Processo di ripristino di BitLocker

Se un dispositivo o un'unità non riesce a sbloccare usando il meccanismo BitLocker configurato, gli utenti potrebbero essere in grado di ripristinarlo automaticamente. Se il ripristino automatico non è un'opzione o l'utente non è sicuro di come procedere, il supporto tecnico deve disporre di procedure per recuperare le informazioni di ripristino in modo rapido e sicuro.

Questo articolo descrive il processo di recupero delle informazioni di ripristino di BitLocker per Microsoft Entra aggiunto, Microsoft Entra aggiunto ibrido e i dispositivi aggiunti ad Active Directory. Si presuppone che il lettore abbia già familiarità con la configurazione dei dispositivi per il backup automatico delle informazioni di ripristino di BitLocker e le opzioni di ripristino di BitLocker disponibili. Per altre informazioni, vedere l'articolo Panoramica del ripristino di BitLocker .

Auto-ripristino

La password di ripristino e la chiave di ripristino di BitLocker per un'unità del sistema operativo o un'unità dati fissa possono essere salvate in uno o più dispositivi USB, stampate, salvate in Microsoft Entra ID o Servizi di dominio Active Directory.

Suggerimento

Il salvataggio delle chiavi di ripristino di BitLocker in Microsoft Entra ID o Active Directory Domain Services è un approccio consigliato. In questo modo, un amministratore o un helpdesk di BitLocker può aiutare gli utenti a raggiungere le proprie chiavi.

Se il ripristino automatico include l'uso di una password o una chiave di ripristino archiviata in un'unità flash USB, è necessario avvisare gli utenti di non archiviare l'unità flash USB nella stessa posizione del dispositivo, soprattutto durante il viaggio. Ad esempio, se sia il dispositivo che gli elementi di ripristino si trovano nello stesso contenitore, sarebbe facile per un utente non autorizzato accedere al dispositivo. Un altro criterio da considerare è chiedere agli utenti di contattare l'helpdesk prima o dopo l'esecuzione del ripristino automatico in modo che la causa radice possa essere identificata.

Non è possibile archiviare una chiave di ripristino in una delle posizioni seguenti:

  • Unità crittografata
  • Directory radice di un'unità non rimovibile
  • Un volume crittografato

Auto-ripristino in Microsoft Entra ID

Se le chiavi di ripristino di BitLocker vengono archiviate in Microsoft Entra ID, gli utenti possono accedervi usando l'URL seguente: https://myaccount.microsoft.com. Nella scheda Dispositivi gli utenti possono selezionare un dispositivo Windows di cui sono proprietari e selezionare l'opzione Visualizza chiavi BitLocker.

Nota

Per impostazione predefinita, gli utenti possono recuperare le chiavi di reecovery di BitLocker da Microsoft Entra ID. Questo comportamento può essere modificato con l'opzione Impedire agli utenti di ripristinare le chiavi BitLocker per i dispositivi di proprietà. Per altre informazioni, vedere Limitare le autorizzazioni predefinite degli utenti membri.

Ripristino automatico con unità flash USB

Se gli utenti hanno salvato la password di ripristino in un'unità USB, possono collegare l'unità a un dispositivo bloccato e seguire le istruzioni. Se la chiave è stata salvata come file di testo nell'unità flash, gli utenti devono usare un dispositivo diverso per leggere il file di testo.

Ripristino del supporto tecnico

Se un utente non dispone di un'opzione di ripristino self-service, il supporto tecnico deve essere in grado di assistere l'utente con una delle opzioni seguenti:

  • Se il dispositivo è Microsoft Entra aggiunto o Microsoft Entra aggiunto ibrido, le informazioni di ripristino di BitLocker possono essere recuperate da Microsoft Entra ID
  • Se il dispositivo è aggiunto a un dominio, le informazioni di ripristino possono essere recuperate da Active Directory
  • Se il dispositivo è configurato per l'uso di un DRA, l'unità crittografata può essere montata su un altro dispositivo come unità dati per consentire alla DRA di sbloccare l'unità

Warning

Il backup della password di ripristino di BitLocker per Microsoft Entra ID o Servizi di dominio Active Directory potrebbe non essere eseguito automaticamente. I dispositivi devono essere configurati con le impostazioni dei criteri per abilitare il backup automatico, come descritto nell'articolo Panoramica del ripristino di BitLocker .

