Panoramica di Bitlocker

BitLocker è una funzionalità di sicurezza di Windows che fornisce la crittografia per interi volumi, risolvendo le minacce di furto o esposizione di dati da dispositivi smarriti, rubati o inappropriati.

Applicazioni pratiche

I dati in un dispositivo smarrito o rubato sono vulnerabili all'accesso non autorizzato, eseguendo uno strumento di attacco software o trasferendo il disco rigido del dispositivo in un altro dispositivo. BitLocker consente di attenuare l'accesso non autorizzato ai dati migliorando le protezioni dei file e del sistema, rendendo i dati inaccessibili quando i dispositivi protetti da BitLocker vengono rimossi o riciclati.

BitLocker e TPM

BitLocker offre la massima protezione se usato con un modulo TPM (Trusted Platform Module), che è un componente hardware comune installato nei dispositivi Windows. Il TPM funziona con BitLocker per garantire che un dispositivo non sia stato manomesso mentre il sistema è offline.

Oltre al TPM, BitLocker può bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile che contiene una chiave di avvio. Queste misure di sicurezza forniscono l'autenticazione a più fattori e garantiscono che il dispositivo non possa avviarsi o riprendere dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Nei dispositivi che non hanno un TPM, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo. Questa implementazione richiede all'utente di:

  • usare una chiave di avvio, ovvero un file archiviato in un'unità rimovibile usata per avviare il dispositivo o quando si riprende dall'ibernazione
  • usare una password. Questa opzione non è sicura perché è soggetta a attacchi di forza bruta perché non esiste una logica di blocco delle password. Di conseguenza, l'opzione password è sconsigliata e disabilitata per impostazione predefinita

Entrambe le opzioni non forniscono la verifica dell'integrità del sistema di preavvio offerta da BitLocker con un TPM.

Schermata di avvio preliminare di BitLocker con chiave di avvio:

Schermata di avvio preliminare di BitLocker con PIN:

Schermata di avvio preliminare di BitLocker con password:

Screenshot della schermata di avvio preliminare di BitLocker che richiede di immettere una chiave di avvio.

Screenshot della schermata di avvio preliminare di BitLocker che richiede di immettere un PIN.

Screenshot della schermata di avvio preliminare di BitLocker che richiede di immettere una password.

Requisiti di sistema

BitLocker ha i requisiti seguenti:

  • Affinché BitLocker usi il controllo dell'integrità del sistema fornito da un TPM, il dispositivo deve avere TPM 1.2 o versioni successive. Se un dispositivo non dispone di un TPM, il salvataggio di una chiave di avvio in un'unità rimovibile è obbligatorio quando si abilita BitLocker

  • Un dispositivo con un TPM deve anche avere un BIOS o un firmware UEFI conforme a Trusted Computing Group (TCG). Il BIOS o il firmware UEFI stabilisce una catena di attendibilità per l'avvio preliminare e deve includere il supporto per la misurazione della radice statica di attendibilità specificata da TCG. Un computer senza un TPM non richiede firmware conforme a TCG

  • Il BIOS di sistema o il firmware UEFI (per i dispositivi TPM e non TPM) deve supportare la classe del dispositivo di archiviazione di massa USB e leggere i file in un'unità USB nell'ambiente di avvio preliminare

    Nota

    TPM 2.0 non è supportato nelle modalità Legacy e Compatibility Support Module (CSM) del BIOS. I dispositivi con TPM 2.0 devono avere la modalità BIOS configurata solo come UEFI nativo. Le opzioni Legacy e CSM (Compatibility Support Module) devono essere disabilitate. Per una maggiore sicurezza, abilitare la funzionalità di avvio protetto .

    Il sistema operativo installato nell'hardware in modalità legacy impedisce l'avvio del sistema operativo quando la modalità BIOS viene modificata in UEFI. Usare lo strumento mbr2gpt.exe prima di modificare la modalità BIOS, che prepara il sistema operativo e il disco per supportare UEFI.

