Panoramica di Bitlocker
Questo articolo contiene una panoramica generale di BitLocker e include un elenco dei requisiti di sistema, le applicazioni pratiche e le funzionalità deprecate.
Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e gestisce le minacce di furto dei dati o l'esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer.
BitLocker offre la massima protezione se usato con un Trusted Platform Module (TPM) versione 1.2 o successive. Il TPM è un componente hardware installato dai produttori in molti computer recenti. Funziona con BitLocker per proteggere i dati degli utenti e per garantire che un computer non sia stato manomesso mentre il sistema era offline.
Nei computer senza un TPM 1.2 o versione successiva, è comunque possibile usare BitLocker per crittografare il volume del sistema operativo Windows. Tuttavia, questa implementazione richiede che l'utente inserisca una chiave di avvio USB per avviare il computer o riprenderlo dall'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere questo volume in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema prima dell'avvio assicurata da BitLocker con un TPM.
Oltre al TPM, BitLocker offre anche la possibilità di bloccare il normale processo di avvio finché l'utente non fornisce un PIN o non inserisce un dispositivo rimovibile, ad esempio un'unità flash USB, contenente una chiave di avvio. Queste misure di sicurezza aggiuntive consentono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o l'esecuzione non venga ripresa dallo stato di ibernazione fino a quando non viene fornito il PIN corretto o la chiave di avvio appropriata.
Applicazioni pratiche
I dati in un computer smarrito o rubato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. BitLocker aiuta a ridurre l'accesso non autorizzato ai dati potenziando la protezione dei file e del sistema. BitLocker aiuta anche a rendere inaccessibili i dati quando computer protetti con BitLocker vengono disattivati o riciclati.
Per gestire BitLocker, è possibile usare altri due strumenti disponibili in Strumenti di amministrazione remota del server.
Visualizzatore password di ripristino BitLocker Visualizzatore password di ripristino BitLocker consente l'individuazione e la visualizzazione delle password di ripristino di Crittografia unità BitLocker di cui è stato eseguito il backup in Servizi di dominio Active Directory. È possibile usare questo strumento per recuperare i dati archiviati in un'unità che è stata crittografata con BitLocker. Lo strumento Visualizzatore password di ripristino BitLocker è un'estensione per lo snap-in Microsoft Management Console (MMC) Utenti e computer di Active Directory.
Usando questo strumento, è possibile esaminare la finestra di dialogo Proprietà di un oggetto computer per visualizzare le password di ripristino di BitLocker corrispondenti. È inoltre possibile cercare una password di ripristino di BitLocker in tutti i domini della foresta di Active Directory facendo clic con il pulsante destro del mouse sul contenitore di dominio. Le password di ripristino possono essere visualizzate solo dall'amministratore di dominio o con autorizzazioni delegate da un amministratore di dominio.
Strumenti per Crittografia unità BitLocker. Strumenti per Crittografia unità BitLocker include gli strumenti da riga di comando manage-bde e repair-bde e i cmdlet di Windows PowerShell per BitLocker. Sia manage-bde sia i cmdlet per BitLocker possono essere usati per eseguire qualsiasi attività che può essere completata tramite il Pannello di controllo BitLocker e sono appropriati per distribuzioni automatiche e altri scenari di script. Repair-bde viene fornito per scenari di ripristino di emergenza in cui un'unità protetta con BitLocker non può essere sbloccata normalmente o tramite la console di ripristino.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano l'abilitazione di BitLocker:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
I diritti di licenza di abilitazione di BitLocker sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Requisiti di sistema
I requisiti hardware per BitLocker sono i seguenti:
Perché BitLocker possa usare il controllo dell'integrità del sistema fornito da un TPM, il computer deve avere un TPM 1.2 o versioni successive. Se un computer non ha un TPM, il salvataggio di una chiave di avvio in un'unità rimovibile, ad esempio un'unità flash USB, diventa obbligatorio quando si abilita BitLocker.
Un computer con un TPM deve avere anche un firmware UEFI o BIOS conforme a TGC (Trusted Computing Group). Il firmware BIOS o UEFI stabilisce una catena di certificati per l'avvio dell'ambiente prima del sistema operativo e deve includere il supporto per la misurazione della radice di attendibilità statica specificata da TCG. Un computer senza un TPM non richiede firmware conforme a TCG.
Il firmware BIOS o UEFI (per computer con TPM o senza TPM) deve supportare la classe di dispositivi di archiviazione di massa USB, inclusa la capacità di leggere piccoli file in un'unità flash USB nell'ambiente prima del sistema operativo.
Importante
Da Windows 7 è possibile crittografare un'unità del sistema operativo senza un TPM e un'unità flash USB. Per questa procedura, vedere Suggerimenti: Bitlocker senza TPM o USB.
