sabato 28 maggio 2022

PowerShell: Disabilitare lo sblocco automatico per un volume BitLocker

Nell'articolo PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker è stato mostrato come rimuovere tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption mediante il cmdlet Clear-BitLockerAutoUnlock. Per rimuovere le chiavi di sblocco automatico di BitLocker di specifici volumi si utilizza il cmdlet Disable-BitLockerAutoUnlock

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker utilizza informazioni crittografate memorizzate nel registro e nei metadati del volume per accedere ai volumi di dati che utilizzano lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. Il volume va specificato indicando la lettera di unità o un oggetto volume BitLocker.

Sintassi

Disable-BitLockerAutoUnlock
       [-MountPoint] <String[]>
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]
   

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet disabilita lo sblocco automatico per i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.  

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
Disable-BitLockerAutoUnlock -MountPoint "E:"
Questo comando disabilita lo sblocco automatico per il volume BitLocker specificato.
Disable-BitLockerAutoUnlock
FIG 1 - Disable-BitLockerAutoUnlock






venerdì 27 maggio 2022

PowerShell: Rimuovere tutte le chiavi di sblocco automatico di BitLocker

Il cmdlet Clear-BitLockerAutoUnlock rimuove tutte le chiavi di sblocco automatico utilizzate da BitLocker Drive Encryption. BitLocker memorizza queste chiavi per le unità dati fisse di un sistema su un volume che ospita un volume del sistema operativo abilitato a BitLocker, in modo tale da poter sbloccare automaticamente i volumi delle unità fisse e removibili del sistema. Questo rende più facile per gli utenti l'accesso ai volumi di dati.

BitLocker può essere configurato per sbloccare automaticamente i volumi che non ospitano un sistema operativo. Dopo che un utente sblocca il volume del sistema operativo, BitLocker usa informazioni criptate memorizzate nel registro e nei metadati del volume per sbloccare qualsiasi volume di dati che usa lo sblocco automatico.

Prima di poter disabilitare BitLocker utilizzando il cmdlet Disable-BitLocker, è necessario rimuovere le chiavi di sblocco automatico. È possibile usare il cmdlet Disable-BitLockerAutoUnlock per rimuovere le chiavi per volumi specifici che usano lo sblocco automatico invece di tutti i volumi.

Sintassi

Clear-BitLockerAutoUnlock []

Esempi

Esempio 1
Clear-BitLockerAutoUnlock
Questo comando cancella tutte le chiavi di sblocco automatico memorizzate nel computer corrente.




martedì 24 maggio 2022

MS Exchange Online: Verificare lo stato della funzione Messaggi secondari mediante Exchange PowerShell

Nell'articolo precedente  MS Exchange Online: Gestire la funzione Messaggi secondari mediante Exchange PowerShell è stato mostrato come attivare/disattivare la funzione Messaggi secondari sulle caselle di posta. Per visualizzare lo stato (attivato/disattivato) della funzionalità su una mailbox è possibile utilizzare il cmdlet Get-Clutter di Exchange PowerShell. Tale cmdlet è disponibile solo per Exchange Online.

Sintassi

Get-Clutter
   -Identity <MailboxIdParameter>
   [<CommonParameters>]

Parametri

-Identity
Il parametro Identity specifica la mailbox su cui si intende operare. Si può usare qualsiasi valore che identifichi univocamente la casella di posta. Per esempio:
Nome
Alias
Distinguished name (DN)
Domain\Username
Email address
GUID
LegacyExchangeDN
SamAccountName
User ID user principal name (UPN)


Esempi

Esempio 1
Get-Clutter -Identity giovanni.lubrano@contoso.com
Visualizza lo stato della funzione Messaggi secondari sulla mailbox specificata.




venerdì 20 maggio 2022

MS Exchange Online: Gestire la funzione Messaggi secondari mediante Exchange PowerShell

La funzionalità Messaggi secondari (o Clutter), introdotta in Exchange Online (Office365), analizza le abitudini dell'utente con la posta elettronica e, in base al comportamento passato, determina quali messaggi verranno più probabilmente ignorati. Tali messaggi, considerati a bassa priorità, verranno spostati dalla cartella Posta in arrivo ad una cartella chiamata Messaggi secondari agevolando in questo modo l'utente nella gestione delle email più importanti.

