Come configurare Crittografia BitLocker su Windows
BitLocker è uno strumento integrato in Windows che consente di crittografare un intero disco rigido per una maggiore sicurezza. Ecco come configurarlo.
Quando TrueCrypt ha chiuso il negozio in modo controverso, ha raccomandato agli utenti di passare da TrueCrypt all'utilizzo di BitLocker o Veracrypt. BitLocker è presente in Windows abbastanza a lungo da essere considerato maturo ed è un prodotto di crittografia generalmente ben considerato dai professionisti della sicurezza. In questo articolo, parleremo di come puoi configurarlo sul tuo PC.
Nota: BitLocker Drive Encryption e BitLocker To Go richiedono una versione Professional o Enterprise di Windows 8 o 10 o la versione definitiva di Windows 7. Tuttavia, a partire da Windows 8.1, le edizioni Home e Pro di Windows includono una funzionalità "Device Encryption" ( una funzionalità inclusa anche in Windows 10) che funziona in modo simile. Ti consigliamo Device Encryption se il tuo computer lo supporta, BitLocker per gli utenti Pro che non possono utilizzare Device Encryption e VeraCrypt per le persone che utilizzano una versione Home di Windows in cui Device Encryption non funzionerà.
Criptare un'intera unità o creare un contenitore crittografato?
Molte guide parlano della creazione di un contenitore BitLocker che funziona in modo molto simile al tipo di contenitore crittografato che puoi creare con prodotti come TrueCrypt o Veracrypt. È un po 'un termine improprio, ma puoi ottenere un effetto simile. BitLocker funziona crittografando intere unità. Potrebbe essere l'unità di sistema, un'unità fisica diversa o un disco rigido virtuale (VHD) esistente come file e montato in Windows.
La differenza è in gran parte semantica. In altri prodotti di crittografia, di solito si crea un contenitore crittografato e quindi lo si installa come unità in Windows quando è necessario utilizzarlo. Con BitLocker, si crea un disco rigido virtuale e quindi lo si crittografa. Se desideri utilizzare un contenitore anziché, per esempio, crittografare il tuo sistema o unità di archiviazione esistente, consulta la nostra guida alla creazione di un file contenitore crittografato con BitLocker.
Per questo articolo, ci concentreremo sull'attivazione di BitLocker per un'unità fisica esistente.
Come crittografare un'unità con BitLocker
Per utilizzare BitLocker per un'unità, tutto ciò che devi fare è abilitarla, scegliere un metodo di sblocco: password, PIN e così via, quindi impostare alcune altre opzioni. Prima di entrare in questo, tuttavia, dovresti sapere che usando la crittografia a pieno disco di BitLocker su a unità di sistema generalmente richiede un computer con un Trusted Platform Module (TPM) sulla scheda madre del PC. Questo chip genera e archivia le chiavi di crittografia utilizzate da BitLocker. Se il PC non dispone di un TPM, è possibile utilizzare Criteri di gruppo per abilitare l'utilizzo di BitLocker senza TPM. È un po 'meno sicuro, ma comunque più sicuro che non usare la crittografia.
È possibile crittografare un'unità non di sistema o un'unità rimovibile senza TPM e senza dover abilitare l'impostazione di Criteri di gruppo.
Su questa nota, dovresti anche sapere che esistono due tipi di crittografia di unità BitLocker che puoi abilitare:
- Crittografia unità BitLocker: A volte indicato come BitLocker, questa è una funzionalità di "crittografia completa del disco" che crittografa un'intera unità. All'avvio del PC, il caricatore di avvio di Windows viene caricato dalla partizione riservata del sistema e il caricatore di avvio richiede il metodo di sblocco, ad esempio una password. BitLocker quindi decrittografa l'unità e carica Windows. La crittografia è altrimenti trasparente: i tuoi file appaiono come se fossero normalmente su un sistema non criptato, ma sono archiviati sul disco in forma crittografata. È inoltre possibile crittografare altre unità oltre all'unità di sistema.
- BitLocker To Go: Puoi crittografare le unità esterne, ad esempio unità flash USB e dischi rigidi esterni, con BitLocker To Go. Ti verrà richiesto il metodo di sblocco, ad esempio una password, quando colleghi l'unità al computer. Se qualcuno non ha il metodo di sblocco, non può accedere ai file sul disco.
