Visualizzazione post con etichetta BitLocker. Mostra tutti i post
Visualizzazione post con etichetta BitLocker. Mostra tutti i post

venerdì 29 agosto 2025

Windows 11: Disabilitare BitLocker

La crittografia dei dati è un pilastro della sicurezza nei sistemi moderni, e in Windows 11 (Windows Pro, Enterprise ed Education) il ruolo chiave è svolto da BitLocker. Tuttavia, ci sono scenari in cui disattivare BitLocker diventa necessario: incompatibilità con software di terze parti, operazioni di imaging o reinstallazioni di sistema, aggiornamenti firmware/TPM, oppure semplicemente per esigenze di gestione interna. In questo articolo analizziamo come intervenire sia durante l’installazione di Windows 11 sia a sistema già installato, garantendo un controllo consapevole sulla crittografia.

Disattivare BitLocker durante l’installazione di Windows 11

Per evitare che la crittografia si attivi subito dopo la prima configurazione (OOBE), esistono diversi metodi.

Metodo 1 - Tramite Registro di sistema (setup interattivo)
  • Avviare l’installazione fino alla schermata di selezione Paese/Regione.
  • Premere SHIFT+F10 per aprire il prompt dei comandi.

    Prompt dei comandi
    FIG 1 - Prompt dei comandi

  • Digitare regedit e navigare fino a 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Creare un nuovo valore DWORD (32-bit) chiamato PreventDeviceEncryption e impostarlo a 1.

    Editor del Registro di sistema
    FIG 2 - Editor del Registro di sistema

  • Chiudere l’Editor del Registro e continuare normalmente l’installazione.

Metodo 2 - 
Tramite supporto USB personalizzato (con Rufus)

  • Scaricare e avviare Rufus
  • Selezionare l'immagine ISO di Windows 11, verificare le impostazioni quindi cliccare su Avvia

    Rufus
    FIG 3 - Rufus

  • Prima di copiare i file sulla pendrive, Rufus mostra una finestra di dialogo con diverse opzioni. Spuntare l’opzione Disabilita la crittografia automatica dei dispositivi BitLocker
    Rufus inserirà automaticamente nel file \sources\$OEM$\$$\Panther\unattend.xml le istruzioni:
    <PreventDeviceEncryption>true</PreventDeviceEncryption>
    <TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>

     
    Rufus, Disabilita la crittografia automatica dei dispositivi BitLocker
    FIG 4 - Rufus, Disabilita la crittografia automatica dei dispositivi BitLocker

    In questo modo, l’installazione proseguirà senza attivare BitLocker.



Come disattivare BitLocker dopo l’installazione

Se il sistema è già operativo e la crittografia è stata attivata, possiamo disabilitarla utilizzando uno dei seguenti metodi.

Metodo 1 - Tramite Pannello di controllo
  • Premere WIN+R, digitare control seguito da Invio.
  • Selezionare Sistema e sicurezza quindi cliccare su Crittografia unità BitLocker.

    Crittografia unità BitLocker
    FIG 5 - Crittografia unità BitLocker

  • Selezionare l’unità (es. C:), quindi cliccare su Disattiva BitLocker.

    Disattiva BitLocker
    FIG 6 - Disattiva BitLocker


Metodo 2 - Tramite Prompt dei comandi
  • Avviare il Prompt dei comandi come amministratore.
  • Verificare lo stato: 
    manage-bde -status 
    Se l’unità è crittografata, disabilitarla con:
    manage-bde -off C: 
    Attendere la decifratura completa senza spegnere o sospendere il PC.
    Controllare i progressi con:
    manage-bde -status C:

    Prompt dei comandi, manage-bde -status
    FIG 7 - Prompt dei comandi, manage-bde -status


Metodo 3 - Tramite PowerShell
Aprire PowerShell (Amministratore) e digitare:
Get-BitLockerVolume
Disable-BitLocker -MountPoint "C:"

Get-BitLockerVolume
FIG 8 - Get-BitLockerVolume



Raccomandazioni pratiche

  • Salvare sempre la chiave di ripristino: prima di modificare le impostazioni di BitLocker, assicurarsi di avere a disposizione la chiave numerica a 48 cifre.
  • Non interrompere la decifratura: spegnere o sospendere il PC durante il processo può compromettere i dati.
  • Valutare la sicurezza: se si decide di disattivare BitLocker, considerare soluzioni alternative (es. cifratura software di terze parti, gestione delle credenziali a livello aziendale).





martedì 13 giugno 2023

Windows Server 2022: Configurazione BitLocker

In questo articolo verrà mostrato come procedere alla configurazione di BitLocker to go e BitLocker.


Configurazione di BitLocker To Go

BitLocker To Go è un tipo di crittografia unità BitLocker per unità dati rimovibili. Questa funzionalità include la crittografia di:
  • Unità flash USB
  • Schede SD
  • Unità disco rigido esterne
  • Altre unità formattate tramite il file system NTFS, FAT16, FAT32 o exFAT.

Come con BitLocker, le unità crittografate da BitLocker To Go possono essere aperte da un altro computer usando una password o una smart card.

Per la configurazione di BitLocker To Go procedere come indicato di seguito:
Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di controllo.
Accedere al Pannello di controllo
FIG 1 - Accedere al Pannello di controllo
Cliccare su Sistema e sicurezza.
Pannello di controllo
FIG 2 - Pannello di controllo
In Crittografia unità BitLocker, cliccare su Gestione BitLocker.
Sistema e sicurezza
FIG 3 - Sistema e sicurezza
Cliccare sull'unità rimovibile su cui attivare BitLocker To Go, quindi cliccare su Attiva BitLocker.
Unità dati rimovibili, Attiva BitLocker
FIG 4 - Unità dati rimovibili, Attiva BitLocker
Trattandosi di un'unità rimovibile, il TPM non verrà utilizzato pertanto è necessario specificare se si intende impostare una password e/o utilizzare una smart card per sbloccare l'unità. In questo caso selezionare la casella Usa password per sbloccare unità, immettere la password nelle apposite caselle e cliccare su Avanti.
Metodo desiderato per sbloccare l'unità
FIG 5 - Metodo desiderato per sbloccare l'unità
In questa fase viene chiesto di indicare come si intende procedere per il backup della chiave di ripristino. Il backup della chiave di ripristino è utile nei casi in cui la password è stata dimenticata o nel caso in cui la smart card è stata smarrita. Le opzioni possibili tra cui scegliere sono due: il salvataggio in un file o la stampa. Selezionare Salva in un file.
Modalità backup della chiave di ripristino
FIG 6 - Modalità backup della chiave di ripristino
Selezionare il percorso in cui salvare il file ed eventualmente modificare il nome, quindi cliccare su Salva
Salva chiave di ripristino di BitLocker con nome
FIG 7 - Salva chiave di ripristino di BitLocker con nome
Completato il salvataggio del file di ripristino si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
Modalità backup della chiave di ripristino
FIG 8 - Modalità backup della chiave di ripristino
A questo punto possiamo indicare se crittografare solo lo spazio utilizzato o l'intera unità. Selezionare Applica crittografia all'intera unità e cliccare su Avanti.
Applica crittografia all'intera unità
FIG 9 - Applica crittografia all'intera unità
Nella schermata successiva viene chiesto di scegliere la modalità di crittografia desiderata. In Windows 10 (versione 1511) è stata introdotta una nuova modalità di crittografia del disco (XTS-AES). Questa nuova modalità offre maggiore supporto per l'integrità ma non è compatibile con le versioni precedenti. Per le unità rimovibili è consigliabile selezionare la modalità compatibile in modo da poter essere utilizzata anche su versioni precedenti di Windows. Selezionare Modalità compatibile e cliccare su Avanti.
Modalità di crittografia
FIG 10 - Modalità di crittografia
Nella schermata successiva vengono fornite alcune informazioni sul processo di crittografia: 
  • Sarà possibile sbloccare l'unità utilizzando la password impostata; 
  • La crittografia può richiedere tempo a seconda delle dimensioni dell'unità. 
  • I file non saranno protetti finché la crittografia dell'unità non sarà portata a termine. 
Cliccare su Avvia crittografia.
Avvia crittografia
FIG 11 - Avvia crittografia
Al termine del processo una finestra di dialogo ci avvisa che la crittografia è stata completata. Cliccare su Chiudi.
Crittografia completata
FIG 12 - Crittografia completata
Ritornando a Gestione BitLocker vedremo che ora l'unità è protetta.
BitLocker attivato su unità dati rimovibile
FIG 13 - BitLocker attivato su unità dati rimovibile


