Come crittografare i dischi e proteggere i dati con BitLocker

Come crittografare i dischi e proteggere i dati con BitLocker

01/05/2024

Questo articolo tecnico e didattico ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'abilitazione, configurazione e gestione di BitLocker, la soluzione di crittografia dell'intero disco di Microsoft. La protezione dei dati inattivi è fondamentale per la sicurezza delle informazioni, soprattutto sui dispositivi mobili come laptop e tablet, che sono soggetti a furto o smarrimento. BitLocker aiuta a mitigare il rischio di accesso non autorizzato ai dati in caso di compromissione del dispositivo fisico [1].

Introduzione

Con la crescente mobilità della forza lavoro e la proliferazione di dispositivi che archiviano informazioni sensibili, la crittografia del disco è diventata una misura di sicurezza indispensabile. BitLocker, integrato nel sistema operativo Windows, offre un modo efficace per crittografare interi volumi, garantendo che i dati rimangano illeggibili per chiunque senza la chiave di decrittografia corretta. Ciò è fondamentale per soddisfare i requisiti di conformità e proteggere la proprietà intellettuale [2].

Questa guida pratica tratterà dell'abilitazione di BitLocker in diversi scenari (unità del sistema operativo e unità dati fisse/rimovibili), della gestione delle chiavi di ripristino, della convalida dello stato di crittografia e delle migliori pratiche per la distribuzione in ambienti aziendali. Verranno fornite istruzioni dettagliate, comandi effettivi e descrizioni in modo che il lettore possa implementare e gestire in modo efficace la crittografia del disco, proteggendo i dati inattivi e rafforzando il livello di sicurezza dell'organizzazione.

Perché utilizzare BitLocker?

  • Protezione dei dati inattivi: garantisce che i dati archiviati sul disco rigido siano protetti da accessi non autorizzati, anche in caso di furto o smarrimento del dispositivo.
  • Conformità: aiuta a soddisfare i requisiti normativi e di conformità che richiedono la crittografia dei dati (ad esempio HIPAA, GDPR, LGPD).
  • Integrazione con Windows: come parte integrante di Windows, offre un'esperienza di gestione semplificata e integrazione con altri strumenti Microsoft.
  • Prevenzione delle violazioni: impedisce agli aggressori di accedere ai dati sensibili avviando sistemi operativi alternativi o rimuovendo il disco rigido.

Prerequisiti

Per abilitare e configurare BitLocker, avrai bisogno dei seguenti elementi:

  1. Versione Windows: BitLocker è disponibile nelle edizioni Pro, Enterprise ed Education di Windows 10 e 11. L'edizione Home ha una versione più semplice chiamata "Crittografia dispositivo" [3].
  2. TPM (Trusted Platform Module): per la crittografia dell'unità del sistema operativo, è altamente raccomandato un TPM versione 1.2 o successiva (e generalmente richiesto per l'attivazione automatica). Il TPM è un microchip che memorizza le chiavi di crittografia e aiuta a verificare l'integrità del sistema [4].
  3. Autorizzazioni amministrative: un account con privilegi di amministratore locale sul dispositivo.
  4. Chiave di ripristino: una posizione sicura in cui archiviare la chiave di ripristino di BitLocker (account Microsoft, file, USB o Azure AD/Active Directory).

Passo dopo passo: abilitazione e configurazione di BitLocker

Parliamo dell'attivazione di BitLocker per l'unità del sistema operativo e per le unità dati.

1. Controllo dello stato del TPM

È importante verificare che il TPM sia abilitato e pronto per l'uso, in particolare per l'unità del sistema operativo.

  1. Premi "Win + R", digita "tpm.msc" e premi "Invio".
  2. Nella finestra Gestione TPM, controllare lo "Stato" e la "Versione" del TPM.
    • Se lo stato è "TPM pronto per l'uso", è possibile procedere.
    • In caso contrario, potrebbe essere necessario abilitarlo nel BIOS/UEFI del tuo computer.

2. Abilitare BitLocker per l'unità del sistema operativo

Questo è il modo più comune per proteggere un laptop o un desktop.

