Guida alle operazioni di BitLocker

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Sono disponibili diversi strumenti e opzioni per gestire e gestire BitLocker:

• modulo Di PowerShell bitlocker
• Strumenti di crittografia dell'unità BitLocker
• Pannello di controllo

Gli strumenti di crittografia dell'unità BitLocker e il modulo PowerShell BitLocker possono essere usati per eseguire qualsiasi attività che può essere eseguita tramite il Pannello di controllo BitLocker. Sono appropriati per l'uso per distribuzioni automatizzate e altri scenari di scripting.
L'applet BitLocker Pannello di controllo consente agli utenti di eseguire attività di base, ad esempio attivare BitLocker in un'unità e specificare metodi di sblocco e metodi di autenticazione. L'applet BitLocker Pannello di controllo è appropriata per l'uso per le attività di base di BitLocker.

Questo articolo descrive gli strumenti di gestione di BitLocker e come usarli, fornendo esempi pratici.

Modulo Di PowerShell di BitLocker

Il modulo BitLocker PowerShell consente agli amministratori di integrare facilmente le opzioni di BitLocker negli script esistenti. Per un elenco dei cmdlet inclusi nel modulo, la relativa descrizione e sintassi, vedere l'articolo di riferimento su PowerShell di BitLocker.

Strumenti di crittografia delle unità BitLocker

Gli strumenti di crittografia delle unità BitLocker includono i due strumenti da riga di comando:

• Lo strumento di configurazione (manage-bde.exe) può essere usato per lo scripting di operazioni BitLocker, offrendo opzioni non presenti nell'applet Pannello di controllo BitLocker. Per un elenco completo delle manage-bde.exe opzioni, vedere le informazioni di riferimento su Manage-bde
• Strumento di ripristino (repair-bde.exe) è utile per gli scenari di ripristino di emergenza, in cui un'unità protetta bitLocker non può essere sbloccata normalmente o usando la console di ripristino di emergenza

Applet Pannello di controllo BitLocker

La crittografia dei volumi con il Pannello di controllo BitLocker (selezionare Start, immettere BitLocker, selezionare Gestisci BitLocker) indica il numero di utenti che useranno BitLocker. Il nome dell'applet Pannello di controllo BitLocker è Crittografia unità BitLocker. L'applet supporta la crittografia del sistema operativo, dei dati fissi e dei volumi di dati rimovibili. Il Pannello di controllo BitLocker organizza le unità disponibili nella categoria appropriata in base al modo in cui il dispositivo si riferisce a Windows. Solo i volumi formattati con lettere di unità assegnate vengono visualizzati correttamente nell'applet BitLocker Pannello di controllo.

Usare BitLocker in Esplora risorse

Esplora risorse consente agli utenti di avviare la Crittografia guidata unità BitLocker facendo clic con il pulsante destro del mouse su un volume e scegliendo Attiva BitLocker. Questa opzione è disponibile nei computer client per impostazione predefinita. Nei server, la funzionalità BitLocker e la funzionalità Desktop-Experience devono prima essere installate per rendere disponibile questa opzione. Dopo aver selezionato Attiva BitLocker, la procedura guidata funziona esattamente come quando viene avviata usando l'Pannello di controllo BitLocker.

Controllare lo stato di BitLocker

Per controllare lo stato di BitLocker di un determinato volume, gli amministratori possono esaminare lo stato dell'unità nell'applet Pannello di controllo BitLocker, in Esplora risorse, manage-bde.exe nello strumento da riga di comando o nei cmdlet di Windows PowerShell. Ogni opzione offre diversi livelli di dettaglio e facilità d'uso.

Seguire le istruzioni seguenti per verificare lo stato di BitLocker, selezionando lo strumento desiderato.

