Panoramica di Crittografia dispositivo BitLocker in Windows 10
Si applica a:
- Windows 10
- Windows 11
- Windows Server 2016 e successive
Questo articolo illustra in che modo Crittografia dispositivi BitLocker consente di proteggere i dati nei dispositivi che eseguono Windows. Vedere BitLocker per una panoramica generale e un elenco di articoli.
Quando gli utenti viaggiano, i dati riservati dell'organizzazione vengono associati a loro. Ovunque i dati riservati siano archiviati, devono essere protetti da accessi non autorizzati. Windows ha una lunga storia di fornitura di soluzioni di protezione dei dati inattivi che protegge dagli utenti malintenzionati nefasti, a partire dal file system di crittografia nel sistema operativo Windows 2000. Più di recente, BitLocker ha fornito la crittografia per le unità complete e le unità portabili. Windows migliora costantemente la protezione dei dati migliorando le opzioni esistenti e fornendo nuove strategie.
Protezione dei dati in Windows 11, Windows 10 e Windows 7
La tabella seguente elenca i problemi specifici di protezione dei dati e il modo in cui vengono risolti in Windows 11, Windows 10 e Windows 7.
| Windows 7 | Windows 11 e Windows 10 |
|---|---|
| Quando BitLocker viene usato con un PIN per proteggere l'avvio, i PC come i chioschi multimediali non possono essere riavviati in remoto. | I dispositivi Windows moderni sono sempre più protetti con Crittografia dispositivi BitLocker e supportano l'accesso SSO per proteggere facilmente le chiavi di crittografia BitLocker da attacchi di avvio a freddo. Sblocco di rete consente l'avvio automatico dei PC quando sono connessi alla rete interna. |
| Quando BitLocker è abilitato, il processo di provisioning può richiedere diverse ore. | Il preprovisioning di BitLocker, la crittografia dei dischi rigidi e la crittografia solo spazio usato consentono agli amministratori di abilitare rapidamente BitLocker nei nuovi computer. |
| Non è disponibile alcun supporto per l'uso di BitLocker con unità con crittografia automatica (SED). | BitLocker supporta l'offload della crittografia nei dischi rigidi crittografati. |
| Gli amministratori devono usare strumenti separati per gestire i dischi rigidi crittografati. | BitLocker supporta i dischi rigidi crittografati con l'hardware di crittografia di onboarding integrato, che consente agli amministratori di usare i familiari strumenti di amministrazione di BitLocker per gestirli. |
| La crittografia di una nuova unità flash può richiedere più di 20 minuti. | La crittografia usata solo spazio in BitLocker To Go consente agli utenti di crittografare le unità dati rimovibili in pochi secondi. |
| BitLocker potrebbe richiedere agli utenti di immettere una chiave di ripristino quando si verificano modifiche alla configurazione del sistema. | BitLocker richiede all'utente di immettere una chiave di ripristino solo in caso di danneggiamento del disco o di perdita del PIN o della password. |
| Gli utenti devono immettere un PIN per avviare il PC e quindi la password per accedere a Windows. | I dispositivi Windows moderni sono sempre più protetti con Crittografia dispositivi BitLocker e supportano l'accesso SSO per proteggere le chiavi di crittografia BitLocker dagli attacchi di avvio a freddo. |
Preparare la crittografia di unità e file
Il tipo migliore di misure di sicurezza è trasparente per l'utente durante l'implementazione e l'uso. Ogni volta che si verifica un possibile ritardo o difficoltà a causa di una funzionalità di sicurezza, è molto probabile che gli utenti tenteranno di ignorare la sicurezza. Questa situazione è particolarmente vera per la protezione dei dati e questo è uno scenario che le organizzazioni devono evitare. Se si prevede di crittografare interi volumi, dispositivi rimovibili o singoli file, Windows 11 e Windows 10 soddisfare queste esigenze fornendo soluzioni semplici e utilizzabili. In effetti, è possibile eseguire in anticipo diversi passaggi per preparare la crittografia dei dati e rendere la distribuzione rapida e uniforme.
Pre-provisioning TPM
In Windows 7 la preparazione del TPM ha offerto alcune sfide:
- Attivare il TPM necessario nel BIOS o nel firmware UEFI del dispositivo. L'attivazione del TPM nel dispositivo richiede a qualcuno di accedere fisicamente alle impostazioni del BIOS o del firmware UEFI del dispositivo per attivare il TPM o installare un driver in Windows per attivare il TPM da Windows.
- Quando il TPM è abilitato, potrebbe essere necessario uno o più riavvii.
Ciò ha reso problematica la preparazione del TPM in Windows 7. Se il personale IT effettua il provisioning di nuovi PC, può gestire i passaggi necessari per la preparazione di un TPM. Tuttavia, se è necessario abilitare BitLocker nei dispositivi che sono già nelle mani degli utenti, questi utenti probabilmente farebbero fatica con le sfide tecniche. L'utente chiamerebbe quindi l'IT per il supporto o lascerebbe BitLocker disabilitato.
Microsoft include strumentazione in Windows 11 e Windows 10 che consentono al sistema operativo di gestire completamente il TPM. Non è necessario accedere al BIOS e tutti gli scenari che richiedevano un riavvio sono stati eliminati.
Distribuire la crittografia del disco rigido
BitLocker è in grado di crittografare intere unità disco rigido, incluse le unità di sistema e dati. Il pre-provisioning di BitLocker può ridurre drasticamente il tempo necessario per effettuare il provisioning di nuovi PC con BitLocker abilitato. Con Windows 11 e Windows 10, gli amministratori possono attivare BitLocker e il TPM dall'ambiente di pre-installazione di Windows prima di installare Windows o come parte di una sequenza di attività di distribuzione automatizzata senza alcuna interazione dell'utente. In combinazione con la crittografia Used Disk Space Only e un'unità per lo più vuota (perché Windows non è ancora installato), l'abilitazione di BitLocker richiede solo pochi secondi.
Con le versioni precedenti di Windows, gli amministratori dovevano abilitare BitLocker dopo l'installazione di Windows. Anche se questo processo potrebbe essere automatizzato, BitLocker dovrebbe crittografare l'intera unità, un processo che potrebbe richiedere da diverse ore a più di un giorno a seconda delle dimensioni e delle prestazioni dell'unità, che ha ritardato la distribuzione. Microsoft ha migliorato questo processo grazie a più funzionalità in Windows 11 e Windows 10.
Crittografia dispositivo BitLocker
A partire da Windows 8.1, Windows abilita automaticamente Crittografia dispositivi BitLocker nei dispositivi che supportano Lo standby moderno. Con Windows 11 e Windows 10, Microsoft offre il supporto di Crittografia dispositivi BitLocker in una gamma molto più ampia di dispositivi, inclusi i dispositivi modern standby e i dispositivi che eseguono l'edizione Home di Windows 10 o Windows 11.
Microsoft prevede che la maggior parte dei dispositivi in futuro supererà i requisiti per Crittografia dispositivi BitLocker che renderanno la crittografia dei dispositivi BitLocker pervasiva nei dispositivi Windows moderni. Crittografia dispositivi BitLocker protegge ulteriormente il sistema implementando in modo trasparente la crittografia dei dati a livello di dispositivo.
A differenza di un'implementazione standard di BitLocker, Crittografia dispositivo BitLocker viene abilitata automaticamente in modo che il dispositivo sia sempre protetto. L'elenco seguente illustra come bitLocker Device Encryption viene abilitato automaticamente:
Quando viene completata un'installazione pulita di Windows 11 o Windows 10 e l'esperienza predefinita è completata, il computer viene preparato per il primo utilizzo. Come parte di questa preparazione, Crittografia dispositivo BitLocker viene inizializzata nell'unità del sistema operativo e nelle unità dati fisse nel computer con una chiave chiara equivalente allo stato di sospensione standard di BitLocker. In questo stato, l'unità viene visualizzata con un'icona di avviso in Esplora risorse. L'icona di avviso gialla viene rimossa dopo la creazione della protezione TPM e il backup della chiave di ripristino, come illustrato nei punti elenco seguenti.
Se il dispositivo non è aggiunto a un dominio, è necessario un account Microsoft a cui sono stati concessi privilegi amministrativi nel dispositivo. Quando l'amministratore usa un account Microsoft per accedere, la chiave non crittografata viene rimossa, viene caricata una chiave di ripristino nell'account Microsoft online e viene creata una protezione TPM. Se un dispositivo richiede la chiave di ripristino, l'utente verrà guidato a usare un dispositivo alternativo e a passare a un URL di accesso alla chiave di ripristino per recuperare la chiave di ripristino usando le credenziali dell'account Microsoft.
Se l'utente usa un account di dominio per accedere, la chiave non crittografato non viene rimossa fino a quando l'utente non aggiunge il dispositivo a un dominio e viene eseguito correttamente il backup della chiave di ripristino in Active Directory Domain Services (AD DS). Per eseguire il backup della chiave di ripristino in Servizi di dominio Active Directory, è necessario abilitare le impostazioni di Criteri di gruppo seguenti:
Configurazione> computer Modelli> amministrativi Componenti di> Windows Crittografia >unità BitLocker Unità >del sistema operativoNon abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo
Con questa configurazione, la password di ripristino viene creata automaticamente quando il computer viene aggiunto al dominio e quindi viene eseguito il backup della chiave di ripristino in Active Directory Domain Services, viene creata la protezione TPM e viene rimossa la chiave non crittografato.
Analogamente all'accesso con un account di dominio, la chiave non crittografa viene rimossa quando l'utente accede a un account Azure AD nel dispositivo. Come descritto nel punto elenco precedente, la password di ripristino viene creata automaticamente quando l'utente esegue l'autenticazione in Azure AD. Viene quindi eseguito il backup della chiave di ripristino in Azure AD, viene creata la protezione TPM e la chiave non crittografato viene rimossa.
Microsoft consiglia di abilitare automaticamente Crittografia dispositivi BitLocker in tutti i sistemi che lo supportano. È tuttavia possibile impedire il processo di crittografia automatica dei dispositivi BitLocker modificando l'impostazione del Registro di sistema seguente:
- Sottochiave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker - Tipo:
REG_DWORD - Valore:
PreventDeviceEncryptionuguale a1(True)
Gli amministratori possono gestire i dispositivi aggiunti a un dominio con Crittografia dispositivi BitLocker abilitata tramite l'amministrazione e il monitoraggio di Microsoft BitLocker (MBAM). In questo caso, Crittografia dispositivi BitLocker rende disponibili automaticamente altre opzioni di BitLocker. Non è necessaria alcuna conversione o crittografia e MBAM può gestire l'intero set di criteri BitLocker se sono necessarie modifiche alla configurazione.
Nota
Crittografia dispositivi BitLocker usa il metodo di crittografia XTS-AES a 128 bit. Se è necessario un metodo di crittografia e/o un livello di crittografia diverso, ma il dispositivo è già crittografato, è necessario decrittografarlo prima di poter applicare il nuovo metodo di crittografia e/o il livello di crittografia. Dopo che il dispositivo è stato decrittografato, è possibile applicare diverse impostazioni di BitLocker.
Crittografia usata solo spazio su disco
BitLocker nelle versioni precedenti di Windows potrebbe richiedere molto tempo per crittografare un'unità perché crittografa ogni byte del volume, incluse le aree che non disponevano di dati. La crittografia di ogni byte nel volume, incluse le aree che non disponevano di dati, è nota come crittografia completa del disco. La crittografia completa del disco è ancora il modo più sicuro per crittografare un'unità, soprattutto se un'unità contiene in precedenza dati riservati che da allora sono stati spostati o eliminati. Se un'unità in precedenza aveva dati riservati che sono stati spostati o eliminati, le tracce dei dati riservati potrebbero rimanere in parti dell'unità contrassegnate come inutilizzate.
Per ridurre il tempo di crittografia, BitLocker in Windows 11 e Windows 10 consentire agli utenti di scegliere di crittografare solo le aree del disco che contengono dati. Le aree del disco che non contengono dati e sono vuote non verranno crittografate. Tutti i nuovi dati vengono crittografati durante la creazione. A seconda della quantità di dati nell'unità, questa opzione può ridurre il tempo di crittografia iniziale di oltre il 99%.
Prestare attenzione quando si crittografa solo lo spazio usato in un volume esistente in cui i dati riservati potrebbero essere già stati archiviati in uno stato non crittografato. Quando si usa la crittografia dello spazio usata, i settori in cui vengono archiviati dati non crittografati in precedenza possono essere recuperati tramite strumenti di ripristino del disco fino a quando non vengono sovrascritti da nuovi dati crittografati. Al contrario, la crittografia dello spazio usato solo in un volume nuovo di zecca può ridurre significativamente i tempi di distribuzione senza il rischio per la sicurezza, perché tutti i nuovi dati verranno crittografati durante la scrittura sul disco.
