BitLockerBitLocker

Si applica aApplies to

  • Windows 10Windows10

Questo argomento contiene una panoramica generale di BitLocker e include un elenco dei requisiti di sistema, le applicazioni pratiche e le funzionalità deprecate.This topic provides a high-level overview of BitLocker, including a list of system requirements, practical applications, and deprecated features.

Panoramica di BitlockerBitLocker overview

Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e gestisce le minacce di furto dei dati o l'esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.

BitLocker offre la massima protezione se usato con un Trusted Platform Module (TPM) versione 1.2 o successive.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. Il TPM è un componente hardware installato dai produttori in molti computer recenti.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Interagisce con BitLocker per proteggere i dati utente e assicurare che un computer non sia stato manomesso mentre il sistema era offline.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.

Nei computer senza un TPM 1.2 o versione successiva, puoi comunque usare BitLocker per crittografare il volume del sistema operativo Windows.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Questa implementazione richiede tuttavia che l'utente inserisca una chiave di avvio USB per avviare il computer o riprendere l'esecuzione dallo stato di ibernazione.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. A partire da Windows8, puoi usare una password del volume del sistema operativo per proteggere questo volume in un computer senza TPM.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema prima dell'avvio assicurata da BitLocker con un TPM.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.

Oltre al TPM, BitLocker offre anche la possibilità di bloccare il normale processo di avvio finché l'utente non fornisce un PIN o non inserisce un dispositivo rimovibile, ad esempio un'unità flash USB, contenente una chiave di avvio.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Queste misure di sicurezza aggiuntive consentono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o l'esecuzione non venga ripresa dallo stato di ibernazione fino a quando non viene fornito il PIN corretto o la chiave di avvio appropriata.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.

Applicazioni pratichePractical applications

I dati in un computer smarrito o rubato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer's hard disk to a different computer. BitLocker aiuta a ridurre l'accesso non autorizzato ai dati potenziando la protezione dei file e del sistema.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. BitLocker aiuta anche a rendere inaccessibili i dati quando computer protetti con BitLocker vengono disattivati o riciclati.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

Per gestire BitLocker, puoi usare altri due strumenti disponibili in Strumenti di amministrazione remota del server.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

  • Visualizzatore password di ripristino BitLockerBitLocker Recovery Password Viewer. Visualizzatore password di ripristino BitLocker ti permette di individuare le password di ripristino di Crittografia unità BitLocker di cui è stato eseguito il backup in Servizi di dominio Active Directory.The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). Puoi usare questo strumento per recuperare i dati archiviati in un'unità che è stata crittografata con BitLocker.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. Lo strumento Visualizzatore password di ripristino BitLocker è un'estensione per lo snap-in Microsoft Management Console (MMC) Utenti e computer di Active Directory.The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. Usando questo strumento, puoi esaminare la finestra di dialogo Proprietà di un oggetto computer per visualizzare le password di ripristino di BitLocker corrispondenti.By using this tool, you can examine a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords. Inoltre, puoi fare clic con il pulsante destro del mouse su un contenitore di dominio e quindi cercare una password di ripristino di BitLocker in tutti i domini nella foresta di Active Directory.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Per visualizzare le password di ripristino, devi essere un amministratore di dominio oppure un amministratore di dominio deve averti assegnato le autorizzazioni necessarie.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

  • Strumenti per Crittografia unità BitLocker.BitLocker Drive Encryption Tools. Strumenti per Crittografia unità BitLocker include gli strumenti da riga di comando manage-bde e repair-bde e i cmdlet di Windows PowerShell per BitLocker.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Sia manage-bde sia i cmdlet per BitLocker possono essere usati per eseguire qualsiasi attività che può essere completata tramite il Pannello di controllo BitLocker e sono appropriati per distribuzioni automatiche e altri scenari di script.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Repair-bde viene fornito per scenari di ripristino di emergenza in cui un'unità protetta con BitLocker non può essere sbloccata normalmente o tramite la console di ripristino.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

Funzionalità nuove e modificateNew and changed functionality

Per informazioni sulle novità di BitLocker per Windows10, ad esempio il supporto per l'algoritmo di crittografia XTS-AES, vedere la sezione BitLocker in "Novità di Windows 10".To find out what's new in BitLocker for Windows10, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."  