Configurazione BitLocker

Per l'attivazione di BitLocker su unità dati fisse, come quella dove risiede il sistema operativo i passaggi sono analoghi a quelli visti per BitLocker To Go:

Dal menu Start, scorrere fino a Sistema Windows e selezionare Pannello di Controllo.
Cliccare su Sistema e sicurezza.
In Crittografia unità BitLocker, cliccare su Gestione BitLocker.
Cliccare sull'unità su cui attivare BitLocker, quindi cliccare su Attiva BitLocker.
Attiva BitLocker
FIG 14 - Attiva BitLocker
Nella schermata Come eseguire il backup della chiave di ripristino, è possibile scegliere di salvare in un file o stampare la chiave di ripristino. Selezionare Salva in un file quindi salvare il file in un percorso sicuro. Cliccare su Avanti.
A questo punto ci viene richiesto come crittografare l'unità. È possibile crittografare l'intera unità o solo lo spazio utilizzato. Si consiglia di scegliere la modalità richiesta dalla propria organizzazione. Una volta eseguita la scelta della modalità desiderata, cliccare su Avanti.
Selezionare Nuova modalità di crittografia e fare clic su Avanti.
Nella schermata finale, selezionate la casella di controllo Esegui controllo sistema BitLocker. Questo assicura che BitLocker possa leggere le chiavi prima di crittografare l'unità.
Fare clic su Continua. Si torna alla schermata di BitLocker e viene chiesto di riavviare il sistema.
Fare clic su Riavvia ora. Dopo il riavvio del sistema, BitLocker inizierà la crittografia dell'unità. Al termine della crittografia, verrà visualizzato il messaggio dell'attivazione di BitLocker.


Cosa fare se non c'è un modulo TPM

Può capitare di imbattersi in un server che non dispone di un modulo TPM. Quando si cerca di attivare BitLocker, viene visualizzato un errore che indica che non è stato possibile trovare un TPM compatibile. 
TPM non disponibile
FIG 15 - TPM non disponibile
Questo non significa che non si possa usare BitLocker, ma solo che ci sarà più lavoro da fare per crittografare l'unità dati. Seguire questi passaggi:
Avviare l'Editor criteri di gruppo locali (WIN+R quindi digitare gpedit.msc all'interno della casella esegui e premere invio).
Avvio Editor criteri di gruppo locali
FIG 16 - Avvio Editor criteri di gruppo locali
Posizionarsi su Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità dati fisse. Eseguire un doppio click sulla voce Configura utilizzo della crittografia hardware per unità dati fisse.
Editor criteri di gruppo locali
FIG 17 - Editor criteri di gruppo locali
Selezionare Attivata e assicurarsi che sia selezionata l'opzione Usa crittografia basata sul software BitLocker se non è disponibile la crittografia hardware. Quindi cliccare su OK.
Configura utilizzo della crittografia hardware per unità dati fisse
FIG 18 - Configura utilizzo della crittografia hardware per unità dati fisse
Spostarsi su Unità del sistema operativo (Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo) ed eseguire un doppio click su Richiedi autenticazione aggiuntiva all'avvio.
Editor criteri di gruppo locali, Unità del sistema operativo
FIG 19 - Editor criteri di gruppo locali, Unità del sistema operativo
Cliccare su Attivata e assicurarsi che sia selezionata la casella di controllo Consenti BitLocker senza un TPM compatibile. Quindi cliccare su OK
Chiudere l'Editor criteri di gruppo locali. Adesso sarà possibile utilizzare BitLocker sulle unità fisse anche in assenza del TPM.
Richiedi autenticazione aggiuntiva all'avvio
FIG 20 - Richiedi autenticazione aggiuntiva all'avvio







venerdì 9 giugno 2023

Windows Server 2022: Installazione Bitlocker

La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.
BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.

Trusted Platform Module (TPM)

BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.

Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Installazione di BitLocker tramite GUI

Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:
Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.
Server Manager
FIG 1 - Server Manager
Nella schermata Prima di iniziare, fate clic su Avanti.
Aggiunta guidata ruoli e funzionalità
FIG 2 - Aggiunta guidata ruoli e funzionalità
Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  
Selezione tipo di installazione
FIG 3 - Selezione tipo di installazione
Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.
Selezione server di destinazione
FIG 4 - Selezione server di destinazione
In Selezione ruoli server, cliccare su Avanti.
Selezione ruoli server
FIG 5 - Selezione ruoli server
Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.
Selezione funzionalità
FIG 6 - Selezione funzionalità
Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.
Aggiungi funzionalità
FIG 7 - Aggiungi funzionalità
Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti
Selezione funzionalità
FIG 8 - Selezione funzionalità
Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.
Conferma selezioni per l'installazione
FIG 9 - Conferma selezioni per l'installazione
Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.
Conferma riavvii automatici
FIG 10 - Conferma riavvii automatici
Cliccare su Installa per procedere con l'installazione.
Conferma selezioni per l'installazione
FIG 11 - Conferma selezioni per l'installazione
Al termine dell'installazione il server verrà riavviato automaticamente. Dopo il riavvio l'esito dell'operazione verrà mostrata in una finestra di dialogo come quella di FIG 12. Cliccare su Chiudi.
Stato installazione
FIG 12 - Stato installazione
A questo punto si può passare alla configurazione di BitLocker che verrà trattata nel prossimo articolo

Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.


Installazione BitLocker tramite PowerShell

Per installare BitLocker tramite PowerShell basta eseguire il comando 
 Install-WindowsFeature –Name BitLocker -Restart  
Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.




martedì 31 maggio 2022

PowerShell: Disabilita la BitLocker Drive Encryption per un volume

Il cmdlet Disable-BitLocker disattiva la BitLocker Drive Encryption per un volume BitLocker. Il cmdlet, una volta eseguito, rimuove tutte le chiavi di protezione e inizia a decriptare il contenuto del volume specificato.

Se il volume che ospita il sistema operativo contiene qualche chiave di sblocco automatico, il cmdlet non eseguirà alcuna operazione. In questi casi sarà prima necessario usare il cmdlet Clear-BitLockerAutoUnlock per rimuovere tutte le chiavi di sblocco automatico e poi sarà possibile disabilitare BitLocker sul volume.

Sintassi

Disable-BitLocker
       [-MountPoint] <String[]>
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita BitLocker sui volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.
 
-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
Disable-BitLocker -MountPoint "E:"  
Disabilita BitLocker sul volume specificato e inizia a decriptare i dati.
Disable-BitLocker
FIG 1 - Disable-BitLocker

Esempio 2
$VL = Get-BitLockerVolume
Disable-BitLocker -MountPoint $VL
Disabilita BitLocker su tutti i volumi.
Il primo comando usa Get-BitLockerVolume per ottenere tutti i volumi BitLocker per il computer corrente e li memorizza nella variabile $VL.
Il secondo comando disabilita la crittografia BitLocker per tutti i volumi BitLocker memorizzati nella variabile $VL. BitLocker inizia a decifrare i dati sui volumi.




sabato 28 maggio 2022

PowerShell: Disabilitare lo sblocco automatico per un volume BitLocker

Nell'articolo PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker è stato mostrato come rimuovere tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption mediante il cmdlet Clear-BitLockerAutoUnlock. Per rimuovere le chiavi di sblocco automatico di BitLocker di specifici volumi si utilizza il cmdlet Disable-BitLockerAutoUnlock

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker utilizza informazioni crittografate memorizzate nel registro e nei metadati del volume per accedere ai volumi di dati che utilizzano lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. Il volume va specificato indicando la lettera di unità o un oggetto volume BitLocker.

Sintassi

Disable-BitLockerAutoUnlock
       [-MountPoint] <String[]>
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]
   

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita lo sblocco automatico per i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.  

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
Disable-BitLockerAutoUnlock -MountPoint "E:"
Questo comando disabilita lo sblocco automatico per il volume BitLocker specificato.
Disable-BitLockerAutoUnlock
FIG 1 - Disable-BitLockerAutoUnlock






venerdì 27 maggio 2022

PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker

Il cmdlet Clear-BitLockerAutoUnlock rimuove tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption. BitLocker memorizza queste chiavi per le unità dati fisse di un sistema su un volume che ospita un volume del sistema operativo abilitato a BitLocker, in modo tale da poter sbloccare automaticamente i volumi delle unità fisse e removibili del sistema. Questo rende più facile per gli utenti l'accesso ai volumi di dati.

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker usa informazioni criptate memorizzate nel registro e nei metadati del volume per sbloccare qualsiasi volume di dati che usa lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. È possibile usare il cmdlet Disable-BitLockerAutoUnlock per rimuovere le chiavi per volumi specifici che usano lo sblocco automatico invece di tutti i volumi.

Sintassi

Clear-BitLockerAutoUnlock []

Esempi

Esempio 1
Clear-BitLockerAutoUnlock
Questo comando cancella tutte le chiavi di sblocco automatico memorizzate nel computer corrente.




giovedì 19 maggio 2022

PowerShell: Ripristinare l'accesso ai dati su un volume BitLocker

Il cmdlet Unlock-BitLocker ripristina l'accesso ai dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per impedire l'accesso si può utilizzare il cmdlet Lock-BitLocker.

Per ripristinare l'accesso è necessario specificare il protettore della chiave per il volume che può essere uno de seguenti:
  • Account Active Directory Domain Services (AD DS);
  • Password;
  • Chiave di recupero;
  • Password di recupero.

Sintassi

Unlock-BitLocker
      [-MountPoint] <String[]>
      -Password <SecureString>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      -RecoveryPassword <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      -RecoveryKeyPath <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      [-AdAccountOrGroup]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
  

Parametri

-AdAccountOrGroup
Indica che BitLocker richiede le credenziali dell'account per sbloccare il volume. Per utilizzare questo parametro, l'account dell'utente corrente deve essere un protettore di chiavi per il volume.

-Confirm
Chiede conferma prima di eseguire il cmdlet.  

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet sblocca i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

-Password
Specifica una stringa sicura che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-RecoveryKeyPath
Specifica il percorso di una cartella in cui sono memorizzate le chiavi di recupero. La chiave memorizzata nel percorso specificato, se trovata, funge da protezione per la crittografia del volume.

-RecoveryPassword
Specifica una password di recupero. La password specificata funge da protezione per la chiave di crittografia del volume.

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Unlock-BitLocker -MountPoint "E:" -Password $SecureString
Questo esempio sblocca un volume BitLocker specificato usando una password.
Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura che contiene una password e la salva nella variabile $SecureString.
Il secondo comando sblocca il volume BitLocker specificato utilizzando la password salvata nella variabile $SecureString.


Esempio 2
Unlock-BitLocker -MountPoint "E:" -RecoveryKeyPath "C:\temp\2CEC9CE8-7638-4123-A976-3FD7359E675F.BEK
Sblocca il volume BitLocker specificato utilizzando la chiave di recupero indicata dal parametro -RecoveryKeyPath
Unlock-BitLocker
FIG 1 - Unlock-BitLocker






martedì 17 maggio 2022

PowerShell: Impedire l'accesso ai dati crittografati su un volume BitLocker

Il cmdlet Lock-BitLocker impedisce l'accesso a tutti i dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per ripristinare l'accesso si utilizza il cmdlet Unlock-BitLocker.
Il cmdlet richiede di specifcare il volume da bloccare indicando la lettera dell'unità o un'oggetto volume BitLocker. Con Lock-BitLocker non è possibile bloccare un volume che ospita il sistema operativo. Se si tenta di bloccare un volume già bloccato non viene eseguita alcuna operazione.


Sintassi

Lock-BitLocker
    [-MountPoint] <String[]>
    [-ForceDismount]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-ForceDismount
Specificando tale parametro, il cmdlet tenta di bloccare l'unità anche se è in uso.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet tenta di bloccare i volumi specificati. 

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.


Esempi

Esempio 1
Lock-BitLocker -MountPoint "E:" -ForceDismount
Questo comando blocca il volume BitLocker specificato con il parametro MountPoint. Il comando utilizza il parametro ForceDismount per bloccare il volume anche se è in uso.

Lock-BitLocker
FIG 1 - Lock-BitLocker