PowerShell: Visualizzare informazioni sui volumi protetti da BitLocker

BitLocker è una funzionalità di protezione dei dati integrata nei sistemi operativi Microsoft, a partire da Windows Vista Enterprise e successivi, che permette di crittografare interi volumi. Per impostazione di default viene usato l'algoritmo di crittografia AES nella modalità CBC con una chiave di 128 bit. Windows viene fornito con il modulo PowerShell "Bitlocker" che permette la gestione della crittografia dei dischi. Per visualizzare l'elenco completo dei cmdlet che fanno parte di tale modulo, basta eseguire il seguente comando in una finestra PowerShell

Get-Command -Module BitLocker

FIG 1 - PowerShell, Modulo BitLocker

Per visualizzare le informazioni sui volumi protetti e proteggibili da BitLocker Drive Encryption si ricorre al cmdlet Get-BitLockerVolume. 

Sintassi

Get-BitLockerVolume

   [[-MountPoint] <String[]>]

   [<CommonParameters>]

   

Parametri

- MountPoint

Permette di specificare la lettera dell'unità (o un array di lettere di unità) da cui ottenere le informazioni sullo stato BitLocker.

Esempi

Esempio 1

Get-BitLockerVolume | Select-Object -Property *

Visualizza le informazioni di tutti i volumi presenti nel sistema. Tra le informazioni visualizzate troviamo:

• ComputerName: Nome del computer.
• MountPoint: Lettera di unità.
• EncryptionMethod: Indica l'algoritmo di crittografia e la dimensione della chiave utilizzati sul volume.
• AutoUnlockEnabled: Indica se BitLocker utilizza lo sblocco automatico per il volume.
• MetadataVersion: Restituisce la versione dei metadati FVE del volume.
  0 - Unknown. Il sistema operativo è sconosciuto;
  1 - Vista. Formato Windows Vista, significa che il volume è stato protetto con BitLocker su un computer con Windows Vista.
  2 - Win7. Formato Windows 7, il che significa che il volume è stato protetto con BitLocker su un computer con Windows 7 o il formato dei metadati è stato aggiornato utilizzando il metodo UpgradeVolume.
• VolumeStatus: Se BitLocker attualmente protegge alcuni, tutti o nessuno dei dati sul volume.
• ProtectionStatus: Stato delle protezione BitLocker.
• LockStatus: Stato di blocco.
• EncryptionPercentage: Percentuale del volume protetto da BitLocker. Se BitLocker utilizza attualmente un protettore di chiavi per crittografare la chiave di crittografia del volume.
• VolumeType: Dati o sistema operativo.
• CapacityGB: Dimensione dell'unità.
• KeyProtector: Tipo di protettore o protettori di chiavi.

FIG 2 - Get-BitLockerVolume

Esempio 2

Get-BitLockerVolume -MountPoint "C:" | Format-List

Visualizza  tutte le informazioni BitLocker relative al volume specificato.

Esempio 3

BitLockerVolume -MountPoint "C:"

Visualizza le informazioni BitLocker principali relative al volume specificato

FIG 3 - BitLockerVolume -MountPoint

Windows 10: Abilitare BitLocker sull'unità di sistema

Introdotto a partire dalle versioni Enterprise e Ultimate di Windows Vista, BitLocker è una funzionalità inclusa nei sistemi operativi Microsoft che consente la protezione dei dati tramite cifratura con algoritmo AES.

Per abilitare la cifratura di un'unità di sistema con BitLocker:

• Aprire Esplora file;
• Cliccare su Questo PC;
• Cliccare, con il tasto destro del mouse, sull'unità di sistema (generalmente C:) che si intende cifrare e, dal menu contestuale, selezionare la voce Attiva BitLocker.

FIG 1 - Attiva BitLocker sull'unità di sistema

Per la cifratura BitLocker utilizza il chip TPM (Trusted Platform Module) presente sulla scheda madre. Nel caso in cui tale chip non fosse presente, nell'attivare BitLocker verrà visualizzato il messaggio mostrato in FIG 2.

