← Tous les tutoriels
BitLocker: come attivare la crittografia di Hard Disk, SSD o partizioni e farne il backup
BitLocker è una soluzione di crittografia dei dischi integrata nel sistema operativo Microsoft Windows, a partire dalla versione Vista. Permette di cifrare hard disk, dischi removibili o partizioni, proteggendoli con una password e rendendoli inaccessibili a chi non la conosce. È possibile configurare la protezione anche per dispositivi rimovibili come le chiavette USB.
Esistono anche alternative sviluppate da terze parti per la crittografia di dischi e partizioni, come TrueCrypt o VeraCrypt (quest’ultimo considerato il successore migliore del primo), che sono anch’essi gratuiti. Tuttavia, queste soluzioni non offrono la stessa sicurezza e affidabilità nel lungo periodo che garantisce un tool integrato come BitLocker. BitLocker è in grado di proteggere i dati anche in caso di furto del computer, in quanto i file sui dischi non possono essere letti senza la corretta password.
Per attivare BitLocker su Windows 10 esistono diversi metodi. Uno di questi richiede una scheda madre con un chip chiamato TPM (Trusted Platform Module) versione 1.2. Questo chip viene utilizzato per memorizzare in modo sicuro le password di protezione. La sicurezza è garantita dal fatto che le password sono salvate su un dispositivo fisico separato dal disco stesso. Nonostante ciò, è possibile attivare BitLocker anche su computer privi del chip TPM v1.2, come vedremo in seguito, sebbene questa configurazione possa risultare meno sicura rispetto alla soluzione precedente.
Attivare BitLocker per proteggere i dati di una partizione:
Nel nostro esempio vediamo come abilitare BitLocker su un disco o una partizione dello stesso, contrassegnati da una lettera di unità. Creare una partizione protetta con BitLocker è utile per proteggere file o applicazioni specifiche. Possiamo creare una nuova partizione con qualsiasi software per gestire le partizioni, oppure possiamo fare questo procedimento su un intero disco (deve essere un disco dati e non quello dove è installato il sistema operativo).
Fai clic con il tasto destro sulla nuova unità e clicca su “Attiva BitLocker”. Apparirà una finestra in cui selezionare il metodo di protezione. Nel nostro caso, abbiamo scelto l’opzione “Password”:
Dopo aver impostato la password e cliccato su “Next”, BitLocker chiederà di scegliere un metodo di recupero della password.
Le opzioni di recupero/salvataggio includono:
- Account Microsoft;
- Chiavetta USB;
- File;
- Stampa;
Nel nostro caso, abbiamo scelto di salvare la chiave di recupero su un file. Per motivi di sicurezza, il file dovrebbe essere spostato su un dispositivo esterno.
A questo punto, BitLocker chiederà se proteggere l’intera unità o solo i dati. Optiamo per crittografare l’intero disco.
Scegliamo anche il tipo di crittografia “New Encryption”, quindi clicchiamo su “Next” e poi su “Start Encryption”. BitLocker avvierà il processo di crittografia del disco.
Se si decide di crittografare tutto il disco, il processo sarà più lungo.
Quando la crittografia sarà completa, l’icona dell’unità avrà un lucchetto giallo, a indicare che il disco deve essere sbloccato prima dell’uso.
Per sbloccarlo, basta fare clic sull’unità e inserire la password richiesta.
Utilizzare BitLocker su Computer senza Chip TPM
Per utilizzare BitLocker su computer privi del Chip TPM, è necessario modificare alcune impostazioni di sistema. In questa configurazione, la protezione avviene a livello software, risultando quindi meno sicura rispetto alla protezione hardware offerta dal chip TPM.
Abilitando la protezione e selezionando l’opzione “Consenti BitLocker senza un TPM compatibile”, sarà possibile impostare una password di accesso oppure salvare le credenziali su una chiavetta USB. L’accesso ai dati sarà possibile solo inserendo la password o la chiavetta USB al momento dell’avvio del PC.
L’uso di BitLocker per crittografare dischi o partizioni è altamente raccomandato per proteggere dati sensibili, sia in ottica GDPR, che per prevenire il furto di informazioni sensibili.
Esempi di utilizzo:
Proteggere i dati di Remote Desktop Connection Manager (RDCMan) con BitLocker
Remote Desktop Connection Manager è un’applicazione gratuita sviluppata da Microsoft, molto utile per gli amministratori di rete, che consente di gestire più connessioni remote tramite una singola interfaccia.
RDCMan permette di salvare gruppi di server e relative credenziali di accesso. Tuttavia, i file contenenti le credenziali vengono salvati sul disco, e poiché RDCMan non supporta una “Master Password”, un attaccante con accesso al computer potrebbe facilmente connettersi ad altri server aprendo semplicemente RDCMan. L’uso di BitLocker per proteggere l’unità dove sono archiviati i file di RDCMan è un’ottima soluzione per evitare accessi non autorizzati. Ecco l’errore che si verifica quando RDCMan cerca di accedere a file protetti da BitLocker:
Utilizzare Iperius per il backup di cartelle da dischi protetti da BitLocker:
La protezione di BitLocker impedisce l’accesso anche ai software di backup, come Iperius Backup, quando tentano di copiare file da un disco cifrato. Se la protezione non viene disabilitata, Iperius restituirà un errore nei log:
Sbloccando l’unità, il backup verrà completato correttamente, ma per i backup automatici è necessario intervenire manualmente. Una soluzione consiste nell’eseguire uno script prima del backup che sblocca il disco:
manage-bde -unlock D: -RecoveryPassword LA-TUA-RECOVERY-KEY
In seguito, è possibile creare uno script per bloccare l’unità dopo il backup:
manage-bde -lock D:
Però, è evidente che lasciare una password in chiaro in uno script non è sicuro. Un’opzione migliore è utilizzare la modalità Drive Image.
Drive Image Backup con Iperius per un’unità protetta da BitLocker:
Nel caso di un Drive Image Backup con Iperius, il backup avrà successo sia che l’unità sia bloccata o sbloccata. Quando si esegue il “mount” dell’immagine “.vhdx”, il disco verrà ripristinato con la crittografia attiva se era bloccato, o sbloccato se originariamente sbloccato:
Iperius è dunque un eccellente software per clonare dischi o SSD protetti con BitLocker. Inoltre, consente di ripristinare un disco criptato (segui la relativa guida).
Guarda anche: Drive Image Backup (Immagine del disco), P2V e Disk Cloning con Iperius
Anche se si esegue un backup di tipo Windows Drive Image (compatibile con Windows Backup tramite wbadmin), il disco non verrà criptato. Tuttavia, è possibile garantirne la sicurezza salvando l’immagine VHDX in un percorso crittografato o comunque protetto tramite autenticazione.
Pour toute question ou doute concernant ce tutoriel,
Contactez-nous