Panoramica di Crittografia dispositivo BitLocker in Windows 10

Si applica a

  • Windows 10

Questo argomento spiega come BitLocker Device Encryption può aiutare a proteggere i dati nei dispositivi con Windows 10. Per una panoramica dell'architettura sul funzionamento della crittografia dei dispositivi BitLocker con l'avvio sicuro, vedere informazioni generali sull'avvio e la crittografia dei dispositivi BitLocker. Per una panoramica generale e un elenco di argomenti relativi a BitLocker, vedere BitLocker.

Quando gli utenti viaggiano, i dati riservati dell'organizzazione vengono accompagnati. Ovunque siano archiviati dati riservati, deve essere protetto da accessi non autorizzati. Windows ha una lunga storia di fornire soluzioni di protezione dei dati a riposo che proteggono dagli aggressori nefasti, a partire dal file system crittografato nel sistema operativo Windows 2000. Più di recente, BitLocker ha fornito la crittografia per unità complete e unità portatili. Windows migliora costantemente la protezione dei dati migliorando le opzioni esistenti e fornendo nuove strategie.

La tabella 2 elenca i problemi specifici di protezione dei dati e il modo in cui vengono affrontati in Windows10 e Windows7.

Tabella 2. Protezione dei dati in Windows10 e Windows7

Windows7 Windows 10
Quando BitLocker viene usato con un PIN per proteggere l'avvio, i PC, ad esempio i chioschi multimediali, non possono essere riavviati in remoto. I moderni dispositivi Windows sono sempre più protetti dalla crittografia dei dispositivi BitLocker e supportano SSO per proteggere in maniera trasparente le chiavi di crittografia di BitLocker dagli attacchi di avvio a freddo.

Network Unlock consente ai PC di avviarsi automaticamente quando si è connessi alla rete interna.
Quando BitLocker è abilitato, il processo di provisioning può richiedere diverse ore. Il provisioning di BitLocker, la crittografia dei dischi rigidi e lo spazio usato solo per gli amministratori consentono di abilitare rapidamente BitLocker nei nuovi computer.
Non è disponibile alcun supporto per l'uso di BitLocker con unità con crittografia automatica (SEDs). BitLocker supporta la crittografia di offload per i dischi rigidi crittografati.
Gli amministratori devono usare strumenti distinti per gestire dischi rigidi crittografati. BitLocker supporta le unità disco rigido crittografate con l'hardware di crittografia integrato, che consente agli amministratori di usare gli strumenti di amministrazione di BitLocker noti per gestirli.
La crittografia di una nuova unità flash può richiedere più di 20 minuti. Lo spazio usato solo per la crittografia in BitLocker To Go consente agli utenti di crittografare le unità dati rimovibili in pochi secondi.
BitLocker può richiedere agli utenti di immettere una chiave di ripristino quando si verificano modifiche alla configurazione di sistema. BitLocker richiede all'utente di immettere una chiave di ripristino solo quando si verificano danneggiamenti del disco o quando perde il PIN o la password.
Gli utenti devono immettere un PIN per avviare il PC e quindi la relativa password per accedere a Windows. I moderni dispositivi Windows sono sempre più protetti con la crittografia dei dispositivi BitLocker dalla casella e supportano SSO per proteggere le chiavi di crittografia di BitLocker dagli attacchi di avvio a freddo.

Preparare l'unità e la crittografia dei file

Il tipo migliore di misure di sicurezza è trasparente per l'utente durante l'implementazione e l'uso. Ogni volta che si verificano possibili ritardi o difficoltà a causa di una caratteristica di sicurezza, è probabile che gli utenti tentino di ignorare la sicurezza. Questa situazione è particolarmente vera per la protezione dei dati e questo è uno scenario che le organizzazioni devono evitare. Indipendentemente dal fatto che si stia pianificando di crittografare interi volumi, dispositivi rimovibili o singoli file, Windows10 soddisfa le proprie esigenze fornendo soluzioni semplificate e utilizzabili. In effetti, è possibile eseguire più passaggi in anticipo per prepararsi per la crittografia dei dati e rendere la distribuzione veloce e fluida.

Pre-provisioning TPM

In Windows7 la preparazione del TPM per l'uso offre un paio di sfide:

  • È possibile attivare il TPM nel BIOS, in modo che sia necessario che qualcuno entri nelle impostazioni del BIOS per attivarlo o per installare un driver per attivarlo dall'interno di Windows.
  • Quando si Abilita il TPM, potrebbe essere necessario uno o più riavvii.

In sostanza, è stato un problema. Se il personale IT provisioning di nuovi PC, potrebbe gestire tutto questo, ma se si vuole aggiungere BitLocker ai dispositivi già presenti nelle mani degli utenti, questi utenti avrebbero lottato con le sfide tecniche e avrebbero potuto chiamarlo per il supporto o semplicemente uscire BitLocker disabilitato.

Microsoft include la strumentazione in Windows10 che consente al sistema operativo di gestire completamente il TPM. Non è necessario accedere al BIOS e tutti gli scenari che richiedono un riavvio sono stati eliminati.

Distribuire la crittografia del disco rigido

BitLocker è in grado di crittografare interi dischi rigidi, incluse le unità di sistema e i dati. Il pre-provisioning di BitLocker può ridurre drasticamente il tempo necessario per eseguire il provisioning di nuovi PC con BitLocker abilitato. Con Windows10, gli amministratori possono attivare BitLocker e il TPM dall'ambiente di preinstallazione di Windows prima di installare Windows o come parte di una sequenza di attività di distribuzione automatica senza alcuna interazione con l'utente. In combinazione con la crittografia utilizzata solo spazio su disco e un'unità principalmente vuota (poiché Windows non è ancora installato), sono necessari solo pochi secondi per abilitare BitLocker. Con le versioni precedenti di Windows, gli amministratori hanno dovuto abilitare BitLocker dopo l'installazione di Windows. Anche se questo processo può essere automatizzato, BitLocker dovrà crittografare l'intera unità, un processo che potrebbe richiedere da diverse ore a più di un giorno, a seconda delle dimensioni e delle prestazioni del disco, che hanno ritardato notevolmente la distribuzione. Microsoft ha migliorato questo processo con più funzionalità in Windows10.

Crittografia del dispositivo BitLocker

A partire da Windows 8.1, Windows Abilita automaticamente la crittografia del dispositivo BitLocker su dispositivi che supportano la modalità standby moderna. Con Windows10, Microsoft offre il supporto per la crittografia dei dispositivi BitLocker in una gamma di dispositivi molto più ampia, inclusi quelli moderni e in standby e i dispositivi che eseguono Windows 10 Home Edition.

Microsoft prevede che la maggior parte dei dispositivi in futuro supererà i requisiti di test, rendendo la crittografia del dispositivo BitLocker più diffusa nei moderni dispositivi Windows. La crittografia dei dispositivi BitLocker protegge ulteriormente il sistema applicando la crittografia dei dati a livello di dispositivo in modo trasparente.

Diversamente da un'implementazione standard di BitLocker, la crittografia dei dispositivi BitLocker viene abilitata automaticamente in modo che il dispositivo sia sempre protetto. L'elenco seguente illustra come si verifica questo aspetto:

  • Quando un'installazione pulita di Windows10 è stata completata e l'esperienza fuori sede è terminata, il computer è pronto per il primo utilizzo. Come parte di questa preparazione, la crittografia dei dispositivi BitLocker viene inizializzata nell'unità del sistema operativo e nelle unità dati fisse nel computer con una chiave chiara (equivalente allo stato di sospensione standard di BitLocker). In questo stato, l'unità viene visualizzata con un'icona di avviso in Esplora risorse. L'icona di avviso giallo viene rimossa dopo la creazione della protezione TPM e viene eseguito il backup della chiave di ripristino, come spiegato nei punti elenco seguenti.
  • Se il dispositivo non è collegato al dominio, è necessario un account Microsoft a cui sono stati assegnati privilegi amministrativi per il dispositivo. Quando l'amministratore usa un account Microsoft per accedere, il tasto Clear viene rimosso, viene caricata una chiave di ripristino nell'account Microsoft online e viene creato un Protector TPM. Se un dispositivo richiede la chiave di ripristino, l'utente verrà guidato per usare un dispositivo alternativo e passare a un URL di accesso tramite chiave di ripristino per recuperare la chiave di ripristino usando le credenziali dell'account Microsoft.
  • Se l'utente usa un account di dominio per accedere, il tasto Clear non viene rimosso finché l'utente non si unisce al dispositivo a un dominio e la chiave di ripristino viene eseguito il backup in servizi di dominio Active Directory. È necessario abilitare l'impostazione di criteri di gruppo unità di Configuration\Administrative Templates\Windows Components\BitLocker unità di sistema Encryption\Operating e selezionare l'opzione non abilitare BitLocker fino a quando non è possibile recuperare le informazioni di ripristino l'opzione Archivia in servizi di dominio Active Directory per le unità del sistema operativo . Con questa configurazione, la password di ripristino viene creata automaticamente quando il computer entra a far parte del dominio e quindi viene eseguito il backup della chiave di ripristino in Active Directory, viene creata la protezione TPM e viene rimosso il tasto Clear.
  • In modo analogo all'accesso con un account di dominio, il tasto Cancella viene rimosso quando l'utente accede a un account di Azure AD nel dispositivo. Come descritto nel punto elenco puntato sopra, la password di ripristino viene creata automaticamente quando l'utente esegue l'autenticazione in Azure AD. Viene quindi eseguito il backup della chiave di ripristino in Azure AD, viene creata la protezione TPM e viene rimosso il tasto Clear.

Microsoft consiglia di abilitare la crittografia dei dispositivi BitLocker in tutti i sistemi che la supportano, ma il processo di crittografia automatica dei dispositivi BitLocker può essere impedito modificando l'impostazione seguente del registro di sistema:

  • Sottochiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Valore: PreventDeviceEncryption uguale a vero (1)
  • Digitare: REG_DWORD

Gli amministratori possono gestire i dispositivi collegati al dominio che hanno la crittografia dei dispositivi BitLocker abilitata tramite Microsoft BitLocker Administration and Monitoring (MBAM). In questo caso, BitLocker Device Encryption rende automaticamente disponibili altre opzioni di BitLocker. Non è necessaria alcuna conversione o crittografia e MBAM può gestire il set di criteri di BitLocker completo se sono necessarie modifiche alla configurazione.

Solo spazio su disco usato per la crittografia

BitLocker nelle versioni precedenti di Windows può richiedere molto tempo per crittografare un'unità, perché ha crittografato ogni byte del volume (incluse le parti che non avevano dati). Questo è ancora il modo più sicuro per crittografare un'unità, in particolare se un'unità ha precedentemente contenuto dati riservati che sono stati spostati o eliminati. In questo caso, le tracce dei dati riservati potrebbero rimanere in parti dell'unità contrassegnate come inutilizzate. Ma perché crittografare una nuova unità quando si può semplicemente crittografare i dati durante la scrittura? Per ridurre il tempo di crittografia, BitLocker in Windows10 consente agli utenti di scegliere di crittografare solo i loro dati. A seconda della quantità di dati nell'unità, questa opzione può ridurre il tempo di crittografia di oltre 99%. Prestare attenzione quando si crittografa solo lo spazio usato su un volume esistente in cui i dati riservati potrebbero essere già archiviati in uno stato non crittografato, tuttavia, perché tali settori possono essere recuperati tramite strumenti di ripristino del disco finché non vengono sovrascritti da nuovi dati crittografati. Al contrario, la crittografia dello spazio usato solo in un volume nuovo di zecca può ridurre significativamente il tempo di distribuzione senza il rischio di sicurezza, perché tutti i nuovi dati verranno crittografati durante la scrittura nel disco.