  • Il disco rigido deve essere partizionato con almeno due unità:

    • L'unità del sistema operativo (o unità di avvio) contiene il sistema operativo e i relativi file di supporto. Deve essere formattato con il file system NTFS

    • L'unità di sistema contiene i file necessari per avviare, decrittografare e caricare il sistema operativo. BitLocker non è abilitato in questa unità. Per il funzionamento di BitLocker, l'unità di sistema:

      • non deve essere crittografato
      • deve essere diverso dall'unità del sistema operativo
      • deve essere formattato con il file system FAT32 nei computer che usano firmware basato su UEFI o con il file system NTFS nei computer che usano firmware BIOS
      • è consigliabile avere dimensioni di circa 350 MB. Dopo l'attivazione di BitLocker, dovrebbe avere circa 250 MB di spazio disponibile

      Importante

      Quando viene installato in un nuovo dispositivo, Windows crea automaticamente le partizioni necessarie per BitLocker.

      Se l'unità è stata preparata come singolo spazio contiguo, BitLocker richiede un nuovo volume per contenere i file di avvio. BdeHdCfg.exe può creare il volume. Per altre informazioni sull'uso dello strumento, vedere Bdehdcfg nella guida di riferimento Command-Line.

Nota

Quando si installa il componente facoltativo BitLocker in un server, è necessario installare la funzionalità Archiviazione avanzata . La funzionalità viene usata per supportare le unità crittografate hardware.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano l'abilitazione di BitLocker:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza di abilitazione di BitLocker sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Nota

I requisiti di licenza per l'abilitazione di BitLocker sono diversi dai requisiti di licenza per la gestione di BitLocker. Per altre informazioni, vedere la guida pratica: configurare BitLocker.

Crittografia dispositivo

La crittografia dei dispositivi è una funzionalità di Windows che consente ad alcuni dispositivi di abilitare automaticamente la crittografia BitLocker. La crittografia dei dispositivi è disponibile in tutte le versioni di Windows e richiede che un dispositivo soddisfi i requisiti di sicurezza di Modern Standby o HSTI. La crittografia del dispositivo non può avere porte accessibili esternamente che consentono l'accesso DMA.

Importante

La crittografia del dispositivo crittografa solo l'unità del sistema operativo e le unità fisse, non crittografa le unità esterne/USB.

A differenza di un'implementazione standard di BitLocker, la crittografia del dispositivo viene abilitata automaticamente in modo che il dispositivo sia sempre protetto. Quando viene completata un'installazione pulita di Windows e l'esperienza predefinita è stata completata, il dispositivo viene preparato per il primo uso. Come parte di questa preparazione, la crittografia del dispositivo viene inizializzata nell'unità del sistema operativo e nelle unità dati fisse nel computer con una chiave chiara equivalente allo stato di sospensione di BitLocker standard. In questo stato, l'unità viene visualizzata con un'icona di avviso in Esplora risorse. L'icona di avviso gialla viene rimossa dopo la creazione della protezione TPM e il backup della chiave di ripristino.

  • Se il dispositivo è Microsoft Entra aggiunto a un dominio o ad Active Directory, la chiave non crittografato viene rimossa dopo aver eseguito il backup della chiave di ripristino in Microsoft Entra ID o Active Directory Domain Services (AD DS). Per eseguire il backup della chiave di ripristino, è necessario abilitare le impostazioni dei criteri seguenti: scegliere come ripristinare le unità del sistema operativo protette da BitLocker
    • Per Microsoft Entra dispositivi aggiunti: la password di ripristino viene creata automaticamente quando l'utente esegue l'autenticazione a Microsoft Entra ID, quindi viene eseguito il backup della chiave di ripristino in Microsoft Entra ID, viene creata la protezione TPM e viene rimossa la chiave non crittografata
    • Per i dispositivi aggiunti ad Active Directory Domain Services: la password di ripristino viene creata automaticamente quando il computer entra a far parte del dominio. Viene quindi eseguito il backup della chiave di ripristino in Servizi di dominio Active Directory, viene creata la protezione TPM e la chiave non crittografato viene rimossa
  • Se il dispositivo non è Microsoft Entra aggiunto a un dominio o ad active directory, è necessario un account Microsoft con privilegi amministrativi nel dispositivo. Quando l'amministratore usa un account Microsoft per accedere, la chiave non crittografata viene rimossa, viene caricata una chiave di ripristino nell'account Microsoft online e viene creata una protezione TPM. Se un dispositivo richiede la chiave di ripristino, l'utente viene guidato a usare un dispositivo alternativo e a passare a un URL di accesso alla chiave di ripristino per recuperare la chiave di ripristino usando le credenziali dell'account Microsoft
  • Se un dispositivo usa solo account locali, rimane non protetto anche se i dati sono crittografati

