Tutorial completo su BitLocker To Go: crittografia sicura su unità USB e unità esterne

Se lavori con dischi rigidi esterni, unità flash USB o schede SDLa probabilità di perdere il dispositivo o che finisca nelle mani sbagliate è più alta di quanto vorremmo. È qui che entra in gioco BitLocker To Go, la soluzione di Microsoft per garantire che, anche se perdi il dispositivo, nessuno possa leggere un singolo byte senza la password o la chiave di ripristino.

In questa guida vedrai, in modo molto più dettagliato del solito, Cos'è esattamente BitLocker To Go, come si configura in Windows, come si gestisce con i criteri di gruppo e cosa fare se si perde la password? E quali alternative hai a disposizione se vuoi portare la crittografia a un livello superiore? Parleremo anche di BitLocker standard, del ruolo del chip TPM, del suo impatto sulle prestazioni e altro ancora. Tricks funzionalità avanzate con PowerShell, così puoi controllare lo strumento come se fossi del reparto IT.

Che cos'è BitLocker e cosa aggiunge BitLocker To Go?

BitLocker è il funzione di crittografia dell'unità inclusa in Windows Nelle edizioni Pro, Enterprise ed Education (da Windows Vista in poi). Il suo scopo è proteggere tutto il contenuto di un disco (incluso il sistema operativo) in modo che nessuno possa leggere i dati senza la password corretta, anche se si avvia il computer da un altro sistema o si collega il disco a un altro computer.

Nel caso di dispositivi gestiti in ambito aziendale, solitamente è inclusa la crittografia BitLocker. controllato centralmente dal reparto ITMolte organizzazioni richiedono addirittura la crittografia di alcuni dischi o di tutti. Portátiles tramite criteri di gruppo, senza che l'utente possa decidere.

Dal Pannello di Controllo puoi accedere al modulo di Crittografia unità BitLocker, dove Windows mostra tutte le unità con lettere assegnate: l'unità del sistema operativo, le unità dati interne e le unità rimovibili, che sono quelle a cui siamo interessati per BitLocker To Go.

BitLocker To Go è la variante di BitLocker progettata specificamente per Supporti rimovibili: unità flash USB, schede SD e dischi rigidi esterni con file system NTFS, FAT16, FAT32 o exFAT. Il suo scopo è semplice: se qualcuno trova o ruba la tua chiavetta USB, vedrà solo un'unità bloccata e non sarà in grado di leggere nulla senza la password, una smart card o la chiave di ripristino.

Differenze tra BitLocker e BitLocker To Go

Sebbene condividano la stessa base tecnologica, BitLocker e BitLocker To Go hanno approcci leggermente diversiBitLocker si concentra sulla crittografia dell'unità di sistema e di altri dischi interni, mentre BitLocker To Go è pensato per le unità rimovibili che si collegano e scollegano frequentemente.

Nella crittografia delle unità di sistema, BitLocker può essere combinato con TPM, PIN di Bootpassword e chiavi memorizzate su USB Per garantire l'avvio del computer. Immediatamente all'accensione, prima ancora che Windows si carichi, il sistema verifica l'integrità e richiede l'autenticazione definita; in caso contrario, il sistema non si avvierà.

Quando si crittografa una partizione dati interna o un disco non di avvio, BitLocker richiederà la password quando si fa doppio clic sull'unità. Senza immettere la chiave, il contenuto rimane crittografato., indipendentemente dalle autorizzazioni NTFS delle cartelle o degli utenti Windows.

BitLocker To Go, nel frattempo, si concentra sull'uso pratico di chiavette USB crittografate che puoi portare con teCollega l'unità USB a un computer Windows compatibile, inserisci la password o usa la tua smart card e l'unità verrà montata decriptata. Quando copi i file sull'unità USB, questi vengono crittografati al volo; quando li copi, vengono decriptati automaticamente.

Sui sistemi più vecchi come Windows XP o alcune edizioni di Vista, che non supportano nativamente BitLocker To Go, Microsoft offre la Lettore BitLocker To Go, una piccola utility che consente di aprire le unità FAT protette da BitLocker in modalità di sola lettura, in modo da poter almeno recuperare le informazioni.

Versioni di Windows supportate e requisiti

BitLocker e BitLocker To Go sono disponibili su Edizioni Windows Pro, Enterprise ed EducationNon li troverai nelle versioni Home, dove dovrai usare strumenti di terze parti come VeraCrypt se vuoi crittografare interi dischi.

En Windows 7, 8, 8.1, 10 e 11, il opzioni di configurazione e algoritmi disponibili Questi possono variare leggermente a seconda della versione specifica. A partire da Windows 10 versione 1511, la possibilità di scegliere diversi metodi di crittografia per le unità di avvio, le unità dati interne e le unità rimovibili è stata introdotta tramite Criteri di gruppo.

Molti dispositivi integrano un chip TPM (Trusted Platform Module) sulla scheda madre, che rafforza la sicurezza di BitLocker generando e memorizzando in modo sicuro parte delle chiavi in hardwarePer visualizzarlo, puoi aprire il Amministratore del dispositivo e verificare se viene visualizzato un dispositivo TPM "Sicurezza" oppure eseguirlo tpm.msc con Windows + R.

Se il tuo computer non ha un TPM, non preoccuparti: puoi configurarlo tramite i criteri di gruppo. BitLocker funziona senza TPM Utilizza password o un'unità USB con la chiave di avvio. Abilita semplicemente l'opzione "Richiedi autenticazione aggiuntiva all'avvio" e seleziona "Consenti BitLocker senza un TPM compatibile".

In termini di prestazioni, sulla maggior parte dei sistemi moderni con supporto di crittografia hardware AES-NI, l'impatto è abbastanza moderatoTuttavia, se noti trasferimento lento su USBSono stati osservati cali significativi delle prestazioni in alcuni SSD particolari (ad esempio, riduzioni evidenti nelle letture casuali su alcune unità di fascia alta) quando BitLocker viene eseguito solo tramite software anziché basarsi sulla crittografia hardware dell'SSD.

Come accedere e attivare BitLocker To Go su Windows

Per gestire BitLocker e BitLocker To Go dall'interfaccia grafica, il modo più semplice è andare su Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLockerQui vedrai le unità raggruppate in: unità del sistema operativo, unità dati fisse e unità dati rimovibili (BitLocker To Go).

Un altro modo rapido per arrivarci è utilizzare la Ricerca di Windows. Con il tuo ha i permessi di amministratore Una volta avviato, apri il menu Start, digita "BitLocker" e seleziona "Gestisci BitLocker". Verrai indirizzato alla stessa applet del Pannello di controllo, dove appariranno tutte le unità con il relativo stato di crittografia.

Nelle unità in cui non è ancora attivo, vedrai l'opzione “Attiva BitLocker”Quando si tocca un'unità rimovibile, si apre la procedura guidata BitLocker To Go, che chiede innanzitutto come si desidera sbloccare l'unità.

Su unità USB e dischi rigidi esterni, puoi scegliere un sbloccare la password oppure utilizzando una smart card. La password deve essere complessa, combinando lettere maiuscole e minuscole, numeri e simboli; Windows richiederà una lunghezza minima e, in ambienti aziendali, i criteri potrebbero essere più rigorosi.

Prima di avviare la crittografia, la procedura guidata ti chiederà di scegliere come salva la chiave di ripristino, la linea di vita di cui avrai bisogno se Hai dimenticato la password?Sono disponibili diverse opzioni: account Microsoft (caricato su OneDrive), unità flash USB non crittografata, file di testo o stampa cartacea. Microsoft consiglia, per i computer domestici, di collegarlo al proprio account Microsoft o, almeno, di salvarlo in una posizione non crittografata con l'unità stessa.

Opzioni di crittografia: spazio utilizzato, disco pieno e algoritmi

Quando si avvia la crittografia di un'unità, BitLocker chiede se si desidera crittografare solo l'unità spazio utilizzato o l'intero disco. Crittografare solo ciò che viene utilizzato è molto più veloce, ideale per dischi nuovi o formattati di recente; tuttavia, sui dischi con una cronologia, i dati eliminati potrebbero essere ancora presenti in settori liberi e potrebbero essere recuperati se qualcuno vi accede senza crittografia.

Per le unità che hanno già contenuto, l'opzione più sicura è la crittografia. l'intero albumAnche se potrebbe richiedere più tempo, in questo modo anche le informazioni precedentemente eliminate rimangono protette. Su unità di piccole dimensioni (unità USB o SSD di capacità moderata), questo tempo aggiuntivo è solitamente accettabile.

Per quanto riguarda gli algoritmi, Windows utilizza di default XTS-AES con chiave a 128 bit per unità interne e AES-CBC con chiave a 128 bit Per unità esterne e unità flash USB, XTS-AES è più moderno, considerato più robusto in determinati scenari e solitamente offre prestazioni superiori.

Se vuoi alzare l'asticella della sicurezza, tramite l'editor di criteri di gruppo locali (gpedit.msc) È possibile specificare l'utilizzo di chiavi a 256 bit sia per XTS-AES che per AES-CBC. Questo aumenta teoricamente la resistenza agli attacchi brute-force, a costo di un consumo di risorse leggermente maggiore, sebbene l'impatto sia minimo sui sistemi moderni.

Microsoft fornisce diverse policy denominate "Scegli il metodo di crittografia dell'unità e la potenza della crittografia per..." che consentono definire, separatamente, l'algoritmo e la lunghezza della chiave per le unità di sistema, le unità dati interne e le unità rimovibili, adattandolo al sistema operativo e alla sua versione.

Gestione di BitLocker To Go con criteri di gruppo nelle aziende

Negli ambienti aziendali, non ha senso che ogni utente decida se crittografare o meno la propria unità USB, come archiviare le chiavi o quale algoritmo utilizzare. Per evitare questo caos, la crittografia viene implementata utilizzando... criteri di gruppo (GPO), da cui l'amministratore applica la configurazione di BitLocker To Go e automatizza l' immagazzinamento chiavi di ripristino in Active Directory.

Le policy specifiche per le unità rimovibili sono disponibili qui: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità dati rimovibiliDa lì è possibile, ad esempio, bloccare la scrittura su unità USB non crittografate con BitLocker.

La direttiva chiave a questo proposito è “Nega l'accesso in scrittura alle unità rimovibili non protette da BitLockerSe lo abiliti, qualsiasi unità USB non crittografata verrà montata in modalità di sola lettura e Windows ti avviserà che è necessario abilitare BitLocker per salvare i dati.

La procedura guidata che si apre all'avvio della crittografia può essere personalizzata in modo che mostrare meno opzioni all'utenteAd esempio, è possibile predefinire che solo lo spazio utilizzato o l'intero disco venga sempre crittografato, oppure scegliere un algoritmo specifico dai GPO "Applica tipo di crittografia unità su unità dati rimovibili" e "Scegli metodo di crittografia unità e livello di crittografia".

Per quanto riguarda la gestione delle chiavi di ripristino, è comune configurare “Scegli come recuperare le unità rimovibili protette da BitLockere forzarne l'archiviazione automatica in Active Directory. Se è selezionata anche l'opzione "Ignora opzioni di ripristino della procedura guidata di installazione di BitLocker", gli utenti non potranno salvarli su file o stamparli autonomamente.

Controllo dell'identità organizzativa e applicazione delle password

Un altro aspetto interessante è la possibilità di Contrassegna le unità USB crittografate con l'identificativo dell'organizzazionetramite la direttiva "Fornisci identificatori univoci per la tua organizzazione". Ogni unità crittografata è etichettata con tale ID, che può essere una stringa lunga fino a 260 caratteri.

Combinando quell'identificatore con l'opzione "Non consentire l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione."(incluso nella stessa categoria di policy di BitLocker To Go), è possibile impedire agli utenti di continuare a utilizzare unità USB che hanno crittografato autonomamente prima dell'implementazione della policy aziendale o che non soddisfano lo standard interno.

La direttiva “Configurare l'utilizzo della password per le unità dati rimovibili" viene utilizzato per regolare la complessità minima delle password di BitLocker To Go: lunghezza, combinazione di tipi di caratteri, ecc. Normalmente, queste regole sono coordinate con la politica globale sulle password del dominio per mantenere un livello di sicurezza uniforme.

Se si disabilita anche "Consenti agli utenti di sospendere e decrittografare la protezione BitLocker su unità dati rimovibili", si otterrà il risultato nessuno può rimuovere la crittografia da un'unità USB aziendale da soli; solo gli amministratori, dalla loro console, avrebbero questa possibilità.

Questa configurazione centralizzata garantisce che la crittografia delle unità portatili non dipenda dalla buona volontà di ciascun dipendente, ma da un politica di sicurezza coerente e applicabile in tutta l'organizzazione, riducendo notevolmente il rischio di perdite di informazioni da unità USB smarrite.

TPM, sicurezza di avvio e utilizzo di BitLocker senza TPM

Il TPM (Trusted Platform Module) è un piccolo cryptochip integrato in molte schede madri moderne Ciò rafforza significativamente la sicurezza di BitLocker, soprattutto quando l'unità di avvio è crittografata. Genera e memorizza parte delle chiavi di crittografia e verifica che l'ambiente di avvio non sia stato manomesso.

Tra le sue funzioni principali c'è la crittografia dei dati e protezione contro il malware AvvioIl TPM crea una coppia di chiavi (pubblica e privata), conserva parte della chiave privata e verifica durante l'avvio che il boot manager e altri componenti critici non siano stati alterati. Se rileva qualcosa di sospetto, può impedire il normale avvio.

Il chip può anche attivare un modalità quarantena Quando rileva una potenziale compromissione, consente al sistema di tentare la riparazione prima di riavviarsi normalmente. Inoltre, funge da repository sicuro per certificati, password e chiavi di crittografia, molto più robusto rispetto alla loro archiviazione su file su disco.

Non sono tutti vantaggi: l'uso del TPM implica una certa dipendenza hardwareCiò significa che un guasto al chip può rendere inaccessibili i dati crittografati se non sono stati preparati backup e chiavi di ripristino. Inoltre, non tutti i sistemi e le applicazioni sono completamente compatibili e la gestione può risultare complessa per gli utenti inesperti.

Se il computer non dispone di un TPM o si desidera comunque crittografare l'unità di sistema, è possibile utilizzare la soluzione alternativa abilitando il criterio "Richiedi autenticazione aggiuntiva all'avvio" e selezionando la casella per consentire BitLocker senza un TPM. In tal caso, il processo di avvio è protetto tramite Unità USB con chiave di avvio o password di pre-avvio, che dovrai inserire ogni volta che accendi il computer.

Gestione avanzata di BitLocker con PowerShell

Oltre agli strumenti grafici, Windows ti offre una gamma di Cmdlet di PowerShell per gestire BitLocker e BitLocker To Go con molta più flessibilità, ideale per automatizzare attività, scrivere script o gestire decine di computer contemporaneamente.

PowerShell è una console e un ambiente di scripting molto potenti che sostituisce i vecchi file .bat di MS-DOS. Da lì è possibile controllare lo stato delle unità, abilitare la crittografia, aggiungere o rimuovere protezioni, bloccare o sbloccare i dischi e disabilitare BitLocker, il tutto in base a comandi ben definito.

Per visualizzare lo stato di un'unità specifica, viene utilizzato il cmdlet Get-BitLockerVolumeche accetta il parametro MountPoint (ad esempio, F:). Se si aggiunge "| fl" alla fine, si ottiene un elenco dettagliato con i protettori configurati, la percentuale di crittografia, lo stato del blocco, ecc.

La gestione delle funzionalità di sicurezza (password, chiavi di ripristino, chiavi di avvio) viene effettuata con Aggiungi-BitLockerKeyProtectorÈ possibile aggiungere una password di protezione, una chiave di ripristino (che viene salvata come file in un percorso specificato), una password di ripristino di 48 cifre o una chiave di avvio da salvare su un'unità USB.

Una volta configurati i protettori desiderati, la crittografia viene avviata da Abilita BitLockerSpecificare l'unità con il MountPoint e il tipo di protezione da utilizzare. Il sistema inizierà a crittografare il disco e visualizzerà (oppure è possibile forzare l'operazione con fvenotify.exe) una finestra di avanzamento.

Per bloccare, sbloccare o configurare lo sblocco automatico di un'unità crittografata, sono disponibili le seguenti opzioni. Blocca-BitLocker, Sblocca-BitLocker, Abilita-BitLockerAutoUnlock e Disabilita-BitLockerAutoUnlockUnlock-BitLocker ti consente di scegliere il tipo di sicurezza che desideri utilizzare per aprire l'unità: password normale, password di ripristino o file chiave di ripristino.

La disattivazione e la decrittografia di un'unità che non si desidera più proteggere comporta l'utilizzo di Disabilita-BitLockerQuando lo esegui, l'unità viene gradualmente decriptata fino a diventare testo normale e, di nuovo, puoi seguire l'avanzamento tramite la casella di notifica se esegui fvenotify.exe.