Requisiti di sistemaSystem requirements

I requisiti hardware per BitLocker sono i seguenti:BitLocker has the following hardware requirements:

Affinché BitLocker usi il controllo di integrità del sistema fornito da un modulo TPM (Trusted Platform Module), il computer deve avere TPM 1.2 o versione successiva.For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM1.2 or later. Se il computer non ha un TPM, per poter abilitare BitLocker devi salvare una chiave di avvio in un disco rimovibile, come un'unità flash USB.If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

Un computer con un TPM deve avere anche un firmware UEFI o BIOS conforme a TGC (Trusted Computing Group).A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. Il firmware BIOS o UEFI stabilisce una catena di certificati per l'avvio dell'ambiente prima del sistema operativo e deve includere il supporto per la misurazione della radice di attendibilità statica specificata da TCG.The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. Un computer senza un TPM non richiede firmware conforme a TCG.A computer without a TPM does not require TCG-compliant firmware.

Il firmware BIOS o UEFI (per computer con TPM o senza TPM) deve supportare la classe di dispositivi di archiviazione di massa USB, inclusa la capacità di leggere piccoli file in un'unità flash USB nell'ambiente prima del sistema operativo.The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Importante

In Windows 7 è possibile crittografare un'unità del sistema operativo senza un TPM e un'unità flash USB.From Windows 7, you can encrypt an OS drive without a TPM and USB flash drive. Per questa procedura, vedere Suggerimento del giorno: BitLocker senza TPM o USB.For this procedure, see Tip of the Day: Bitlocker without TPM or USB.

Nota

TPM 2,0 non è supportato nelle modalità legacy e CSM del BIOS.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. I dispositivi con TPM 2,0 devono avere la modalità BIOS configurata solo come UEFI nativo.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Le opzioni Legacy e Compatibility Support Module (CSM) devono essere disabilitate.The Legacy and Compatibility Support Module (CSM) options must be disabled. Per una maggiore sicurezza, abilitare la funzionalità di avvio sicuro.For added security Enable the Secure Boot feature.

Il sistema operativo installato sull'hardware in modalità legacy impedirà l'avvio del sistema operativo quando la modalità BIOS viene cambiata in UEFI.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. USA lo strumento MBR2GPT prima di cambiare la modalità BIOS che preparerà il sistema operativo e il disco per il supporto dell'UEFI.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

Il disco rigido deve essere partizionato con almeno due unità:The hard disk must be partitioned with at least two drives:

  • L'unità del sistema operativo (o unità di avvio) contiene il sistema operativo e i relativi file di supporto.The operating system drive (or boot drive) contains the operating system and its support files. Questa unità deve essere formattata con il file system NTFS.It must be formatted with the NTFS file system.
  • L'unità di sistema contiene i file necessari per caricare Windows dopo che il firmware ha preparato l'hardware del sistema.The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. BitLocker non è abilitato in questa unità.BitLocker is not enabled on this drive. Perché BitLocker funzioni, l'unità di sistema non deve essere crittografata, deve essere diversa da quella del sistema operativo e deve essere formattata con il file system FAT32 nei computer che usano firmware UEFI e con il file system NTFS nei computer che usano firmware BIOS.For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. Consigliamo che l'unità di sistema sia di circa 350 MB.We recommend that system drive be approximately 350 MB in size. Una volta attivato BitLocker, l'unità dovrebbe avere circa 250 MB di spazio libero.After BitLocker is turned on it should have approximately 250 MB of free space.

Se è installato in un nuovo computer, Windows crea automaticamente le partizioni necessarie per BitLocker.When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

Quando installi il componente facoltativo BitLocker in un server, devi installare anche la funzionalità Archiviazione avanzata, usata per supportare le unità con crittografia hardware.When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

Contenuto della sezioneIn this section

ArgomentoTopic DescrizioneDescription
Panoramica della crittografia dispositivo di BitLocker in Windows 10Overview of BitLocker Device Encryption in Windows 10 Questo argomento, destinato ai professionisti IT, fornisce una panoramica dei metodi in cui la crittografia dispositivo di BitLocker può proteggere i dati nei dispositivi che eseguono Windows 10.This topic for the IT professional provides an overview of the ways that BitLocker Device Encryption can help protect data on devices running Windows 10.
Domande frequenti su BitLockerBitLocker frequently asked questions (FAQ) Questo argomento, dedicato ai professionisti IT, risponde alle domande frequenti che riguardano requisiti per uso, aggiornamento, distribuzione e amministrazione di BitLocker e i relativi criteri di gestione delle chiavi.This topic for the IT professional answers frequently asked questions concerning the requirements to use, upgrade, deploy and administer, and key management policies for BitLocker.
Preparare l'organizzazione per BitLocker: pianificazione e criteriPrepare your organization for BitLocker: Planning and policies Questo argomento, destinato ai professionisti IT, spiega come pianificare la distribuzione di BitLocker.This topic for the IT professional explains how can you plan your BitLocker deployment.
Distribuzione di base di BitLockerBitLocker basic deployment Questo argomento, destinato ai professionisti IT, spiega come usare le funzionalità di BitLocker per proteggere i dati tramite la crittografia unità.This topic for the IT professional explains how BitLocker features can be used to protect your data through drive encryption.
BitLocker: come eseguire la distribuzione in Windows ServerBitLocker: How to deploy on Windows Server Questo argomento per il professionista IT spiega come distribuire BitLocker in Windows Server.This topic for the IT professional explains how to deploy BitLocker on Windows Server.
BitLocker: Come abilitare lo sblocco di reteBitLocker: How to enable Network Unlock Questo argomento, destinato ai professionisti IT, descrive il funzionamento di Sblocco di rete via BitLocker e come configurarlo.This topic for the IT professional describes how BitLocker Network Unlock works and how to configure it.
BitLocker: Usare Strumenti per Crittografia unità BitLocker per la gestione di BitLockerBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker Questo argomento, destinato ai professionisti IT, descrive come usare alcuni strumenti per la gestione di BitLocker.This topic for the IT professional describes how to use tools to manage BitLocker.
BitLocker: Usare Visualizzatore password di ripristino BitLockerBitLocker: Use BitLocker Recovery Password Viewer Questo argomento, destinato ai professionisti IT, descrive come usare Visualizzatore password di ripristino BitLocker.This topic for the IT professional describes how to use the BitLocker Recovery Password Viewer.
Impostazioni di Criteri di gruppo per BitLockerBitLocker Group Policy settings Questo argomento, destinato ai professionisti IT, descrive la funzione, il percorso e l'effetto di ciascuna impostazione dei Criteri di gruppo utilizzata per gestire BitLocker.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker.
Impostazioni dei dati configurazione di avvio e BitLockerBCD settings and BitLocker Questo argomento, destinato ai professionisti IT, descrive le impostazioni dei dati configurazione di avvio usate da BitLocker.This topic for IT professionals describes the BCD settings that are used by BitLocker.
Guida al ripristino di BitLockerBitLocker Recovery Guide Questo argomento, destinato ai professionisti IT, descrive come recuperare chiavi di BitLocker da Servizi di dominio Active Directory.This topic for IT professionals describes how to recover BitLocker keys from AD DS.
Proteggere BitLocker da attacchi prima dell'avvioProtect BitLocker from pre-boot attacks Questa guida dettagliata consentirà di comprendere le circostanze in cui è consigliabile usare l'autenticazione di pre-avvio per i dispositivi che usano Windows10, Windows 8,1, Windows 8 o Windows 7; e quando può essere omesso in modo sicuro dalla configurazione di un dispositivo.This detailed guide will help you understand the circumstances under which the use of pre-boot authentication is recommended for devices running Windows10, Windows 8.1, Windows 8, or Windows 7; and when it can be safely omitted from a device’s configuration.
Risolvere problemi relativi a BitLockerTroubleshoot BitLocker Questa guida descrive le risorse che consentono di risolvere i problemi relativi a BitLocker e offre soluzioni per diversi problemi comuni di BitLocker.This guide describes the resources that can help you troubleshoot BitLocker issues, and provides solutions for several common BitLocker issues.
Protezione dei volumi condivisi del cluster e delle reti di archiviazione (SAN) con BitLockerProtecting cluster shared volumes and storage area networks with BitLocker Questo argomento, destinato ai professionisti IT, descrive come proteggere volumi condivisi del cluster e reti SAN con BitLocker.This topic for IT pros describes how to protect CSVs and SANs with BitLocker.
Abilitazione dell'avvio protetto e della crittografia dispositivo BitLocker in Windows 10 IoT CoreEnabling Secure Boot and BitLocker Device Encryption on Windows 10 IoT Core In questo argomento viene descritto come utilizzare BitLocker con Windows 10 IoT CoreThis topic covers how to use BitLocker with Windows 10 IoT Core