La protezione dei dati non è mai stata così importante come oggi. I dati in un computer smarrito, rubato o riciclato sono vulnerabili all'accesso non autorizzato, sia attraverso l'esecuzione di uno strumento di attacchi al software sia tramite il trasferimento del disco rigido del computer in un altro computer. Con BitLocker è possibile proteggere i dati rendendoli inaccessibili alle persone non autorizzate crittografando l'intera unità dati.
BitLocker può crittografare sia le unità fisse che quelle rimovibili. Le unità fisse utilizzano in genere un chip Trusted Platform Module (TPM) per salvare la chiave crittografica, mentre BitLocker To Go utilizza una password o una smart card per sbloccarla.
Trusted Platform Module (TPM)
BitLocker offre la protezione massima quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Si tratta di un componente hardware, generalmente un chip, installato sulle schede madri recenti anche se lo standard TPM 2.0 consente ai produttori come Intel o AMD di compilare la funzionalità TPM nei propri chipset anziché richiedere un chip separato. Il modulo TPM consente di creare e archiviare in modo sicuro le chiavi di crittografia, password e certificati e permette di verificare che il sistema operativo e il firmware nel dispositivo non siano stati manomessi.
Nei computer che non hanno una versione TPM 1.2 o successiva, BitLocker può comunque essere usato per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere l'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume del sistema operativo in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema pre-avvio offerta da BitLocker con un TPM.
Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile (ad esempio un'unità flash USB) che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o ripreso dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.
Installazione di BitLocker tramite GUI
Per installare BitLocker su Windows Server 2022, è necessario installare la funzione BitLocker. Procedete come segue:
Da Server Manager, cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nell'operazione.
FIG 1 - Server Manager |
Nella schermata Prima di iniziare, fate clic su Avanti.
FIG 2 - Aggiunta guidata ruoli e funzionalità |
Nella pagina Selezione tipo di installazione dobbiamo selezionare il tipo di installazione desiderato: è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
FIG 3 - Selezione tipo di installazione |
In Selezione ruoli server, cliccare su Avanti.
FIG 5 - Selezione ruoli server |
Nella schermata Selezione funzionalità, selezionare Crittografia unità BitLocker.
FIG 6 - Selezione funzionalità |
Una finestra di dialogo ci avvisa che per l'installazione di Crittografia unità BitLocker è necessario installare ulteriori funzionalità elencate nell'apposito riquadro. Cliccare sul pulsante Aggiungi funzionalità per proseguire.
FIG 7 - Aggiungi funzionalità |
Si ritorna alla schermata Selezione funzionalità. Cliccare su Avanti
FIG 8 - Selezione funzionalità |
Nella schermata Conferma selezioni per l'installazione, selezionare la casella Riavvia automaticamente il server di destinazione se necessario.
FIG 9 - Conferma selezioni per l'installazione |
Una finestra di dialogo ci chiede di confermare la nostra scelta di consentire il riavvio del server se necessario e senza ulteriori notifiche. Cliccare su Si.
FIG 10 - Conferma riavvii automatici |
Cliccare su Installa per procedere con l'installazione.
FIG 11 - Conferma selezioni per l'installazione |
FIG 12 - Stato installazione |
Ogni volta che si decide di crittografare i dati, è bene assicurarsi di avere un buon backup da cui recuperare nel caso in cui qualcosa vada storto.
Installazione BitLocker tramite PowerShell
Per installare BitLocker tramite PowerShell basta eseguire il comando
Install-WindowsFeature –Name BitLocker -Restart
Utilizzando l'opzione -restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.