Gestione delle chiavi di BitLocker domande frequenti

Si applica a

  • Windows10

Come è possibile eseguire l'autenticazione o sbloccare l'unità dati rimovibili?

Per sbloccare le unità dati rimovibili, è possibile usare una password, smart card, oppure è possibile configurare una protezione SID per sbloccare un'unità con le credenziali di dominio. Dopo che hai iniziato la crittografia, l'unità può anche essere automaticamente sbloccata in un computer specifico per un account utente specifico. Gli amministratori di sistema possono configurare le opzioni sono disponibili per gli utenti, nonché ai requisiti di lunghezza minima e complessità password. Per sbloccare con una protezione SID, usare Manage-bde:

Manage-bde -protectors -add e: -sid domain\username

Che differenza c'è tra password di ripristino, chiave di ripristino, codice PIN, codice PIN avanzato e chiave di avvio?

Per le tabelle che elencano e descrivono gli elementi, come ad esempio password di ripristino, chiave di ripristino e PIN, vedi Protezioni con chiave BitLocker e Metodi di autenticazione BitLocker.

Come si possono memorizzare la password e la chiave di ripristino?

La password di ripristino e la chiave di ripristino per un'unità del sistema operativo o un'unità dati fissa possono essere salvate in una cartella, in uno o più dispositivi USB o nel tuo account Microsoft oppure possono essere stampate.

Per le unità dati rimovibili, la password di ripristino e la chiave di ripristino possono essere salvate in una cartella o nel tuo account Microsoft oppure possono essere stampate. Per impostazione predefinita, non puoi archiviare una chiave di ripristino per un'unità rimovibile in un'unità rimovibile.

Un amministratore di dominio può configurare anche criteri di gruppo per generare automaticamente le password di ripristino e archiviarle in Active Directory Domain Services (ADDS) per qualsiasi unità protetta con BitLocker.

È possibile aggiungere un altro metodo di autenticazione senza decrittografare l'unità se ho abilitato solo il metodo di autenticazione tramite TPM?

Puoi usare lo strumento da riga di comando Manage-bde.exe per sostituire la tua modalità di autenticazione solo TPM con una modalità di autenticazione a più fattori. Ad esempio, se BitLocker è abilitato solo con autenticazione tramite TPM e vuoi aggiungere l'autenticazione tramite PIN, usa i comandi seguenti da un prompt dei comandi con privilegi elevati, sostituendo 4-20 digit numeric PIN con il PIN numerico che vuoi usare:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin 4-20 digit numeric PIN

Quando deve essere considerato un metodo di autenticazione aggiuntivo?

Il nuovo hardware che soddisfa i requisiti di Programma di compatibilità hardware con Windows rende un PIN meno critico come prevenzione ed essendo dotato di una protezione solo TPM è in genere sufficiente in combinazione con criteri quali il blocco del dispositivo. Ad esempio, Surface Pro e Surface Book non dispongono di porte DMA esterne per gli attacchi. Per l'hardware precedente, in cui potrebbe essere necessario un PIN, si consiglia di abilitare PIN avanzati che consentono caratteri non numerici, ad esempio lettere e segni di punteggiatura, e di impostare la lunghezza del PIN in base alle funzionalità di tolleranza al rischio e anti-hammering dell'hardware disponibili per i TPM nei computer.

Se perdo le informazioni di ripristino, i dati protetti con BitLocker saranno irrecuperabili?

BitLocker è progettato perché l'unità crittografata sia irrecuperabile senza l'autenticazione necessaria. In modalità di ripristino l'utente deve avere la password di ripristino o la chiave di ripristino per sbloccare l'unità crittografata.

Importante

Archiviare le informazioni di ripristino in servizi, insieme al tuo Account Microsoft o in un'altra posizione sicura.

L'unità flash USB usata come chiave di avvio può essere usata anche per archiviare la chiave di ripristino?

Anche se tecnicamente possibile, l'uso di un'unità flash USB per archiviare entrambe le chiavi non è una procedura consigliata. Se l'unità flash USB che contiene la chiave di avvio viene smarrita o rubata, perderai l'accesso alla chiave di ripristino. Inoltre, l'inserimento di questa chiave provocherebbe l'avvio automatico del computer dalla chiave di ripristino anche se i file misurati dal TPM sono stati modificati, comportamento che elude il controllo dell'integrità del sistema del TPM.

Posso salvare la chiave di avvio su più unità flash USB?

Sì, puoi salvare una chiave di avvio del computer su più unità flash USB. Facendo clic con il pulsante destro del mouse su un'unità protetta con BitLocker e scegliendo Gestione BitLocker, potrai accedere alle opzioni per duplicare le chiavi di ripristino nel modo necessario.

Posso salvare più chiavi di avvio (diverse) sulla stessa unità flash USB?

Sì, puoi salvare le chiavi di avvio di BitLocker per diversi computer sulla stessa unità flash USB.

