BitLocker

Si applica a

  • Windows 10
  • Windows 11
  • Windows Server 2016 e successive

Questo argomento contiene una panoramica generale di BitLocker e include un elenco dei requisiti di sistema, le applicazioni pratiche e le funzionalità deprecate.

Panoramica di Bitlocker

Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e gestisce le minacce di furto dei dati o l'esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer.

BitLocker offre la massima protezione se usato con un Trusted Platform Module (TPM) versione 1.2 o successive. Il TPM è un componente hardware installato dai produttori in molti computer recenti. Interagisce con BitLocker per proteggere i dati utente e assicurare che un computer non sia stato manomesso mentre il sistema era offline.

Nei computer senza un TPM 1.2 o versione successiva, puoi comunque usare BitLocker per crittografare il volume del sistema operativo Windows. Questa implementazione richiede tuttavia che l'utente inserisca una chiave di avvio USB per avviare il computer o riprendere l'esecuzione dallo stato di ibernazione. A partire da Windows8, puoi usare una password del volume del sistema operativo per proteggere questo volume in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema prima dell'avvio assicurata da BitLocker con un TPM.

Oltre al TPM, BitLocker offre anche la possibilità di bloccare il normale processo di avvio finché l'utente non fornisce un PIN o non inserisce un dispositivo rimovibile, ad esempio un'unità flash USB, contenente una chiave di avvio. Queste misure di sicurezza aggiuntive consentono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o l'esecuzione non venga ripresa dallo stato di ibernazione fino a quando non viene fornito il PIN corretto o la chiave di avvio appropriata.

Applicazioni pratiche

I dati in un computer smarrito o rubato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. BitLocker aiuta a ridurre l'accesso non autorizzato ai dati potenziando la protezione dei file e del sistema. BitLocker aiuta anche a rendere inaccessibili i dati quando computer protetti con BitLocker vengono disattivati o riciclati.

Per gestire BitLocker, puoi usare altri due strumenti disponibili in Strumenti di amministrazione remota del server.

  • Visualizzatore password di ripristino BitLocker Visualizzatore password di ripristino BitLocker ti permette di individuare le password di ripristino di Crittografia unità BitLocker di cui è stato eseguito il backup in Servizi di dominio Active Directory. Puoi usare questo strumento per recuperare i dati archiviati in un'unità che è stata crittografata con BitLocker. Lo strumento Visualizzatore password di ripristino BitLocker è un'estensione per lo snap-in Microsoft Management Console (MMC) Utenti e computer di Active Directory. Usando questo strumento, puoi esaminare la finestra di dialogo Proprietà di un oggetto computer per visualizzare le password di ripristino di BitLocker corrispondenti. Inoltre, puoi fare clic con il pulsante destro del mouse su un contenitore di dominio e quindi cercare una password di ripristino di BitLocker in tutti i domini nella foresta di Active Directory. Per visualizzare le password di ripristino, devi essere un amministratore di dominio oppure un amministratore di dominio deve averti assegnato le autorizzazioni necessarie.

  • Strumenti per Crittografia unità BitLocker. Strumenti per Crittografia unità BitLocker include gli strumenti da riga di comando manage-bde e repair-bde e i cmdlet di Windows PowerShell per BitLocker. Sia manage-bde sia i cmdlet per BitLocker possono essere usati per eseguire qualsiasi attività che può essere completata tramite il Pannello di controllo BitLocker e sono appropriati per distribuzioni automatiche e altri scenari di script. Repair-bde viene fornito per scenari di ripristino di emergenza in cui un'unità protetta con BitLocker non può essere sbloccata normalmente o tramite la console di ripristino.

Funzionalità nuove e modificate

Per scoprire le novità di BitLocker per Windows, ad esempio il supporto per l'algoritmo di crittografia XTS-AES, vedere la sezione BitLocker in "Novità di Windows 10".

Requisiti di sistema

I requisiti hardware per BitLocker sono i seguenti:

Perché BitLocker possa usare il controllo dell'integrità del sistema fornito da un Trusted Platform Module (TPM), il computer deve avere un TPM 1.2 o versioni successive. Se il computer non ha un TPM, per poter abilitare BitLocker devi salvare una chiave di avvio in un disco rimovibile, come un'unità flash USB.

Un computer con un TPM deve avere anche un firmware UEFI o BIOS conforme a TGC (Trusted Computing Group). Il firmware BIOS o UEFI stabilisce una catena di certificati per l'avvio dell'ambiente prima del sistema operativo e deve includere il supporto per la misurazione della radice di attendibilità statica specificata da TCG. Un computer senza un TPM non richiede firmware conforme a TCG.

Il firmware BIOS o UEFI (per computer con TPM o senza TPM) deve supportare la classe di dispositivi di archiviazione di massa USB, inclusa la capacità di leggere piccoli file in un'unità flash USB nell'ambiente prima del sistema operativo.

Importante

Da Windows 7, è possibile crittografare un'unità del sistema operativo senza un TPM e un'unità flash USB. Per questa procedura, vedi Suggerimento del giorno: Bitlocker senza TPM o USB.

Nota

TPM 2.0 non è supportato nelle modalità Legacy e CSM del BIOS. I dispositivi con TPM 2.0 devono avere la modalità BIOS configurata solo come UEFI nativo. Le opzioni CSM (Legacy and Compatibility Support Module) devono essere disabilitate. Per una sicurezza aggiunta Abilitare la funzionalità di avvio protetto.

Il sistema operativo installato nell'hardware in modalità legacy arresterà l'avvio del sistema operativo quando la modalità BIOS viene modificata in UEFI. Utilizzare lo strumento MBR2GPT prima di modificare la modalità BIOS che preparerà il sistema operativo e il disco per supportare UEFI.

Il disco rigido deve essere partizionato con almeno due unità:

  • L'unità del sistema operativo (o unità di avvio) contiene il sistema operativo e i relativi file di supporto. Questa unità deve essere formattata con il file system NTFS.
  • L'unità di sistema contiene i file necessari per caricare Windows dopo che il firmware ha preparato l'hardware del sistema. BitLocker non è abilitato in questa unità. Perché BitLocker funzioni, l'unità di sistema non deve essere crittografata, deve essere diversa da quella del sistema operativo e deve essere formattata con il file system FAT32 nei computer che usano firmware UEFI e con il file system NTFS nei computer che usano firmware BIOS. Consigliamo che l'unità di sistema sia di circa 350 MB. Una volta attivato BitLocker, l'unità dovrebbe avere circa 250 MB di spazio libero.

Una partizione soggetta alla crittografia non può essere contrassegnata come partizione attiva (si applica al sistema operativo, ai dati fissi e alle unità dati rimovibili).

Se è installato in un nuovo computer, Windows crea automaticamente le partizioni necessarie per BitLocker.

Quando installi il componente facoltativo BitLocker in un server, devi installare anche la funzionalità Archiviazione avanzata, usata per supportare le unità con crittografia hardware.

Contenuto della sezione

Argomento Descrizione
Panoramica di Crittografia dispositivo BitLocker in Windows In questo argomento per i professionisti IT viene fornita una panoramica dei modi in cui Crittografia dispositivo BitLocker consente di proteggere i dati nei dispositivi che eseguono Windows.
Domande frequenti su BitLocker Questo argomento, dedicato ai professionisti IT, risponde alle domande frequenti che riguardano requisiti per uso, aggiornamento, distribuzione e amministrazione di BitLocker e i relativi criteri di gestione delle chiavi.
Preparare l'organizzazione per BitLocker: pianificazione e criteri Questo argomento, destinato ai professionisti IT, spiega come pianificare la distribuzione di BitLocker.
Distribuzione di base di BitLocker Questo argomento, destinato ai professionisti IT, spiega come usare le funzionalità di BitLocker per proteggere i dati tramite la crittografia unità.
BitLocker: come eseguire la distribuzione in Windows Server In questo argomento per i professionisti IT viene illustrato come distribuire BitLocker in Windows Server.
BitLocker: Come abilitare lo sblocco di rete Questo argomento, destinato ai professionisti IT, descrive il funzionamento di Sblocco di rete via BitLocker e come configurarlo.
BitLocker: Usare Strumenti per Crittografia unità BitLocker per la gestione di BitLocker Questo argomento, destinato ai professionisti IT, descrive come usare alcuni strumenti per la gestione di BitLocker.
BitLocker: Usare Visualizzatore password di ripristino BitLocker Questo argomento, destinato ai professionisti IT, descrive come usare Visualizzatore password di ripristino BitLocker.
Impostazioni di Criteri di gruppo per BitLocker Questo argomento, destinato ai professionisti IT, descrive la funzione, il percorso e l'effetto di ciascuna impostazione dei Criteri di gruppo utilizzata per gestire BitLocker.
Impostazioni dei dati configurazione di avvio e BitLocker Questo argomento, destinato ai professionisti IT, descrive le impostazioni dei dati configurazione di avvio usate da BitLocker.
Guida al ripristino di BitLocker Questo argomento, destinato ai professionisti IT, descrive come recuperare chiavi di BitLocker da Servizi di dominio Active Directory.
Proteggere BitLocker da attacchi prima dell'avvio Questa guida dettagliata consente di comprendere le circostanze in cui è consigliato l'uso dell'autenticazione pre-avvio per i dispositivi che eseguono Windows 11, Windows 10, Windows 8.1, Windows 8 o Windows 7; e quando può essere omesso in modo sicuro dalla configurazione di un dispositivo.
Risolvere problemi relativi a BitLocker In questa guida vengono descritte le risorse che consentono di risolvere i problemi di BitLocker e vengono fornite soluzioni per diversi problemi comuni di BitLocker.
Protezione dei volumi condivisi del cluster e delle reti di archiviazione (SAN) con BitLocker Questo argomento, destinato ai professionisti IT, descrive come proteggere volumi condivisi del cluster e reti SAN con BitLocker.
Abilitazione dell'avvio protetto e crittografia dei dispositivi BitLocker Windows IoT Core Questo argomento illustra come usare BitLocker con Windows IoT Core