Importante

Per impostazione predefinita, la crittografia del dispositivo usa il XTS-AES 128-bit metodo di crittografia. Se si configura un'impostazione di criteri per l'uso di un metodo di crittografia diverso, è possibile usare la pagina Stato registrazione per evitare che il dispositivo inizi la crittografia con il metodo predefinito. BitLocker ha una logica che non avvia la crittografia fino alla fine della Configurazione guidata, al termine della fase di configurazione del dispositivo pagina stato registrazione. Questa logica offre a un dispositivo il tempo sufficiente per ricevere le impostazioni dei criteri di BitLocker prima di avviare la crittografia.

Se è necessario un metodo di crittografia e/o un livello di crittografia diverso, ma il dispositivo è già crittografato, è necessario decrittografarlo prima di poter applicare il nuovo metodo di crittografia e/o il livello di crittografia. Dopo aver decrittografato il dispositivo, è possibile applicare impostazioni BitLocker diverse.

Se un dispositivo inizialmente non è idoneo per la crittografia del dispositivo, ma viene apportata una modifica che fa sì che il dispositivo si qualifica (ad esempio, attivando l'avvio protetto), la crittografia del dispositivo abilita Automaticamente BitLocker non appena lo rileva.

È possibile verificare se un dispositivo soddisfa i requisiti per la crittografia del dispositivo nell'app System Information (msinfo32.exe). Se il dispositivo soddisfa i requisiti, System Information mostra una riga che legge:

Item Value
Supporto della crittografia dei dispositivi Soddisfa i prerequisiti

Differenza tra BitLocker e la crittografia del dispositivo

  • La crittografia del dispositivo attiva automaticamente BitLocker nei dispositivi idonei per la crittografia dei dispositivi, con il backup automatico della chiave di ripristino su Microsoft Entra ID, Active Directory Domain Services o l'account Microsoft dell'utente
  • Crittografia del dispositivo aggiunge un'impostazione di crittografia del dispositivo nell'app Impostazioni, che può essere usata per attivare o disattivare la crittografia del dispositivo
    • L'interfaccia utente impostazioni non mostra la crittografia del dispositivo abilitata fino al completamento della crittografia

Screenshot dell'app Impostazioni che mostra il pannello di crittografia del dispositivo.

Nota

Se la crittografia del dispositivo è disattivata, non si abiliterà più automaticamente in futuro. L'utente deve abilitarlo manualmente in Impostazioni

Disabilitare la crittografia dei dispositivi

È consigliabile mantenere attiva la crittografia dei dispositivi per tutti i sistemi che lo supportano. Tuttavia, è possibile impedire il processo di crittografia automatica dei dispositivi modificando l'impostazione del Registro di sistema seguente:

Percorso Nome Tipo Value
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker PreventDeviceEncryption REG_DWORD 0x1

Per altre informazioni sulla crittografia dei dispositivi, vedere Requisiti hardware di crittografia dei dispositivi BitLocker.

Passaggi successivi

Informazioni sulle tecnologie e le funzionalità per la protezione dagli attacchi alla chiave di crittografia BitLocker:

Contromisure di BitLocker >