Nota
TPM 2.0 non è supportato nelle modalità Legacy e Compatibility Support Module (CSM) del BIOS. I dispositivi con TPM 2.0 devono avere la modalità BIOS configurata solo come UEFI nativo. Le opzioni Legacy e CSM (Compatibility Support Module) devono essere disabilitate. Per una maggiore sicurezza, abilitare la funzionalità di avvio protetto.
Il sistema operativo installato nell'hardware in modalità legacy impedisce l'avvio del sistema operativo quando si cambia la modalità BIOS in UEFI. Prima di modificare la modalità BIOS usare lo strumento MBR2GPT, che prepara il sistema operativo e il disco per supportare UEFI.
Il disco rigido deve essere partizionato con almeno due unità:
- L'unità del sistema operativo (o unità di avvio) contiene il sistema operativo e i relativi file di supporto. Questa unità deve essere formattata con il file system NTFS.
- L'unità di sistema contiene i file necessari per caricare Windows dopo che il firmware ha preparato l'hardware del sistema. BitLocker non è abilitato in questa unità. Perché BitLocker funzioni, l'unità di sistema non deve essere crittografata, deve essere diversa da quella del sistema operativo e deve essere formattata con il file system FAT32 nei computer che usano firmware UEFI e con il file system NTFS nei computer che usano firmware BIOS. È consigliabile che l'unità di sistema sia di circa 350 MB. Dopo l'attivazione di BitLocker, l'unità dovrebbe avere circa 250 MB di spazio libero.
Se è installato in un nuovo computer, Windows crea automaticamente le partizioni necessarie per BitLocker.
Una partizione soggetta a crittografia non può essere contrassegnata come partizione attiva. Questo requisito si applica alle unità del sistema operativo, alle unità dati fisse e alle unità dati rimovibili.
Quando si installa il componente facoltativo BitLocker in un server, è necessario installare anche la funzionalità Archiviazione avanzata. La funzionalità Archiviazione avanzata viene usata per supportare le unità crittografate hardware.
Contenuto della sezione
| Articolo | Descrizione |
|---|---|
| Panoramica della crittografia dispositivo di BitLocker in Windows 10 | Questo articolo fornisce una panoramica dei metodi in cui la crittografia dispositivo di BitLocker può proteggere i dati nei dispositivi che eseguono Windows 10. |
| Domande frequenti su BitLocker | Questo articolo risponde alle domande frequenti che riguardano requisiti per uso, aggiornamento, distribuzione e amministrazione di BitLocker e i relativi criteri di gestione delle chiavi. |
| Preparare l'organizzazione per BitLocker: Pianificazione e criteri | Questo articolo illustra la procedura che è possibile usare per pianificare la distribuzione di BitLocker. |
| Distribuzione di base di BitLocker | Questo articolo spiega come usare le funzionalità di BitLocker per proteggere i dati tramite la crittografia unità. |
| BitLocker: Come eseguire la distribuzione in Windows Server | Questo articolo illustra come distribuire BitLocker in Windows Server. |
| BitLocker: Come abilitare lo sblocco di rete | Questo articolo descrive il funzionamento di Sblocco di rete via BitLocker e come configurarlo. |
| BitLocker: Usare Strumenti per Crittografia unità BitLocker per la gestione di BitLocker | Questo articolo descrive come usare gli strumenti per gestire BitLocker. |
| BitLocker: Usare Visualizzatore password di ripristino BitLocker | Questo articolo descrive come usare Visualizzatore password di ripristino BitLocker. |
| Impostazioni di Criteri di gruppo per BitLocker | Questo articolo descrive la funzione, il percorso e l'effetto di ciascuna impostazione dei Criteri di gruppo usata per gestire BitLocker. |
| Impostazioni dei dati configurazione di avvio e BitLocker | Questo articolo descrive le impostazioni dei dati configurazione di avvio usate da BitLocker. |
| Guida al ripristino di BitLocker | Questo articolo descrive come recuperare chiavi di BitLocker da Servizi di dominio Active Directory. |
| Proteggere BitLocker da attacchi prima dell'avvio | Questa guida dettagliata ti aiuta a identificare le circostanze in cui è opportuno usare l'autenticazione prima dell'avvio per dispositivi con Windows 10, Windows 8.1, Windows 8 o Windows 7 e i casi in cui può essere omessa con sicurezza dalla configurazione di un dispositivo. |
| Risolvere problemi relativi a BitLocker | Questa guida descrive le risorse che utili per la risoluzione dei problemi di BitLocker e fornisce soluzioni per diversi problemi comuni di BitLocker. |
| Protezione dei volumi condivisi del cluster e delle reti di archiviazione (SAN) con BitLocker | Questo articolo descrive come proteggere volumi condivisi del cluster e reti SAN con BitLocker. |
| Abilitazione dell'avvio protetto e della crittografia dispositivo BitLocker in Windows IoT Core | In questo articolo viene descritto come usare BitLocker con Windows IoT Core |