Come recuperare i dati da un PC Windows 11 con BitLocker attivo se non si avvia più

Con Windows 11, Microsoft ha introdotto un cambiamento significativo che impatta sulla sicurezza dei dati: molti PC consumer sono crittografati automaticamente con BitLocker, senza che l’utente debba abilitarlo manualmente. La funzionalità, nota come Crittografia del dispositivo, è pensata per proteggere i dati in caso di furto o accesso non autorizzato, ma può diventare un problema serio quando il sistema smette di avviarsi o le partizioni si corrompono.

Quando Windows 11 attiva BitLocker automaticamente

BitLocker può essere abilitato automaticamente in queste condizioni:

• Dispositivo compatibile con TPM 2.0. Quando il sistema rileva un TPM attivo e funzionante, abilita automaticamente la crittografia per proteggere la chiave di cifratura.
• Account Microsoft collegato. Se l’utente ha effettuato l’accesso con un account Microsoft, la chiave di recupero è salvata in modo sicuro nel cloud, senza richiedere alcuna azione da parte dell’utente.
• Dispositivi con Windows 11 installato da zero. Su molti laptop nuovi o sui dispositivi compatibili con Windows 11 installato da zero (installazione pulita), BitLocker è abilitato automaticamente durante la configurazione iniziale.

Il problema di fondo è che Microsoft e Windows 11 non avvisano in alcun modo l’utente circa l’avvenuta abilitazione di BitLocker. Ed è inconcepibile che con tutte le informazioni e le domande presentate da Windows 11 nell’ultima fase dell’installazione (OOBE, Out-Of-Box Experience), l’azienda di Redmond non abbia ancora trovato uno spazio per segnalare all’utente l’attivazione di BitLocker. Per giunta adesso che l’uso di un account Microsoft con Windows 11 è diventato obbligatorio (almeno sulla carta), un avviso circa l’attivazione di BitLocker sarebbe ancora più auspicabile.

Anche perché l’utente deve essere necessariamente edotto sulla disponibilità di una chiave di ripristino, da conoscere e inserire in casi di emergenza, pena la perdita dell’accesso ai dati memorizzati. Ne parliamo nell’articolo in cui spieghiamo come l’attivazione di BitLocker in Windows 11 possa diventare un rischio per la disponibilità dei dati.

Crash improvvisi e problemi con le partizioni: cosa fare se il sistema è protetto con BitLocker?

Cresce come volume il numero delle “storie dell’orrore” che vedono protagonisti utenti accortisi troppo tardi dell’abilitazione di BitLocker sui loro sistemi. Sono tanti i casi che fanno riferimenti a partizioni di avvio danneggiate che rendono apparentemente impossibile il recupero dei dati utilizzando le strategie tradizionali, proprio perché crittografati con BitLocker.

Il primo passo è accedere con il proprio account Microsoft alla pagina Chiavi di ripristino di BitLocker: qui, accanto al nome del PC che non si avvia, si troverà un codice di ripristino, utile per la decodifica delle informazioni memorizzate sull’unità di Windows 11.

Per recuperare i dati dal sistema che non si avvia, si possono usare vari sistemi, ad esempio un supporto d’installazione live di una distribuzione Linux, l’utilità TestDisk per la riparazione della tabella delle partizioni e dd per creare un’immagine dell’unità crittografata con BitLocker.

Tuttavia, il supporto d’installazione di Windows 11 (effettuando l’avvio del sistema da una chiavetta USB) dovrebbe essere già sufficiente nella stragrande maggioranza dei casi.

Recupero dati e ripristino avvio con il supporto d’installazione Windows 11

Per iniziare, sono necessari una chiavetta USB con Windows 11, la chiave di ripristino BitLocker e spazio sufficiente su un’unità esterna per il backup temporaneo dei dati.

Dopo aver effettuato il boot del sistema della chiavetta USB contenente i file d’installazione di Windows 11, quando appare la schermata iniziale con la scelta della lingua e del layout di tastiera, basta premere MAIUSC + F10 (oppure MAIUSC + Fn + F10) per aprire il Prompt dei comandi.

A questo punto, si può digitare quanto segue per verificare le unità collegate:

diskpart
list disk

Selezionare il disco interessato (es. Disk 0):

select disk 0
list volume

Annotare le lettere di unità e le dimensioni delle partizioni. Questo serve per identificare la partizione principale e la EFI System Partition. Alla fine, si può chiudere DiskPart con il comando exit.

Per controllare lo stato di BitLocker si può usare il comando seguente (sostituendo alla lettera identificativa di unità quella corretta desunta al passo precedente):

manage-bde -status E:

Decodifica dei dati crittografati

A questo punto, si può preparare un’unità di memorizzazione esterna con spazio sufficiente, collegarla al sistema e verificare la lettera identificativa associata (supponiamo che sia F:). Il comando proposto di seguito (repair-bde) crea una copia decifrata dei dati:

repair-bde E: F:\RecoveredData.img -rp <chiave-ripristino-bitlocker>

Nell’esempio, E: corrisponde all’unità bloccata da BitLocker; F:\RecoveredData.img è il percorso di destinazione sul disco esterno; la stringa <chiave-ripristino-bitlocker> va sostituita con la chiave di recupero BitLocker (48 cifre) annotata in precedenza. Maggiori informazioni nel documento di supporto Microsoft dedicato all’utilità.

Ripristino della partizione EFI e avvio di Windows

Dopo aver recuperato i dati, se si volesse provare a ripristinare direttamente l’avvio dell’istanza di Windows 11 installata sulla macchina, si può eseguire nuovamente DiskPart e selezionare il disco principale:

diskpart
select disk 0
list volume

Selezionare la EFI System Partition (ad esempio Volume 1) e assegnarle una lettera temporanea, se ne fosse sprovvista:

select volume 1
assign letter=S:
exit

Ricostruire i file di avvio:

bcdboot C:\Windows /s S: /f UEFI

Questo comando copia i file di boot di Windows nella partizione EFI, ricreando l’opzione di avvio. Per maggiori informazioni si può approfondire con la lettura del nostro articolo sulla risoluzione dei problemi relativi alla partizione EFI.

Come ultimo passo, si può finalmente riavviare il PC e verificare se Windows torna ad avviarsi correttamente. Com’è ovvio, l’intervento sin qui applicato non dispensa dalla verifica delle cause che hanno portato alla corruzione dell’avvio del sistema.

Considerazioni finali

La procedura che abbiamo descritto fa perno esclusivamente sul supporto di installazione di Windows 11, senza Linux o strumenti esterni. La chiave di recupero BitLocker è indispensabile: senza di essa il comando repair-bde non funziona.

Il comando bcdboot può risolvere problemi di boot senza dover riscrivere interamente la tabella delle partizioni, purché la partizione principale sia intatta.

Se la partizione principale non fosse intatta, la situazione diventa un po’ più complessa, ma comunque non irreversibile. Bisogna distinguere due scenari principali: danneggiamento parziale della tabella delle partizioni oppure corruzione o perdita completa della partizione principale.

Danni parziali alla partizione principale

Se la partizione esiste ancora nella tabella, ma il filesystem è corrotto, Windows non la riconosce come avviabile. È bene creare copia una copia di backup del contenuto della partizione cifrata (ad esempio con repair-bde) quindi sbloccare BitLocker sempre dal supporto d’avvio con il comando manage-bde. Si può quindi fare riferimento all’articolo sulla partizione EFI per ricostruire l’avvio.

Qualora la partizione principale fosse completamente persa o sovrascritta, si può usare l’utilità TestDisk per ricostruire la partizione cancellata o persa. Anche in questo caso, è essenziale fare prima un backup dell’intero disco in un’immagine .img. Da un supporto di avvio basato su Linux si può fare impartendo il comando seguente (usare ddrescue se vi fossero danni sull’unità):

dd if=/dev/sda of=/media/external/recover.img bs=4M status=progress conv=noerror,sync

• if = input file (unità di origine)
• of = output file (backup su disco esterno)
• bs=4M = dimensione del blocco per velocizzare il processo
• conv=noerror,sync = continua anche se ci sono errori e riempie blocchi mancanti