PowerShell

Per determinare lo stato corrente di un volume, è possibile usare il Get-BitLockerVolume cmdlet , che fornisce informazioni sul tipo di volume, le protezioni, lo stato di protezione e altri dettagli. Ad esempio:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Prompt dei comandi

Con manage-bde.exe è possibile determinare lo stato del volume nel sistema di destinazione, ad esempio:

manage-bde.exe -status

Questo comando restituisce i volumi nella destinazione, nello stato di crittografia corrente, nel metodo di crittografia e nel tipo di volume (sistema operativo o dati) per ogni volume.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Pannello di controllo

La verifica dello stato di BitLocker con il Pannello di controllo è un metodo comune usato dalla maggior parte degli utenti. Una volta aperto, lo stato per ogni volume viene visualizzato accanto alla descrizione del volume e alla lettera di unità. I valori restituiti dello stato disponibili con applet includono:

Stato	Descrizione
Attivata	BitLocker è abilitato per il volume
Disattivato	BitLocker non è abilitato per il volume
Suspended	BitLocker è sospeso e non protegge attivamente il volume
In attesa di attivazione	BitLocker è abilitato con una chiave di protezione chiara e richiede un'ulteriore azione per la protezione completa

Se viene effettuato il preprovisioning di un'unità con BitLocker, viene visualizzato lo stato In attesa dell'attivazione con un'icona esclamativo gialla sul volume. Questo stato significa che è stata usata solo una protezione chiara durante la crittografia del volume. In questo caso, il volume non è protetto e deve avere una chiave sicura aggiunta al volume prima che l'unità sia completamente protetta. Gli amministratori possono usare il Pannello di controllo, PowerShell o manage-bde.exe per aggiungere una protezione della chiave appropriata. Al termine, il Pannello di controllo viene aggiornato in modo da riflettere il nuovo stato.

Abilitare BitLocker

Unità del sistema operativo con protezione TPM

L'esempio seguente illustra come abilitare BitLocker in un'unità del sistema operativo usando solo la protezione TPM e nessuna chiave di ripristino:

PowerShell

Enable-BitLocker C: -TpmProtector

Prompt dei comandi

manage-bde.exe -on C:

Pannello di controllo

Dall'applet Crittografia unità BitLocker Pannello di controllo:

1. Espandere l'unità del sistema operativo e selezionare l'opzione Attiva BitLocker

2. Quando richiesto, selezionare l'opzione Consenti a BitLocker di sbloccare automaticamente l'unità

3. Eseguire il backup della chiave di ripristino usando uno dei metodi seguenti:

   • Salva nell'account Microsoft Entra ID o nell'account Microsoft (se applicabile)
   • Salvare in un'unità flash USB
   • Salva in un file : il file deve essere salvato in un percorso che non si trova nel dispositivo stesso, ad esempio una cartella di rete
   • Stampare la chiave di ripristino

4. Selezionare Avanti

5. Scegliere una delle opzioni per crittografare solo lo spazio su disco usato o crittografare l'intera unità e selezionare Avanti

   • Crittografa solo lo spazio su disco usato : crittografa solo lo spazio su disco che contiene dati
   • Crittografa l'intera unità : crittografa l'intero volume, incluso lo spazio disponibile. Noto anche come crittografia completa del disco

   Ognuno dei metodi è consigliato negli scenari seguenti:

   • Crittografa solo lo spazio su disco usato:

     • L'unità non ha mai avuto dati
     • Unità formattate o cancellate che in passato non hanno mai avuto dati riservati che non sono mai stati crittografati

   • Crittografare l'intera unità (crittografia completa del disco):

     • Unità che attualmente dispongono di dati
     • Unità che attualmente dispongono di un sistema operativo
     • Unità formattate o cancellate che in passato avevano dati riservati che non erano mai stati crittografati

   Importante

   I file eliminati vengono visualizzati come spazio disponibile per il file system, che non è crittografato solo dallo spazio su disco usato. Fino a quando non vengono cancellati o sovrascritti, i file eliminati contengono informazioni che potrebbero essere recuperate con strumenti forensi dei dati comuni.

6. Selezionare una modalità di crittografia e selezionare Avanti

   • Nuova modalità di crittografia
   • Modalità compatibile

   Nota

   In genere è consigliabile scegliere Nuova modalità di crittografia , ma se l'unità verrà potenzialmente spostata in un altro dispositivo con un sistema operativo Windows precedente, selezionare Modalità compatibile

7. Selezionare Continua>riavvia ora

8. Dopo il riavvio, il sistema operativo esegue un controllo del sistema BitLocker e avvia la crittografia

Gli utenti possono controllare lo stato della crittografia usando l'applet BitLocker Pannello di controllo.

