17Jul
BitLocker è uno strumento integrato in Windows che consente di crittografare un intero disco rigido per una maggiore sicurezza. Ecco come configurarlo.
Quando TrueCrypt ha chiuso il negozio in modo controverso, ha raccomandato agli utenti di passare da TrueCrypt all'utilizzo di BitLocker o Veracrypt. BitLocker è presente in Windows abbastanza a lungo da essere considerato maturo ed è un prodotto di crittografia generalmente ben considerato dai professionisti della sicurezza. In questo articolo, parleremo di come puoi configurarlo sul tuo PC.
Nota : Crittografia unità BitLocker e BitLocker To Go richiedono una versione Professional o Enterprise di Windows 8 o 10 o la versione definitiva di Windows 7. Tuttavia, a partire da Windows 8.1, le edizioni Home e Pro di Windows includono "Device Encryption""Funzione( una funzionalità inclusa anche in Windows 10) che funziona in modo simile. Ti consigliamo Device Encryption se il tuo computer lo supporta, BitLocker per gli utenti Pro che non possono utilizzare Device Encryption e VeraCrypt per le persone che utilizzano una versione Home di Windows in cui Device Encryption non funzionerà.
crittografare un'intera unità o creare un contenitore crittografato?
Molte guide parlano della creazione di un contenitore BitLocker che funziona in modo molto simile al tipo di contenitore crittografato che è possibile creare con prodotti come TrueCrypt o Veracrypt.È un po 'approssimativo, ma puoi ottenere un effetto simile. BitLocker funziona crittografando intere unità.Potrebbe essere l'unità di sistema, un'unità fisica diversa o un disco rigido virtuale( VHD) esistente come file e montato in Windows.
La differenza è in gran parte semantica. In altri prodotti di crittografia, di solito si crea un contenitore crittografato e quindi lo si installa come unità in Windows quando è necessario utilizzarlo. Con BitLocker, si crea un disco rigido virtuale e quindi lo si crittografa. Se desideri utilizzare un contenitore anziché, per esempio, crittografare il tuo sistema o unità di archiviazione esistente, consulta la nostra guida alla creazione di un file contenitore crittografato con BitLocker.
Per questo articolo, ci concentreremo sull'abilitazione di BitLocker per un'unità fisica esistente.
Come crittografare un'unità con BitLocker
Per utilizzare BitLocker per un'unità, è sufficiente abilitarla, scegliere un metodo di sblocco: password, PIN e così via, quindi impostare alcune altre opzioni. Prima di entrare in questo, tuttavia, è necessario sapere che utilizzando la crittografia del disco intero di BitLocker su un'unità di sistema , richiede in genere un computer con un TPM( Trusted Platform Module) sulla scheda madre del PC.Questo chip genera e archivia le chiavi di crittografia utilizzate da BitLocker. Se il PC non dispone di un TPM, è possibile utilizzare Criteri di gruppo per abilitare l'utilizzo di BitLocker senza un TPM.È un po 'meno sicuro, ma ancora più sicuro che non usare la crittografia.
È possibile crittografare un'unità non di sistema o un'unità rimovibile senza TPM e senza dover abilitare l'impostazione di Criteri di gruppo.
In questa nota, è necessario sapere che esistono due tipi di crittografia unità BitLocker che è possibile abilitare:
- Crittografia unità BitLocker : talvolta denominata anche BitLocker, questa è una funzionalità di "crittografia completa del disco" che crittografa un'intera unità.All'avvio del PC, il caricatore di avvio di Windows viene caricato dalla partizione riservata di sistema e il caricatore di avvio richiede il metodo di sblocco, ad esempio una password. BitLocker quindi decrittografa l'unità e carica Windows. La crittografia è altrimenti trasparente: i tuoi file appaiono come se fossero normalmente su un sistema non criptato, ma sono archiviati sul disco in forma crittografata.È anche possibile crittografare le altre unità oltre all'unità di sistema.
- BitLocker To Go : è possibile crittografare le unità esterne, ad esempio unità flash USB e dischi rigidi esterni, con BitLocker To Go. Ti verrà richiesto il metodo di sblocco, ad esempio una password, quando colleghi l'unità al computer. Se qualcuno non ha il metodo di sblocco, non può accedere ai file sul disco.
In Windows 7 fino a 10, non devi preoccuparti di fare da solo la selezione. Windows gestisce le cose dietro le quinte e l'interfaccia che utilizzerai per abilitare BitLocker non ha un aspetto diverso. Se si finisce per sbloccare un'unità crittografata su Windows XP o Vista, vedrai il branding di BitLocker to Go, quindi abbiamo pensato che dovresti almeno saperlo.
Quindi, con quello fuori mano, andiamo su come funziona davvero.
Fase 1: abilitare BitLocker per un'unità
Il modo più semplice per abilitare BitLocker per un'unità è fare clic con il pulsante destro del mouse sull'unità in una finestra Esplora file, quindi selezionare il comando "Attiva BitLocker".Se questa opzione non viene visualizzata nel menu di scelta rapida, probabilmente non disponi di un'edizione Pro o Enterprise di Windows e dovrai cercare un'altra soluzione di crittografia.
È semplicemente così semplice. Il wizard che si apre ti guida attraverso la selezione di diverse opzioni, che abbiamo suddiviso nelle sezioni che seguono.
Passo due: Scegli un metodo di sblocco
La prima schermata che vedrai nella procedura guidata "Crittografia unità BitLocker" ti consente di scegliere come sbloccare l'unità.È possibile selezionare diversi modi per sbloccare l'unità.
Se si sta crittografando l'unità di sistema su un computer che non ha un TPM , è possibile sbloccare l'unità con una password o un'unità USB che funzioni come una chiave. Seleziona il tuo metodo di sblocco e segui le istruzioni per quel metodo( inserisci una password o collega l'unità USB).
Se il computer ha un TPM, verranno visualizzate ulteriori opzioni per sbloccare l'unità di sistema. Ad esempio, è possibile configurare lo sblocco automatico all'avvio( in cui il computer afferra le chiavi di crittografia dal TPM e decrittografa automaticamente l'unità).È anche possibile utilizzare un PIN anziché una password o persino scegliere opzioni biometriche come un'impronta digitale.
Se si sta crittografando un'unità non di sistema o un'unità rimovibile, verranno visualizzate solo due opzioni( se si dispone di un TPM o meno).È possibile sbloccare l'unità con una password o una smart card( o entrambe).
Fase 3: eseguire il backup della chiave di ripristino
BitLocker fornisce una chiave di ripristino che è possibile utilizzare per accedere ai file crittografati nel caso in cui si perda la chiave principale, ad esempio, se si dimentica la password o se il PC con TPM muore edevi accedere all'unità da un altro sistema.
È possibile salvare la chiave sul proprio account Microsoft, un'unità USB, un file o persino stamparla. Queste opzioni sono le stesse sia per la crittografia di un sistema o di un'unità non di sistema.
Se si esegue il backup della chiave di ripristino sul proprio account Microsoft, è possibile accedere alla chiave più tardi in https: chiave di ripristino //onedrive.live.com/.Se si utilizza un altro metodo di recupero, assicurarsi di tenere questa chiave al sicuro, se qualcuno vi accede, potrebbe decodificare l'unità e ignorare la crittografia.
È anche possibile eseguire il backup della chiave di ripristino in diversi modi, se lo si desidera. Fai semplicemente clic su ciascuna opzione che desideri utilizzare a turno, quindi segui le istruzioni. Quando hai finito di salvare le tue chiavi di ripristino, fai clic su "Avanti" per andare avanti.
Nota : se si sta crittografando un'unità USB o un'altra unità rimovibile, non è possibile salvare la chiave di ripristino su un'unità USB.Puoi usare una qualsiasi delle altre tre opzioni.
Fase quattro: crittografia e sblocco dell'unità
BitLocker crittografa automaticamente i nuovi file man mano che vengono aggiunti, ma è necessario scegliere cosa succede con i file attualmente presenti nell'unità.È possibile crittografare l'intera unità, compreso lo spazio disponibile, o semplicemente crittografare i file del disco utilizzati per accelerare il processo. Queste opzioni sono uguali anche se stai crittografando un sistema o un'unità non di sistema.
Se stai configurando BitLocker su un nuovo PC, crittografa solo lo spazio su disco utilizzato: è molto più veloce. Se stai impostando BitLocker su un PC che usi da un po 'di tempo, dovresti crittografare l'intera unità per assicurarti che nessuno possa recuperare i file cancellati.
Una volta effettuata la selezione, fare clic sul pulsante "Avanti".
Fase cinque: scegliere una modalità di crittografia( solo per Windows 10)
Se si utilizza Windows 10, verrà visualizzata una schermata aggiuntiva che consente di scegliere un metodo di crittografia. Se utilizzi Windows 7 o 8, passa direttamente al passaggio successivo.
Windows 10 ha introdotto un nuovo metodo di crittografia denominato XTS-AES.Fornisce maggiore integrità e prestazioni rispetto a AES utilizzato in Windows 7 e 8. Se si conosce che l'unità che si sta crittografando verrà utilizzata solo su PC Windows 10, andare avanti e selezionare l'opzione "Nuova modalità di crittografia".Se si ritiene che potrebbe essere necessario utilizzare l'unità con una versione precedente di Windows ad un certo punto( particolarmente importante se si tratta di un'unità rimovibile), scegliere l'opzione "Modalità compatibile".
Qualunque opzione scegliate( e ancora, queste sono le stesse per le unità di sistema e non di sistema), andare avanti e fare clic sul pulsante "Avanti" quando hai finito, e nella schermata successiva, fare clic sul pulsante "Avvia crittografia".
Passaggio 6: completare
Il processo di crittografia può richiedere da pochi secondi a minuti o anche più a lungo, a seconda delle dimensioni dell'unità, della quantità di dati che si sta crittografando e se si è scelto di crittografare lo spazio libero.
Se si sta crittografando l'unità di sistema, verrà richiesto di eseguire un controllo del sistema BitLocker e riavviare il sistema. Assicurati che l'opzione sia selezionata, fai clic sul pulsante "Continua", quindi riavvia il PC quando richiesto. Dopo il riavvio del PC per la prima volta, Windows crittografa l'unità.
Se si sta crittografando un'unità non di sistema o rimovibile, Windows non ha bisogno di riavviarsi e la crittografia inizia immediatamente.
Indipendentemente dal tipo di unità che si sta crittografando, è possibile controllare l'icona di Crittografia unità BitLocker nella barra delle applicazioni per vedere i suoi progressi e continuare a utilizzare il computer mentre vengono crittografate le unità: sarà più lento.
Sblocco dell'unità
Se l'unità di sistema è crittografata, lo sblocco dipende dal metodo scelto( e dal fatto che il PC disponga di un TPM).Se si dispone di un TPM e si è scelto di sbloccare l'unità automaticamente, non si noterà nulla di diverso: si avvia semplicemente direttamente in Windows come sempre. Se hai scelto un altro metodo di sblocco, Windows ti chiederà di sbloccare l'unità( digitando la password, collegando l'unità USB o qualsiasi altra cosa).
E se hai perso( o dimenticato) il metodo di sblocco, premi Esc sulla schermata di richiesta per inserire la chiave di ripristino.
Se hai crittografato un'unità non di sistema o rimovibile, Windows ti chiede di sbloccare l'unità quando la accedi per la prima volta dopo aver avviato Windows( o quando lo colleghi al PC se è un'unità rimovibile).Digita la tua password o inserisci la tua smart card e l'unità dovrebbe sbloccarsi per poterla usare.
In File Explorer, le unità crittografate mostrano un lucchetto dorato sull'icona( a sinistra).Questo blocco diventa grigio e appare sbloccato quando si sblocca l'unità( a destra).
È possibile gestire un'unità bloccata: cambiare la password, disattivare BitLocker, eseguire il backup della chiave di ripristino o eseguire altre azioni, dalla finestra del pannello di controllo di BitLocker. Fai clic con il pulsante destro del mouse su qualsiasi unità crittografata, quindi seleziona "Gestisci BitLocker" per andare direttamente a quella pagina.
Come tutte le crittografie, BitLocker aggiunge un sovraccarico. Le Domande frequenti di BitLocker di Microsoft affermano che "In genere impone un sovraccarico delle prestazioni percentuale a una cifra". Se la crittografia è importante per te perché hai dati sensibili, ad esempio un laptop pieno di documenti aziendali, la sicurezza avanzata merita il rendimento del commercio-off.