  1. Apri Pannello di controllo.
  2. Passare a Sistema e sicurezza > Crittografia unità BitLocker.

  3. Nella sezione "Unità del sistema operativo", fare clic su Abilita BitLocker per l'unità C:.

  4. Verrà avviata la procedura guidata BitLocker. Scegli come desideri eseguire il backup della chiave di ripristino:

    • Salva nel tuo account Microsoft: consigliato per gli utenti domestici. La chiave è archiviata nel tuo account Microsoft online.
    • Salva in un file: salva la chiave in un filedi testo. Assicurati di conservarlo in un luogo sicuro (ad esempio un'unità USB separata, una condivisione di rete sicura).
    • Stampa chiave di ripristino: stampa la chiave. Conservarlo in un luogo fisico sicuro.
    • Suggerimento aziendale: negli ambienti aziendali, la chiave di ripristino deve essere archiviata automaticamente in Azure AD o Active Directory Domain Services (AD DS) tramite oggetto Criteri di gruppo o Intune per la gestione centralizzata [5].

  5. Scegli come crittografare la tua unità:

    • Crittografa solo lo spazio su disco utilizzato: il più veloce, ideale per unità nuove o vuote.
    • Crittografa l'intera unità: più lento, ma garantisce che tutti i dati (compresi i dati eliminati) siano crittografati. Consigliato per unità con dati esistenti.

  6. Scegli la modalità di crittografia:

    • Nuova modalità di crittografia (XTS-AES): consigliata per unità fisse.
    • Modalità compatibile (AES-CBC): per unità rimovibili che possono essere utilizzate su sistemi meno recenti.

  7. Conferma le impostazioni e fai clic su Avvia crittografia.

  8. BitLocker richiederà un riavvio per iniziare il processo di crittografia. Dopo il riavvio, la crittografia continuerà in background.

3. Abilitazione di BitLocker per unità dati (fisse e rimovibili)

Il processo è simile, ma con alcune differenze nelle opzioni di sblocco.

  1. Apri Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLocker.
  2. Nella sezione "Unità dati fisse" o "Unità rimovibili", fare clic su Abilita BitLocker per l'unità desiderata.

  3. Scegli come sbloccare l'unità:

    • Utilizza una password per sbloccare l'unità: imposta una password per accedere all'unità.
    • Utilizza una smart card per sbloccare l'unità: richiede una smart card.
    • Sblocca automaticamente su questo computer: per le unità fisse, consente di sbloccare automaticamente l'unità all'avvio del sistema operativo (se anche l'unità del sistema operativo è crittografata con BitLocker).

  4. Eseguire il backup della chiave di ripristino (secondo le opzioni descritte nella Sezione 2).

  5. Scegli il tipo e la modalità di crittografia e avvia il processo.

4. Gestione delle chiavi di ripristino di BitLocker

La chiave di ripristino è essenziale per accedere ai dati in caso di problemi (password dimenticata, errore TPM, ecc.).

  1. In Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLocker.
  2. Fare clic su Esegui il backup della chiave di ripristino sull'unità desiderata.

  3. È possibile salvare su un file, stampare o salvare nuovamente su un account Microsoft.

  4. Comando per verificare lo stato e ottenere l'ID chiave: apri il prompt dei comandi (amministratore) ed esegui: cmd gestire-bde-status Per ottenere l'ID della chiave di ripristino: cmd gestire-bde -protettori C: -get L'"ID chiave" può essere utilizzato per individuare la chiave di ripristino in Azure AD o Active Directory.

Convalida e test

È fondamentale verificare che BitLocker sia attivo e funzioni correttamente.

1. Verifica dello stato della crittografia

  1. Apri Esplora file.

  2. Dovresti vedere un'icona di blocco sull'unità crittografata, a indicare che BitLocker è attivo.

  3. Apri il prompt dei comandi (amministratore) ed esegui il comando "manage-bde -status".

  4. Verifica che lo "Stato di conversione" sia "Completamente crittografato" e lo "Stato di protezione" sia "Protezione abilitata".

2. Testare la chiave di ripristino

  1. Simula una situazione di ripristino: in un ambiente di test o per cautela, puoi provare a disabilitare temporaneamente il TPM nel BIOS/UEFI o spostare il disco su un altro computer.
  2. Quando avvii Windows, BitLocker dovrebbe entrare in modalità di ripristino e richiedere la chiave di ripristino.
  3. Inserisci la chiave di ripristino salvata per verificare se funziona.

Suggerimenti e best practice per la sicurezza

  • Gestione centralizzata: negli ambienti aziendali, utilizzare Microsoft Intune o Group Policy Objects (GPO) per gestire centralmente BitLocker, inclusa l'applicazione di criteri di crittografia e il backup automatico delle chiavi di ripristino in Azure AD o AD DS [5].
  • Archiviazione sicura delle chiavi: non archiviare mai la chiave di ripristino sullo stesso disco da crittografare. Utilizzare un luogo separato e sicuro, ad esempio un archivio di password, ada USB crittografato o da un servizio di directory.
  • TPM è essenziale: dai la priorità ai dispositivi con TPM 2.0 per una maggiore sicurezza e una gestione più semplice di BitLocker.
  • PIN/Password di preavvio: per una maggiore sicurezza dell'unità del sistema operativo, valutare la possibilità di impostare un PIN o una password di preavvio oltre al TPM. Ciò richiede all'utente di inserire un PIN prima ancora che Windows venga caricato, proteggendosi dagli attacchi di avvio a freddo.
  • Crittografia unità rimovibili: incoraggia o richiede la crittografia di tutte le unità rimovibili (USB, HD esterni) che potrebbero contenere dati sensibili.
  • Revisione periodica: controlla regolarmente lo stato di crittografia dei dispositivi e l'accessibilità delle chiavi di ripristino.
  • Formazione degli utenti: informa gli utenti sull'importanza di BitLocker, su come gestire le chiavi di ripristino e cosa fare in caso di problemi.

Risoluzione dei problemi comuni

  • BitLocker non si attiva: controlla se il TPM è attivato e configurato correttamente in BIOS/UEFI. Assicurati che il disco disponga di una partizione di sistema EFI/UEFI (se si tratta di un'unità del sistema operativo). Controlla i criteri di gruppo che potrebbero impedire l'attivazione.
  • Richiesta della chiave di ripristino all'avvio: ciò può verificarsi se sono state apportate modifiche hardware (ad esempio aggiornamento BIOS/UEFI, modifica della scheda madre) o se il TPM è stato disabilitato. Inserisci la chiave di ripristino. Se è frequente, indagare sulla causa principale (ad esempio TPM instabile, problema hardware).
  • Chiave di ripristino persa: se la chiave di ripristino viene persa e non è presente alcun backup in una posizione accessibile, i dati sull'unità crittografata potrebbero essere irrecuperabili. Questo è il motivo per cui il backup sicuro è così importante.
  • Prestazioni ridotte: la crittografia e decrittografia in tempo reale possono causare un leggero calo delle prestazioni, soprattutto su hardware meno recenti. Assicurati che l'hardware soddisfi i requisiti di prestazione.
  • Problemi relativi a GPO/Intune: se BitLocker viene gestito tramite GPO o Intune e si verificano problemi, verificare l'applicazione dei criteri, i registri eventi sui dispositivi e la connettività ad Azure AD/AD DS per il backup delle chiavi.

Conclusione

La crittografia del disco con BitLocker è uno strumento potente ed essenziale per proteggere i dati inattivi sui dispositivi Windows. Implementando BitLocker, le organizzazioni possono garantire che le informazioni sensibili siano protette da accessi non autorizzati in caso di furto, perdita o smaltimento improprio dell'hardware. La corretta configurazione, la gestione sicura delle chiavi di ripristino e il rispetto delle migliori pratiche sono fondamentali per massimizzare l'efficacia di BitLocker. Con questa guida, analisti della sicurezza, amministratori IT e ingegneri di sistema saranno attrezzati per rafforzare la sicurezza dei dati nei loro ambienti, contribuendo a un livello di sicurezza più solido e conforme ai requisiti attuali.

Riferimenti:

[1]Microsoft Learn. Panoramica di BitLocker. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2]Microsoft Learn. Guida alla pianificazione di BitLocker. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3]Microsoft Learn. Crittografia del dispositivo su Windows. Disponibile su: [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4]Microsoft Learn. Panoramica sulla tecnologia Trusted Platform Module. Disponibile all'indirizzo: https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5]Microsoft Learn. Esegui il backup delle chiavi di ripristino di BitLocker. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage