Dischi rigidi crittografati

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Panoramica

I dischi rigidi crittografati sono una classe di dischi rigidi auto crittografati a livello hardware e consentono la crittografia hardware completa del disco, pur essendo trasparenti per l'utente. Queste unità combinano i vantaggi di sicurezza e gestione offerti da Crittografia unità BitLocker con la potenza delle unità con crittografia automatica.

Mediante l'offload delle operazioni di crittografia nell'hardware, i dischi rigidi crittografati migliorano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo energetico. Poiché le unità disco rigido crittografate crittografa rapidamente i dati, la distribuzione di BitLocker può essere espansa in tutti i dispositivi aziendali con un impatto minimo o nullo sulla produttività.

I dischi rigidi crittografati offrono:

• Prestazioni migliori: l'hardware di crittografia, integrato nel controller di unità, consente all'unità di funzionare a velocità dati completa senza riduzione delle prestazioni
• Sicurezza avanzata basata sull'hardware: la crittografia è sempre attiva e le chiavi per la crittografia non lasciano mai il disco rigido. L'autenticazione utente viene eseguita dall'unità prima dello sblocco, indipendentemente dal sistema operativo
• Facilità d'uso: la crittografia è trasparente per l'utente e l'utente non deve abilitarla. I dischi rigidi crittografati vengono facilmente cancellati usando la chiave di crittografia di bordo; non è necessario crittografare nuovamente i dati nell'unità
• Costo di proprietà inferiore: non è necessaria una nuova infrastruttura per gestire le chiavi di crittografia, poiché BitLocker usa l'infrastruttura esistente per archiviare le informazioni di ripristino. Il dispositivo funziona in modo più efficiente perché i cicli del processore non devono essere usati per il processo di crittografia

I dischi rigidi crittografati sono supportati in modo nativo nel sistema operativo tramite i meccanismi seguenti:

• Identificazione: il sistema operativo identifica che l'unità è un dispositivo di tipo disco rigido crittografato
• Attivazione: l'utilità di gestione dei dischi del sistema operativo attiva, crea e esegue il mapping dei volumi a intervalli/bande in base alle esigenze
• Configurazione: il sistema operativo crea e esegue il mapping dei volumi a intervalli/bande in base alle esigenze
• API: supporto API per le applicazioni per gestire i dischi rigidi crittografati indipendentemente dalla crittografia delle unità BitLocker
• Supporto di BitLocker: l'integrazione con l'Pannello di controllo BitLocker offre un'esperienza utente di BitLocker senza problemi

Warning

I dischi rigidi auto-crittografati e i dischi rigidi crittografati per Windows non sono dello stesso tipo di dispositivi:

• I dischi rigidi crittografati per Windows richiedono la conformità per protocolli TCG specifici e conformità AEEE 1667
• I dischi rigidi con crittografia automatica non hanno questi requisiti

È importante verificare che il tipo di dispositivo sia un disco rigido crittografato per Windows durante la pianificazione della distribuzione.

Quando il sistema operativo identifica un disco rigido crittografato, attiva la modalità di sicurezza. Questa attivazione consente al controller di unità di generare una chiave multimediale per ogni volume creato dal computer host. La chiave multimediale, che non viene mai esposta all'esterno del disco, viene usata per crittografare o decrittografare rapidamente ogni byte di dati inviati o ricevuti dal disco.

Se si è un fornitore di dispositivi di archiviazione che sta cercando altre informazioni su come implementare il disco rigido crittografato, vedere la guida al dispositivo del disco rigido crittografato.

Requisiti di sistema

Per usare i dischi rigidi crittografati, si applicano i requisiti di sistema seguenti:

Per un disco rigido crittografato usato come unità dati:

• L'unità deve essere in uno stato non inizializzato
• L'unità deve essere in uno stato di sicurezza inattivo

Per un disco rigido crittografato usato come unità di avvio:

• L'unità deve essere in uno stato non inizializzato
• L'unità deve essere in uno stato di sicurezza inattivo
• Il computer deve essere basato su UEFI 2.3.1 e avere definito .EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL Questo protocollo viene usato per consentire ai programmi in esecuzione nell'ambiente dei servizi di avvio EFI di inviare i comandi del protocollo di sicurezza all'unità
• Il computer deve avere il modulo di supporto per la compatibilità (CSM) disabilitato in UEFI
• Il computer deve sempre essere avviato in modo nativo da UEFI

Warning

Per funzionare correttamente, tutti i dischi rigidi crittografati devono essere collegati a controller non RAID.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano il disco rigido crittografato:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sì	Sì	Sì	Sì

I diritti di licenza del disco rigido crittografato sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sì	Sì	Sì	Sì	Sì

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Configurare i dischi rigidi crittografati come unità di avvio

Per configurare i dischi rigidi crittografati come unità di avvio, usare gli stessi metodi dei dischi rigidi standard:

• Distribuisci dal supporto: la configurazione dei dischi rigidi crittografati viene eseguita automaticamente tramite il processo di installazione
• Distribuisci dalla rete: questo metodo di distribuzione prevede l'avvio di un ambiente Windows PE e l'uso di strumenti di creazione di immagini per applicare un'immagine Windows da una condivisione di rete. Con questo metodo, il componente facoltativo Archiviazione avanzata deve essere incluso nell'immagine Windows PE. Abilitare questo componente usando Server Manager, Windows PowerShell o lo strumento da riga di comando gestione e manutenzione immagini distribuzione. Se il componente non è presente, la configurazione dei dischi rigidi crittografati non funziona
• Distribuisci dal server: questo metodo di distribuzione prevede l'avvio PXE di un client con dischi rigidi crittografati presenti. La configurazione dei dischi rigidi crittografati viene eseguita automaticamente in questo ambiente quando il componente Archiviazione avanzata viene aggiunto all'immagine di avvio PXE. Durante la distribuzione, l'impostazione TCGSecurityActivationDisabled in unattend.xml controlla il comportamento di crittografia dei dischi rigidi crittografati
• Duplicazione del disco: questo metodo di distribuzione prevede l'uso di un dispositivo configurato in precedenza e di strumenti di duplicazione del disco per applicare un'immagine Windows a un disco rigido crittografato. Le immagini create con duplicatori di dischi non funzionano

Configurare la crittografia basata su hardware con le impostazioni dei criteri

Esistono tre impostazioni dei criteri per gestire il modo in cui BitLocker usa la crittografia basata su hardware e gli algoritmi di crittografia da usare. Se queste impostazioni non sono configurate o disabilitate nei sistemi dotati di unità crittografate, BitLocker usa la crittografia basata su software:

• Configurare l'uso della crittografia basata su hardware per unità dati fisse
• Configurare l'uso della crittografia basata su hardware per le unità dati rimovibili
• Configurare l'uso della crittografia basata su hardware per le unità del sistema operativo

Architettura del disco rigido crittografato

I dischi rigidi crittografati usano due chiavi di crittografia nel dispositivo per controllare il blocco e lo sblocco dei dati nell'unità. Queste chiavi di crittografia sono la chiave dek ( Data Encryption Key ) e la chiave di autenticazione (AK):

• la chiave di crittografia dei dati viene usata per crittografare tutti i dati nell'unità. L'unità genera il DEK e non lascia mai il dispositivo. Viene archiviato in un formato crittografato in una posizione casuale nell'unità. Se la chiave DEK viene modificata o cancellata, i dati crittografati tramite DEK non sono recuperabili.
• l'AK è la chiave usata per sbloccare i dati nell'unità. Un hash della chiave viene archiviato nell'unità e richiede la conferma per decrittografare la chiave DEK

Quando un dispositivo con un disco rigido crittografato si trova in uno stato di spegnimento, l'unità si blocca automaticamente. Quando un dispositivo si accende, il dispositivo rimane in uno stato bloccato e viene sbloccato solo dopo che l'AK ha decrittografato il DEK. Dopo che l'AK decrittografa la chiave DEK, è possibile eseguire operazioni di lettura/scrittura nel dispositivo.

Quando i dati vengono scritti nell'unità, passano attraverso un motore di crittografia prima del completamento dell'operazione di scrittura. Analogamente, la lettura dei dati dall'unità richiede che il motore di crittografia decrittografi i dati prima di passare nuovamente tali dati all'utente. Se l'ak deve essere modificato o cancellato, non è necessario crittografare nuovamente i dati nell'unità. È necessario creare una nuova chiave di autenticazione che crittografa nuovamente la chiave DEK. Al termine, il DEK può ora essere sbloccato usando il nuovo AK e le operazioni di lettura/scrittura nel volume possono continuare.

Riconfigurare i dischi rigidi crittografati

Molti dispositivi disco rigido crittografati sono preconfigurati per l'uso. Se è necessaria la riconfigurazione dell'unità, seguire questa procedura dopo aver rimosso tutti i volumi disponibili e aver ripristinato lo stato non inizializzato dell'unità:

1. Aprire Gestione dischi (diskmgmt.msc)
2. Inizializzare il disco e selezionare lo stile di partizione appropriato (MBR o GPT)
3. Creare uno o più volumi sul disco.
4. Usare l'installazione guidata di BitLocker per abilitare BitLocker nel volume.