Crittografia unità BitLocker in Windows 10 per oem

  • Articolo

La crittografia delle unità BitLocker fornisce dati offline e protezione del sistema operativo assicurando che l'unità non venga manomessa mentre il sistema operativo è offline. La crittografia delle unità BitLocker usa un TPM, discreto o firmware, che supporta la misura radice di attendibilità statica definita dal gruppo di elaborazione attendibile.

Requisiti hardware per la crittografia delle unità BitLocker

La crittografia unità BitLocker usa una partizione di sistema separata dalla partizione di Windows. La partizione di sistema BitLocker deve soddisfare i requisiti seguenti.

  • La partizione di sistema BitLocker è configurata come partizione attiva.
  • La partizione di sistema BitLocker non deve essere crittografata.
  • La partizione di sistema BitLocker deve avere almeno 250 MB di spazio libero, oltre qualsiasi spazio usato dai file richiesti. Questa partizione di sistema aggiuntiva può essere usata per ospitare l'ambiente di ripristino di Windows (RE) e gli strumenti OEM (forniti dall'OEM), purché la partizione soddisfi ancora il requisito di spazio disponibile di 250 MB.

Per altre informazioni, vedere Partizioni di sistema e utilità e unità disco rigido e partizioni.

Crittografia automatica dei dispositivi BitLocker

La crittografia automatica dei dispositivi BitLocker usa la tecnologia di crittografia unità BitLocker per crittografare automaticamente le unità interne dopo che l'utente ha completato la Configurazione guidata (OOBE) su hardware conforme a HSTI o standby moderno.

Nota

La crittografia automatica del dispositivo BitLocker viene avviata durante l'esperienza guidata.BitLocker automatic device encryption starts during Out-of-box experience (Configurazione guidata). Tuttavia, la protezione è abilitata (armata) solo dopo l'accesso degli utenti con un account Microsoft o un account Azure Active Directory . Fino a quando la protezione non viene sospesa e i dati non sono protetti. La crittografia automatica dei dispositivi BitLocker non è abilitata con gli account locali, nel qual caso BitLocker può essere abilitata manualmente usando la Pannello di controllo BitLocker.

Requisiti hardware per la crittografia automatica dei dispositivi BitLocker

La crittografia automatica dei dispositivi BitLocker è abilitata quando:

  • Il dispositivo contiene un TPM (Trusted Platform Module), TPM 1.2 o TPM 2.0.
  • L'avvio protetto UEFI è abilitato. Per altre informazioni, vedere Avvio protetto.
  • L'avvio protetto della piattaforma è abilitato
  • La protezione DMA (Direct Memory Access) è abilitata

I test seguenti devono superare prima che Windows 10 abiliti la crittografia automatica del dispositivo BitLocker. Se si vuole creare hardware che supporti questa funzionalità, è necessario verificare che il dispositivo superi questi test.

  1. TPM: il dispositivo deve includere un TPM con supporto PCR 7. Vedere System.Fundamentals.TPM20.TPM20.

    • Se la presenza di schede espandibili comporta il caricamento dei driver UEFI OROM dal BIOS UEFI durante l'avvio, BitLocker non userà l'associazione PCR7.
    • Se si esegue un dispositivo che non è associato a PCR7 e Bitlocker è abilitato, non ci sono problemi di sicurezza perché BitLocker è ancora sicuro quando si usa un normale profilo PCR UEFI (0,2,4,11).
    • Qualsiasi hash CA aggiuntivo (anche Windows Prod CA) prima dell'ultima ca di avvio di Windows Prod impedirà a BitLocker di scegliere di usare PCR7. Non importa se l'hash o gli hash aggiuntivi provengono dalla CA UEFI (noto anche come. Microsoft 3rd Party CA) o altre CA.