Posso generare più chiavi di avvio (diverse) per lo stesso computer?

Puoi generare chiavi di avvio diverse per lo stesso computer tramite script. Tuttavia, per i computer che hanno un TPM, la creazione di chiavi di avvio diverse impedisce a BitLocker di usare il controllo dell'integrità del sistema del TPM.

Posso generare più combinazioni di PIN?

Non puoi generare più combinazioni di PIN.

Quali chiavi di crittografia vengono usate in BitLocker? Come funzionano insieme?

I dati non elaborati vengono crittografati con la chiave di crittografia dell'intero volume, che viene quindi crittografata con la chiave master del volume. La chiave master del volume viene a sua volta crittografata tramite uno dei diversi metodi possibili, a seconda dei tuoi scenari di autenticazione (ovvero protezioni con chiave o TPM) e di ripristino.

Dove vengono archiviate le chiavi di crittografia?

La chiave di crittografia dell'intero volume viene crittografata dalla chiave master del volume e archiviata nell'unità crittografata. La chiave master del volume viene crittografata dalla protezione con chiave appropriata e archiviata nell'unità crittografata. Se BitLocker è stato sospeso, anche la chiave non crittografata usata per crittografare la chiave master del volume viene archiviata nell'unità crittografata, insieme alla chiave master del volume crittografata.

Questo processo di archiviazione garantisce che la chiave master del volume non venga mai archiviata come non crittografata e sia protetta, a meno che BitLocker non sia disabilitato. Le chiavi vengono salvate anche in altri due percorsi dell'unità per scopi di ridondanza. Le chiavi possono essere lette ed elaborate da Boot Manager.

Perché devo usare i tasti funzione per immettere il PIN o altre password di ripristino di 48 caratteri?

I tasti da F1 a F10 sono codici tasto mappati a livello universale e disponibili nell'ambiente prima dell'avvio in tutti i computer e in tutte le lingue. I tasti numerici da 0 a 9 non possono essere usati nell'ambiente prima dell'avvio in tutte le tastiere.

Quando usano un PIN avanzato, gli utenti devono eseguire il controllo del sistema facoltativo durante il processo di configurazione di BitLocker per garantire che il PIN possa essere immesso correttamente nell'ambiente prima dell'avvio.

In che modo BitLocker aiuta a impedire un attacco di individuazione del PIN in grado di sbloccare l'unità del sistema operativo?

Un PIN (Personal Identification Number) può essere individuato da un utente malintenzionato che esegue un attacco di forza bruta. Un attacco di forza bruta si verifica quando un utente malintenzionato usa uno strumento automatico per provare diverse combinazioni di PIN fino a individuare quella corretta. Per i computer protetti con BitLocker, questo tipo di attacco, chiamato anche attacco con dizionario, richiede che l'utente malintenzionato abbia accesso fisico al computer.

Per impostazione predefinita, il TPM è in grado di individuare questi tipi di attacchi e di rispondervi in modo efficace. Poiché i TPM di produttori diversi possono supportare opzioni di prevenzione diverse per PIN e attacchi, contatta il produttore del tuo TPM per determinare in che modo il TPM del tuo computer previene attacchi di forza bruta contro i PIN. Una volta individuato il produttore del tuo TPM, contattalo per ottenere informazioni specifiche del fornitore del TPM. La maggior parte dei produttori usa il conteggio degli errori di autenticazione tramite PIN per aumentare esponenzialmente il periodo di blocco per l'interfaccia del PIN. Tuttavia, ogni produttore ha criteri diversi riguardo a tempi e modi per la riduzione o la reimpostazione del contatore degli errori.

Come posso determinare il produttore del mio TPM?

Puoi determinare il produttore del tuo TPM in Windows Defender Security Center > Sicurezza dei dispositivi > i dettagli del processore di sicurezza.

Come posso valutare un meccanismo di prevenzione degli attacchi con dizionario di un TPM?

Le domande seguenti possono esserti utili quando contatti il produttore di un TPM per chiedergli informazioni sulla progettazione di un meccanismo di prevenzione degli attacchi con dizionario:

  • Quanti tentativi di autenticazione non riusciti possono verificarsi prima del blocco?
  • Qual è l'algoritmo per determinare la durata di un blocco in base al numero di tentativi non riusciti e altri parametri significativi?
  • Quali azioni possono provocare la riduzione o la reimpostazione del conteggio degli errori e della durata del blocco?

La lunghezza e la complessità del PIN possono essere gestite con Criteri di gruppo?

Sì e no. Puoi configurare la lunghezza minima del PIN usando l'impostazione di Criteri di gruppo Configura lunghezza minima PIN per l'avvio e permettere l'uso di PIN alfanumerici abilitando l'impostazione di Criteri di gruppo Consenti PIN avanzati per l'avvio. Tuttavia, non puoi specificare la complessità del PIN tramite Criteri di gruppo.

Per altre info, vedi Impostazioni di Criteri di gruppo per BitLocker.