Windows 11: Disabilitare BitLocker

La crittografia dei dati è un pilastro della sicurezza nei sistemi moderni, e in Windows 11 (Windows Pro, Enterprise ed Education) il ruolo chiave è svolto da BitLocker. Tuttavia, ci sono scenari in cui disattivare BitLocker diventa necessario: incompatibilità con software di terze parti, operazioni di imaging o reinstallazioni di sistema, aggiornamenti firmware/TPM, oppure semplicemente per esigenze di gestione interna. In questo articolo analizziamo come intervenire sia durante l’installazione di Windows 11 sia a sistema già installato, garantendo un controllo consapevole sulla crittografia.

Disattivare BitLocker durante l’installazione di Windows 11

Per evitare che la crittografia si attivi subito dopo la prima configurazione (OOBE), esistono diversi metodi.

Metodo 1 - Tramite Registro di sistema (setup interattivo)

• Avviare l’installazione fino alla schermata di selezione Paese/Regione.
• Premere SHIFT+F10 per aprire il prompt dei comandi.
  
  

  

  FIG 1 - Prompt dei comandi

  
  
• Digitare regedit e navigare fino a 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
• Creare un nuovo valore DWORD (32-bit) chiamato PreventDeviceEncryption e impostarlo a 1.
  
  

  

  FIG 2 - Editor del Registro di sistema

  
  
• Chiudere l’Editor del Registro e continuare normalmente l’installazione.

Metodo 2 - Tramite supporto USB personalizzato (con Rufus)

• Scaricare e avviare Rufus
• Selezionare l'immagine ISO di Windows 11, verificare le impostazioni quindi cliccare su Avvia
  
  

  

  FIG 3 - Rufus

  
  
• Prima di copiare i file sulla pendrive, Rufus mostra una finestra di dialogo con diverse opzioni. Spuntare l’opzione Disabilita la crittografia automatica dei dispositivi BitLocker. 
  Rufus inserirà automaticamente nel file \sources\$OEM$\$$\Panther\unattend.xml le istruzioni:
  <PreventDeviceEncryption>true</PreventDeviceEncryption>
  <TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>
  
   

  

  FIG 4 - Rufus, Disabilita la crittografia automatica dei dispositivi BitLocker

  
  In questo modo, l’installazione proseguirà senza attivare BitLocker.

Come disattivare BitLocker dopo l’installazione

Se il sistema è già operativo e la crittografia è stata attivata, possiamo disabilitarla utilizzando uno dei seguenti metodi.

Metodo 1 - Tramite Pannello di controllo

• Premere WIN+R, digitare control seguito da Invio.
• Selezionare Sistema e sicurezza quindi cliccare su Crittografia unità BitLocker.
  
  

  

  FIG 5 - Crittografia unità BitLocker

  
  
• Selezionare l’unità (es. C:), quindi cliccare su Disattiva BitLocker.
  
  

  

  FIG 6 - Disattiva BitLocker

  
  

Metodo 2 - Tramite Prompt dei comandi

• Avviare il Prompt dei comandi come amministratore.
• Verificare lo stato: 
  manage-bde -status 
  Se l’unità è crittografata, disabilitarla con:
  manage-bde -off C: 
  Attendere la decifratura completa senza spegnere o sospendere il PC.
  Controllare i progressi con:
  manage-bde -status C:
  
  

  

  FIG 7 - Prompt dei comandi, manage-bde -status

  
  

Metodo 3 - Tramite PowerShell
Aprire PowerShell (Amministratore) e digitare:
Get-BitLockerVolume
Disable-BitLocker -MountPoint "C:"

FIG 8 - Get-BitLockerVolume

Raccomandazioni pratiche

• Salvare sempre la chiave di ripristino: prima di modificare le impostazioni di BitLocker, assicurarsi di avere a disposizione la chiave numerica a 48 cifre.
• Non interrompere la decifratura: spegnere o sospendere il PC durante il processo può compromettere i dati.
• Valutare la sicurezza: se si decide di disattivare BitLocker, considerare soluzioni alternative (es. cifratura software di terze parti, gestione delle credenziali a livello aziendale).

Windows Server 2022: Configurazione BitLocker

In questo articolo verrà mostrato come procedere alla configurazione di BitLocker to go e BitLocker.

Configurazione di BitLocker To Go

BitLocker To Go è un tipo di crittografia unità BitLocker per unità dati rimovibili. Questa funzionalità include la crittografia di:

• Unità flash USB
• Schede SD
• Unità disco rigido esterne
• Altre unità formattate tramite il file system NTFS, FAT16, FAT32 o exFAT.

Come con BitLocker, le unità crittografate da BitLocker To Go possono essere aperte da un altro computer usando una password o una smart card.

Per la configurazione di BitLocker To Go procedere come indicato di seguito:

Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di controllo.

FIG 1 - Accedere al Pannello di controllo

Cliccare su Sistema e sicurezza.

FIG 2 - Pannello di controllo

In Crittografia unità BitLocker, cliccare su Gestione BitLocker.

FIG 3 - Sistema e sicurezza

Cliccare sull'unità rimovibile su cui attivare BitLocker To Go, quindi cliccare su Attiva BitLocker.

FIG 4 - Unità dati rimovibili, Attiva BitLocker

Trattandosi di un'unità rimovibile, il TPM non verrà utilizzato pertanto è necessario specificare se si intende impostare una password e/o utilizzare una smart card per sbloccare l'unità. In questo caso selezionare la casella Usa password per sbloccare unità, immettere la password nelle apposite caselle e cliccare su Avanti.

FIG 5 - Metodo desiderato per sbloccare l'unità

In questa fase viene chiesto di indicare come si intende procedere per il backup della chiave di ripristino. Il backup della chiave di ripristino è utile nei casi in cui la password è stata dimenticata o nel caso in cui la smart card è stata smarrita. Le opzioni possibili tra cui scegliere sono due: il salvataggio in un file o la stampa. Selezionare Salva in un file.

FIG 6 - Modalità backup della chiave di ripristino

Selezionare il percorso in cui salvare il file ed eventualmente modificare il nome, quindi cliccare su Salva

FIG 7 - Salva chiave di ripristino di BitLocker con nome

Completato il salvataggio del file di ripristino si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.

FIG 8 - Modalità backup della chiave di ripristino

A questo punto possiamo indicare se crittografare solo lo spazio utilizzato o l'intera unità. Selezionare Applica crittografia all'intera unità e cliccare su Avanti.

FIG 9 - Applica crittografia all'intera unità

Nella schermata successiva viene chiesto di scegliere la modalità di crittografia desiderata. In Windows 10 (versione 1511) è stata introdotta una nuova modalità di crittografia del disco (XTS-AES). Questa nuova modalità offre maggiore supporto per l'integrità ma non è compatibile con le versioni precedenti. Per le unità rimovibili è consigliabile selezionare la modalità compatibile in modo da poter essere utilizzata anche su versioni precedenti di Windows. Selezionare Modalità compatibile e cliccare su Avanti.

FIG 10 - Modalità di crittografia

Nella schermata successiva vengono fornite alcune informazioni sul processo di crittografia: 

• Sarà possibile sbloccare l'unità utilizzando la password impostata; 
• La crittografia può richiedere tempo a seconda delle dimensioni dell'unità. 
• I file non saranno protetti finché la crittografia dell'unità non sarà portata a termine. 

Cliccare su Avvia crittografia.

FIG 11 - Avvia crittografia

Al termine del processo una finestra di dialogo ci avvisa che la crittografia è stata completata. Cliccare su Chiudi.

FIG 12 - Crittografia completata

Ritornando a Gestione BitLocker vedremo che ora l'unità è protetta.

FIG 13 - BitLocker attivato su unità dati rimovibile

Configurazione BitLocker

Per l'attivazione di BitLocker su unità dati fisse, come quella dove risiede il sistema operativo i passaggi sono analoghi a quelli visti per BitLocker To Go:

Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di Controllo.

Cliccare su Sistema e sicurezza.

In Crittografia unità BitLocker, cliccare su Gestione BitLocker.

Cliccare sull'unità su cui attivare BitLocker, quindi cliccare su Attiva BitLocker.

FIG 14 - Attiva BitLocker

Nella schermata Come eseguire il backup della chiave di ripristino, è possibile scegliere di salvare in un file o stampare la chiave di ripristino. Selezionare Salva in un file quindi salvare il file in un percorso sicuro. Cliccare su Avanti.

A questo punto ci viene richiesto come crittografare l'unità. È possibile crittografare l'intera unità o solo lo spazio utilizzato. Si consiglia di scegliere la modalità richiesta dalla propria organizzazione. Una volta eseguita la scelta della modalità desiderata, cliccare su Avanti.

Selezionare Nuova modalità di crittografia e fare clic su Avanti.

Nella schermata finale, selezionate la casella di controllo Esegui controllo sistema BitLocker. Questo assicura che BitLocker possa leggere le chiavi prima di crittografare l'unità.

Fare clic su Continua. Si torna alla schermata di BitLocker e viene chiesto di riavviare il sistema.

Fare clic su Riavvia ora. Dopo il riavvio del sistema, BitLocker inizierà la crittografia dell'unità. Al termine della crittografia, verrà visualizzato il messaggio dell'attivazione di BitLocker.

Cosa fare se non c'è un modulo TPM

Può capitare di imbattersi in un server che non dispone di un modulo TPM. Quando si cerca di attivare BitLocker, viene visualizzato un errore che indica che non è stato possibile trovare un TPM compatibile. 

FIG 15 - TPM non disponibile

Questo non significa che non si possa usare BitLocker, ma solo che ci sarà più lavoro da fare per crittografare l'unità dati. Seguire questi passaggi:

Avviare l'Editor criteri di gruppo locali (WIN+R quindi digitare gpedit.msc all'interno della casella esegui e premere invio).

FIG 16 - Avvio Editor criteri di gruppo locali

Posizionarsi su Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità dati fisse. Eseguire un doppio click sulla voce Configura utilizzo della crittografia hardware per unità dati fisse.

FIG 17 - Editor criteri di gruppo locali

Selezionare Attivata e assicurarsi che sia selezionata l'opzione Usa crittografia basata sul software BitLocker se non è disponibile la crittografia hardware. Quindi cliccare su OK.

FIG 18 - Configura utilizzo della crittografia hardware per unità dati fisse

Spostarsi su Unità del sistema operativo (Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo) ed eseguire un doppio click su Richiedi autenticazione aggiuntiva all'avvio.

FIG 19 - Editor criteri di gruppo locali, Unità del sistema operativo

Cliccare su Attivata e assicurarsi che sia selezionata la casella di controllo Consenti BitLocker senza un TPM compatibile. Quindi cliccare su OK

Chiudere l'Editor criteri di gruppo locali. Adesso sarà possibile utilizzare BitLocker sulle unità fisse anche in assenza del TPM.

FIG 20 - Richiedi autenticazione aggiuntiva all'avvio

Windows Server 2022: Installazione Bitlocker

La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.

BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.

Trusted Platform Module (TPM)

BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.

Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Installazione di BitLocker tramite GUI

Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella schermata Prima di iniziare, fate clic su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.

FIG 6 - Selezione funzionalità

Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.

FIG 7 - Aggiungi funzionalità

Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.

FIG 9 - Conferma selezioni per l'installazione

Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.

FIG 10 - Conferma riavvii automatici

Cliccare su Installa per procedere con l'installazione.

FIG 11 - Conferma selezioni per l'installazione

Al termine dell'installazione il server verrà riavviato automaticamente. Dopo il riavvio l'esito dell'operazione verrà mostrata in una finestra di dialogo come quella di FIG 12. Cliccare su Chiudi.

FIG 12 - Stato installazione

A questo punto si può passare alla configurazione di BitLocker che verrà trattata nel prossimo articolo

Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.

Installazione BitLocker tramite PowerShell

Per installare BitLocker tramite PowerShell basta eseguire il comando 

 Install-WindowsFeature –Name BitLocker -Restart  

Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.

PowerShell: Disabilita la BitLocker Drive Encryption per un volume

Il cmdlet Disable-BitLocker disattiva la BitLocker Drive Encryption per un volume BitLocker. Il cmdlet, una volta eseguito, rimuove tutte le chiavi di protezione e inizia a decriptare il contenuto del volume specificato.

Se il volume che ospita il sistema operativo contiene qualche chiave di sblocco automatico, il cmdlet non eseguirà alcuna operazione. In questi casi sarà prima necessario usare il cmdlet Clear-BitLockerAutoUnlock per rimuovere tutte le chiavi di sblocco automatico e poi sarà possibile disabilitare BitLocker sul volume.

Sintassi

Disable-BitLocker
       [-MountPoint] <String[]>
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita BitLocker sui volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

 
-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
Disable-BitLocker -MountPoint "E:"  
Disabilita BitLocker sul volume specificato e inizia a decriptare i dati.

FIG 1 - Disable-BitLocker

Esempio 2
$VL = Get-BitLockerVolume
Disable-BitLocker -MountPoint $VL
Disabilita BitLocker su tutti i volumi.
Il primo comando usa Get-BitLockerVolume per ottenere tutti i volumi BitLocker per il computer corrente e li memorizza nella variabile $VL.
Il secondo comando disabilita la crittografia BitLocker per tutti i volumi BitLocker memorizzati nella variabile $VL. BitLocker inizia a decifrare i dati sui volumi.

PowerShell: Disabilitare lo sblocco automatico per un volume BitLocker

Nell'articolo PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker è stato mostrato come rimuovere tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption mediante il cmdlet Clear-BitLockerAutoUnlock. Per rimuovere le chiavi di sblocco automatico di BitLocker di specifici volumi si utilizza il cmdlet Disable-BitLockerAutoUnlock. 

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker utilizza informazioni crittografate memorizzate nel registro e nei metadati del volume per accedere ai volumi di dati che utilizzano lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. Il volume va specificato indicando la lettera di unità o un oggetto volume BitLocker.

Sintassi

Disable-BitLockerAutoUnlock

       [-MountPoint] <String[]>

       [-WhatIf]

       [-Confirm]

       [<CommonParameters>]

   

Parametri

-Confirm

Chiede conferma prima di eseguire il cmdlet.

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita lo sblocco automatico per i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.  

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

Disable-BitLockerAutoUnlock -MountPoint "E:"

Questo comando disabilita lo sblocco automatico per il volume BitLocker specificato.

FIG 1 - Disable-BitLockerAutoUnlock

PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker

Il cmdlet Clear-BitLockerAutoUnlock rimuove tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption. BitLocker memorizza queste chiavi per le unità dati fisse di un sistema su un volume che ospita un volume del sistema operativo abilitato a BitLocker, in modo tale da poter sbloccare automaticamente i volumi delle unità fisse e removibili del sistema. Questo rende più facile per gli utenti l'accesso ai volumi di dati.

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker usa informazioni criptate memorizzate nel registro e nei metadati del volume per sbloccare qualsiasi volume di dati che usa lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. È possibile usare il cmdlet Disable-BitLockerAutoUnlock per rimuovere le chiavi per volumi specifici che usano lo sblocco automatico invece di tutti i volumi.

Sintassi

Clear-BitLockerAutoUnlock []

Esempi

Esempio 1

Clear-BitLockerAutoUnlock

Questo comando cancella tutte le chiavi di sblocco automatico memorizzate nel computer corrente.

PowerShell: Ripristinare l'accesso ai dati su un volume BitLocker

Il cmdlet Unlock-BitLocker ripristina l'accesso ai dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per impedire l'accesso si può utilizzare il cmdlet Lock-BitLocker.

Per ripristinare l'accesso è necessario specificare il protettore della chiave per il volume che può essere uno de seguenti:

• Account Active Directory Domain Services (AD DS);
• Password;
• Chiave di recupero;
• Password di recupero.

Sintassi

Unlock-BitLocker

      [-MountPoint] <String[]>

      -Password <SecureString>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      -RecoveryPassword <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      -RecoveryKeyPath <String>

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

Unlock-BitLocker

      [-MountPoint] <String[]>

      [-AdAccountOrGroup]

      [-WhatIf]

      [-Confirm]

      [<CommonParameters>]

  

Parametri

-AdAccountOrGroup

Indica che BitLocker richiede le credenziali dell'account per sbloccare il volume. Per utilizzare questo parametro, l'account dell'utente corrente deve essere un protettore di chiavi per il volume.

-Confirm

Chiede conferma prima di eseguire il cmdlet.  

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet sblocca i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

-Password

Specifica una stringa sicura che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-RecoveryKeyPath

Specifica il percorso di una cartella in cui sono memorizzate le chiavi di recupero. La chiave memorizzata nel percorso specificato, se trovata, funge da protezione per la crittografia del volume.

-RecoveryPassword

Specifica una password di recupero. La password specificata funge da protezione per la chiave di crittografia del volume.

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Unlock-BitLocker -MountPoint "E:" -Password $SecureString

Questo esempio sblocca un volume BitLocker specificato usando una password.

Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura che contiene una password e la salva nella variabile $SecureString.

Il secondo comando sblocca il volume BitLocker specificato utilizzando la password salvata nella variabile $SecureString.

Esempio 2

Unlock-BitLocker -MountPoint "E:" -RecoveryKeyPath "C:\temp\2CEC9CE8-7638-4123-A976-3FD7359E675F.BEK" 

Sblocca il volume BitLocker specificato utilizzando la chiave di recupero indicata dal parametro -RecoveryKeyPath

FIG 1 - Unlock-BitLocker

PowerShell: Impedire l'accesso ai dati crittografati su un volume BitLocker

Il cmdlet Lock-BitLocker impedisce l'accesso a tutti i dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per ripristinare l'accesso si utilizza il cmdlet Unlock-BitLocker.

Il cmdlet richiede di specifcare il volume da bloccare indicando la lettera dell'unità o un'oggetto volume BitLocker. Con Lock-BitLocker non è possibile bloccare un volume che ospita il sistema operativo. Se si tenta di bloccare un volume già bloccato non viene eseguita alcuna operazione.

Sintassi

Lock-BitLocker

    [-MountPoint] <String[]>

    [-ForceDismount]

    [-WhatIf]

    [-Confirm]

    [<CommonParameters>]

Parametri

-Confirm

Chiede conferma prima di eseguire il cmdlet.

-ForceDismount

Specificando tale parametro, il cmdlet tenta di bloccare l'unità anche se è in uso.

-MountPoint

Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet tenta di bloccare i volumi specificati. 

-WhatIf

Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1

Lock-BitLocker -MountPoint "E:" -ForceDismount

Questo comando blocca il volume BitLocker specificato con il parametro MountPoint. Il comando utilizza il parametro ForceDismount per bloccare il volume anche se è in uso.

FIG 1 - Lock-BitLocker