  2. Avvio protetto: l'avvio protetto UEFI è abilitato. Vedere System.Fundamentals.Firmware.UEFISecureBoot.

  3. Requisiti di standby moderni o convalida HSTI . Questo requisito è soddisfatto da uno dei seguenti:

    • Vengono implementati i requisiti moderni di standby. Questi includono i requisiti per l'avvio protetto UEFI e la protezione da DMA non autorizzato.
    • A partire da Windows 10, versione 1703, questo requisito può essere soddisfatto tramite il test HSTI:
      1. Il self-test di avvio protetto della piattaforma (o altri auto test configurati nel Registro di sistema) deve essere segnalato da HSTI come implementato e superato.
      2. Se si esclude Il Valore Dio, HSTI non deve segnalare alcun bus DMA non consentito.
      3. Se è presente Il Valore Dio, HSTI deve segnalare che Il Valore Dio è configurato in modo sicuro (il livello di sicurezza deve essere SL1 – "Autorizzazione utente" o superiore).

  4. È necessario disporre di 250 MB di spazio libero sopra tutto ciò che è necessario avviare (e ripristinare Windows, se si inserisce WinRE nella partizione di sistema). Per altre informazioni, vedere Partizioni di sistema e utilità.

Quando vengono soddisfatti i requisiti elencati in precedenza, Le informazioni di sistema indicano che il sistema supporta la crittografia automatica del dispositivo BitLocker. Questa funzionalità è disponibile in Windows 10 versione 1703 o successiva. Ecco come controllare le informazioni di sistema.

  1. Fare clic su Start e digitare Informazioni di sistema
  2. Fare clic con il pulsante destro del mouse sull'app Informazioni di sistema e scegliere Apri come Amministrazione istrator. Consentire all'app di apportare modifiche al dispositivo facendo clic su . Alcuni dispositivi potrebbero richiedere autorizzazioni elevate per visualizzare le impostazioni di crittografia.
  3. In System Summary (Riepilogo sistema) vedere Device Encryption Support (Supporto per la crittografia dei dispositivi). Il valore indica se il dispositivo è crittografato o, in caso contrario, motivi per cui è disabilitato.

Applicazione di aggiornamenti del firmware ai dispositivi

Oltre a eseguire test HLK, gli OEM devono testare gli aggiornamenti del firmware con BitLocker attivato. Per impedire ai dispositivi di avviare il ripristino inutilmente, seguire queste linee guida per applicare gli aggiornamenti del firmware:

  1. Sospendi BitLocker (obbligatorio per i dispositivi associati a PCR[07] solo se l'aggiornamento del firmware modifica i criteri di avvio protetto)
  2. Applicare l'aggiornamento
  3. Riavviare il dispositivo
  4. Riprendere BitLocker

L'aggiornamento del firmware deve richiedere al dispositivo di sospendere Bitlocker solo per un breve periodo di tempo e il dispositivo deve essere riavviato il prima possibile. BitLocker può essere sospeso a livello di codice subito prima dell'arresto usando il metodo DisableKeyProtectors in Strumentazione gestione Windows (WMI).

Rilevato bus/dispositivo con supporto per DMA non consentito

Questo stato delle informazioni di sistema nel supporto di Crittografia dispositivi indica che Windows ha rilevato almeno un potenziale bus o un dispositivo con supporto DMA esterno che potrebbe esporre una minaccia DMA.

Per risolvere questo problema, contattare gli IHV per determinare se il dispositivo non dispone di porte DMA esterne. Se confermato dagli IHD che il bus o il dispositivo ha solo DMA interno, l'OEM può aggiungerlo all'elenco consentito.

Per aggiungere un bus o un dispositivo all'elenco di elementi consentiti, è necessario aggiungere un valore a una chiave del Registro di sistema. A tale scopo, è prima necessario assumere la proprietà della chiave del Registro di sistema Allowed Bus . Eseguire i passaggi indicati di seguito:

  1. Passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Allowed Bus .

  2. Fare clic con il pulsante destro del mouse sulla chiave del Registro di sistema e selezionare Autorizzazioni.

  3. Fare clic su Avanzate, fare clic sul collegamento Cambia nel campo Proprietario, immettere il nome dell'account utente, fare clic su Controlla nomi e quindi fare clic su OK tre volte per chiudere tutte le finestre di dialogo di autorizzazione.

  4. Fare clic con il pulsante destro del mouse sulla chiave del Registro di sistema e selezionare di nuovo Autorizzazioni.

  5. Fare clic sul pulsante Aggiungi, aggiungere l'account utente, fare clic su Controlla nomi, quindi fare clic su OK e quindi selezionare la casella di controllo in Consenti controllo completo. Quindi fare clic su OK.

Quindi, sotto la chiave Allowed Bus , aggiungere coppie nome/valore stringa (REG_SZ) per ogni bus con supporto DMA contrassegnato che è determinato come sicuro:

  • Chiave: descrizione del nome /descrittivo del dispositivo
  • Valore: PCI\VEN_ID&DEV_ID.

Verificare che gli ID corrispondano all'output del test HLK. Ad esempio, se si dispone di un dispositivo sicuro con un nome descrittivo "Porta radice PCI Express Contoso", ID fornitore 1022 e ID dispositivo 157C, creare una voce del Registro di sistema denominata Contoso PCI Express Root Port come tipo di dati REG_SZ in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Allowed Bus

Dove il valore = "PCI\VEN_1022&DEV_157C"

Disabilitare la crittografia automatica dei dispositivi BitLocker

Gli OEM possono scegliere di disabilitare la crittografia dei dispositivi e implementare invece la propria tecnologia di crittografia in un dispositivo. Per disabilitare la crittografia automatica dei dispositivi BitLocker, è possibile usare un file di installazione automatica e impostare PreventDeviceEncryption su True.

In alternativa, è possibile aggiornare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker :

Valore: PreventDeviceEncryption uguale a True (1).

Risoluzione dei problemi relativi ai test HLK di BitLocker

La valutazione è molto più semplice quando si conoscono le informazioni seguenti sul dispositivo sottoposto a test:

  1. Specifica TPM (ad esempio 1.2, 2.0)
  2. Profilo PCR bitLocker (ad esempio 7, 11 o 0, 2, 4, 11)
  3. Indica se il computer non è AOAC o AOAC (ad esempio i dispositivi Surface sono computer AOAC)

Queste informazioni sono consigliate ma non necessarie per eseguire la valutazione.

I problemi di BitLocker HLK sono in genere correlati a uno dei seguenti: errori di interpretazione errata dei risultati dei test o problemi di associazione PCR7.

Interpretazione errata dei risultati dei test

Un test HLK è costituito da più passaggi di test. Alcuni passaggi di test possono non riuscire senza influire sull'esito positivo/negativo del test complessivo. Per altre informazioni sull'interpretazione della pagina dei risultati, vedere qui. Se alcuni passaggi di test hanno avuto esito negativo, ma il test complessivo supera (come indicato da un segno di spunta verde accanto al nome del test), arrestare qui. Il test è stato eseguito correttamente e non sono necessarie altre azioni da parte dell'utente.

Procedura di valutazione:

  1. Verificare di eseguire il test corretto sul computer. Fare clic con il pulsante destro del mouse su qualsiasi passaggio dei log > del servizio Gatherer dell'infrastruttura > di test > non superato, cercare l'elemento IsAOAC all'interno di RUNTIMEBLOCK.xml. Se IsAOAC=true e si esegue un test non AOAC, ignorare l'errore e non eseguire questo test sul computer. Se necessario, contattare il team supporto tecnico Microsoft per ottenere un errore per passare la playlist.

    Screenshot of the failing test. The item Is A O A C is selected.

  2. Determinare se un filtro viene applicato al test. HLK può suggerire automaticamente un filtro per un test mappato in modo non corretto. Un filtro viene visualizzato come segno di spunta verde all'interno di un cerchio accanto a un passaggio di test. Si noti che alcuni filtri potrebbero indicare che i passaggi di test successivi non sono riusciti o sono stati annullati. Esaminare le informazioni estese sul filtro espandendo il passaggio di test con l'icona speciale. Se il filtro indica di ignorare l'errore di test, arrestarlo qui.

Screenshot of filters

Problemi relativi a PCR7

Un problema comune di BitLocker specifico per i due test PCR7 è un errore di associazione a PCR7.

Procedura di valutazione:

  1. Trovare il messaggio di errore nei log HLK. Espandere il passaggio di test non superato ed esaminare il log Te.wtl. È anche possibile accedere a questo log facendo clic con il pulsante destro del mouse su un passaggio > di test Log > attività Te.wtl. Continuare seguendo i passaggi di valutazione se viene visualizzato questo errore:

    Screenshot of the error message in H L K logs.

  2. Eseguire msinfo32 come amministratore e selezionare Secure Boot State/PCR7 Configuration (Stato avvio protetto/PCR7). Il test deve essere eseguito con l'avvio protetto. Se l'associazione PCR7 non è supportata, eseguire invece il test HLK PCR legacy appropriato. Se l'associazione PCR7 non è possibile, continuare seguendo i passaggi di valutazione.

  3. Esaminare i log degli errori. Fare clic con il pulsante destro del mouse sull'attività > di test File aggiuntivi. In genere, il problema di associazione PCR7 è il risultato di misurazioni non corrette in PCR7.

    1. Log eventi. Il log di Microsoft-BitLocker-Management contiene informazioni preziose sugli errori sul motivo per cui non è possibile usare PCR7. Il test HLK di BitLocker deve essere eseguito solo in un computer con BitLocker installato. I registri eventi devono essere controllati nel computer che li genera.
    2. Log di avvio misurati. Queste informazioni sono disponibili anche in C:\Windows\Logs\MeasuredBoot

  4. Analizzare il log di avvio misurato usando TBSLogGenerator.exe o equivalente. Nel controller HLK, TBSLogGenerator.exe si trova nella directory dei test HLK in cui è stato installato HLK, ad esempio C:\Programmi (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BA edizione Standard TEST\ngscb\TBSLogGenerator.exe."

    1. TBSLogGenerator.exe -lf <path to measured boot log>> OutputLog.txt
    2. In OutputLog.txt cercare "PCR[07]" ed esaminare le misurazioni, elencate in ordine. La prima misura dovrebbe essere simile alla seguente:

Screenshot of the measurements list in Output Log dot t x t.

BitLocker prevede una certa radice statica delle misurazioni di attendibilità radice statica delle misurazioni di attendibilità in PCR7 e qualsiasi variazione in queste misurazioni spesso impedisce l'associazione a PCR7. I valori seguenti devono essere misurati (in ordine e senza misurazioni estranee tra) in PCR7:

  • Contenuto della variabile SecureBoot
  • Contenuto della variabile PK
  • Contenuto della variabile KEK
  • Contenuto della variabile EFI_IMAGE_edizione StandardCURITY_DATABAedizione Standard (DB)
  • Contenuto della variabile EFI_IMAGE_edizione StandardCURITY_DATABAedizione Standard 1 (DBX)
  • (facoltativo ma comune EV_edizione Standard PARATOR)
  • Voci nel EFI_IMAGE_edizione StandardCURITY_DATABAedizione Standard usate per convalidare i driver EFI o le applicazioni di avvio EFI nel percorso di avvio. BitLocker prevede una sola voce qui.

Problemi comuni relativi al log di avvio misurato:

  • Modalità di debug UEFI in
  • Variabili PK o KEK mancanti: la misurazione PK/KEK non contiene dati (ad esempio 4 byte di 0)
  • Firmatario uefi ca non attendibile

Alcuni problemi di avvio misurati, ad esempio l'esecuzione con la modalità di debug UEFI, possono essere risolti dal tester. Altri problemi possono richiedere un errore, nel qual caso è necessario contattare il team supporto tecnico Microsoft per ottenere indicazioni.