Come funziona BitLocker

Alessandro Nodari
Alessandro Nodari
Come funziona BitLocker

Se tenete sul vostro computer o su un hard disk esterno informazioni sensibili, il modo migliore per proteggerli è crittografarli, in modo da consentire l'accesso ai dati solo attraverso una password. 

BitLocker è la soluzione adottata da Microsoft per i sistemi operativi Windows da Vista in poi, ma come funziona BitLocker? Lo strumento, presente nelle versioni Pro di Windows 10 e 11, offre due metodi di crittografia, una basata su hardware, attraverso il chip TPM, e una su software, attraverso una password o un'unità flash USB per decrittografare il sistema. Inoltre con BitLocker potete decidere se proteggere i dati sull'unità di avvio, su una memoria secondaria o su supporti rimovibili (BitLocker To Go).

Pensate che sia una soluzione ideale per voi? Andiamo a scoprire come usarla, ricordandovi anche il nostro approfondimento su come mettere la password su hard disk esterni.

Indice

Cos'è BitLocker

Prima di vedere come usare BitLocker, cerchiamo di capire esattamente cosa sia.

 BitLocker è il programma di crittografia proprietario di Microsoft che consente di crittografare l'intera unità e proteggere da modifiche non autorizzate al sistema come per esempio da malware

Fatta questa premessa, possiamo comprendere come lo strumento, particolarmente avanzato, sia soprattutto dedicato ad aziende o comunque professionisti, e infatti è presente sulle versioni di Windows 10 e 11 Pro, Enterprise e Education, e non nelle versioni Home. Lo strumento è anche disponibile anche in Windows Vista e 7, Ultimate e Enterprise, e Windows 8.1 Pro e Enterprise. 

In caso vi chiediate come fare con le versioni Home, c'è comunque la possibilità di crittografare l'hard disk, ma senza le stesse opzioni di gestione e configurazione, e infatti la crittografia del dispositivo su Windows 11 Home sarà abilitata per tutte le unità, mentre Pro consente di configurarla per ogni unità separatamente.

Lanciato nel 2004, lo strumento offre tre modalità operative, due che richiedono un dispositivo hardware per la cifratura, un TPM (Trusted Platform Module) dalla versione 1.2 in poi, e una che non lo richiede.

  • Modo operativo trasparente, che grazie al TPM consente all'utente di accedere al sistema normalmente. La chiave usata per la crittografia è conservata nel chip TPM
  • Modo autenticazione utente, che richiede che l'utente inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da poter avviare l'OS. Può essere un PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria.
  • La terza modalità non richiede un chip TPM, ed è la chiave USB. L'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto.

Quindi per accedere ai dati c'è bisogno o di una password o di una chiave USB, ma BitLocker offre anche una cosiddetta chiave di ripristino, che permette di accedere al sistema in caso di blocco. Questa può essere conservata nell'account Microsoft, in un foglio stampato, in un'unità flash USB o dall'amministratore di sistema.

Ora che abbiamo capito cosa sia BitLocker, possiamo vedere come funziona, ma prima ricapitoliamo alcuni prerequisiti:

  • Windows deve essere una versione Pro, Enterprise o Education di Windows 10 o 11
  • È necessario un chip TPM per i migliori risultati. Per controllare se un computer dispone di TPM, cliccate sul pulsante Windows e scrivete Gestione dispositivi. Cliccate sul risultato e a sinistra espandete la voce Dispositivi di sicurezza. Cercate la voce Trusted Platform Module e assicuratevi che il numero di versione sia 1.2 o superiori. 
  • Se volete applicare Bitlocker senza TPM sono necessari passaggi aggiuntivi
  • Il firmware del computer deve supportare i dispositivi TPM o USB durante l'avvio. Se la funzione non è disponibile, verificare il produttore del computer per l'aggiornamento BIOS (Basic Input Output System) o Unified Extensible Firmware Interface (UEFI).
  • Il disco rigido del computer deve avere due partizioni, tra cui una partizione di sistema con i file necessari per avviare il sistema e una partizione con l'installazione di Windows, entrambe formattate con file system NTFS. Se il dispositivo non soddisfa questi requisiti, BitLocker li creerà automaticamente.
  • Il processo di crittografia non è complicato, ma può richiedere molto tempo, a seconda della quantità di dati e delle dimensioni dell'unità. Per questo motivo, è necessario mantenere il computer collegato all'alimentazione
  • Infine, è sempre consigliato prima di procedere creare un backup completo del computer.