In Windows 7 fino a 10, non devi preoccuparti di fare da solo la selezione. Windows gestisce le cose dietro le quinte e l'interfaccia che utilizzerai per abilitare BitLocker non ha un aspetto diverso. Se si finisce per sbloccare un'unità crittografata su Windows XP o Vista, vedrai il branding di BitLocker to Go, quindi abbiamo pensato che dovresti almeno saperlo.
Quindi, con quello fuori mano, andiamo su come funziona davvero.
Passaggio 1: abilita BitLocker per un'unità
Il modo più semplice per abilitare BitLocker per un'unità è fare clic con il pulsante destro del mouse sull'unità in una finestra Esplora file, quindi selezionare il comando "Attiva BitLocker". Se non vedi questa opzione nel menu di scelta rapida, probabilmente non hai una versione Pro o Enterprise di Windows e dovrai cercare un'altra soluzione di crittografia.
È solo così semplice. Il wizard che si apre ti guida attraverso la selezione di diverse opzioni, che abbiamo suddiviso nelle sezioni che seguono.
Fase due: scegliere un metodo di sblocco
La prima schermata che vedrai nella procedura guidata "Crittografia unità BitLocker" ti consente di scegliere come sbloccare l'unità. È possibile selezionare diversi modi per sbloccare l'unità.
Se stai crittografando l'unità di sistema su un computer non lo fa avere un TPM, è possibile sbloccare l'unità con una password o un'unità USB che funzioni come una chiave. Seleziona il tuo metodo di sblocco e segui le istruzioni per quel metodo (inserisci una password o collega l'unità USB).
Se il tuo computer fa avere un TPM, vedrai opzioni aggiuntive per sbloccare l'unità di sistema. Ad esempio, è possibile configurare lo sblocco automatico all'avvio (in cui il computer afferra le chiavi di crittografia dal TPM e decrittografa automaticamente l'unità). Puoi anche utilizzare un PIN anziché una password o anche scegliere opzioni biometriche come un'impronta digitale.
Se stai crittografando un'unità non di sistema o un'unità rimovibile, vedrai solo due opzioni (se hai o meno un TPM). È possibile sbloccare l'unità con una password o una smart card (o entrambi).
Passaggio 3: eseguire il backup della chiave di ripristino
BitLocker ti fornisce una chiave di ripristino che puoi utilizzare per accedere ai tuoi file crittografati se dovessi perdere la chiave principale, ad esempio, se dimentichi la password o se il PC con TPM muore e devi accedere all'unità da un altro sistema.
È possibile salvare la chiave sul proprio account Microsoft, su un'unità USB, su un file o persino stamparla. Queste opzioni sono le stesse sia per la crittografia di un sistema o di un'unità non di sistema.
Se si esegue il backup della chiave di ripristino sul proprio account Microsoft, è possibile accedere alla chiave in seguito all'indirizzo https://onedrive.live.com/recoverykey. Se usi un altro metodo di recupero, assicurati di tenere la chiave al sicuro - se qualcuno vi accede, potrebbe decodificare l'unità e ignorare la crittografia.
Se lo desideri, puoi anche eseguire il backup della chiave di ripristino in più modi. Fai semplicemente clic su ciascuna opzione che desideri utilizzare a turno, quindi segui le istruzioni. Quando hai finito di salvare le tue chiavi di ripristino, fai clic su "Avanti" per andare avanti.
Nota: Se si sta crittografando un'unità USB o un'altra unità rimovibile, non è possibile salvare la chiave di ripristino su un'unità USB. Puoi usare una qualsiasi delle altre tre opzioni.
Passaggio 4: crittografare e sbloccare l'unità
BitLocker crittografa automaticamente i nuovi file quando li aggiungi, ma devi scegliere cosa succede con i file attualmente sul tuo disco. È possibile crittografare l'intera unità, compreso lo spazio disponibile, o semplicemente crittografare i file del disco utilizzati per accelerare il processo. Queste opzioni sono uguali anche se stai crittografando un sistema o un'unità non di sistema.
Se stai configurando BitLocker su un nuovo PC, crittografa solo lo spazio su disco utilizzato: è molto più veloce. Se stai impostando BitLocker su un PC che usi da un po ', devi crittografare l'intera unità per assicurarti che nessuno possa recuperare i file cancellati.
Quando hai effettuato la selezione, fai clic sul pulsante "Avanti".
Passaggio 5: Scegli una modalità di crittografia (solo per Windows 10)
Se utilizzi Windows 10, visualizzerai uno schermo aggiuntivo che ti consente di scegliere un metodo di crittografia. Se utilizzi Windows 7 o 8, passa direttamente al passaggio successivo.
Windows 10 ha introdotto un nuovo metodo di crittografia denominato XTS-AES. Fornisce maggiore integrità e prestazioni rispetto a AES utilizzato in Windows 7 e 8. Se si conosce che l'unità che si sta crittografando verrà utilizzata solo su PC Windows 10, andare avanti e selezionare l'opzione "Nuova modalità di crittografia". Se pensi che potrebbe essere necessario utilizzare l'unità con una versione precedente di Windows ad un certo punto (particolarmente importante se si tratta di un'unità rimovibile), scegliere l'opzione "Modalità compatibile".
Indipendentemente dall'opzione scelta (e di nuovo, queste sono le stesse per le unità di sistema e non di sistema), andare avanti e fare clic sul pulsante "Avanti" quando hai finito, e nella schermata successiva, fare clic sul pulsante "Avvia crittografia".
Step Six: Finire
Il processo di crittografia può richiedere da pochi secondi a minuti o anche di più, a seconda delle dimensioni dell'unità, della quantità di dati che stai crittografando e se hai scelto di crittografare lo spazio libero.
Se stai crittografando l'unità di sistema, ti verrà richiesto di eseguire un controllo del sistema BitLocker e riavviare il sistema. Assicurati che l'opzione sia selezionata, fai clic sul pulsante "Continua", quindi riavvia il PC quando richiesto. Dopo il riavvio del PC per la prima volta, Windows crittografa l'unità.
Se stai crittografando un'unità non di sistema o rimovibile, Windows non ha bisogno di riavviarsi e la crittografia inizia immediatamente.
Qualunque sia il tipo di unità che si sta crittografando, è possibile controllare l'icona Crittografia unità BitLocker nella barra delle applicazioni per vedere i suoi progressi e continuare a utilizzare il computer mentre vengono crittografate le unità: sarà più lento.
Sbloccare il tuo disco
Se l'unità di sistema è crittografata, lo sblocco dipende dal metodo scelto (e dal fatto che il PC abbia un TPM). Se si dispone di un TPM e si è scelto di sbloccare l'unità automaticamente, non si noterà nulla di diverso: si avvia semplicemente direttamente in Windows come sempre. Se hai scelto un altro metodo di sblocco, Windows ti chiede di sbloccare l'unità (digitando la password, collegando l'unità USB o qualsiasi altra cosa).
E se hai perso (o dimenticato) il tuo metodo di sblocco, premi Esc sulla schermata di richiesta per inserire la chiave di ripristino.
Se hai crittografato un'unità non di sistema o rimovibile, Windows ti chiede di sbloccare l'unità quando la accedi per la prima volta dopo aver avviato Windows (o quando lo colleghi al PC se è un'unità rimovibile). Digita la tua password o inserisci la tua smart card e l'unità dovrebbe sbloccarsi per poterla usare.
In File Explorer, le unità crittografate mostrano un lucchetto dorato sull'icona (a sinistra). Questo blocco diventa grigio e appare sbloccato quando si sblocca l'unità (a destra).
È possibile gestire un'unità bloccata, modificare la password, disattivare BitLocker, eseguire il backup della chiave di ripristino o eseguire altre azioni, dalla finestra del pannello di controllo di BitLocker. Fare clic con il pulsante destro del mouse su un'unità crittografata, quindi selezionare "Gestisci BitLocker" per andare direttamente a quella pagina.
Come tutte le crittografie, BitLocker aggiunge un sovraccarico. Le domande frequenti di BitLocker di Microsoft dicono che "In genere impone un sovraccarico delle prestazioni percentuale a una cifra". Se la crittografia è importante per te perché hai dati sensibili, ad esempio un laptop pieno di documenti aziendali, la sicurezza avanzata merita il rendimento del commercio -off.