Configurare BitLocker

Per configurare BitLocker, è possibile usare una delle opzioni seguenti:

  • Provider di servizi di configurazione (CSP): questa opzione viene comunemente usata per i dispositivi gestiti da una soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune. Il provider di servizi di configurazione BitLocker viene usato per configurare BitLocker e per segnalare lo stato di diverse funzioni BitLocker alla soluzione MDM. Con Microsoft Intune, è possibile usare lo stato di BitLocker nei criteri di conformità, combinandoli con l'accesso condizionale. L'accesso condizionale può impedire o concedere l'accesso a servizi come Exchange Online e SharePoint Online, in base allo stato di BitLocker. Per altre informazioni sulle opzioni di Intune per configurare e monitorare BitLocker, vedere gli articoli seguenti:
  • Criteri di gruppo: questa opzione può essere usata per i dispositivi aggiunti a un dominio di Active Directory e non gestiti da una soluzione di gestione dei dispositivi. I criteri di gruppo possono essere usati anche per i dispositivi che non sono aggiunti a un dominio di Active Directory, usando l'editor criteri di gruppo locale
  • Microsoft Configuration Manager: questa opzione può essere usata per i dispositivi gestiti da Microsoft Configuration Manager tramite l'agente di gestione BitLocker. Per altre informazioni sulle opzioni per configurare BitLocker tramite Microsoft Configuration Manager, vedere Distribuire la gestione di BitLocker

Nota

Windows Server non supporta la configurazione di BitLocker usando CSP o Microsoft Configuration Manager. Usare invece l'oggetto Criteri di gruppo.

Anche se molte delle impostazioni dei criteri di BitLocker possono essere configurate usando sia CSP che oggetto Criteri di gruppo, alcune impostazioni sono disponibili solo usando una delle opzioni. Per informazioni sulle impostazioni dei criteri disponibili sia per CSP che per l'oggetto Criteri di gruppo, vedere la sezione Impostazioni dei criteri di BitLocker.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano la gestione di BitLocker:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza di gestione di BitLocker sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Impostazioni dei criteri di BitLocker

Questa sezione descrive le impostazioni dei criteri per configurare BitLocker tramite il provider di servizi di configurazione (CSP) e criteri di gruppo (GPO).

Importante

La maggior parte delle impostazioni dei criteri di BitLocker viene applicata quando BitLocker è inizialmente attivato per un'unità. La crittografia non viene riavviata se le impostazioni cambiano.

Elenco delle impostazioni dei criteri

L'elenco delle impostazioni è ordinato alfabeticamente e organizzato in quattro categorie:

  • Impostazioni comuni: impostazioni applicabili a tutte le unità protette da BitLocker
  • Unità del sistema operativo: impostazioni applicabili all'unità in cui è installato Windows
  • Unità dati fisse: impostazioni applicabili a qualsiasi unità locale, ad eccezione dell'unità del sistema operativo
  • Unità dati rimovibili: impostazioni applicabili a qualsiasi unità rimovibile

Selezionare una delle schede per visualizzare l'elenco delle impostazioni disponibili:

Nella tabella seguente sono elencati i criteri di BitLocker applicabili a tutti i tipi di unità, che indicano se sono applicabili tramite il provider di servizi di configurazione (CSP) e/o criteri di gruppo (GPO). Selezionare il nome del criterio per altri dettagli.

Nome criterio CSP GPO
Consenti crittografia utente standard
Scegliere la cartella predefinita per la password di ripristino
Scegliere il metodo di crittografia dell'unità e il livello di crittografia
Configurare la rotazione delle password di ripristino
Disabilitare nuovi dispositivi DMA quando il computer è bloccato
Impedisci sovrascrittura della memoria al riavvio
Specificare gli identificatori univoci per l'organizzazione
Richiedere la crittografia del dispositivo
Convalidare la conformità delle regole di utilizzo dei certificati smart card

Consenti crittografia utente standard

Con questo criterio è possibile applicare i criteri Richiedi crittografia dei dispositivi per gli scenari in cui i criteri vengono applicati mentre l'utente connesso corrente non dispone di diritti amministrativi.

Importante

L'avviso Consenti per altri criteri di crittografia dischi deve essere disabilitato per consentire la crittografia utente standard.

Percorso
CSP ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
GPO Non disponibile

Scegliere la cartella predefinita per la password di ripristino

Specificare il percorso predefinito visualizzato quando l'installazione guidata di Crittografia unità BitLocker richiede all'utente di immettere il percorso di una cartella in cui salvare la password di ripristino. È possibile specificare un percorso completo o includere le variabili di ambiente del computer di destinazione nel percorso:

  • Se il percorso non è valido, l'installazione guidata di BitLocker visualizza la visualizzazione cartella di primo livello del computer
  • Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker visualizza la visualizzazione cartella di primo livello del computer quando l'utente sceglie l'opzione per salvare la password di ripristino in una cartella

Nota

Questa impostazione di criterio non impedisce all'utente di salvare la password di ripristino in un'altra cartella.

Percorso
CSP Non disponibile
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Scegliere il metodo di crittografia dell'unità e il livello di crittografia

Con questo criterio, è possibile configurare un algoritmo di crittografia e il livello di crittografia delle chiavi per unità dati fisse, unità del sistema operativo e unità dati rimovibili singolarmente.

Impostazioni consigliate: XTS-AES algoritmo per tutte le unità. La scelta delle dimensioni della chiave, a 128 bit o a 256 bit dipende dalle prestazioni del dispositivo. Per unità disco rigido e CPU più performanti, scegliere la chiave a 256 bit, per quelli con prestazioni inferiori usare 128.

Importante

Le dimensioni delle chiavi potrebbero essere richieste dalle autorità di regolamentazione o dal settore.

Se si disabilita o non si configura questa impostazione di criterio, BitLocker usa il metodo di crittografia predefinito di XTS-AES 128-bit.

Nota

Questo criterio non si applica alle unità crittografate. Le unità crittografate usano il proprio algoritmo, impostato dall'unità durante il partizionamento.

Percorso
CSP ./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Configurare la rotazione delle password di ripristino

Con questo criterio è possibile configurare una rotazione numerica delle password di ripristino all'uso per il sistema operativo e le unità fisse in Microsoft Entra dispositivi aggiunti e Microsoft Entra aggiunti ibridi.

I valori possibili sono:

  • 0: la rotazione delle password di ripristino numerico è disattivata
  • 1: la rotazione numerica delle password di ripristino al momento dell'uso è attivata per Microsoft Entra dispositivi aggiunti. Questo è anche il valore predefinito
  • 2: la rotazione delle password di ripristino numerico al momento dell'uso è attiva sia per i dispositivi aggiunti Microsoft Entra che per i dispositivi aggiunti Microsoft Entra ibridi

Nota

Il criterio è efficace solo quando è configurato l'ID Micropsoft Entra o il backup di Active Directory per la password di ripristino

  • Per unità del sistema operativo: abilitare Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo
  • Per le unità fisse: abilitare "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse
Percorso
CSP ./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
GPO Non disponibile

Disabilitare nuovi dispositivi DMA quando il computer è bloccato

Se abilitata, questa impostazione di criterio blocca l'accesso diretto alla memoria (DMA) per tutte le porte PCI collegabili a caldo fino a quando un utente non accede a Windows.

Dopo l'accesso di un utente, Windows enumera i dispositivi PCI connessi alle porte PCI Thunderbolt host. Ogni volta che l'utente blocca il dispositivo, DMA viene bloccato sulle porte PCI Thunderbolt con plug-in a caldo senza dispositivi figlio, fino a quando l'utente non accede di nuovo.

I dispositivi già enumerati quando il dispositivo è stato sbloccato continueranno a funzionare fino a quando non vengono scollegate o il sistema non viene riavviato o ibernato.

Questa impostazione di criterio viene applicata solo quando BitLocker o la crittografia del dispositivo è abilitata.

Importante

Questo criterio non è compatibile con la protezione DMA del kernel. È consigliabile disabilitare questo criterio se il sistema supporta la protezione DMA del kernel, in quanto La protezione DMA del kernel offre una maggiore sicurezza per il sistema. Per altre informazioni su Kernel DMA Protection, vedere Kernel DMA Protection.

Percorso
CSP Non disponibile
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Impedisci sovrascrittura della memoria al riavvio

Questa impostazione di criterio viene usata per controllare se la memoria del computer viene sovrascritta al riavvio del dispositivo. I segreti di BitLocker includono materiale chiave usato per crittografare i dati.

  • Se si abilita questa impostazione di criterio, la memoria non viene sovrascritta al riavvio del computer. La prevenzione della sovrascrittura della memoria può migliorare le prestazioni di riavvio, ma aumenta il rischio di esporre i segreti di BitLocker.
  • Se si disabilita o non si configura questa impostazione di criterio, i segreti di BitLocker vengono rimossi dalla memoria al riavvio del computer.

Nota

Questa impostazione di criterio si applica solo quando è abilitata la protezione BitLocker.

Percorso
CSP Non disponibile
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Specificare gli identificatori univoci per l'organizzazione

Questa impostazione di criterio consente di associare identificatori aziendali univoci a un'unità crittografata con BitLocker. Gli identificatori vengono archiviati come campo di identificazione e campo di identificazione consentito:

  • Il campo di identificazione consente di associare un identificatore aziendale univoco alle unità protette da BitLocker. Questo identificatore viene aggiunto automaticamente alle nuove unità protette da BitLocker e può essere aggiornato nelle unità esistenti protette da BitLocker usando crittografia unità BitLocker: strumento di configurazione (manage-bde.exe)
  • Il campo di identificazione consentito viene usato in combinazione con l'impostazione dei criteri Nega accesso in scrittura alle unità rimovibili non protette da BitLocker per controllare l'uso di unità rimovibili nell'organizzazione. Si tratta di un elenco delimitato da virgole di campi di identificazione dell'organizzazione o di altre organizzazioni esterne. È possibile configurare i campi di identificazione nelle unità esistenti usando manage-bde.exe.

Se si abilita questa impostazione di criterio, è possibile configurare il campo di identificazione nell'unità protetta da BitLocker e qualsiasi campo di identificazione consentito usato dall'organizzazione. Quando un'unità protetta da BitLocker viene montata su un altro dispositivo abilitato per BitLocker, il campo di identificazione e il campo di identificazione consentito vengono usati per determinare se l'unità proviene da un'organizzazione diversa.

Se si disabilita o non si configura questa impostazione di criterio, il campo di identificazione non è obbligatorio.

Importante

I campi di identificazione sono necessari per la gestione degli agenti di recupero dati basati su certificati nelle unità protette da BitLocker. BitLocker gestisce e aggiorna gli agenti di recupero dati basati su certificati solo quando il campo di identificazione è presente in un'unità ed è identico al valore configurato nel dispositivo. Il campo di identificazione può essere di qualsiasi valore pari o inferiore a 260 caratteri.

Percorso
CSP ./Device/Vendor/MSFT/BitLocker/IdentificationField
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Richiedere la crittografia del dispositivo

Questa impostazione di criterio determina se BitLocker è obbligatorio:

  • Se abilitata, la crittografia viene attivata in tutte le unità in modo invisibile all'utente o invisibile all'utente in base all'avviso consenti per altri criteri di crittografia del disco
  • Se disabilitato, BitLocker non è disattivato per l'unità di sistema, ma smette di richiedere all'utente di attivare BitLocker.

Nota

In genere, BitLocker segue la configurazione dei criteri di crittografia Choose drive encryption e encryption strength . Tuttavia, questa impostazione di criterio verrà ignorata per le unità fisse auto-crittografanti e le unità del sistema operativo auto-crittografanti.

I volumi di dati fissi crittografabili vengono trattati in modo analogo ai volumi del sistema operativo, ma devono soddisfare altri criteri per poter essere crittografati:

  • Non deve essere un volume dinamico
  • Non deve essere una partizione di ripristino
  • Non deve essere un volume nascosto
  • Non deve essere una partizione di sistema
  • Non deve essere supportato dall'archiviazione virtuale
  • Non deve avere un riferimento nell'archivio BCD

Nota

Quando si usano questi criteri per la crittografia invisibile all'utente, è supportata solo la crittografia completa del disco. Per la crittografia non invisibile all'utente, il tipo di crittografia dipenderà dal criterio Imponi tipo di crittografia unità nelle unità del sistema operativo e Imponi tipo di crittografia unità nei criteri di unità dati fisse configurati nel dispositivo.

Percorso
CSP ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
GPO Non disponibile

Convalidare la conformità delle regole di utilizzo dei certificati smart card

Questa impostazione di criterio viene usata per determinare quale certificato usare con BitLocker associando un identificatore di oggetto (OID) da un certificato smart card a un'unità protetta da BitLocker. L'identificatore dell'oggetto viene specificato nell'utilizzo avanzato della chiave (EKU) di un certificato.

BitLocker può identificare quali certificati possono essere usati per autenticare un certificato utente in un'unità protetta da BitLocker associando l'identificatore di oggetto nel certificato all'identificatore dell'oggetto definito da questa impostazione di criterio. L'OID predefinito è 1.3.6.1.4.1.311.67.1.1.

Se si abilita questa impostazione di criterio, l'identificatore dell'oggetto specificato nel campo Identificatore oggetto deve corrispondere all'identificatore dell'oggetto nel certificato della smart card. Se si disabilita o non si configura questa impostazione di criterio, viene usato l'OID predefinito.

Nota

BitLocker non richiede che un certificato abbia un attributo EKU; tuttavia, se uno è configurato per il certificato, deve essere impostato su un identificatore di oggetto che corrisponde all'identificatore di oggetto configurato per BitLocker.

Percorso
CSP Non disponibile
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsCrittografia unità BitLocker

Conformità delle impostazioni di BitLocker e dei criteri

Se un dispositivo non è conforme alle impostazioni dei criteri configurate, BitLocker potrebbe non essere attivato o la configurazione di BitLocker potrebbe essere modificata fino a quando il dispositivo non è in uno stato conforme. Quando un'unità non è conforme alle impostazioni dei criteri, sono consentite solo le modifiche alla configurazione di BitLocker che la consentiranno di renderla conforme. Questo scenario può verificarsi, ad esempio, se un'unità crittografata in precedenza non è conforme a una modifica dell'impostazione dei criteri.

Se sono necessarie più modifiche per garantire la conformità dell'unità, potrebbe essere necessario sospendere la protezione di BitLocker, apportare le modifiche necessarie e quindi riprendere la protezione. Tale situazione potrebbe verificarsi, ad esempio, se un'unità rimovibile è inizialmente configurata per lo sblocco con una password e quindi le impostazioni dei criteri vengono modificate per richiedere le smart card. In questo scenario, la protezione BitLocker deve essere sospesa, eliminare il metodo di sblocco della password e aggiungere il metodo smart card. Al termine di questo processo, BitLocker è conforme all'impostazione dei criteri e la protezione BitLocker nell'unità può essere ripresa.

In altri scenari, per rendere l'unità conforme a una modifica delle impostazioni dei criteri, Potrebbe essere necessario disabilitare BitLocker e decrittografare l'unità seguita dalla riabilitare BitLocker e quindi crittografare nuovamente l'unità. Un esempio di questo scenario è quando viene modificato il metodo di crittografia BitLocker o il livello di crittografia.

Per altre informazioni su come gestire BitLocker, vedere la guida alle operazioni di BitLocker.

Configurare e gestire i server

I server vengono spesso distribuiti, configurati e gestiti tramite PowerShell. È consigliabile usare le impostazioni dei criteri di gruppo per configurare BitLocker nei server e gestire BitLocker tramite PowerShell.

BitLocker è un componente facoltativo in Windows Server. Seguire le istruzioni in Installare BitLocker in Windows Server per aggiungere il componente facoltativo BitLocker.

L'interfaccia server minima è un prerequisito per alcuni degli strumenti di amministrazione di BitLocker. In un'installazione server core è necessario aggiungere prima i componenti GUI necessari. I passaggi per aggiungere i componenti della shell a Server Core sono descritti in Uso di funzionalità su richiesta con sistemi aggiornati e immagini corrette e Come aggiornare supporti di origine locale per aggiungere ruoli e funzionalità. Se un server viene installato manualmente, scegliere Server con Esperienza desktop è il percorso più semplice perché evita di eseguire la procedura per aggiungere un'interfaccia utente grafica a Server Core.

I data center lights-out possono sfruttare la sicurezza avanzata di un secondo fattore evitando la necessità di intervento dell'utente durante i riavvii usando facoltativamente una combinazione di BitLocker (TPM+PIN) e sblocco di rete BitLocker. Lo sblocco di rete via BitLocker include il meglio della protezione dell'hardware, della dipendenza di posizione e dello sblocco automatico, nella posizione attendibile. Per i passaggi di configurazione, vedere Sblocco di rete.

Passaggi successivi

Vedere la guida alle operazioni di BitLocker per informazioni su come usare diversi strumenti per gestire e gestire BitLocker.

Guida alle operazioni di BitLocker >