Per attivare o disattivare questa funzionalità per gli utenti dell'organizzazione, è necessario usare Exchange PowerShell e il cmdlet Set-Clutter.

Sintassi

Set-Clutter
   -Identity <MailboxIdParameter>
   [-Enable <Boolean>]
   [<CommonParameters>]
   

Parametri   

-Enable
Permette di specificare se abilitare/disabilitare la funzione Messaggi secondari. I valori validi da passare al parametro sono:
  • $True: Abilita la funzione Messaggi secondari.
  • $False: Disabilita la funzione Messaggi secondari.

-Identity
Il parametro Identity specifica la mailbox su cui si intende operare. Si può usare qualsiasi valore che identifichi univocamente la casella di posta. Per esempio:
Nome
Alias
Distinguished name (DN)
Domain\Username
Email address
GUID
LegacyExchangeDN
SamAccountName
User ID o user principal name (UPN)

Esempi

Esempio 1
Set-Clutter -Identity giovanni.lubrano@contoso.com -Enable $false
Disabilita la funzione Messaggi secondari sulla casella di posta specificata. La cartella Messaggi secondari, se presente, non verrà eliminata ma i messaggi con bassa priorità non verranno più spostati nella cartella.

Esempio 2
Get-Mailbox | Set-Clutter -Enable $false
Disabilita la funzione Messaggi secondari per tutti gli utenti.






giovedì 19 maggio 2022

PowerShell: Ripristinare l'accesso ai dati su un volume BitLocker

Il cmdlet Unlock-BitLocker ripristina l'accesso ai dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per impedire l'accesso si può utilizzare il cmdlet Lock-BitLocker.

Per ripristinare l'accesso è necessario specificare il protettore della chiave per il volume che può essere uno de seguenti:
  • Account Active Directory Domain Services (AD DS);
  • Password;
  • Chiave di recupero;
  • Password di recupero.

Sintassi

Unlock-BitLocker
      [-MountPoint] <String[]>
      -Password <SecureString>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      -RecoveryPassword <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      -RecoveryKeyPath <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Unlock-BitLocker
      [-MountPoint] <String[]>
      [-AdAccountOrGroup]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
  

Parametri

-AdAccountOrGroup
Indica che BitLocker richiede le credenziali dell'account per sbloccare il volume. Per utilizzare questo parametro, l'account dell'utente corrente deve essere un protettore di chiavi per il volume.

-Confirm
Chiede conferma prima di eseguire il cmdlet.  

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet sblocca i volumi specificati. Per ottenere un oggetto volume BitLocker si può utilizzare il cmdlet Get-BitLockerVolume.

-Password
Specifica una stringa sicura che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-RecoveryKeyPath
Specifica il percorso di una cartella in cui sono memorizzate le chiavi di recupero. La chiave memorizzata nel percorso specificato, se trovata, funge da protezione per la crittografia del volume.

-RecoveryPassword
Specifica una password di recupero. La password specificata funge da protezione per la chiave di crittografia del volume.

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.

Esempi

Esempio 1
$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Unlock-BitLocker -MountPoint "E:" -Password $SecureString
Questo esempio sblocca un volume BitLocker specificato usando una password.
Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura che contiene una password e la salva nella variabile $SecureString.
Il secondo comando sblocca il volume BitLocker specificato utilizzando la password salvata nella variabile $SecureString.


Esempio 2
Unlock-BitLocker -MountPoint "E:" -RecoveryKeyPath "C:\temp\2CEC9CE8-7638-4123-A976-3FD7359E675F.BEK
Sblocca il volume BitLocker specificato utilizzando la chiave di recupero indicata dal parametro -RecoveryKeyPath
Unlock-BitLocker
FIG 1 - Unlock-BitLocker






martedì 17 maggio 2022

PowerShell: Impedire l'accesso ai dati crittografati su un volume BitLocker

Il cmdlet Lock-BitLocker impedisce l'accesso a tutti i dati crittografati su un volume che utilizza BitLocker Drive Encryption. Per ripristinare l'accesso si utilizza il cmdlet Unlock-BitLocker.
Il cmdlet richiede di specifcare il volume da bloccare indicando la lettera dell'unità o un'oggetto volume BitLocker. Con Lock-BitLocker non è possibile bloccare un volume che ospita il sistema operativo. Se si tenta di bloccare un volume già bloccato non viene eseguita alcuna operazione.


Sintassi

Lock-BitLocker
    [-MountPoint] <String[]>
    [-ForceDismount]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Parametri

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-ForceDismount
Specificando tale parametro, il cmdlet tenta di bloccare l'unità anche se è in uso.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Il cmdlet tenta di bloccare i volumi specificati. 

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.


Esempi

Esempio 1
Lock-BitLocker -MountPoint "E:" -ForceDismount
Questo comando blocca il volume BitLocker specificato con il parametro MountPoint. Il comando utilizza il parametro ForceDismount per bloccare il volume anche se è in uso.

Lock-BitLocker
FIG 1 - Lock-BitLocker





venerdì 13 maggio 2022

PowerShell: Abilitare BitLocker tramite il cmdlet Enable-BitLocker

Il cmdlet Enable-BitLocker permette l'abilitazione di BitLocker Drive Encryption per uno specifico volume.
Per abilitare la crittografia tramite BitLocker, è necessario indicare un volume, l'eventuale metodo di crittografia desiderato e la protezione della chiave. Il volume può essere specificato tramite la lettera dell'unità o specificando un oggetto volume BitLocker. Per quanto riguarda il metodo di crittografia, è possibile scegliere tra gli algoritmi Advanced Encryption Standard (AES) AES-128 o AES-256, oppure utilizzare la crittografia hardware se supportata dall'hardware del disco. BitLocker usa un protettore di chiavi per cifrare la chiave di crittografia del volume. Quando un utente accede a un'unità crittografata con BitLocker, come all'avvio del computer, BitLocker richiede il relativo protettore di chiave che può essere, per esempio, un PIN richiesto all'utente oppure un'unità USB contenente la chiave. BitLocker decifra la chiave di crittografia e la usa per leggere i dati dall'unità. Per la protezione della chiave può essere utilizzato uno dei seguenti metodi o una loro combinazione:
  • Trusted Platform Module (TPM). BitLocker usa il TPM del computer per proteggere la chiave di crittografia. Gli utenti potranno accedere all'unità crittografata finché è collegata alla scheda di sistema che ospita il TPM e l'integrità dell'avvio del sistema è intatta. In generale, le protezioni basate sul TPM possono essere associate solo a un volume del sistema operativo.
  • TPM e numero di identificazione personale (PIN). BitLocker usa una combinazione di TPM e un PIN fornito dall'utente. Un PIN è composto da quattro a venti caratteri (numeri, simboli, lettere, spazi).
  • TPM, PIN e chiave di avvio. BitLocker utilizza una combinazione di TPM, un PIN fornito dall'utente e un input da un dispositivo di memoria USB che contiene una chiave esterna.
  • TPM e chiave d'avvio. BitLocker usa una combinazione di TPM e input da un dispositivo di memoria USB.
  • Chiave d'avvio. BitLocker usa l'input da un dispositivo di memoria USB che contiene la chiave esterna.
  • Password. BitLocker usa una password.
  • Chiave di recupero. BitLocker usa una chiave di recupero memorizzata come file specificato.
  • Password di recupero. BitLocker usa una password di recupero.
  • Account Active Directory Domain Services (AD DS). BitLocker usa l'autenticazione del dominio.

Per aggiungere un nuovo protettore dopo aver abilitato la crittografia del volume è possibile utilizzare il cmdlet Add-BitLockerKeyProtector.

Per un protettore di password o chiave pin si può creare un stringa sicura tramite l'utilizzo del cmdlet ConvertTo-SecureString. Le stringhe sicure possono essere utilizzate all'interno di script mantenendo la riservatezza delle password.

Il cmdlet Enable-BitLocker restituisce un oggetto volume BitLocker. Se viene impostata la password di recupero come protezione della chiave ma non viene esplicitamente specificata, questo cmdlet provvederà a generarne una in maniera casuale di 48 cifre. Il cmdlet memorizza la password come campo RecoveryPassword dell'attributo KeyProtector dell'oggetto volume BitLocker.

Se viene utilizzata la chiave di avvio o la chiave di recupero come parte del protettore di chiavi, è opportuno fornire un percorso in cui memorizzare la chiave. In questo caso il cmdlet memorizzerà il nome del file che contiene la chiave nel campo KeyFileName del campo KeyProtector nell'oggetto volume BitLocker.

Se si usa il cmdlet Enable-BitLocker su un volume crittografato o su un volume con crittografia in corso, esso non compie alcuna azione. Se il cmdlet viene utilizzato su un'unità che ha la crittografia in pausa, riprende la crittografia sul volume.

Per impostazione predefinita, questo cmdlet cripta l'intera unità. Per crittografare solo lo spazio usato nel disco è necessario specificare il parametro UsedSpaceOnly. Questa opzione può ridurre significativamente il tempo di crittografia.

È una pratica comune aggiungere una password di recupero a un volume del sistema operativo utilizzando il cmdlet Add-BitLockerKeyProtector, salvare la password di recupero utilizzando il cmdlet Backup-BitLockerKeyProtector, e infine abilitare BitLocker per l'unità. Questa procedura assicura un'opzione di recupero.



Sintassi

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-PasswordProtector]
      [[-Password] <SecureString>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-RecoveryPasswordProtector]
      [[-RecoveryPassword] <String>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-StartupKeyProtector]
      [-StartupKeyPath] <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-StartupKeyPath] <String>
      [-TpmAndStartupKeyProtector]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-StartupKeyPath] <String>
      [-TpmAndPinAndStartupKeyProtector]
      [[-Pin] <SecureString>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-AdAccountOrGroupProtector]
      [-Service]
      [-AdAccountOrGroup] <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [[-Pin] <SecureString>]
      [-TpmAndPinProtector]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-TpmProtector]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Enable-BitLocker
      [-MountPoint] <String[]>
      [-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
      [-HardwareEncryption]
      [-SkipHardwareTest]
      [-UsedSpaceOnly]
      [-RecoveryKeyProtector]
      [-RecoveryKeyPath] <String>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]   



Parametri

-AdAccountOrGroup
Specifica un account usando il formato Domain\User. Questo cmdlet aggiunge l'account specificato come key protector per la chiave di crittografia del volume.

-AdAccountOrGroupProtector
Indica che BitLocker usa un account AD DS come protezione per la chiave di crittografia del volume.

-Confirm
Chiede conferma prima di eseguire il cmdlet.

-EncryptionMethod
Permette di specificare un metodo di crittografia da utilizzare. I valori accettabili per questo parametro sono:
  • Aes128
  • Aes256
  • Hardware

-HardwareEncryption
Indica che il volume utilizza la crittografia hardware.

-MountPoint
Specifica un array di lettere di unità o di oggetti volume BitLocker. Questo cmdlet abilita la protezione per i volumi specificati. Per ottenere un oggetto volume BitLocker viene utilizzato il cmdlet Get-BitLockerVolume.

-Password
Specifica un oggetto secure string che contiene una password. La password specificata funge da protezione per la chiave di crittografia del volume.

-PasswordProtector
Indica che BitLocker usa una password come protezione per la chiave di crittografia del volume.

-Pin
Specifica un oggetto stringa sicura che contiene un PIN. BitLocker usa il PIN specificato, con altri dati, come protezione per la chiave di crittografia del volume.

-RecoveryKeyPath
Specifica il percorso di una cartella. Questo parametro aggiunge una chiave di recupero generata casualmente come protezione per la chiave di crittografia del volume e la memorizza nel percorso specificato.

-RecoveryKeyProtector
Indica che BitLocker usa una chiave di recupero come protezione per la chiave di crittografia del volume.

-RecoveryPassword
Specifica una password di recupero. Se tale parametro non viene specificato ma viene incluso il parametro RecoveryPasswordProtector, il cmdlet crea una password casuale. É possibile inserire una password di 48 cifre. La password specificata o creata funge da protezione per la chiave di crittografia del volume.

-RecoveryPasswordProtector
Indica che BitLocker utilizza una password di recupero come protezione per la chiave di crittografia del volume.

-Service
Indica che l'account di sistema di questo computer sblocca il volume cifrato.

-SkipHardwareTest
Indica che BitLocker non esegue un test dell'hardware prima di iniziare la crittografia. BitLocker usa un test dell'hardware come una prova generale per assicurarsi che tutti i protettori di chiavi siano impostati correttamente e che il computer possa partire senza problemi.

-StartupKeyPath
Specifica un percorso per una chiave di avvio. La chiave memorizzata nel percorso specificato funge da protezione per la chiave di crittografia del volume.

-StartupKeyProtector
Indica che BitLocker usa una chiave di avvio come protezione per la chiave di crittografia del volume.

-TpmAndPinAndStartupKeyProtector
Indica che BitLocker usa una combinazione di TPM, un PIN e una chiave di avvio come protezione per la chiave di crittografia del volume.

-TpmAndPinProtector
Indica che BitLocker usa una combinazione di TPM e un PIN come protezione per la chiave di crittografia del volume.

-TpmAndStartupKeyProtector
Indica che BitLocker usa una combinazione di TPM e una chiave di avvio come protezione per la chiave di crittografia del volume

-TpmProtector
Indica che BitLocker usa il TPM come protezione per la chiave di crittografia del volume.

-UsedSpaceOnly
Indica che BitLocker cripta esclusivamente lo spazio utilizzato del volume.

-WhatIf
Mostra cosa accadrebbe se il cmdlet venisse eseguito. Il cmdlet non viene eseguito.


Esempi

Esempio 1
Enable-BitLocker -MountPoint "E:" -EncryptionMethod Aes128 -RecoveryKeyPath "C:\Temp\" -RecoveryKeyProtector
Questo cmdlet abilita la crittografia sul volume E: utilizzando l'algoritmo AES128. Con il parametro -RecoveryKeyPath viene specificato un percorso per una cartella in cui la chiave di recupero generata casualmente sarà memorizzata. Il parametro -RecoveryKeyProtector indica che questi volumi utilizzano una chiave di recupero come protezione della chiave.

Enable-BitLocker
FIG 1 - Enable-BitLocker



Esempio 2
$SecureString = ConvertTo-SecureString "12345" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector
Questo esempio abilita BitLocker per un'unità specificata usando il TPM e un PIN per la protezione della chiave.
Il primo comando usa il cmdlet ConvertTo-SecureString per creare una stringa sicura contenente un PIN e la memorizza nella variabile $SecureString
Il secondo comando abilita la crittografia BitLocker per il volume identificato dalla lettera C:. Viene specificato l'algoritmo Aes256 per la crittografia e il PIN salvato nella variabile $SecureString. Il parametro -UsedSpaceOnly consente di criptare solo i dati dello spazio utilizzato sul disco, invece che l'intero volume, mentre -TPMandPinProtector specifica che il volume utilizza una combinazione di TPM e PIN come protezione della chiave.