Distribuzione di base di BitLocker

Si applica a

  • Windows 10

Questo argomento, destinato ai professionisti IT, spiega come usare le funzionalità di BitLocker per proteggere i dati tramite la crittografia unità.

Uso di BitLocker per crittografare i volumi

BitLocker offre la crittografia completa del volume (FVE) per volumi di sistemi operativi, oltre a volumi di dati fissi e rimovibili. Per supportare volumi di sistema operativo completamente crittografati, BitLocker usa un volume di sistema non crittografato per i file necessari per avviare, decrittografare e caricare il sistema operativo. Questo volume viene creato automaticamente durante una nuova installazione di sistemi operativi client e server.

Se l'unità è stata preparata come singolo spazio contiguo, BitLocker richiede un nuovo volume per contenere i file di avvio. BdeHdCfg. exe può creare questi volumi.

Nota: per altre informazioni sull'uso di questo strumento, Vedi BdeHdCfg in riferimento alla riga di comando.

La crittografia BitLocker può essere eseguita usando i metodi seguenti:

  • Pannello di controllo di BitLocker
  • Esplora risorse
  • interfaccia della riga di comando Manage-bde
  • Cmdlet di Windows PowerShell per BitLocker

Crittografia dei volumi tramite il pannello di controllo di BitLocker

Crittografia dei volumi con il pannello di controllo di BitLocker (fare clic sul pulsante Start, digitare BitLocker, fare clic su Gestisci BitLocker) è il numero di utenti che utilizzeranno BitLocker. Il nome del pannello di controllo di BitLocker è crittografia unità BitLocker. Il pannello di controllo di BitLocker supporta la crittografia del sistema operativo, i dati fissi e i volumi di dati rimovibili. Il pannello di controllo di BitLocker organizzerà le unità disponibili nella categoria appropriata in base al modo in cui il dispositivo si riporta in Windows. Solo i volumi formattati con le lettere di unità assegnate verranno visualizzati correttamente nell'applet del pannello di controllo di BitLocker. Per avviare la crittografia per un volume, selezionare attiva BitLocker per l'unità appropriata per inizializzare la crittografia guidata unità BitLocker. Le opzioni della procedura guidata crittografia unità BitLocker variano in base al tipo di volume (volume del sistema operativo o volume dei dati).

Volume del sistema operativo

Al momento dell'avvio, la crittografia guidata unità BitLocker verifica che il computer soddisfi i requisiti di sistema di BitLocker per crittografare un volume del sistema operativo. Per impostazione predefinita, i requisiti di sistema sono i seguenti:

Requisito Descrizione

Configurazione hardware

Il computer deve soddisfare i requisiti minimi per le versioni di Windows supportate.

Sistema operativo

BitLocker è una funzionalità facoltativa che può essere installata da Server Manager in Windows Server 2012 e versioni successive.

TPM hardware

TPM versione 1.2 o 2,0

Per BitLocker non è necessario un TPM. Tuttavia, solo un computer con un TPM può assicurare la sicurezza aggiuntiva per la verifica dell'integrità del sistema pre-avvio e l'autenticazione a più fattori.

Configurazione del BIOS

  • Un BIOS conforme a Trusted Computing Group (TCG) o un firmware UEFI.

  • L'ordine di avvio deve essere impostato per iniziare prima dal disco rigido e non dalle unità USB o CD.

  • Il firmware deve essere in grado di leggere da un'unità flash USB durante l'avvio.

File system

Per i computer che eseguono l'avvio in modalità nativa con il firmware UEFI, almeno una partizione FAT32 per l'unità di sistema e una partizione NTFS per l'unità del sistema operativo.

Per i computer con firmware Legacy BIOS, almeno due partizioni del disco NTFS, una per l'unità di sistema e una per l'unità del sistema operativo.

Per entrambi i firmware, la partizione dell'unità di sistema deve essere di almeno 350 megabyte (MB) e impostata come partizione attiva.

Prerequisiti per l'unità crittografata hardware (facoltativo)

Per usare un'unità crittografata hardware come unità di avvio, l'unità deve essere nello stato non inizializzato e nello stato inattivo per la sicurezza. Inoltre, il sistema deve sempre essere avviato con la versione 2.3.1 o successiva di UEFI nativa e il CSM (se disponibile) è disabilitato.

