la memorizza nel percorso specificato.

-RecoveryKeyProtector

Indica che BitLocker usa una chiave di recupero come protezione per la chiave di crittografia del volume.

-RecoveryPassword

Specifica una password di recupero. Se tale parametro non viene specificato ma viene incluso il parametro RecoveryPasswordProtector, il cmdlet crea una password casuale. É possibile inserire una password di 48 cifre. La password specificata o creata funge da protezione per la chiave di crittografia del volume.

-RecoveryPasswordProtector

Indica che BitLocker utilizza una password di recupero come protezione per la chiave di crittografia del volume.

-Service

Indica che l'account di sistema di questo computer sblocca il volume cifrato.

-SkipHardwareTest

Indica che BitLocker non esegue un test dell'hardware prima di iniziare la crittografia. BitLocker usa un test dell'hardware come una prova generale per assicurarsi che tutti i protettori di chiavi siano impostati correttamente e che il computer possa partire senza problemi.

-StartupKeyPath

Specifica un percorso per una chiave di avvio. La chiave memorizzata nel percorso specificato funge da protezione per la chiave di crittografia del volume.

-StartupKeyProtector

Indica che BitLocker usa una chiave di avvio come protezione per la chiave di crittografia del volume.

-TpmAndPinAndStartupKeyProtector

Indica che BitLocker usa una combinazione di TPM, un PIN e una chiave di avvio come protezione per la chiave di crittografia del volume.

-TpmAndPinProtector

Indica che BitLocker usa una combinazione di TPM e un PIN come protezione per la chiave di crittografia del volume.

-TpmAndStartupKeyProtector

Indica che BitLocker usa una combinazione di TPM e una chiave di avvio come protezione per la chiave di crittografia del volume

-TpmProtector

Indica che BitLocker usa il TPM come protezione per la chiave di crittografia del volume.

-UsedSpaceOnly

Indica che BitLocker cripta esclusivamente lo spazio utilizzato del volume.

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

Enable-BitLocker -MountPoint "E:" -EncryptionMethod Aes128 -RecoveryKeyPath "C:\Temp\" -RecoveryKeyProtector

Questo cmdlet abilita la crittografia sul volume E: utilizzando l'algoritmo AES128. Con il parametro -RecoveryKeyPath viene specificato un percorso per una cartella in cui la chiave di recupero generata casualmente sarà memorizzata. Il parametro -RecoveryKeyProtector indica che questi volumi utilizzano una chiave di recupero come protezione della chiave.

FIG 1 - Enable-BitLocker

Esempio 2

$SecureString = ConvertTo-SecureString "12345" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Questo esempio abilita BitLocker per un'unità specificata usando il TPM e un PIN per la protezione della chiave.

Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura contenente un PIN e la memorizza nella variabile $SecureString. 

Il secondo comando abilita la crittografia BitLocker per il volume identificato dalla lettera C:. Viene specificato l'algoritmo Aes256 per la crittografia e il PIN salvato nella variabile $SecureString. Il parametro -UsedSpaceOnly consente di criptare solo i dati dello spazio utilizzato sul disco, invece che l'intero volume, mentre -TPMandPinProtector specifica che il volume utilizza una combinazione di TPM e PIN come protezione della chiave.