Windows Server 2022: Installazione Bitlocker

La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.

BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.

Trusted Platform Module (TPM)

BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.

Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Installazione di BitLocker tramite GUI

Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella schermata Prima di iniziare, fate clic su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.

FIG 6 - Selezione funzionalità

Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.

FIG 7 - Aggiungi funzionalità

Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.

FIG 9 - Conferma selezioni per l'installazione

Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.

FIG 10 - Conferma riavvii automatici

Cliccare su Installa per procedere con l'installazione.

FIG 11 - Conferma selezioni per l'installazione

Al termine dell'installazione il server verrà riavviato automaticamente. Dopo il riavvio l'esito dell'operazione verrà mostrata in una finestra di dialogo come quella di FIG 12. Cliccare su Chiudi.

FIG 12 - Stato installazione

A questo punto si può passare alla configurazione di BitLocker che verrà trattata nel prossimo articolo

Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.

Installazione BitLocker tramite PowerShell

Per installare BitLocker tramite PowerShell basta eseguire il comando 

 Install-WindowsFeature –Name BitLocker -Restart  

Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.

Windows Server 2022: Aggiunta di ruoli e funzionalità

Nei prossimi articoli verrà mostrato come personalizzare l'installazione di Windows Server 2022 con l'aggiunta di ruoli e funzionalità, abilitazione dell'amministrazione remota e configurazione di Windows Firewall. Come per i precedenti articoli vedremo come procedere sia in ambiente Windows con esperienza desktop sia in ambiente Server core. Si tratta solo di un'accenno, tali argomenti verranno ripresi e approfonditi più avanti.

In questo articolo mostrerò come aggiungere ruoli e funzionalità al nostro server. Nello specifico vedremo come installare il ruolo di file server utilizzando la GUI (per le versioni di Windows server dotati di Desktop Experience) e tramite PowerShell (metodo utilizzabile sia sui server Windows con Desktop Experience, sia sulle versioni Core). SConfig, presente sui Server Core, in questo caso non ci è d'aiuto se non per avviare PowerShell.

Aggiunta di ruoli e funzionalità tramite GUI

I ruoli e le funzionalità possono essere aggiunti in Windows Server 2022 con Desktop Experience attraverso Server Manager (che, per impostazioni predefinita, viene avviato all'accesso al server).

Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.

FIG 1 - Server Manager

Nella pagina Prima di iniziare, il Wizard fornisce alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità, Prima di iniziare

Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione, possiamo selezionare su quale server installare i ruoli e le funzionalità. Al momento abbiamo un unico server quindi proseguire cliccando su Avanti.

FIG 4 - Selezione server di destinazione

In Selezione ruoli server, siamo chiamati a selezionare i ruoli che intendiamo installare. Selezionare File Server presente all'interno di Servizi file e archiviazione->Servizi file e iSCSI e cliccare su Avanti.

FIG 5 - Selezione ruoli server

Nella schermata successiva, vengono evidenziate le funzionalità che verranno installate insieme al ruolo selezionato in precedenza. É possibile selezionare ulteriori funzionalità da installare. Cliccare su Avanti per proseguire.

FIG 6 - Selezione funzionalità

Nella pagina Conferma selezioni per l'installazione, viene mostrato un resoconto di quello che verrà installato. Se si desidera che il server si riavvii automaticamente, se necessario, a seguito dell'installazione del ruolo selezionato, è possibile selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario. Cliccare su Installa per installare i ruoli e/o le funzionalità selezionate.

FIG 7 - Conferma selezioni per l'installazione

FIG 8 - Avvio installazione

Terminata l'installazione, cliccare su Chiudi per chiudere la finestra di dialogo del Wizard.

FIG 9 - Installazione terminata

Aggiunta di ruoli e funzionalità tramite PowerShell

Sui Server Core non abbiamo un Wizard che ci guida nell'installazione di un ruolo e bisogna procedere tramite PowerShell.

Da SConfig digitare 15 seguito da Invio per avviare PowerShell.

FIG 10 - SConfig

Prima di poter installare un ruolo tramite PowerShell è necessario conoscere il suo nome. Tramite il cmdlet Get-WindowsFeature possiamo visualizzare tutti i ruoli e le funzionalità disponibili.  Il cmdlet consente anche di eseguire una ricerca indicando il nome o parte di esso (accetta anche caratteri jolly), di un ruolo/funzionalità. Per ricercare il ruolo di File server è possibile utilizzare il comando

 Get-WindowsFeature *file*  

FIG 11 - Get-WindowsFeature

Come visibile in FIG 11, vengono trovati 3 elementi che hanno nel nome la stringa "file" che abbiamo specificato. L'elemento che ci interessa è quello che ha come Display Name File Server e nome FS-FileServer. Per installare tale ruolo eseguire il comando

 Install-WindowsFeature FS-FileServer  

Viene visualizzata una barra di avanzamento (FIG 12) mentre la funzione viene installata. Dopo l'installazione, se si esegue nuovamente il comando Get-WindowsFeature *file*, si nota che è stato installato anche Servizi file e iSCSI (FIG 14)in quanto necessario al funzionamento di File Server.

FIG 12 - Installazione ruolo in corso

FIG 13 - Installazione ruolo terminata

FIG 14 - Get-WindowsFeature