Dopo aver superato la configurazione iniziale, è necessario che gli utenti immettino una password per il volume. Se il volume non supera la configurazione iniziale per BitLocker, l'utente viene presentato con una finestra di dialogo di errore che descrive le azioni appropriate da intraprendere. Dopo aver creato una password complessa per il volume, verrà generata una chiave di ripristino. La crittografia guidata unità BitLocker richiederà la posizione in cui salvare la chiave. Una chiave di ripristino di BitLocker è un codice speciale che è possibile creare quando si attiva la crittografia unità BitLocker per la prima volta in ogni unità crittografata. È possibile usare la chiave di ripristino per accedere al computer se l'unità in cui è installata Windows (l'unità del sistema operativo) viene crittografata con crittografia unità BitLocker e BitLocker rileva una condizione che impedisce lo sblocco dell'unità quando il il computer si avvia. Una chiave di ripristino può essere usata anche per accedere ai file e alle cartelle in un'unità dati rimovibile, ad esempio un'unità disco rigido esterna o un'unità flash USB, crittografata con BitLocker per l'accesso, se per qualche motivo si dimentica la password o se il computer non è in grado di accedere all'unità. .

È consigliabile archiviare la chiave di ripristino stamparla, salvarla su un supporto rimovibile oppure salvarla come file in una cartella di rete o nel proprio OneDrive o in un'altra unità del computer che non si sta crittografando. Non è possibile salvare la chiave di ripristino nella directory radice di un'unità non rimovibile e non può essere archiviata nel volume crittografato. Non è possibile salvare la chiave di ripristino per un'unità dati rimovibile, ad esempio un'unità flash USB, in un supporto rimovibile. In teoria, è consigliabile archiviare la chiave di ripristino separata dal computer. Dopo aver creato una chiave di ripristino, è possibile usare il pannello di controllo di BitLocker per creare altre copie.

Quando la chiave di ripristino è stata archiviata correttamente, la crittografia guidata unità BitLocker chiederà all'utente di scegliere come crittografare l'unità. Sono disponibili due opzioni:

  • Crittografa solo spazio su disco usato: Crittografa solo lo spazio su disco contenente i dati
  • Crittografa l'intera unità: crittografa l'intero volume, incluso lo spazio disponibile

È consigliabile che le unità con dati poco o nessuno utilizzino l'opzione di crittografia solo spazio usato su disco e che le unità con dati o un sistema operativo utilizzino l'opzione crittografa l'intero drive .

Nota: i file eliminati vengono visualizzati come spazio disponibile per il file System, che non viene crittografato solo dallo spazio su disco usato. Fino a quando non vengono cancellati o sovrascritti, i file eliminati contengono informazioni che potrebbero essere recuperate con gli strumenti comuni per i dati forensi.

Selezionando un tipo di crittografia e scegliendo Avanti si darà all'utente la possibilità di eseguire un controllo di sistema di BitLocker (selezionato per impostazione predefinita) che assicuri che BitLocker possa accedere correttamente alle chiavi di ripristino e crittografia prima della crittografia del volume inizia. È consigliabile eseguire questo controllo di sistema prima di avviare il processo di crittografia. Se il controllo di sistema non viene eseguito e viene rilevato un problema quando il sistema operativo tenta di avviarlo, l'utente dovrà specificare la chiave di ripristino per avviare Windows.

Dopo aver completato il controllo di sistema (se selezionato), la crittografia guidata unità BitLocker riavvia il computer per iniziare la crittografia. Al riavvio, è necessario che gli utenti immettino la password scelta per l'avvio nel volume del sistema operativo. Gli utenti possono verificare lo stato di crittografia controllando l'area di notifica del sistema o il pannello di controllo di BitLocker.

Fino al completamento della crittografia, le uniche opzioni disponibili per la gestione di BitLocker implicano la manipolazione della password per proteggere il volume del sistema operativo, il backup della chiave di ripristino e la disattivazione di BitLocker.

Volume di dati

La crittografia dei volumi di dati tramite l'interfaccia del pannello di controllo di BitLocker funziona in modo analogo a quello delle volumi del sistema operativo. Gli utenti selezionano attiva BitLocker nel pannello di controllo per avviare la crittografia guidata unità BitLocker. A differenza dei volumi dei sistemi operativi, non è necessario che i volumi di dati passino a qualsiasi test di configurazione per la procedura guidata. Al momento dell'avvio della procedura guidata, viene visualizzata una scelta di metodi di autenticazione per sbloccare l'unità. Le opzioni disponibili sono password e Smart Card e sbloccano automaticamente l'unità in questo computer. Disabilitata per impostazione predefinita, l'ultima opzione consente di sbloccare il volume dei dati senza l'input dell'utente quando il volume del sistema operativo è sbloccato.

Dopo aver selezionato il metodo di autenticazione desiderato e aver scelto Avanti, la procedura guidata presenta le opzioni per l'archiviazione della chiave di ripristino. Queste opzioni sono le stesse per i volumi di sistema operativo. Con la chiave di ripristino salvata, selezionando Avanti nella procedura guidata verranno visualizzate le opzioni disponibili per la crittografia. Queste opzioni sono le stesse dei volumi del sistema operativo. solo spazio su disco usato e crittografia unità completa. Se il volume crittografato è nuovo o vuoto, è consigliabile selezionare solo spazio usato per la crittografia.

Con un metodo di crittografia selezionato viene visualizzata una schermata di conferma finale prima di iniziare il processo di crittografia. Selezionando Avvia crittografia inizierà la crittografia.

Lo stato di crittografia viene visualizzato nell'area di notifica o nel pannello di controllo di BitLocker.

Opzione OneDrive

È disponibile una nuova opzione per archiviare la chiave di ripristino di BitLocker con OneDrive. Questa opzione richiede che i computer non siano membri di un dominio e che l'utente stia usando un account Microsoft. Gli account locali non offrono l'opzione per l'utilizzo di OneDrive. L'uso dell'opzione OneDrive è il metodo di archiviazione delle chiavi di ripristino consigliato predefinito per i computer non collegati a un dominio.

Gli utenti possono verificare che la chiave di ripristino sia stata salvata correttamente controllando il proprio OneDrive per la cartella BitLocker creata automaticamente durante il processo di salvataggio. La cartella conterrà due file, un README. txt e la chiave di ripristino. Per gli utenti che archiviano più password di ripristino sul proprio OneDrive, possono identificare la chiave di ripristino richiesta esaminando il nome del file. L'ID chiave di ripristino viene accodato alla fine del nome del file.

Uso di BitLocker in Esplora risorse

Windows Explorer consente agli utenti di avviare la crittografia guidata unità BitLocker facendo clic con il pulsante destro del mouse su un volume e selezionando attiva BitLocker. Questa opzione è disponibile nei computer client per impostazione predefinita. Nei server è prima necessario installare le funzionalità di BitLocker e Desktop-Experience per questa opzione per essere disponibili. Dopo aver selezionato attiva BitLocker, la procedura guidata funziona esattamente quando viene avviata tramite il pannello di controllo di BitLocker.

Compatibilità di livello superiore

La tabella seguente mostra la matrice di compatibilità per sistemi che sono stati abilitati per BitLocker, quindi presentati a una versione diversa di Windows.

Tabella 1: compatibilità incrociata per volumi crittografati di Windows10, Windows 8,1, Windows 8 e Windows 7

Tipo di crittografia

Windows10 e Windows 8,1

Windows 8

Windows 7

Completamente crittografato in Windows 8

Presenta come completamente crittografato

N/D

Presentato come completamente crittografato

Spazio su disco usato solo crittografato in Windows 8

Presenta come crittografare in scrittura

N/D

Presentato come completamente crittografato

Volume completamente crittografato da Windows 7

Presenta come completamente crittografato

Presentato come completamente crittografato

N/D

Volume parzialmente crittografato da Windows 7

Windows10 e Windows 8,1 completano la crittografia indipendentemente dai criteri

La crittografia verrà completata da Windows 8 indipendentemente dai criteri

N/D

Crittografia dei volumi tramite l'interfaccia della riga di comando Manage-bde

Manage-bde è un'utilità della riga di comando che può essere usata per le operazioni di scripting di BitLocker. Manage-bde offre opzioni aggiuntive non visualizzate nel pannello di controllo di BitLocker. Per un elenco completo delle opzioni, vedere Manage-bde. Manage-bde offre una moltitudine di opzioni più ampie per la configurazione di BitLocker. Questo significa che l'uso della sintassi dei comandi può richiedere assistenza e una personalizzazione più tardiva da parte dell'utente. Ad esempio, usando solo il manage-bde -on comando in un volume di dati verrà crittografato completamente il volume senza protezioni per l'autenticazione. Un volume crittografato in questo modo richiede ancora l'interazione dell'utente per attivare la protezione BitLocker, anche se il comando è stato completato correttamente perché è necessario aggiungere un metodo di autenticazione al volume per essere completamente protetto. Gli utenti della riga di comando devono determinare la sintassi appropriata per una determinata situazione. La sezione seguente include la crittografia generale per volumi di sistemi operativi e volumi di dati.

Volume del sistema operativo

Di seguito sono riportati alcuni esempi di comandi di base validi per volumi di sistemi operativi. In generale, usando solo il manage-bde -on <drive letter> comando verrà crittografato il volume del sistema operativo con un Protector solo TPM e nessuna chiave di ripristino. Tuttavia, molti ambienti richiedono protezioni più sicure, ad esempio password o PIN, e si aspettano di essere in grado di recuperare informazioni con una chiave di ripristino.

Determinazione dello stato del volume

Una buona pratica quando si usa Manage-bde consiste nel determinare lo stato del volume nel sistema di destinazione. Usare il comando seguente per determinare lo stato del volume:

manage-bde -status

Questo comando restituisce i volumi nella destinazione, lo stato di crittografia corrente e il tipo di volume (sistema operativo o dati) per ogni volume. Usando queste informazioni, gli utenti possono determinare il metodo di crittografia migliore per l'ambiente.

Abilitazione di BitLocker senza TPM

Si supponga ad esempio di voler abilitare BitLocker in un computer senza un chip TPM. Per abilitare correttamente BitLocker per il volume del sistema operativo, è necessario usare un'unità flash USB come chiave di avvio per l'avvio (in questo esempio la lettera di unità E). Prima di tutto, è necessario creare la chiave di avvio necessaria per BitLocker usando l'opzione-Protectors e salvarla nell'unità USB in E: e quindi avviare il processo di crittografia. Quando viene richiesto di completare il processo di crittografia, sarà necessario riavviare il computer.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Abilitazione di BitLocker con solo un TPM

È possibile crittografare il volume del sistema operativo senza alcuna protezione definita tramite Manage-bde. Il comando per eseguire questa operazione è:

manage-bde -on C:

Verrà crittografato l'unità usando il TPM come Protector. Se un utente non è sicuro della protezione per un volume, può usare l'opzione-Protectors in Manage-bde per elencare queste informazioni con il comando:

manage-bde -protectors -get <volume>

Provisioning di BitLocker con due protezioni

Un altro esempio è un utente su hardware non TPM che desidera aggiungere una password e un dispositivo di protezione basato su SID al volume del sistema operativo. In questa istanza l'utente aggiunge prima i Protector. Questa operazione viene eseguita con il comando:

manage-bde -protectors -add C: -pw -sid <user or group>

Questo comando richiede all'utente di immettere e quindi confermare la protezione con password prima di aggiungerle al volume. Con le protezioni abilitate per il volume, l'utente deve solo attivare BitLocker.

Volume di dati

I volumi di dati usano la stessa sintassi per la crittografia dei volumi del sistema operativo, ma non richiedono protezioni per il completamento dell'operazione. La crittografia dei volumi di dati può essere eseguita usando il comando manage-bde -on <drive letter> base: oppure gli utenti possono scegliere di aggiungere protezioni al volume. È consigliabile aggiungere almeno un protettore principale e un Protector di ripristino a un volume di dati.

Abilitazione di BitLocker con una password

Un protettore comune per un volume di dati è la protezione con password. Nell'esempio seguente aggiungiamo una password Protector al volume e accendiamo BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Crittografia dei volumi con i cmdlet di Windows PowerShell di BitLocker

I cmdlet di Windows PowerShell rappresentano un modo alternativo per usare BitLocker. Usando le funzionalità di scripting di Windows PowerShell, gli amministratori possono integrare le opzioni di BitLocker in script esistenti con facilità. Nell'elenco seguente sono visualizzati i cmdlet di BitLocker disponibili.

Nome

Parameters

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confermare

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Servizio

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confermare

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confermare

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confermare

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confermare

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Servizio

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confermare

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Blocco-BitLocker

-Confermare

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confermare

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confermare

-MountPoint

-WhatIf

Suspend-BitLocker

-Confermare

-MountPoint

-RebootCount

-WhatIf

Sblocca-BitLocker

-AdAccountOrGroup

-Confermare

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

Analogamente a Manage-bde, i cmdlet di Windows PowerShell consentono la configurazione oltre le opzioni disponibili nel pannello di controllo. Come in Manage-bde, gli utenti devono prendere in considerazione le esigenze specifiche del volume da crittografare prima di eseguire i cmdlet di Windows PowerShell. Un buon passaggio iniziale consiste nel determinare lo stato corrente del volume o dei volumi nel computer. Puoi eseguire questa operazione usando il Get-BitLocker cmdlet volume. L'output di questo cmdlet Visualizza le informazioni sul tipo di volume, le protezioni, lo stato di protezione e altre informazioni utili. Occasionalmente, tutte le protezioni potrebbero non essere visualizzate quando si USA Get- BitLockerVolume a causa della mancanza di spazio nella visualizzazione di output. Se non si vedono tutti i Protector per un volume, è possibile usare il comando pipe di Windows PowerShell (|) per formattare un elenco di protezioni.

Nota: se sono presenti più di quattro protezioni per un volume, il comando pipe potrebbe esaurirsi nello spazio di visualizzazione. Per i volumi con più di quattro protezioni, usare il metodo descritto nella sezione seguente per generare un elenco di tutti i protettori con ID protezione.

Get-BitLockerVolume C: | fl

Se si vuole rimuovere le protezioni esistenti prima di eseguire il provisioning di BitLocker sul volume, è possibile utilizzare il Remove-BitLockerKeyProtector cmdlet. Per eseguire questa operazione è necessario che il GUID associato al Protector venga rimosso. Un semplice script può eseguire il piping dei valori di ogni Get-BitLockerVolume per tornare a un'altra variabile, come illustrato di seguito:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Usando questo, possiamo visualizzare le informazioni nella variabile $keyprotectors per determinare il GUID per ogni Protector. Usando queste informazioni, possiamo quindi rimuovere la protezione chiave per un volume specifico usando il comando:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Nota: il cmdlet BitLocker richiede il GUID Protector chiave racchiuso tra virgolette da eseguire. Assicurarsi che nel comando sia incluso l'intero GUID, con parentesi graffe.

Volume del sistema operativo

L'uso dei cmdlet di Windows PowerShell per BitLocker è simile all'uso dello strumento Manage-bde per la crittografia dei volumi del sistema operativo. Windows PowerShell offre agli utenti molta flessibilità. Ad esempio, gli utenti possono aggiungere il Protector desiderato come comando parte per crittografare il volume. Di seguito sono riportati alcuni esempi di scenari comuni degli utenti e passaggi per realizzarli usando i cmdlet di BitLocker per Windows PowerShell. Per abilitare BitLocker con solo la protezione TPM. Questa operazione può essere eseguita usando il comando:

Enable-BitLocker C:

L'esempio seguente aggiunge un ulteriore Protector, le protezioni StartupKey e sceglie di ignorare il test hardware di BitLocker. In questo esempio, la crittografia viene avviata immediatamente senza la necessità di un riavvio.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Volume di dati

La crittografia dei volumi di dati con Windows PowerShell è uguale a quella per i volumi di sistema operativo. Prima di crittografare il volume, è consigliabile aggiungere le protezioni desiderate. L'esempio seguente aggiunge una password Protector al volume E: usando la variabile $pw come password. La variabile $pw viene mantenuta come valore SecureString per archiviare la password definita dall'utente. Infine, viene avviata la crittografia.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Uso di un Protector basato su SID in Windows PowerShell

ADAccountOrGroup Protector è un Protector basato su SID di Active Directory. Questo Protector può essere aggiunto sia al sistema operativo che ai volumi di dati, anche se non sblocca i volumi del sistema operativo nell'ambiente di pre-avvio. Il Protector richiede che il SID dell'account di dominio o del gruppo venga collegato con il Protector. BitLocker può proteggere un disco che supporta il cluster aggiungendo una protezione basata su SID per l'oggetto nome cluster (CNO) che consente al disco di eseguire correttamente il failover e di sbloccarlo in qualsiasi computer membro del cluster.

Avviso: la protezione basata su SID richiede l'uso di un dispositivo di protezione aggiuntivo, ad esempio TPM, pin, chiave di ripristino e così via, se usato nei volumi del sistema operativo.

