Bitlocker: fondamentale attivarlo!

Attiva Bitlocker sul tuo computer personale oppure nella tua Azienda in modo centralizzato da Active Directory.

Vai al video tutorial

L’incredibile aumento di dispositivi mobile come laptop, tablet, smartphone, sia nelle aziende cosi come nelle nostre case, ha portato ad enormi vantaggi in termini di mobilità, praticità, rapidità. Allo stesso tempo però ha incrementato indirettamente il rischio legato alla perdita di dati, sia in termini di smarrimento che di sottrazione volontaria.

Evoluzione

Negli anni precedenti (fino ai primi anni 2000) nelle organizzazioni cosi come nelle nostre case, la percentuale di computer desktop era impressionante, probabilmente si aggirava attorno al 90% per i Desktop e 10% nel caso dei Laptop. Oggi questa percentuale si è invertita a causa di una serie di vantaggi legati alla mobilità e alle nuove modalità di accesso ai dati, tutto ciò favorito anche da un fattore di riduzione dei costi dei dispositivi mobile.

In passato quindi la perdita di dati (intesa come sottrazione) legata ad un furto oppure allo smarrimento di un PC era un evento abbastanza raro. Ipotizziamo il caso di un malintenzionato che entra in un’azienda per rubare un PC Desktop, superando quindi eventuali sistemi di controllo fisici: porte, serrature, allarmi ecc.
Supporre poi lo smarrimento di un computer Desktop lo è ancora di più.

Oggi

Il cambiamento radicale nelle modalità di accesso ai dati ha introdotto quindi nuovi rischi: il nostro computer laptop, tablet o il nostro smartphone contengono dati, sia personali che aziendali, alcuni dei quali sensibili o di strategica importanza, la cui perdita o sottrazione potrebbe provocare danni sia a noi che alle aziende nelle quali lavoriamo. Diventa obbligatorio quindi utilizzare dei sistemi che impediscano l’accesso (ai non autorizzati) a questi dati come ad esempio il Bitlocker, nel caso dei nostri computer, oppure di codici di accesso al nostro smartphone.

Si tratta di sistemi di crittografia asimmetrica che rendono impossibile l’accesso a tali dati se non si conoscono le chiavi di accesso per decriptare tali dati.

BitLocker

Nei sistemi operativi Windows troviamo una funzione, installata di default, che ci consente di crittografare un intero hard disk. Lo strumento si chiama BitLocker. Attivandolo, dal pannello di controllo, andiamo a crittografare tutti i dati presenti sul nostro disco, proteggendoli con una password o un pin che il sistema richiederà ad ogni avvio del PC.

Senza di questa password o pin non sarà possibile accedere al PC, neanche se smontassimo il nostro disco rigido e lo montassimo in parallelo su un altro PC. I dati all’interno del disco sarebbero comunque protetti dalla crittografica applicata.

Possiamo attivare il bitlocker sia sui nostri PC personali, sia in scenari più strutturati come quelli di un’azienda che utilizza un dominio Active Directory, usufruendo quindi di servizi di centralizzazione delle chiavi di crittografia.

Quando viene creato un backup utilizzando la funzionalità Shadow Copy, si utilizza un metodo di controllo delle versioni in modo da eseguire il backup solo delle modifiche ai file anziché dell’intero file. Pertanto, possono essere disponibili molte versioni di un determinato file senza occupare troppo spazio su disco.

Requisiti

Prima di procedere all’attivazione di questa funzionalità dobbiamo controllare se il nostro computer abbia il chip Trusted Platform Module (TPM) sulla scheda madre (tutti i computer moderni hanno questo chip) e BIOS o UEFI conforme a Trusted Computing Group (TCG). Relativamente al TPM: si tratta in pratica di un chip che genera e memorizza le chiavi crittografiche usate da BitLocker. Se non abbiamo il chip TPM possiamo comunque attivare BitLocker agendo su un criterio di configurazione del nostro computer, ma sarà un po’ meno sicuro.

Inoltre con BitLocker oltre al disco rigido di avvio del sistema operativo, grazie alla funzione denominata BitLocker To Go, potremmo proteggere anche le unità esterne, come per esempio le chiavette USB o gli hard disk esterni, molto utile anche questo ultimo scenario.

Bitlocker sul tuo PC Personale (Windows 10)

Se vogliamo attivarlo su nostro PC personale sarà sufficiente andare nel pannello di controllo e cercare la voce “Crittografia unità Bitlocker

bitlocker

Cliccare su Attiva Bitlocker e procedere con l’attivazione, il sistema chiederà una password da custodire con cura oltre ad alcune opzioni sulla crittografia, se vogliamo crittografare l’intero disco (anche sulle porzioni vuote) oppure solamente i dati memorizzati nel disco e crittografare successivamente in automatico ogni inserimento o creazione di nuovi file o cartelle. 

Nel caso in cui nel vostro computer non sia disponibile un Chip TMP, potete comunque attivare il bitlocker andando a modificare un criterio di sicurezza locale.

Lanciate il comando gpedit.msc e abilitate il seguente setting:

bitlocker02

bitlocker03

Cliccate su ok e riprovate ad attivare il Bitlocker dal pannello di controllo.

Dopo l’attivazione del bitlocker salvate la chiave o su un’unità esterna oppure stampatela e custoditela. 

Riavviate il computer. A ogni riavvio il sistema chiederà quindi la password per decifrare il vostro disco. 
 

Una volta avviato il PC potreste eventualmente lanciare il comando da Powershell: manage-bde -status dove controllare lo stato della vostra crittografia.

Bitlocker gestito da Active Directory nella tua azienda

Il vantaggio di attivare Bitlocker in modo centralizzato attraverso una GPO è ovviamente quello di custodire nel database centralizzato di Active Directory tutti gli ID e le chiavi di recovery dei computer del nostro dominio, nei quali abbiamo attivato il Bitlocker. Quindi nel caso in cui un utente avesse dimenticato la password del Bitlocket o il pin, potremmo accedere comunque al disco attraverso le chiavi di recovery.

Oltre a questo possiamo anche obbligare gli utenti a crittografare il disco attraverso delle notifiche, pop-up di suggerimento all’attivazione del Bitlocker.

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email