Supporto per il disco rigido crittografato

SEDs è stato disponibile per anni, ma Microsoft non è in grado di supportare l'uso con alcune versioni precedenti di Windows, perché le unità non hanno caratteristiche importanti per la gestione delle chiavi. Microsoft ha collaborato con i fornitori di archiviazione per migliorare le funzionalità hardware e ora BitLocker supporta la nuova generazione di SEDs, denominati dischi rigidi crittografati. I dischi rigidi crittografati consentono di crittografare le funzionalità di crittografia dei dati sulle unità, in modo da migliorare le prestazioni delle unità e del sistema, scaricando i calcoli crittografici dal processore del PC all'unità stessa e rapidamente crittografando l'unità uso di hardware dedicato e appositamente creato. Se si prevede di usare la crittografia per unità intere con Windows10, Microsoft consiglia di analizzare i produttori e i modelli di dischi rigidi per determinare se uno dei dischi rigidi crittografati soddisfa i requisiti di sicurezza e preventivo. Per altre informazioni sui dischi rigidi crittografati, vedere disco rigido crittografato.

Protezione delle informazioni di preavvio

Un'efficace implementazione della protezione delle informazioni, come la maggior parte dei controlli di sicurezza, considera l'usabilità e la sicurezza. In genere gli utenti preferiscono una semplice esperienza di sicurezza. In realtà, più diventa trasparente una soluzione di sicurezza, più è probabile che gli utenti siano conformi. È fondamentale che le organizzazioni proteggano le informazioni sui loro PC indipendentemente dallo stato del computer o dall'intenzione degli utenti. Questa protezione non dovrebbe essere ingombrante per gli utenti. Una situazione comune indesiderata e in precedenza è quando all'utente viene richiesto di inserire durante il preavvio e quindi di nuovo durante l'accesso a Windows. Gli utenti più impegnati per l'input più di una volta devono essere evitati. Windows10 può consentire una vera esperienza SSO dall'ambiente di preavvio nei dispositivi moderni e in alcuni casi anche in dispositivi meno recenti quando sono in atto configurazioni robuste per la protezione delle informazioni. Il TPM in isolamento è in grado di proteggere in modo sicuro la chiave di crittografia BitLocker mentre è a riposo e può sbloccare in modo sicuro l'unità del sistema operativo. Quando la chiave è in uso e quindi in memoria, una combinazione di funzionalità hardware e Windows può garantire la chiave e impedire l'accesso non autorizzato tramite attacchi di avvio a freddo. Anche se sono disponibili altre contromisure, come l'unlock basato su PIN, non sono più user-friendly; a seconda della configurazione dei dispositivi, potrebbero non offrire ulteriore sicurezza quando si tratta di una protezione chiave. Per altre informazioni, vedere contromisure di BitLocker.

Gestire le password e i pin

Quando BitLocker è abilitato su un'unità di sistema e il PC ha un TPM, è possibile scegliere di richiedere agli utenti di digitare un PIN prima che BitLocker sblocchi l'unità. Un requisito simile a un PIN può impedire a un utente malintenzionato che abbia accesso fisico a un PC di accedere anche all'accesso di Windows, rendendo praticamente impossibile l'accesso o la modifica dei dati degli utenti e i file di sistema.