FIG 2 - Impossibile utilizzare TPM (Trusted Platform Module)

In questi casi è necessario effettuare un ulteriore passaggio agendo tramite l'Editor Criteri di gruppo:

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'Editor criteri di gruppo locali;
• Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo;
  
  

  

  FIG 3 - Editor criteri di gruppo locali, Richiedi autenticazione aggiuntiva all’avvio

• Nei criteri elencati nella parte destra della finestra, aprire Richiedi autenticazione aggiuntiva all’avvio con un doppio click, selezionare l'opzione Attivata e spuntare la voce Consenti BitLocker senza un TPM compatibile quindi confermare su OK.
  

  

  FIG 4 - Attiva criterio Richiedi autenticazione aggiuntiva all’avvio

Il chip TPM viene utilizzato per cifratura e decifratura dei dati, se non presente bisogna scegliere se utilizzare una password da inserire ad ogni avvio oppure una pendrive che dovrà essere sempre inserita nel sistema per consentirne l'avvio. 
La cifratura dell'unità può richiedere diverso tempo. L'operazione viene eseguita in background e viene portata a termine automaticamente.

Tramite il criterio Richiedi autenticazione aggiuntiva all’avvio è possibile specificare un ulteriore fattore di autenticazione in aggiunta al TPM come un PIN (con una lunghezza compresa tra 6 e 20 cifre), oppure una pendrive contenente la chiave di decifratura. In questo caso è possibile rendere obbligatorio uno dei due elementi aggiuntivi selezionando la voce Richiedi al posto di Consenti dai relativi menu a discesa oppure renderli obbligatori entrambi selezionando, dalla casella Configurazione chiave e PIN, la voce Richiedi chiave e PIN di avvio con il TPM.

FIG 5 - Richiedi chiave e PIN di avvio con il TPM

Windows 10 Exploit: Bypassare BitLocker durante l'aggiornamento del sistema

Premendo la combinazione di tasti SHIFT+F10 quando Windows 10 sta effettuando un'aggiornamento ad una nuova Build, viene aperto una CLI (command-line interface) con i privilegi di SYSTEM. Tramite tale command-line è possibile avere pieno accesso al disco della workstation anche se protetto da BitLocker.
Durante l'update di Windows 10, infatti, il sistema operativo provvede a disabilitare BitLocker mentre Windows PE (Preinstallation Environment) installa una nuova immagine del sistema.

Un malintenzionato può forzare il sistema ad effettuare l'aggiornamento e, tramite SHIFT+F10, accedere all'intero contenuto del disco o rendere la propria utenza Amministratore del sistema.
La versione Windows 10 LTSB (Long time Servicing Branch) non sembra affetta da tale vulnerabilità.

La vulnerabilità è stata scoperta dall'esperto di sicurezza Sami Laiho e Microsoft sta lavorando ad una fix per sistemare il problema.
SCCM (System Center Configuration Manager) può bloccare l'accesso alla CLI durante l'update se sulle postazioni viene creato un file con nome DisableCMDRequest.tag all'interno della directory %windir%\Setup\Scripts\.

Windows Quick Tip: Visualizzare lo stato di BitLocker tramite prompt dei comandi

BitLocker è una funzionalità introdotta da Microsoft nei suoi sistemi operativi a partire dalle versioni Enterprise ed Ultimate di Windows Vista. Tale funzionalità consente di proteggere i dati cifrandoli tramite l'algoritmo AES con chiave a 128bit. BitLocker consente di cifrare interi drive, compresi drive esterni e quello contenente il sistema operativo. Per verificare lo stato dei dischi cifrati con BitLocker è possibile utilizzare il comando manage-bde -status

• Avviare il prompt dei comandi come amministratore
• Digitare il comando manage-bde -status seguito da invio. L'output del comando sarà simile a quello visibile in FIG 1 e FIG 2 con le informazioni relative ai dischi e alla crittografia.

FIG 1 - Manage-bde -status

FIG 2 - Manage-bde -status disco cifrato

Per visualizzare le informazioni di uno specifico disco va indicato all'interno del comando. Ad es. per conoscere lo stato del disco c: va eseguito il comando manage-bde -status c: