BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

• Crittografia
• Windows 10

In era GDPR BitLocker dovrebbe essere uno strumento sempre utilizzato sui propri notebook e convertibili Windows 10 per proteggere efficacemente i dati memorizzati sugli stessi dispositivi. E ciò indipendentemente dal fatto che sulle proprie macchine si adoperino unità SSD o i tradizionali hard disk.

A BitLocker abbiamo dedicato due articoli di approfondimento: BitLocker, cos’è, come funziona e perché è da attivarsi in ottica GDPR e BitLocker, come funzionano il recupero delle chiavi e lo sblocco con USB.

Nel primo abbiamo spiegato cos’è e come funziona BitLocker (che, lo ricordiamo, permette di crittografare il contenuto di tutte le unità di memorizzazione, compresa quella di sistema, in Windows 10 Pro, Enterprise ed Education ma non è disponibile nell’edizione Home del sistema operativo); nel secondo abbiamo appreso come sia possibile configurare una chiavetta USB da utilizzare per lo sblocco del sistema protetto con BitLocker. In altre parole, fintanto che al boot di Windows 10 non si inserirà la chiavetta USB configurata per l’uso con BitLocker, il sistema non si avvierà e tutti i dati rimarranno crittografati.

È bene però non trascurare neppure le chiavette USB e le unità rimovibili, specie se contengono informazioni riservate e dati personali. Il rischio di perdere e di lasciare il loro contenuto alla mercé di terzi è troppo elevato. Nell’articolo Chiavetta USB protetta con BitLocker To Go: come funziona abbiamo visto come usare uno strumento presente anche in Windows 10 Home per proteggere quanto memorizzato nelle unità esterne, siano unità flash (SSD compresi) o hard disk.

Cos’è il chip TPM

Per impostazione predefinita, sui sistemi Windows 10 crittografati con BitLocker e protetti con chip TPM (Trusted Platform Module) il contenuto delle unità indicate dall’utente viene cifrato ma nulla viene richiesto al boot.
L’accesso al sistema è possibile solo indicando le password corrette per i vari account configurati alla schermata di logon.

Sui sistemi protetti con BitLocker, “giochetti” come quelli illustrati nell’articolo Password dimenticata Windows 10: esclusivo, come accedere al sistema non funzionano perché non è possibile per un malintenzionato superare la protezione crittografica usando un supporto di avvio.

Il chip TPM è presente su tutti i PC moderni e ha proprio come obiettivo primario quello di supportare il corretto funzionamento di soluzioni basate sulla crittografia.
Per accertare che il proprio sistema utilizzi il chip TPM, installato a livello di scheda madre, basta premere Windows+R quindi digitare tpm.msc.

L’indicazione TPM pronto per l’utilizzo conferma che il sistema è dotato del chip in questione; diversamente, la comparsa del messaggio Impossibile trovare un TPM compatibile ne rappresenta l’assenza.

BitLocker richiede l’utilizzo di un chip TPM versione 1.2 per funzionare ma le unità (compresa quella di sistema) possono essere crittografate anche senza appoggiarsi al chip (con una soluzione da considerarsi meno sicura).

Supponendo di aver già attivato la cifratura dell’unità di sistema con BitLocker su un sistema dotato di chip TPM, vediamo com’è possibile richiedere anche un PIN all’avvio della macchina.

Come richiedere un PIN all’avvio della macchina per sbloccare le unità protette con BitLocker

Se si volesse contare su un livello di sicurezza aggiuntivo e fare in modo che all’avvio non compaia subito la schermata di logon con la lista degli account, si può utilizzare una chiavetta USB per lo sblocco del sistema, come già visto nell’articolo BitLocker, come funzionano il recupero delle chiavi e lo sblocco con USB oppure richiedere l’inserimento di un PIN di propria scelta all’accensione del dispositivo Windows 10.

Per configurare l’inserimento di un PIN all’avvio di un sistema protetto con chip TPM basta seguire alcuni semplici passaggi:

1) Accertarsi, come visto in precedenza, che sul PC in uso sia presente un chip TPM.

2) Premere la combinazione di tasti Windows+R quindi digitare gpedit.msc.

3) Portarsi in corrispondenza di Configurazione computer, Modelli amministrativi, Componenti di Windows, Crittografia unità BitLocker, Unità del sistema operativo quindi fare doppio clic sulla regola Richiedi autenticazione aggiuntiva all’avvio nel pannello di destra.

4) Scegliere l’opzione Attivata in alto, togliere la spunta dalla casella Consenti BitLocker senza un TPM compatibile quindi impostare i menu a tendina sottostanti come in figura.

5) Premere il pulsante OK quindi digitare cmd nella casella di ricerca di Windows 10. Premere la combinazione di tasti CTRL+MAIUSC+INVIO per aprire il prompt dei comandi con i diritti di amministratore.

6) Impartire il comando seguente per verificare lo stato della configurazione di BitLocker: manage-bde -status.

7) Usare il seguente comando per chiedere a BitLocker di obbligare l’utente all’inserimento di un PIN all’avvio del PC, prima della fase di boot e vera e propria:

manage-bde -protectors -add c: -TPMAndPIN

Con l’indicazione c: si fa ovviamente riferimento all’unità di sistema contenente Windows 10, precedentemente crittografata.

8) Verrà chiesto di inserire un PIN numerico (“Digitare il PIN da utilizzare per proteggere il volume“): si tratta del “lasciapassare” che dovrà d’ora in avanti essere introdotto a ogni avvio della macchina.

9) Scrivendo ancora manage-bde -status, in fondo alla schermata subito sotto Protezioni con chiave dovrebbe apparire la voce TPM e PIN.

10) Riavviando il PC verrà subito richiesto il PIN scelto in precedenza con la visualizzazione di una schermata simile a quella in figura.

11) Nel caso in cui si dovesse dimenticare il PIN, si potrà sempre sbloccare BitLocker e accedere a Windows 10 premendo il tasto ESC e usando il codice di ripristino generato dal sistema in fase di configurazione di BitLocker.

Avviando il sistema dal supporto d’installazione di Windows o da un disco di avvio di emergenza basato sul kernel di Windows, l’unità crittografata con BitLocker non risulterà accessibile in quanto protetta.
Nell’articolo Recuperare file da un’unità crittografata con Bitlocker abbiamo presentato il comando manage-bde da usare per sbloccare le unità cifrate, compresa quella di sistema. Ovviamente bisognerà indicare l’intera chiave di ripristino esportata al momento della cifratura dell’unità con BitLocker.

Come nota finale importante, al momento della configurazione della policy Richiedi autenticazione aggiuntiva all’avvio, in corrispondenza di Configurazione PIN di avvio del TPM non bisognerà selezionare Richiedi PIN di avvio con il TPM bensì Consenti PIN di avvio con il TPM.
Nel primo caso, infatti, se si tenterà di cifrare ad esempio un’unità esterna con BitLocker To Go apparirà il messaggio d’errore “Impossibile applicare le impostazioni dei Criteri di gruppo relative alle opzioni di avvio di BitLocker perché sono in conflitto“.

Per risolvere, nel caso in cui si fosse precedentemente selezionata l’opzione Richiedi PIN di avvio con il TPM, basterà sostituirla con Consenti PIN di avvio con il TPM e riavviare il sistema.

Come disattivare la richiesta del PIN all’avvio del sistema protetto con BitLocker

Nel caso in cui si volesse disattivare la richiesta dell’inserimento del PIN all’avvio del sistema, si dovrà rieseguire l’Editor criteri di gruppo (gpedit.msc) e impostare su Non configurata la policy Richiedi autenticazione aggiuntiva all’avvio.

Dopo aver cliccato su OK, si dovrà aprire il prompt dei comandi con i diritti di amministratore e digitare quanto segue:

manage-bde -protectors -add c: -TPM

Così facendo tornerà a essere usato unicamente il chip TPM per sbloccare l’unità disco protetta con BitLocker.