Per aggiungere un Protector di ADAccountOrGroup a un volume, è necessario il SID del dominio effettivo o il nome del gruppo preceduto dal dominio e da una barra rovesciata. Nell'esempio seguente l'account CONTOSO\Administrator viene aggiunto come Protector al volume di dati G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Per gli utenti che desiderano usare il SID per l'account o per il gruppo, il primo passaggio consiste nel determinare il SID associato all'account. Per ottenere il SID specifico per un account utente in Windows PowerShell, usare il comando seguente:

get-aduser -filter {samaccountname -eq "administrator"}

Nota: l'uso di questo comando richiede la caratteristica di amministrazione di Active Directory.

Suggerimento: oltre al comando di Windows PowerShell precedente, le informazioni sull'appartenenza a utenti e gruppi registrati localmente possono essere trovate usando: whoami/all. Questo non richiede l'uso di funzionalità aggiuntive.

Nell'esempio seguente l'utente desidera aggiungere un Protector basato su SID di dominio al volume del sistema operativo crittografato in precedenza. L'utente conosce il SID dell'account utente o del gruppo che vuole aggiungere e usa il comando seguente:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Nota: le protezioni basate su Active Directory vengono in genere usate per sbloccare volumi abilitati per il cluster di failover.

Verifica dello stato di BitLocker

Per controllare lo stato di BitLocker di un determinato volume, gli amministratori possono esaminare lo stato dell'unità nell'applet del pannello di controllo di BitLocker, in Esplora risorse, in strumento della riga di comando Manage-bde o in cmdlet di Windows PowerShell. Ogni opzione offre diversi livelli di dettaglio e facilità d'uso. Esamineremo ognuno dei metodi disponibili nella sezione seguente.

Controllo dello stato di BitLocker con il pannello di controllo

Il controllo dello stato di BitLocker con il pannello di controllo è il metodo più comune usato dalla maggior parte degli utenti. Una volta aperto, lo stato di ogni volume verrà visualizzato accanto alla descrizione del volume e alla lettera dell'unità. I valori restituiti di stato disponibili con il pannello di controllo includono:

Stato Descrizione
Attivato BitLocker è abilitato per il volume
Disattivato BitLocker non è abilitato per il volume
Suspended BitLocker viene sospeso e non protegge attivamente il volume
Attesa per l'attivazione BitLocker è abilitato con una chiave di protezione chiara e richiede un'ulteriore azione da proteggere completamente

Se un'unità viene precaricata con BitLocker, viene visualizzato lo stato "in attesa di attivazione" con un'icona a forma di esclamazione gialla nel volume E. Questo stato indica che è stato usato solo un Clear Protector per crittografare il volume. In questo caso, il volume non è in uno stato protetto e deve avere una chiave sicura aggiunta al volume prima che l'unità sia completamente protetta. Gli amministratori possono usare il pannello di controllo, lo strumento Manage-bde o le API WMI per aggiungere una protezione chiave appropriata. Una volta completata, il pannello di controllo verrà aggiornato per riflettere il nuovo stato. Usando il pannello di controllo, gli amministratori possono scegliere attiva BitLocker per avviare la configurazione guidata unità BitLocker e aggiungere un Protector, ad esempio pin per un volume di sistema operativo (o una password se non esiste alcun TPM) o una password o una protezione per smart card a un dato volume. La finestra di sicurezza dell'unità viene visualizzata prima di modificare lo stato del volume. Selezionando attiva BitLocker verrà completato il processo di crittografia.

Dopo aver completato l'attivazione del Protector BitLocker, viene visualizzato l'avviso di completamento.

Verifica dello stato di BitLocker con Manage-bde

Gli amministratori che preferiscono un'interfaccia della riga di comando possono usare Manage-bde per controllare lo stato del volume. Manage-bde è in grado di restituire ulteriori informazioni sul volume rispetto agli strumenti di interfaccia utente grafica nel pannello di controllo. Ad esempio, Manage-bde può visualizzare la versione di BitLocker in uso, il tipo di crittografia e i protettori associati a un volume.

Per controllare lo stato di un volume usando Manage-bde, usare il comando seguente:

manage-bde -status <volume>

Nota: se non è associata alcuna lettera del volume al comando-stato, tutti i volumi nel computer ne visualizzano lo stato.

Verifica dello stato di BitLocker con Windows PowerShell

I comandi di Windows PowerShell offrono un altro modo per eseguire query sullo stato di BitLocker per i volumi. Analogamente a Manage-bde, Windows PowerShell include il vantaggio di poter controllare lo stato di un volume in un computer remoto.

Usando il cmdlet Get-BitLockerVolume, ogni volume del sistema visualizzerà lo stato corrente di BitLocker. Per ottenere informazioni più dettagliate su un volume specifico, usare il comando seguente:

Get-BitLockerVolume <volume> -Verbose | fl

Questo comando Visualizza le informazioni sul metodo di crittografia, il tipo di volume, le protezioni chiave e così via.

Provisioning di BitLocker durante la distribuzione del sistema operativo

Gli amministratori possono abilitare BitLocker prima della distribuzione del sistema operativo dall'ambiente di pre-installazione di Windows. Questa operazione viene eseguita con una protezione con chiave chiara generata in modo casuale applicata al volume formattato e crittografando il volume prima dell'esecuzione del processo di installazione di Windows. Se la crittografia usa l'opzione solo spazio su disco usata descritta più avanti in questo documento, questo passaggio richiede solo pochi secondi e incorpora correttamente i processi di distribuzione regolari.

Decrittografia dei volumi di BitLocker

La decrittografia dei volumi consente di rimuovere BitLocker e le protezioni associate dai volumi. La decrittografia deve avvenire quando la protezione non è più necessaria. La decrittografia BitLocker non deve essere eseguita come passaggio di risoluzione dei problemi. BitLocker può essere rimosso da un volume usando l'applet del pannello di controllo BitLocker, Manage-bde o i cmdlet di Windows PowerShell. Verrà illustrato ogni metodo più avanti.

Decrittografia dei volumi con l'applet del pannello di controllo BitLocker

La decrittografia di BitLocker tramite il pannello di controllo viene eseguita tramite una procedura guidata. Il pannello di controllo può essere chiamato da Esplora risorse o aprendo direttamente. Dopo aver aperto il pannello di controllo di BitLocker, gli utenti selezionano l'opzione Disattiva BitLocker per iniziare il processo. Una volta selezionato, l'utente sceglie di continuare facendo clic sulla finestra di dialogo di conferma. Con Disattiva BitLocker confermato, il processo di decrittografia dell'unità inizierà e segnala lo stato al pannello di controllo.

Il pannello di controllo non riporta lo stato di decrittografia ma lo Visualizza nell'area di notifica della barra delle applicazioni. Selezionando l'icona dell'area di notifica verrà aperta una finestra di dialogo modale con lo stato di avanzamento.

Una volta completata la decrittografia, l'unità aggiornerà lo stato nel pannello di controllo e sarà disponibile per la crittografia.

Decrittografia dei volumi con l'interfaccia della riga di comando Manage-bde

La decrittografia dei volumi tramite Manage-bde è molto semplice. La decrittografia con Manage-bde offre il vantaggio di non richiedere la conferma dell'utente per avviare il processo. Manage-bde usa il comando-disattivazione per avviare il processo di decrittografia. Un comando di esempio per la decrittografia è:

manage-bde -off C:

Questo comando Disabilita i protettori mentre decrittografa il volume e rimuove tutte le protezioni durante il completamento della decrittografia. Se un utente desidera verificare lo stato della decrittografia, può usare il comando seguente:

manage-bde -status C:

Decrittografia dei volumi con i cmdlet di Windows PowerShell di BitLocker

La decrittografia con i cmdlet di Windows PowerShell è semplice, simile a Manage-bde. L'ulteriore vantaggio di Windows PowerShell offre è la possibilità di decrittografare più unità in un unico passaggio. Nell'esempio seguente l'utente ha tre volumi crittografati, che desiderano decrittografare.

Usando il comando Disable-BitLocker, è possibile rimuovere tutti i protettori e la crittografia contemporaneamente senza bisogno di altri comandi. Un esempio di questo comando è:

Disable-BitLocker

Se un utente non vuole inserire singolarmente ogni punto di montaggio, l'uso -MountPoint del parametro in una matrice può sequenziare lo stesso comando in una sola riga senza richiedere ulteriore input dell'utente. Un comando di esempio è:

Disable-BitLocker -MountPoint E:,F:,G:

Vedi anche