Windows Server 2022: Installazione Bitlocker

La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.

BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.

Trusted Platform Module (TPM)

BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.

Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Installazione di BitLocker tramite GUI

Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella schermata Prima di iniziare, fate clic su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.

FIG 6 - Selezione funzionalità

Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.

FIG 7 - Aggiungi funzionalità

Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.

FIG 9 - Conferma selezioni per l'installazione

Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.

FIG 10 - Conferma riavvii automatici

Cliccare su Installa per procedere con l'installazione.

FIG 11 - Conferma selezioni per l'installazione

Al termine dell'installazione il server verrà riavviato automaticamente. Dopo il riavvio l'esito dell'operazione verrà mostrata in una finestra di dialogo come quella di FIG 12. Cliccare su Chiudi.

FIG 12 - Stato installazione

A questo punto si può passare alla configurazione di BitLocker che verrà trattata nel prossimo articolo

Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.

Installazione BitLocker tramite PowerShell

Per installare BitLocker tramite PowerShell basta eseguire il comando 

 Install-WindowsFeature –Name BitLocker -Restart  

Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.

Windows 10: Abilitare BitLocker sull'unità di sistema

Introdotto a partire dalle versioni Enterprise e Ultimate di Windows Vista, BitLocker è una funzionalità inclusa nei sistemi operativi Microsoft che consente la protezione dei dati tramite cifratura con algoritmo AES.

Per abilitare la cifratura di un'unità di sistema con BitLocker:

• Aprire Esplora file;
• Cliccare su Questo PC;
• Cliccare, con il tasto destro del mouse, sull'unità di sistema (generalmente C:) che si intende cifrare e, dal menu contestuale, selezionare la voce Attiva BitLocker.

FIG 1 - Attiva BitLocker sull'unità di sistema

Per la cifratura BitLocker utilizza il chip TPM (Trusted Platform Module) presente sulla scheda madre. Nel caso in cui tale chip non fosse presente, nell'attivare BitLocker verrà visualizzato il messaggio mostrato in FIG 2.

FIG 2 - Impossibile utilizzare TPM (Trusted Platform Module)

In questi casi è necessario effettuare un ulteriore passaggio agendo tramite l'Editor Criteri di gruppo:

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'Editor criteri di gruppo locali;
• Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo;
  
  

  

  FIG 3 - Editor criteri di gruppo locali, Richiedi autenticazione aggiuntiva all’avvio

• Nei criteri elencati nella parte destra della finestra, aprire Richiedi autenticazione aggiuntiva all’avvio con un doppio click, selezionare l'opzione Attivata e spuntare la voce Consenti BitLocker senza un TPM compatibile quindi confermare su OK.
  

  

  FIG 4 - Attiva criterio Richiedi autenticazione aggiuntiva all’avvio

Il chip TPM viene utilizzato per cifratura e decifratura dei dati, se non presente bisogna scegliere se utilizzare una password da inserire ad ogni avvio oppure una pendrive che dovrà essere sempre inserita nel sistema per consentirne l'avvio. 
La cifratura dell'unità può richiedere diverso tempo. L'operazione viene eseguita in background e viene portata a termine automaticamente.

Tramite il criterio Richiedi autenticazione aggiuntiva all’avvio è possibile specificare un ulteriore fattore di autenticazione in aggiunta al TPM come un PIN (con una lunghezza compresa tra 6 e 20 cifre), oppure una pendrive contenente la chiave di decifratura. In questo caso è possibile rendere obbligatorio uno dei due elementi aggiuntivi selezionando la voce Richiedi al posto di Consenti dai relativi menu a discesa oppure renderli obbligatori entrambi selezionando, dalla casella Configurazione chiave e PIN, la voce Richiedi chiave e PIN di avvio con il TPM.

FIG 5 - Richiedi chiave e PIN di avvio con il TPM