Richiedere un PIN all'avvio è una caratteristica di sicurezza utile perché funge da secondo fattore di autenticazione (un secondo "qualcosa che conosci"). Tuttavia, questa configurazione include alcuni costi. Una delle più significative è la necessità di modificare regolarmente il PIN. Nelle aziende che usavano BitLocker con Windows7 e il sistema operativo WindowsVista, gli utenti dovevano contattare gli amministratori dei sistemi per aggiornare il PIN o la password di BitLocker. Questo requisito non solo ha aumentato i costi di gestione, ma ha reso gli utenti meno disposti a modificare regolarmente il PIN o la password di BitLocker. Gli utenti di Windows10 possono aggiornare i pin e le password di BitLocker, senza le credenziali di amministratore. Questa funzionalità non solo ridurrà i costi di supporto, ma potrebbe anche migliorare la sicurezza, perché incoraggia gli utenti a cambiare più spesso i pin e le password. Inoltre, i moderni dispositivi di standby non richiedono un PIN per l'avvio: sono progettati per iniziare raramente e hanno altre attenuazioni in atto che riducono ulteriormente la superficie di attacco del sistema. Per altre informazioni su come funziona la sicurezza dell'avvio e sulle contromisure fornite da Windows10, vedere proteggere BitLocker dagli attacchi di pre-avvio.

Configurare Network Unlock

Alcune organizzazioni hanno requisiti di sicurezza dei dati specifici della posizione. Questa operazione è più comune in ambienti in cui i dati di alto valore sono archiviati nei PC. L'ambiente di rete può garantire una protezione dei dati cruciale e applicare l'autenticazione obbligatoria; di conseguenza, i criteri affermano che questi PC non devono uscire dall'edificio o essere disconnessi dalla rete aziendale. Le protezioni come i blocchi di sicurezza fisici e le schermate possono aiutare a applicare questi criteri come controlli reattivi. Oltre a queste, un controllo di sicurezza proattivo che garantisce l'accesso ai dati solo quando il PC è connesso alla rete aziendale è necessario.

Network Unlock consente l'avvio automatico dei PC protetti da BitLocker quando si è connessi a una rete aziendale cablata in cui vengono eseguiti i servizi di distribuzione Windows. Ogni volta che il PC non è connesso alla rete aziendale, un utente deve digitare un PIN per sbloccare l'unità, se è abilitata la funzionalità di sblocco basato su PIN. Network Unlock richiede l'infrastruttura seguente:

  • PC client con il firmware UEFI (Unified Extensible Firmware Interface) versione 2.3.1 o successiva, che supporta il protocollo DHCP (Dynamic Host Configuration Protocol)
  • Un server che utilizza almeno Windows Server 2012 con il ruolo Servizi di distribuzione Windows
  • Server con il ruolo del server DHCP installato

Per altre informazioni su come configurare la configurazione di rete, vedere BitLocker: come abilitare l'apertura della rete.

Amministrazione e monitoraggio di Microsoft BitLocker

Parte del Microsoft Desktop Optimization Pack, MBAM rende più facile gestire e supportare BitLocker e BitLocker per l'uso. MBAM 2,5 con Service Pack 1, la versione più recente, presenta le caratteristiche principali seguenti:

  • Consente agli amministratori di automatizzare il processo di crittografia dei volumi nei computer client in tutta l'organizzazione.
  • Consente agli addetti alla sicurezza di determinare rapidamente lo stato di conformità dei singoli computer o anche dell'organizzazione stessa.
  • Fornisce Reporting centralizzato e gestione hardware con Microsoft System Center Configuration Manager.
  • Riduce il carico di lavoro nell'help desk per assistere gli utenti finali alle richieste di ripristino di BitLocker.
  • Consente agli utenti finali di recuperare i dispositivi crittografati in modo indipendente usando il portale self-service.
  • Consente agli addetti alla sicurezza di controllare facilmente l'accesso alle informazioni chiave di ripristino.
  • Consente agli utenti di Windows Enterprise di continuare a lavorare ovunque con la garanzia che i loro dati aziendali siano protetti.
  • Applica le opzioni dei criteri di crittografia di BitLocker impostate per l'organizzazione.
  • Si integra con gli strumenti di gestione esistenti, ad esempio System Center Configuration Manager.
  • Offre un'esperienza utente di ripristino personalizzabile.
  • Supporta Windows10.

Per altre informazioni su MBAM, incluso il modo in cui ottenerlo, vedere amministrazione e monitoraggio di Microsoft BitLocker in MDOP TechCenter.