L'elenco seguente può essere usato come modello per la creazione di un processo di ripristino per il recupero delle password di ripristino da parte del supporto tecnico.

☑️ Passaggio del processo di ripristino Dettagli
🔲 Verificare l'identità dell'utente La persona che richiede la password di ripristino deve essere verificata come utente autorizzato del dispositivo. È inoltre necessario verificare se il dispositivo per il quale l'utente ha fornito il nome appartiene all'utente.
🔲 Registrare il nome del dispositivo Il nome del dispositivo dell'utente può essere usato per individuare la password di ripristino in Microsoft Entra ID o Active Directory Domain Services.
🔲 Registrare l'ID della chiave di ripristino L'ID della chiave di ripristino può essere usato per individuare la password di ripristino in Microsoft Entra ID o Active Directory Domain Services. L'ID della chiave di ripristino viene visualizzato nella schermata di ripristino di avvio preliminare.
🔲 Individuare la password di ripristino Individuare la password di ripristino di BitLocker usando il nome del dispositivo o l'ID della chiave di ripristino da Microsoft Entra ID o Active Directory Domain Services.
🔲 Analisi della causa radice Prima di assegnare all'utente la password di ripristino, le informazioni devono essere raccolte per determinare il motivo per cui è necessario il ripristino. Le informazioni possono essere usate per eseguire l'analisi della causa radice.
🔲 Specificare all'utente la password di ripristino Poiché la password di ripristino a 48 cifre è lunga e contiene una combinazione di cifre, l'utente potrebbe erroneamente digitare la password. La console di ripristino in tempo di avvio usa numeri di checksum predefiniti per rilevare gli errori di input in ogni blocco di 6 cifre della password di ripristino a 48 cifre e offre all'utente la possibilità di correggere tali errori.
🔲 Ruotare la password di ripristino Se è configurata la rotazione automatica delle password, Microsoft Entra dispositivi aggiunti e Microsoft Entra aggiunti ibridi generano una nuova password di ripristino e la archivia in Microsoft Entra ID. Un amministratore può anche attivare la rotazione delle password su richiesta, usando Microsoft Intune o Microsoft Configuration Manager.

Ripristino del supporto tecnico in Microsoft Entra ID

Esistono alcuni ruoli Microsoft Entra ID che consentono a un amministratore delegato di leggere le password di ripristino di BitLocker dai dispositivi nel tenant. Anche se è comune per le organizzazioni usare i ruoli predefiniti di Amministratore dispositivi cloud o Amministratore helpdesk Microsoft Entra ID esistenti, è anche possibile creare un ruolo personalizzato, delegando l'accesso alle chiavi BitLocker usando l'autorizzazione microsoft.directory/bitlockerKeys/key/read . I ruoli possono essere delegati per accedere alle password di ripristino di BitLocker per i dispositivi in unità amministrative specifiche.

Il Interfaccia di amministrazione di Microsoft Entra consente agli amministratori di recuperare le password di ripristino di BitLocker. Per altre informazioni sul processo, vedere Visualizzare o copiare chiavi BitLocker. Un'altra opzione per accedere alle password di ripristino di BitLocker consiste nell'usare microsoft API Graph, che potrebbe essere utile per soluzioni integrate o con script. Per altre informazioni su questa opzione, vedere Get bitlockerRecoveryKey.For more information about this option, see Get bitlockerRecoveryKey.

Nell'esempio seguente viene usato il cmdlet PowerShell di Microsoft Graph per compilare Get-MgInformationProtectionBitlockerRecoveryKey una funzione di PowerShell che recupera le password di ripristino da Microsoft Entra ID:

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey" 
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

Dopo il caricamento, la funzione può essere usata per recuperare le password di ripristino di BitLocker per un dispositivo specifico. Esempio:

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

Nota

Per i dispositivi gestiti da Microsoft Intune, le password di ripristino di BitLocker possono essere recuperate dalle proprietà del dispositivo nell'interfaccia di amministrazione Microsoft Intune. Per altre informazioni, vedere Visualizzare i dettagli per le chiavi di ripristino.

Ripristino del supporto tecnico in Active Directory Domain Services

Per esportare una password di ripristino da Servizi di dominio Active Directory, è necessario disporre dell'accesso in lettura agli oggetti archiviati in Servizi di dominio Active Directory. Per impostazione predefinita, solo gli amministratori di dominio hanno accesso alle informazioni di ripristino di BitLocker, ma l'accesso può essere delegato a entità di sicurezza specifiche.

Per facilitare il recupero delle password di ripristino di BitLocker da Active Directory Domain Services, è possibile usare lo strumento Visualizzatore password di ripristino di BitLocker . Lo strumento è incluso nello snap-in Strumenti di amministrazione remota del server ed è un'estensione per lo snap-in Utenti e computer di Active Directory Microsoft Management Console (MMC).

Con BitLocker Recovery Password Viewer è possibile:

  • Controllare le proprietà dell'oggetto computer Active Directory per recuperare le password di ripristino di BitLocker associate
  • Cercare la password di ripristino di BitLocker in Active Directory in tutti i domini della foresta di Active Directory

Le procedure seguenti descrivono le attività più comuni eseguite tramite il Visualizzatore password di ripristino di BitLocker.

Visualizzare le password di ripristino per un oggetto computer
  1. Aprire Utenti e computer di Active Directory snap-in MMC e selezionare il contenitore o l'unità organizzativa in cui si trovano gli oggetti computer
  2. Fare clic con il pulsante destro del mouse sull'oggetto computer e scegliere Proprietà
  3. Nella finestra di dialogo Proprietà selezionare la scheda Ripristino BitLocker per visualizzare le password di ripristino di BitLocker associate al computer
Individuare una password di ripristino usando un ID password
  1. In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sul contenitore di dominio e scegliere Trova password di ripristino di BitLocker
  2. Nella finestra di dialogo Trova password di ripristino di BitLocker digitare i primi otto caratteri della password di ripristino nella casella ID password (primi 8 caratteri) e selezionare Cerca

Agenti di recupero dati

Se i dispositivi sono configurati con un dra, l'helpdesk può usare il dra per sbloccare l'unità. Dopo aver collegato l'unità BitLocker a un dispositivo con la chiave privata del certificato dra, l'unità può essere sbloccata usando il manage-bde.exe comando .

Ad esempio, per elencare il dra configurato per un'unità protetta da BitLocker, usare il comando seguente:

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

Se la chiave privata del certificato con identificazione personale di f46563b1d4791d5bd827f32265341ff9068b0c42 è disponibile nell'archivio certificati locale, un amministratore può usare il comando seguente per sbloccare l'unità con la protezione DRA:

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

Attività post-ripristino

Quando un volume viene sbloccato usando una password di ripristino:

  • un evento viene scritto nel registro eventi
  • le misure di convalida della piattaforma vengono reimpostate nel TPM in modo che corrispondano alla configurazione corrente
  • la chiave di crittografia viene rilasciata ed è pronta per la crittografia/decrittografia in tempo reale quando i dati sono scritti/letti da e verso il volume

Dopo lo sblocco del volume, BitLocker si comporta allo stesso modo, indipendentemente dal modo in cui è stato concesso l'accesso.

Se un dispositivo presenta più eventi password di ripristino, un amministratore deve eseguire l'analisi post-ripristino per determinare la causa radice del ripristino. Aggiornare quindi la convalida della piattaforma BitLocker per impedire l'immissione di una password di ripristino ogni volta che il dispositivo viene avviato.

Determinare la causa radice del ripristino

Se un utente doveva ripristinare l'unità, è importante determinare la causa radice che ha avviato il ripristino il prima possibile. L'analisi corretta dello stato del computer e il rilevamento delle manomissioni potrebbero rivelare minacce che hanno implicazioni più ampie per la sicurezza aziendale.

Anche se in alcuni casi un amministratore può analizzare in remoto la causa del ripristino, l'utente potrebbe dover portare il dispositivo che contiene l'unità ripristinata sul sito per analizzare ulteriormente la causa radice. Ecco alcune domande che possono essere usate per determinare la causa radice del ripristino:

☑️ Domanda
🔲 Quale modalità di protezione BitLocker è configurata (TPM, TPM + PIN, TPM + chiave di avvio, solo chiave di avvio)?
🔲 Se la modalità TPM è configurata, il ripristino è stato causato da una modifica del file di avvio?
🔲 Quale profilo PCR è in uso nel dispositivo?
🔲 L'utente ha semplicemente dimenticato il PIN o ha perso la chiave di avvio?
🔲 Se il ripristino è stato causato da una modifica del file di avvio, la modifica del file di avvio è dovuta a un'azione dell'utente prevista (ad esempio, l'aggiornamento del BIOS) o a un software dannoso?
🔲 Quando l'utente è stato in grado di avviare il dispositivo per l'ultima volta correttamente e cosa potrebbe essere successo al dispositivo da allora?
🔲 L'utente potrebbe aver riscontrato software dannoso o aver lasciato il dispositivo incustodito dall'ultimo avvio riuscito?

Per rispondere a queste domande, è possibile usare il manage-bde.exe -status comando per visualizzare la modalità di configurazione e protezione corrente. Analizzare il registro eventi per trovare gli eventi che consentono di indicare il motivo per cui è stato avviato il ripristino, ad esempio se si è verificata una modifica del file di avvio.

Risolvere la causa radice

Dopo aver identificato la causa del ripristino, è possibile reimpostare la protezione BitLocker per evitare il ripristino a ogni avvio.

I dettagli della reimpostazione possono variare in base alla causa radice del ripristino. Se non è possibile determinare la causa radice o se un software dannoso o un rootkit infetta il dispositivo, il supporto tecnico deve applicare criteri di virus di procedure consigliate per reagire in modo appropriato.

Nota

La reimpostazione del profilo di convalida di BitLocker può essere eseguita sospendendo e riprendendo BitLocker.

Causa radice

Passaggi

PIN sconosciuto

Se un utente ha dimenticato il PIN, il PIN deve essere reimpostato durante l'accesso al computer per impedire a BitLocker di avviare il ripristino ogni volta che il computer viene riavviato.

Per impedire il ripristino continuo a causa di un PIN sconosciuto:

  1. Sbloccare il dispositivo usando la password di ripristino
  2. Nell'applet BitLocker Pannello di controllo espandere l'unità e quindi selezionare Cambia PIN
  3. Nella finestra di dialogo Crittografia unità BitLocker selezionare Reimposta un PIN dimenticato. Se l'account connesso non è un account amministratore, è necessario specificare le credenziali amministrative
  4. Nella finestra di dialogo di reimpostazione del PIN specificare e confermare il nuovo PIN da usare e quindi selezionare Fine
  5. Il nuovo PIN può essere usato la volta successiva in cui l'unità deve essere sbloccata

Chiave di avvio persa

Se l'unità flash USB che contiene la chiave di avvio viene persa, è possibile sbloccare l'unità usando la chiave di ripristino. È quindi possibile creare un nuovo avvio usando PowerShell, il prompt dei comandi o l'applet BitLocker Pannello di controllo.

Per esempi su come aggiungere protezioni BitLocker, vedere la guida alle operazioni di BitLocker

Modifiche ai file di avvio

Questo errore si verifica se il firmware viene aggiornato. BitLocker deve essere sospeso prima di apportare modifiche al firmware. La protezione deve quindi essere ripresa al termine dell'aggiornamento del firmware. La sospensione di BitLocker impedisce al dispositivo di passare alla modalità di ripristino. Tuttavia, se si verificano modifiche quando la protezione BitLocker è attiva, la password di ripristino può essere usata per sbloccare l'unità e il profilo di convalida della piattaforma viene aggiornato in modo che il ripristino non venga eseguito la volta successiva.

Per esempi su come sospendere e riprendere le protezioni BitLocker, vedere la guida alle operazioni di BitLocker

Ruotare le password

Gli amministratori possono configurare un'impostazione di criteri per abilitare la rotazione automatica delle password di ripristino per Microsoft Entra dispositivi aggiunti e Microsoft Entra aggiunti ibridi.
Quando è abilitata la rotazione automatica delle password di ripristino, i dispositivi ruotano automaticamente la password di ripristino dopo l'uso della password per sbloccare l'unità. Questo comportamento consente di evitare che la stessa password di ripristino venga usata più volte, il che può costituire un rischio per la sicurezza.

Per altre informazioni, vedere Configurare la rotazione delle password di ripristino.

Un'altra opzione consiste nell'avviare la rotazione delle password di ripristino per i singoli dispositivi in remoto usando Microsoft Intune o Microsoft Configuration Manager.

Per altre informazioni su come ruotare le password di ripristino di BitLocker usando Microsoft Intune o Microsoft Configuration Manager, vedere:

Strumento di ripristino di BitLocker

Se i metodi di ripristino descritti in precedenza in questo documento non sbloccano il volume, è possibile usare lo strumento ripristino BitLocker (repair-bde.exe) per decrittografare il volume a livello di blocco. Lo strumento usa il pacchetto di chiavi BitLocker per ripristinare i dati crittografati da unità gravemente danneggiate.

I dati recuperati possono quindi essere usati per salvare i dati crittografati, anche se la password di ripristino corretta non riesce a sbloccare il volume danneggiato. È consigliabile salvare ancora la password di ripristino, perché non è possibile usare un pacchetto di chiavi senza la password di ripristino corrispondente.

Usare lo strumento Di ripristino nelle condizioni seguenti:

  • L'unità è crittografata tramite BitLocker
  • Windows non viene avviato o la schermata di ripristino di BitLocker non viene avviata
  • Non è disponibile una copia di backup dei dati contenuti nell'unità crittografata

Nota

I danni all'unità potrebbero non essere correlati a BitLocker. È quindi consigliabile provare altri strumenti per diagnosticare e risolvere il problema con l'unità prima di usare lo strumento di ripristino BitLocker. Windows Recovery Environment (Windows RE) offre altre opzioni per ripristinare Windows.

Per Repair-bde esistono le limitazioni seguenti:

  • non è in grado di ripristinare un'unità non riuscita durante il processo di crittografia o decrittografia
  • presuppone che se l'unità dispone di crittografia, l'unità è completamente crittografata

Per un elenco completo delle repair-bde.exe opzioni, vedere informazioni di riferimento su Repair-bde.

Nota

Per esportare un pacchetto di chiavi da Servizi di dominio Active Directory, è necessario avere accesso in lettura alle password di ripristino di BitLocker e ai pacchetti di chiavi archiviati in Servizi di dominio Active Directory. Per impostazione predefinita, solo gli amministratori di dominio hanno accesso alle informazioni di ripristino di BitLocker, ma l'accesso può essere delegato ad altri utenti.