Supporto del disco rigido crittografato
I SED sono disponibili da anni, ma Microsoft non è riuscito a supportarne l'uso con alcune versioni precedenti di Windows perché le unità non disponevano di importanti funzionalità di gestione delle chiavi. Microsoft ha collaborato con i fornitori di archiviazione per migliorare le funzionalità hardware e ora BitLocker supporta la nuova generazione di SED, chiamati dischi rigidi crittografati.
I dischi rigidi crittografati offrono funzionalità di crittografia di onboarding per crittografare i dati nelle unità. Questa funzionalità migliora sia le prestazioni dell'unità che del sistema scaricando i calcoli crittografici dal processore del PC all'unità stessa. I dati vengono crittografati rapidamente dall'unità usando hardware dedicato e appositamente creato. Se si prevede di usare la crittografia a unità intere con Windows 11 o Windows 10, Microsoft consiglia di ricercare i produttori e i modelli di dischi rigidi per determinare se uno dei dischi rigidi crittografati soddisfa i requisiti di sicurezza e budget.
Per altre informazioni sui dischi rigidi crittografati, vedere Disco rigido crittografato.
Protezione delle informazioni di avvio preliminare
Un'implementazione efficace della protezione delle informazioni, come la maggior parte dei controlli di sicurezza, considera l'usabilità e la sicurezza. Gli utenti preferiscono in genere un'esperienza di sicurezza semplice. Infatti, più una soluzione di sicurezza diventa trasparente, più è probabile che gli utenti siano conformi.
È fondamentale che le organizzazioni proteggano le informazioni sui pc indipendentemente dallo stato del computer o dalla finalità degli utenti. Questa protezione non deve essere complessa per gli utenti. Una situazione indesiderata e in precedenza comune è quando all'utente viene richiesto l'input durante l'avvio preliminare e quindi di nuovo durante l'accesso a Windows. È consigliabile evitare di sfidare gli utenti per l'input più di una volta.
Windows 11 e Windows 10 possono abilitare una vera esperienza SSO dall'ambiente di avvio preliminare nei dispositivi moderni e in alcuni casi anche nei dispositivi meno recenti quando sono in atto configurazioni di protezione delle informazioni affidabili. Il TPM in isolamento è in grado di proteggere in modo sicuro la chiave di crittografia BitLocker mentre è inattivi e può sbloccare in modo sicuro l'unità del sistema operativo. Quando la chiave è in uso e quindi in memoria, una combinazione di funzionalità hardware e Windows può proteggere la chiave e impedire l'accesso non autorizzato tramite attacchi di avvio a freddo. Anche se sono disponibili altre contromisure come lo sblocco basato su PIN, non sono semplici da usare; a seconda della configurazione dei dispositivi, potrebbero non offrire sicurezza aggiuntiva quando si tratta di protezione delle chiavi. Per altre informazioni, vedere Contromisure BitLocker.
Gestire password e PIN
Quando BitLocker è abilitato in un'unità di sistema e il PC ha un TPM, gli utenti possono essere tenuti a digitare un PIN prima che BitLocker sblocchi l'unità. Tale requisito di PIN può impedire a un utente malintenzionato che ha accesso fisico a un PC di accedere anche all'accesso a Windows, il che rende quasi impossibile per l'utente malintenzionato accedere o modificare i dati utente e i file di sistema.
La richiesta di un PIN all'avvio è una funzionalità di sicurezza utile perché funge da secondo fattore di autenticazione. Tuttavia, questa configurazione comporta alcuni costi. Uno dei costi più significativi è la necessità di modificare regolarmente il PIN. Nelle aziende che usavano BitLocker con Windows 7 e il sistema operativo Windows Vista, gli utenti dovevano contattare gli amministratori di sistema per aggiornare il PIN o la password di BitLocker. Questo requisito non solo ha aumentato i costi di gestione, ma ha reso gli utenti meno disposti a modificare regolarmente il PIN o la password di BitLocker.