Come funziona BitLocker

Ora che abbiamo capito cosa sia BitLocker, vediamo come abilitarlo a seconda della vostra situazione, ovvero che vogliate crittografare il disco di sistema, con e senza TPM, un disco secondario o un disco removibile.

  

Disco di sistema - con TPM

In molti casi, BitLocker sarà abilitato per impostazione predefinita sul vostro PC con TPM, ma potete comunque controllare. Premete i pulsanti Windows + I per aprire le Impostazioni, cliccate su Sistema e poi su Archiviazione al centro. Nella sezione Gestione archiviazione, cliccate su Impostazioni di archiviazione avanzate.

Cliccate su Dischi e volumi, selezionate l'unità con la partizione da crittografare e cliccate su Proprietà. Successivamente, cliccate sul pulsante Attiva BitLocker e poi nuovamente su Attiva BitLocker

Come funziona BitLocker

Ora dovete selezionare l'opzione per eseguire il backup della chiave di ripristino, che può essere Salva nel tuo account Microsoft, su un'unità USB, un file o stamparla. La chiave di ripristino sarà sempre disponibile su OneDrive a questo indirizzo.

Cliccate sul pulsante Avanti e selezionate lo spazio da crittografare. Crittografare solo lo spazio su disco utilizzato è più veloce e migliore per i nuovi PC e unità, mentre Crittografare l'intera unità è più lento ma preferito per i PC e le unità già in uso.

Ora dovete scegliere tra due opzioni di crittografia: Nuova modalità di crittografia (migliore per le unità fisse sul dispositivo), e Modalità compatibile (preferito per le unità che possono essere spostate dal dispositivo).

Selezionate il primo e cliccate su Avanti. Mettete la spunta a Esegui controllo del sistema BitLocker, cliccate su Continua e poi su Riavvia ora. Una volta completati i passaggi, il sistema inizierà a crittografare i dati sull'unità e poi si riavvierà. 

Al riavvio, BitLocker sarà abilitato e non verrà richiesto di immettere una password per continuare ad avviare Windows. Se andate su Pannello di Controllo, cliccate su Sistema e sicurezza e poi su Crittografia unità BitLocker, vedrete che BitLocker starà crittografando ancora l'unità, processo che potrebbe richiedere diverso tempo. Una volta completato, vedrete sull'unità un'icona a forma di lucchetto e l'etichetta BitLocker on.

A questo punto, avete diverse opzioni a vostra disposizione. Potrete Sospendere la protezione, per esempio quando effettuate un aggiornamento. La protezione riprenderà automaticamente al riavvio. In alternativa, potete Eseguire il backup della chiave di ripristino, in modo che se si perde la chiave di ripristino e si è ancora connessi all'account potete creare un nuovo backup della chiave (account Microsoft, su un'unità USB, su file o stampa).

Altre possibilità sono Cambia password, per creare una nuova password di crittografia, Rimuovi password, ma solo configurando un nuovo metodo di autenticazione, e Disattiva BitLocker, per decrittografare tutti i file sull'unità (richiede molto tempo, ma come per il processo inverso potete usare nel frattempo il computer).

Per disattivare BitLocker, premete il tasto Windows, scrivete Pannello di Controllo, cliccate su Sistema e sicurezza e poi cliccate su Crittografia unità BitLocker. Qui, nella sezione Unità del sistema operativo, cliccate sull'opzione Disattiva BitLocker e date conferma.