Nota

Dopo aver creato una chiave di ripristino, è possibile usare la Pannello di controllo BitLocker per creare copie aggiuntive della chiave di ripristino.

Unità del sistema operativo con protezione TPM e chiave di avvio

Nell'esempio seguente viene illustrato come abilitare BitLocker in un'unità del sistema operativo usando le protezioni TPM e della chiave di avvio .

Supponendo che la lettera dell'unità del sistema operativo sia C: e che l'unità flash USB sia lettera E:di unità, ecco il comando:

PowerShell

Se si sceglie di ignorare il test hardware di BitLocker, la crittografia viene avviata immediatamente senza la necessità di un riavvio.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Prompt dei comandi

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

Se richiesto, riavviare il computer per completare il processo di crittografia.

Nota

Al termine della crittografia, è necessario inserire la chiave di avvio USB prima di avviare il sistema operativo.

Pannello di controllo

L'applet Pannello di controllo non consente di abilitare BitLocker e di aggiungere contemporaneamente una protezione della chiave di avvio. Per aggiungere una protezione con chiave di avvio, seguire questa procedura:

• Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'opzione Modifica modalità di sblocco dell'unità all'avvio nell'unità del sistema operativo
• Quando richiesto, selezionare l'opzione Inserisci un'unità flash USB
• Selezionare l'unità USB in cui archiviare la chiave di avvio e selezionare Salva

Dopo il riavvio, viene visualizzata la schermata di avvio preliminare di BitLocker e prima di avviare il sistema operativo è necessario inserire la chiave di avvio USB:

Volumi di dati

I volumi di dati usano un processo simile per la crittografia come volumi del sistema operativo, ma non richiedono protezioni per il completamento dell'operazione.

PowerShell

Aggiungere le protezioni desiderate prima di crittografare il volume. Nell'esempio seguente viene aggiunta una protezione password al E: volume usando la variabile $pw come password. La $pw variabile viene mantenuta come valore SecureString per archiviare la password definita dall'utente:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Nota

Il cmdlet BitLocker richiede l'esecuzione del GUID della protezione della chiave racchiuso tra virgolette. Assicurarsi che l'intero GUID, con parentesi graffe, sia incluso nel comando .

Esempio: Usare PowerShell per abilitare BitLocker con una protezione TPM

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

Esempio: usare PowerShell per abilitare BitLocker con una protezione TPM+PIN, in questo caso con un PIN impostato su 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Prompt dei comandi

La crittografia dei volumi di dati può essere eseguita usando il comando di base:

manage-bde.exe -on <drive letter>

o altre protezioni possono essere aggiunte prima al volume. È consigliabile aggiungere almeno una protezione primaria più una protezione di ripristino a un volume di dati.

Pannello di controllo

La crittografia dei volumi di dati tramite il Pannello di controllo BitLocker funziona in modo analogo alla crittografia dei volumi del sistema operativo. Gli utenti selezionano Attiva BitLocker all'interno del Pannello di controllo BitLocker per avviare la Crittografia guidata unità BitLocker.

Gestire le protezioni BitLocker

La gestione delle protezioni BitLocker consiste nell'aggiunta, nella rimozione e nel backup delle protezioni.

Le protezioni BitLocker gestite usando le istruzioni seguenti, selezionando l'opzione più adatta alle proprie esigenze.

Elencare le protezioni

L'elenco delle protezioni disponibili per un volume (C: nell'esempio) può essere elencato eseguendo il comando seguente:

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

Prompt dei comandi

 manage-bde.exe -protectors -get C:

Pannello di controllo

Queste informazioni non sono disponibili nel Pannello di controllo.

Aggiungere protezioni

Aggiungere una protezione password di ripristino

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Prompt dei comandi

manage-bde.exe -protectors -add -recoverypassword C:

Pannello di controllo

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare il volume in cui si vuole aggiungere una protezione e selezionare l'opzione Backup della chiave di ripristino.

Aggiungere una protezione password

Una protezione comune per un volume di dati è la protezione password. Nell'esempio successivo viene aggiunta una protezione password a un volume.

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Prompt dei comandi

manage-bde.exe -protectors -add -pw D:

Pannello di controllo

Nell'applet Crittografia unità BitLocker Pannello di controllo espandere l'unità in cui si vuole aggiungere una protezione password e selezionare l'opzione Aggiungi password. Quando richiesto, immettere e confermare una password per sbloccare l'unità. Selezionare Fine per completare il processo.

Aggiungere una protezione active directory

La protezione active directory è una protezione basata su SID che può essere aggiunta sia al sistema operativo che ai volumi di dati, anche se non sblocca i volumi del sistema operativo nell'ambiente di preavavio. La protezione richiede che il SID per l'account o il gruppo di dominio sia collegato alla protezione. BitLocker può proteggere un disco compatibile con il cluster aggiungendo una protezione basata su SID per l'oggetto Nome cluster (CNO) che consente al disco di eseguire correttamente il failover e lo sblocco in qualsiasi computer membro del cluster.

Importante

La protezione basata su SID richiede l'uso di una protezione aggiuntiva, ad esempio TPM, PIN, chiave di ripristino e così via, se usata nei volumi del sistema operativo.

Nota

Questa opzione non è disponibile per Microsoft Entra dispositivi aggiunti.

In questo esempio viene aggiunta una protezione basata su SID di dominio a un volume crittografato in precedenza. L'utente conosce il SID per l'account utente o il gruppo da aggiungere e usa il comando seguente:

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Per aggiungere la protezione a un volume, sono necessari il SID di dominio o il nome del gruppo preceduto dal dominio e una barra rovesciata. Nell'esempio seguente l'account CONTOSO\Administrator viene aggiunto come protezione al volume di dati G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Per usare il SID per l'account o il gruppo, il primo passaggio consiste nel determinare il SID associato all'entità di sicurezza. Per ottenere il SID specifico per un account utente in Windows PowerShell, usare il comando seguente:

Get-ADUser -filter {samaccountname -eq "administrator"}

Nota

L'uso di questo comando richiede la funzionalità RSAT-AD-PowerShell.

Suggerimento

Le informazioni sull'appartenenza a gruppi e utenti connessi localmente sono disponibili usando: whoami.exe /all.

Prompt dei comandi

manage-bde.exe -protectors -add -sid <user or group>

Pannello di controllo

Questa opzione non è disponibile nel Pannello di controllo.

Rimuovere le protezioni

PowerShell

Per rimuovere le protezioni esistenti in un volume, usare il Remove-BitLockerKeyProtector cmdlet . È necessario specificare un GUID associato alla protezione da rimuovere.

I comandi seguenti restituiscono l'elenco di protezioni chiave e GUID:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Usando queste informazioni, la protezione della chiave per un volume specifico può essere rimossa usando il comando :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Nota

Il cmdlet BitLocker richiede l'esecuzione del GUID della protezione della chiave racchiuso tra virgolette. Assicurarsi che l'intero GUID, con parentesi graffe, sia incluso nel comando .

Prompt dei comandi

I comandi seguenti restituiscono l'elenco delle protezioni chiave:

manage-bde.exe -status C:

Il comando seguente rimuove la protezione delle chiavi di un determinato tipo:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Pannello di controllo

Dall'applet Crittografia unità BitLocker Pannello di controllo espandere l'unità in cui si vuole rimuovere una protezione e selezionare l'opzione per rimuoverla, se disponibile.

Nota

È necessario disporre di almeno un metodo di sblocco per qualsiasi unità crittografata con BitLocker.

Sospendere e riprendere

Alcune modifiche alla configurazione potrebbero richiedere la sospensione di BitLocker e quindi la ripresa dopo l'applicazione della modifica.

Sospendere e riprendere BitLocker usando le istruzioni seguenti, selezionando l'opzione più adatta alle proprie esigenze.

Sospendere BitLocker

PowerShell

Suspend-BitLocker -MountPoint D

Prompt dei comandi

manage-bde.exe -protectors -disable d:

Pannello di controllo

È possibile sospendere la protezione BitLocker per l'unità del sistema operativo solo quando si usa il Pannello di controllo.

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'unità del sistema operativo e selezionare l'opzione Sospendi protezione.

Riprendi BitLocker

PowerShell

Resume-BitLocker -MountPoint D

Prompt dei comandi

manage-bde.exe -protectors -enable d:

Pannello di controllo

Nell'applet Crittografia unità BitLocker Pannello di controllo selezionare l'unità del sistema operativo e selezionare l'opzione Riprendi protezione.

Reimpostare ed eseguire il backup di una password di ripristino

È consigliabile invalidare una password di ripristino dopo l'uso. In questo esempio la protezione password di ripristino viene rimossa dall'unità del sistema operativo, viene aggiunta una nuova protezione ed è stato eseguito il backup in Microsoft Entra ID o Active Directory.

PowerShell

Rimuovere tutte le password di ripristino dal volume del sistema operativo:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Aggiungere una protezione password di ripristino di BitLocker per il volume del sistema operativo:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Ottenere l'ID della nuova password di ripristino:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Nota

Questa procedura successiva non è necessaria se l'impostazione dei criteri Scegliere come ripristinare le unità del sistema operativo protette da BitLocker è configurata per richiedere il backup di BitLocker in Active Directory Domain Services.

Copiare l'ID della password di ripristino dall'output.

Usando il GUID del passaggio precedente, sostituire {ID} nel comando seguente e usare il comando seguente per eseguire il backup della password di ripristino per Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

In alternativa, usare il comando seguente per eseguire il backup della password di ripristino in Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Nota

Le parentesi {} graffe devono essere incluse nella stringa ID.

Prompt dei comandi

Rimuovere tutte le password di ripristino dal volume del sistema operativo:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Aggiungere una protezione password di ripristino di BitLocker per il volume del sistema operativo:

manage-bde.exe -protectors -add C: -RecoveryPassword

Ottenere l'ID della nuova password di ripristino:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Nota

Questa procedura non è necessaria se l'impostazione dei criteri Scegliere come ripristinare le unità del sistema operativo protette da BitLocker è configurata per richiedere il backup di BitLocker in Active Directory Domain Services.

Usando il GUID del passaggio precedente, sostituire {ID} nel comando seguente e usare il comando seguente per eseguire il backup della password di ripristino per Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

In alternativa, usare il comando seguente per eseguire il backup della password di ripristino in Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Nota

Le parentesi {} graffe devono essere incluse nella stringa ID.

Pannello di controllo

Questo processo non può essere eseguito usando il Pannello di controllo. Usare invece una delle altre opzioni.

Disabilitare BitLocker

La disabilitazione di BitLocker decrittografa e rimuove tutte le protezioni associate dai volumi. La decrittografia deve verificarsi quando la protezione non è più necessaria e non come passaggio per la risoluzione dei problemi.

Disabilitare BitLocker usando le istruzioni seguenti, selezionando l'opzione più adatta alle proprie esigenze.

PowerShell

Windows PowerShell offre la possibilità di decrittografare più unità in un unico passaggio. Nell'esempio seguente l'utente dispone di tre volumi crittografati, che desidera decrittografare.

Usando il comando Disable-BitLocker, è possibile rimuovere contemporaneamente tutte le protezioni e la crittografia senza la necessità di altri comandi. Un esempio di questo comando è:

Disable-BitLocker

Per evitare di specificare singolarmente ogni punto di montaggio, usare il -MountPoint parametro in una matrice per sequenziare lo stesso comando in una riga, senza richiedere un input utente aggiuntivo. Esempio:

Disable-BitLocker -MountPoint C,D

Prompt dei comandi

La decrittografia con manage-bde.exe offre il vantaggio di non richiedere la conferma dell'utente per avviare il processo. Manage-bde usa il comando -off per avviare il processo di decrittografia. Un comando di esempio per la decrittografia è:

manage-bde.exe -off C:

Questo comando disabilita le protezioni mentre decrittografa il volume e rimuove tutte le protezioni al termine della decrittografia.

Pannello di controllo

La decrittografia di BitLocker tramite il Pannello di controllo viene eseguita usando una procedura guidata. Dopo aver aperto l'applet Pannello di controllo BitLocker, selezionare l'opzione Disattiva BitLocker per avviare il processo. Per continuare, selezionare la finestra di dialogo di conferma. Dopo la conferma di Disattiva BitLocker , viene avviato il processo di decrittografia dell'unità.

Al termine della decrittografia, l'unità aggiorna lo stato nel Pannello di controllo e diventa disponibile per la crittografia.