Windows 11 e Windows 10 gli utenti possono aggiornare i PIN e le password di BitLocker, senza credenziali di amministratore. Questa funzionalità non solo ridurrà i costi di supporto, ma potrebbe anche migliorare la sicurezza, perché incoraggia gli utenti a modificare più spesso i PIN e le password. Inoltre, i dispositivi Di standby moderno non richiedono un PIN per l'avvio: sono progettati per iniziare raramente e hanno altre mitigazioni che riducono ulteriormente la superficie di attacco del sistema.
Per altre informazioni sul funzionamento della sicurezza di avvio e sulle contromisure fornite Windows 11 e Windows 10, vedere Proteggere BitLocker dagli attacchi pre-avvio.
Configurare lo sblocco di rete
Alcune organizzazioni hanno requisiti di sicurezza dei dati specifici della posizione. I requisiti di sicurezza dei dati specifici della posizione sono più comuni negli ambienti in cui i dati di valore elevato vengono archiviati nei PC. L'ambiente di rete può fornire una protezione dei dati fondamentale e applicare l'autenticazione obbligatoria. Pertanto, i criteri dichiarano che tali PC non devono lasciare l'edificio o essere disconnessi dalla rete aziendale. Misure di sicurezza come blocchi di sicurezza fisici e geofencing possono aiutare a applicare questo criterio come controlli reattivi. Oltre a queste misure di sicurezza, è necessario un controllo di sicurezza proattivo che concede l'accesso ai dati solo quando il PC è connesso alla rete aziendale.
Sblocco di rete consente l'avvio automatico dei PC protetti da BitLocker quando si è connessi a una rete aziendale cablata in cui vengono eseguiti Servizi di distribuzione Windows. Ogni volta che il PC non è connesso alla rete aziendale, un utente deve digitare un PIN per sbloccare l'unità (se è abilitato lo sblocco basato su PIN). Lo sblocco di rete richiede l'infrastruttura seguente:
PC client con firmware UEFI (Unified Extensible Firmware Interface) versione 2.3.1 o successiva, che supporta DHCP (Dynamic Host Configuration Protocol)
Un server che esegue almeno Windows Server 2012 con il ruolo Servizi di distribuzione Windows
Un server con il ruolo del server DHCP installato
Per altre informazioni su come configurare la funzionalità di sblocco di rete, vedere BitLocker: Come abilitare lo sblocco di rete.
Amministrazione e monitoraggio di Microsoft BitLocker
Parte di Microsoft Desktop Optimization Pack, Microsoft BitLocker Administration and Monitoring (MBAM) semplifica la gestione e il supporto di BitLocker e BitLocker To Go. MBAM 2.5 con Service Pack 1, la versione più recente, presenta le funzionalità principali seguenti:
Consente agli amministratori di automatizzare il processo di crittografia dei volumi nei computer client dell'organizzazione.
Consente ai responsabili della sicurezza di determinare rapidamente lo stato di conformità dei singoli computer o anche dell'azienda stessa.
Fornisce report centralizzati e gestione hardware con Microsoft Configuration Manager.
Riduce il carico di lavoro nel supporto tecnico per assistere gli utenti finali con le richieste di ripristino di BitLocker.
Consente agli utenti finali di ripristinare i dispositivi crittografati in modo indipendente tramite il portale di Self-Service.
Consente ai responsabili della sicurezza di controllare facilmente l'accesso alle informazioni sulle chiavi di ripristino.
Consente agli utenti di Windows Enterprise di continuare a lavorare ovunque con la garanzia che i dati aziendali siano protetti.
Applica le opzioni dei criteri di crittografia BitLocker impostate per l'organizzazione.
Si integra con gli strumenti di gestione esistenti, ad esempio Microsoft Configuration Manager.
Offre un'esperienza utente di ripristino personalizzabile per l'IT.
Supporta Windows 11 e Windows 10.
Importante
Le aziende possono usare MBAM per gestire i computer client con BitLocker aggiunti a un dominio locale fino alla fine del supporto mainstream a luglio 2019 oppure potrebbero ricevere supporto esteso fino ad aprile 2026.
In futuro, la funzionalità di MBAM verrà incorporata in Configuration Manager. Per altre informazioni, vedere Pianificare la gestione di BitLocker.
Le aziende che non usano Configuration Manager possono usare le funzionalità predefinite di Azure AD e Microsoft Intune per l'amministrazione e il monitoraggio. Per altre informazioni, vedere Monitorare la crittografia dei dispositivi con Intune.