Disco di sistema - senza TPM

E se il vostro computer non è dotato di chip TPM che fare? Niente è perduto, in questo caso potete utilizzare una soluzione software e non hardware. 

Per farlo, bisogna utilizzare l'Editor di Criteri di Gruppo Locali per abilitare l'autenticazione aggiuntiva all'avvio, che richiederà una password o un'unità flash USB con la chiave di ripristino per sbloccare l'unità e continuare con il processo di avvio del computer.

Vediamo come fare. Prima bisogna abilitare i Criteri senza supporto TPM e poi attivare BitLocker.

Premete il tasto Windows e scrivete gpedit, cliccate sul risultato e si aprirà l'Editor dei criteri di gruppo locale. A sinistra, seguite il seguente percorso (o copiatelo direttamente nel campo in alto): 

Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Sulla destra, cliccate due volte su Richiedi autenticazione aggiuntiva all'avvio.

Selezionate l'opzione Abilitato e poi mettete la spunta, subito sotto, alla voce Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio su un'unità flash USB).

Come funziona BitLocker

Cliccate su Applica e poi su OK. Ora potete attivare BitLocker. Cliccate sui tasti Windows + I per aprire le Impostazioni, cliccate su Sistema e poi su Archiviazione al centro. Nella sezione Gestione archiviazione, cliccate su Impostazioni di archiviazione avanzate. Cliccate su Dischi e volumi, selezionate l'unità con la partizione da crittografare e cliccate su Proprietà.

Qui, cliccate sulla voce Attiva BitLocker. In alternativa, potete cliccare sul tasto Windows, scrivere Pannello di controllo, cliccare su Sistema e sicurezza e poi su Crittografia BitLocker. Qui sotto Unità sistema operativo cliccate su Attiva BitLocker e attivatelo.

Ora nella finestra che si apre cliccate su Avanti tre volte e poi scegliete come sbloccare la crittografia, se inserendo una chiavetta USB (avete bisogno di una chiavetta USB per sbloccare il dispositivo e avviare il computer) oppure tramite una password (che dovrete immettere prima dell'avvio di Windows, ed è sicuramente il metodo consigliato).

Scegliete il secondo metodo e inserite una password due volte da utilizzare per sbloccare BitLocker e accedere al computer. Cliccate su Avanti e, come sopra selezionate l'opzione che preferite per salvare la chiave di ripristino tra salvarla nel vostro account Microsoft, su una chiavetta USB, su un file o stamparla. 

Cliccate sul pulsante Avanti e scegliete la quantità di spazio dell'unità da crittografare tra Crittografare solo lo spazio su disco utilizzato (più veloce e migliore per i nuovi PC e unità) e Crittografare l'intera unità (più lenta ma migliore per i PC e le unità già in uso). Poi scegliete tra le opzioni di crittografia Nuova modalità di crittografia (migliore per le unità fisse sul dispositivo) e Modalità compatibile (meglio per le unità che possono essere spostate dal dispositivo).

Cliccate su Avanti, mettete la spunta a Esegui controllo del sistema BitLocker, cliccate su Continua e poi su Riavvia ora.

Il computer si riavvierà e BitLocker vi chiederà di inserire la password di crittografia per sbloccare l'unità.

Disco secondario

Se invece volete configurare BitLocker su un disco secondario, ovvero non quello su cui è installato Windows ma su cui tenete i dati, la procedura è leggermente diversa. Cliccate sui tasti Windows + I per aprire le Impostazioni, cliccate su Sistema e poi su Archiviazione al centro. Nella sezione Gestione archiviazione, cliccate su Impostazioni di archiviazione avanzate. Cliccate su Dischi e volumi, selezionate l'unità secondaria Unità dati fissi e cliccate su Proprietà.

Selezionate l'opzione Usa una password per sbloccare l'unità (volendo potete anche usare l'opzione Usa la mia smart card per sbloccare l'unità). In alternativa, potete cliccare sul tasto Windows, scrivere Pannello di controllo, cliccare su Sistema e sicurezza e poi su Crittografia BitLocker. Qui sotto Unità dati fissi cliccate su BitLocker e attivatelo. 

Create e confermate la password per sbloccare BitLocker e accedere al dispositivo, poi cliccate su Avanti e selezionate l'opzione per salvare la chiave di ripristino tra account Microsoft, chiavetta USB, file e stampa.

Ora cliccate su Avanti e selezionate la quantità di spazio dell'unità da crittografare tra Crittografare solo lo spazio su disco utilizzato (più veloce e migliore per i nuovi PC e unità) e Crittografare l'intera unità (più lenta ma migliore per i PC e le unità già in uso). Poi scegliete tra le opzioni di crittografia Nuova modalità di crittografia (migliore per le unità fisse sul dispositivo) e Modalità compatibile (meglio per le unità che possono essere spostate dal dispositivo).

Cliccate sul pulsante Avanti, poi su Avvia Crittografia e infine su Chiudi. Una volta completati i passaggi, l'unità inizierà a utilizzare la crittografia. Se l'unità avesse già dati, il processo potrebbe richiedere molto tempo per essere completato.

Disco rimovibile

L'ultima opzione riguarda i dischi rimovibili come chiavette USB e unità esterne. Per questo si utilizza una funzione chiamata BitLocker to Go, vediamo come attivarla.

Collegate l'unità al dispositivo e cliccate sul tasto Windows.

Cercate Pannello di controllo e cliccate sul risultato. Poi cliccate su Sistema e sicurezza e selezionate Crittografia unità BitLocker.

Nella sezione BitLocker To Go, selezionate l'unità rimovibile che desiderate crittografare e cliccate su Attiva BitLocker. Selezionate l'opzione Usa una password per sbloccare l'unità, create una password e confermatela.

Cliccate su

Avanti e selezionate l'opzione per salvare la chiave di ripristino tra account Microsoft, chiavetta USB, file e stampa.

Ora cliccate su Avanti e selezionate la quantità di spazio dell'unità da crittografare tra Crittografare solo lo spazio su disco utilizzato (più veloce e migliore per i nuovi PC e unità) e Crittografare l'intera unità (più lenta ma migliore per i PC e le unità già in uso). Poi scegliete tra le opzioni di crittografia Nuova modalità di crittografia (migliore per le unità fisse sul dispositivo) e Modalità compatibile (meglio per le unità che possono essere spostate dal dispositivo).

In questo caso è meglio selezionare Modalità compatibile.

Cliccate sul pulsante Avanti, poi su Avvia Crittografia e infine su Chiudi. Una volta completati i passaggi, l'unità inizierà a utilizzare la crittografia. È consigliato usare un'unità vuota per accelerare il processo, perché se l'unità avesse già dati potrebbe richiedere molto tempo. In ogni caso, quando salvate sopra dei dati questi saranno crittografati. 

Tra le opzioni a vostra disposizione c'è la possibilità di sblocco tramite smart card o anche lo sblocco automatico, che consente di sbloccare il disco automaticamente ogni volta che si collega l'unità al PC.

Dove trovare la chiave di ripristino di BitLocker

Quando crittografate un disco con BitLocker, dovete scegliere dove salvare la chiave di ripristino, che serve ad accedere al disco in alcune situazioni. 

La chiave di recupero BitLocker è infatti un codice numerico unico a 48 cifre che può essere utilizzato per sbloccare il sistema se BitLocker non è in grado di confermare con certezza che il tentativo di accedere all'unità di sistema sia autorizzato, e ve la chiederà quando rileva un possibile tentativo non autorizzato di accedere ai dati.

Questa situazione potrebbe verificarsi in caso di modifiche all'hardware, al firmware o al software che BitLocker non può distinguere da un possibile attacco. 

BitLocker in genere si assicura di sottoporre una chiave di ripristino a backup prima di attivare la protezione, e potete trovarla in diversi luoghi a seconda della vostra scelta in fase di attivazione. 

