10682 Letture

Cancellare le chiavi crittografiche dai server Microsoft

Com'è noto, Bitlocker Drive Encryption è uno strumento appannaggio delle edizioni più costose di Windows 8.1 e di Windows 10. La possibilità di crittografare interi partizioni e dischi, compreso quello contenente il sistema operativo, è prevista nelle edizioni Pro ed Enterprise di Windows 8.1 e Windows 10 oltre che nelle edizioni Enterprise ed Ultimate di Windows Vista e Windows 7.

In Windows 8.1 e in Windows 10, comprese le edizioni Home, però, Microsoft ha introdotto la funzionalità Crittografia dispositivo.
Tale nuovo strumento risulta spesso attivato in modo predefinito sui sistemi dotati di chip TPM (ne abbiamo parlato nel recente articolo Differenza tra Bitlocker, EFS e Crittografia del dispositivo).

Grazie alla cifratura operata da Crittografia dispositivo, l'obiettivo è evidentemente quello di rendere inaccessibile il contenuto del disco o dell'unità SSD da parte di persone non autorizzate.
Se si dovesse perdere il computer o lasciarlo incustodito, nessuno potrebbe leggere il contenuto dell'hard disk o dell'unità SSD perché tutti i dati appariranno cifrati. Le informazioni dell'utente non saranno accessibili neppure disconnettendo l'hard disk e collegandolo fisicamente ad un altro sistema.


Le chiavi crittografiche per la decodifica del contenuto del sistema dell'utente vengono caricate, dalla funzionalità Crittografia dispositivo, sui server Microsoft.

Si tratta di un comportamento che non sta andando a genio a molti utenti che si chiedono perché Windows 8.1 o Windows 10 non chiedano espressamente, ad esempio durante la fase d'installazione, se l'utente gradisca o meno l'upload delle chiavi crittografiche sul cloud di Microsoft.

Per verificare se la Crittografia dispositivo sia abilitata ed in funzione in Windows 8.1 o in Windows 10, è sufficiente digitare Informazioni sul PC nella casella di ricerca del sistema quindi controllare quanto riportato in calce alla finestra.
Se la Crittografia dispositivo fosse attivata o comunque non risultasse abilitabile, decadrà automaticamente la necessità di svolgere le verifiche illustrate nel seguito.


Come verificare se le chiavi crittografiche sono memorizzate sui server Microsoft

Per controllare se le chiavi crittografiche siano state memorizzate sui server Microsoft, è possibile consultare questa pagina.

Per accedervi, bisognerà aver cura di utilizzare lo stesso account adoperato per l'accesso o comunque per la configurazione di Windows 8.1 o di Windows 10.

Se i server Microsoft non conservassero alcuna chiave crittografica dell'utente, si vedrà comparire il messaggio Non disponi di chiavi di ripristino di BitLocker nel tuo account Microsoft.
Viceversa, cliccando sui nomi dei vari computer in elenco, si accederà alla chiave crittografica corrispondente utilizzabile per decodificare completamente il contenuto dell'hard disk o dell'unità SSD.

Prima di cancellare le chiavi crittografiche dai server Microsoft usando l'apposito link, è sempre bene stamparne una copia o comunque memorizzarla in un luogo sicuro. Senza la chiave, infatti, non si potrà più accedere ai propri file.

Come abbiamo spiegato anche nell'articolo Differenza tra Bitlocker, EFS e Crittografia del dispositivo, Microsoft assicura che tutti i backup delle chiavi dell'utente verranno eliminate a stretto giro dai suoi server ogniqualvolta l'utente ne dovesse richiedere la cancellazione.

Se si preferisse "tagliare la testa al toro", si potrà generare - sul proprio sistema Windows 8.1 o Windows 10 - una nuova chiare di ripristino senza mai caricarla sui server Microsoft.

Crittografia dispositivo, così come Bitlocker, utilizzano infatti due chiavi: una viene memorizzata solamente in locale, sul sistema dell'utente, ed è impiegata per cifrare e decifrare i file. La seconda chiave, invece, è utilizzabile per decodificare quella conservata in locale.


Utilizzando una semplice procedura da prompt dei comandi, è quindi possibile modificare solo questa seconda chiave (quella che viene solitamente caricata sui server Microsoft) senza quindi alcuna necessità di decifrate e crittografare di nuovo l'intera unità.

Dopo aver premuto la combinazione di tasti Windows+X si dovrà innanzi tutto selezionare Prompt dei comandi (amministratore), sia in Windows 8.1 che in Windows 10.

A questo punto si potrà digitare il comando che segue per disattivare temporaneamente Crittografia dispositivo:

manage-bde -protectors -disable %systemdrive%

Con il comando successivo, si potrà poi richiedere la cancellazione della chiave crittografica di ripristino correntemente in uso:

manage-bde -protectors -delete %systemdrive% -type RecoveryPassword

Adesso si potrà generare una nuova chiave di ripristino che sarà conservata in locale senza essere spedita a Microsoft:

manage-bde -protectors -add %systemdrive% -RecoveryPassword

La chiave che verrà mostrata a video dovrà essere adesso stampata o comunque annotata e conservata in un luogo sicuro lontano dal sistema che la sta utilizzando.

Come ultimo passo, si potrà infine riattivare la protezione di Crittografia dispositivo:

manage-bde -protectors -enable %systemdrive%

Gli utenti delle edizioni più costose di Windows 8.1 o di Windows 10 possono usare direttamente Bitlocker anziché Crittografia dispositivo.
Il normale Bitlocker, infatti, già in fase di configurazione, richiede se la chiave di ripristino debba essere o meno salvata sui server Microsoft. La chiave di ripristino di Bitlocker può essere infatti anche stampata o salvata come file.


Cancellare le chiavi crittografiche dai server Microsoft - IlSoftware.it