Il primo posto dove guardare è nel vostro account Microsoft (o di chi ha effettuato l'attivazione). Andate sul sito del vostro account, effettuate l'accesso e lì potreste trovarla (ha un aspetto come quello che vedete nell'immagine qui sotto). 

Come funziona BitLocker

In alternativa, potete trovarla su un'unità USB. Collegate l'unità USB su cui avete salvato la chiave al PC bloccato e seguite le istruzioni a schermo. Se invece avete salvato la chiave sull'unità USB ma come file di testo, dovete utilizzare un altro computer per poterlo leggere.

Infine, potreste aver stampato la chiave di ripristino su un foglio, e potreste dover controllare i documenti relativi al computer.

Se non riuscite a trovare la chiave di ripristino BitLocker e non riuscite a ripristinare alcuna modifica di configurazione che potrebbe averla richiesta, dovrete reimpostare il dispositivo utilizzando una delle opzioni di ripristino di Windows, con la rimozione di tutti i file.

Come sbloccare hard disk protetto con BitLocker

Ora che abbiamo visto come abilitare BitLocker e come trovare la chiave di ripristino, vediamo come sbloccare un disco crittografato protetto da BitLocker. 

Il metodo più semplice è sbloccare il disco da Esplora File. Dopo aver collegato il disco al computer, premete i tasti Windows + E e cliccate su Questo PC. Individuate il disco crittografato, che sarà evidenziato da un lucchetto giallo, e cliccateci sopra con il pulsante destro del mouse. 

Come funziona BitLocker

Selezionate Sblocca Unità e si aprirà una finestra in alto a destra nello schermo. Inserite la password di BitLocher per sbloccare il disco e cliccate su Sblocca. L'unità verrà sbloccata immediatamente.

In alternativa, potete andare sul Pannello di controllo.

Premete il tasto Windows e scrivete Pannello di Controllo. Cliccate sul risultato e selezionate Sistema e sicurezza. Cliccate su Crittografia unità BitLocker e individuate l'unità sotto Unità rimovibili. Cliccate su Sblocca unità, al che apparirà la finestra in cui inserire la password. Scrivetela e cliccate su Sblocca. 

Se invece vi piace smanettare, potete sbloccare BitLocker anche da prompt dei comandi. Premete il tasto Windows e scrivete cmd. Quando appare Prompt dei comandi, cliccate su Esegui come amministratore o, su Windows 10, cliccateci sopra con il tasto destro e cliccate su Esegui come amministratore. 

Scrivete il seguente comando (al posto di D: inserite la lettera corrispondente al vostro disco da sbloccare):

manage-bde -unlock D: -password

Premete Invio e vi verrà richiesto di inserire la password per sbloccare il disco. Inseritela (non vi verrà mostrata, quindi assicuratevi di scriverla correttamente) e premete Invio.

Se invece desiderate utilizzare PowerShell, premete i tasti Windows + X e selezionate Terminale (admin) dal menu.

Scrivete questo comando (sostituite D: con la lettera del vostro disco):

Unlock-BitLocker -MountPoint "D:" -Password (Read-Host "Enter Password" -AsSecureString)

Inserite la password e premete Invio. L'unità verrà sbloccata.

Domande e risposte

La chiave di ripristino di BitLocker può essere sul vostro account Microsoft a questo indirizzo, su una chiavetta USB, su un file o su un foglio che avete stampato al momento dell'attivazione della funzionalità. Se usate un computer aziendale, potreste doverla chiedere al vostro amministratore di sistema. 
Per disattivare BitLocker su USB, inserire il disco, premere il tasto Windows e scrivere Pannello di controllo. Cliccarci sopra e cliccare su Sistema e sicurezza, poi cliccare su Crittografia unità BitLocker. Qui, alla voce BitLocker to Go in corrispondenza dell'unità rimovibile, cliccare su Disattiva BitLocker. Confermate la scelta.

Tips, tricks e news!
Tutto il meglio della tecnologia in video brevi!
Seguici