disattivazione di bitlocker e store delle chiavi in ad

2025-12-11 18:10:41 +01:00
parent 759f39bd18
commit 1b687e8cbe
6 changed files with 43 additions and 0 deletions
--- a/winserver/020-bitlocker.md
+++ b/winserver/020-bitlocker.md
@@ -33,3 +33,46 @@ Durante il processo di attivazione, è fondamentale salvare la `recovery key` in
 Al successivo avvio del sistema, in uno scenario senza TPM,, verrà richiesta la password di decrittazione del disco prima del caricamento del sistema operativo.

 ![bitlocker-password](asset/img/bitlocker-password.png)
+
+Per verificare da powershell los tatus dell'encryption esiste il comando: 
+
+```powershell
+PS C:\Users\cookiemonster> Get-BitLockerVolume -MountPoint C:
+
+   ComputerName: DC01
+
+VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
+                Point                                   Percentage                           Enabled    Status
+----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
+OperatingSystem C:         63.14 FullyEncrypted         100        {Password, RecoveryPas...            On
+```
+
+## Disattivazione di BitLocker
+
+Per disattivare permanentemente BitLocker, accedere a `Manage BitLocker` e selezionare l'opzione `Turn Off BitLocker`.
+
+![turn-off-bitlocker](asset/img/turn-off-bitlocker.png)
+
+## Attivazione di BitLocker tramite Group Policy
+
+Sul Domain Controller, creare una nuova Group Policy Object, abilitando l'impostazione `Store BitLocker recovery information in Active Directory Domain Services`.
+
+![store-bitlocker-recovery-information](asset/img/store-bitlocker-recovery-information.png)
+
+È consigliato configurare il criterio che consente l'utilizzo di BitLocker senza un TPM, come precedentemente illustrato.
+
+Abilitare inoltre l'impostazione `Choose how BitLocker-protected operating system drives can be recovered`.
+
+![bitlocker-recovered](asset/img/bitlocker-recovered.png)
+
+Associare infine la policy alla OU corretta. Questa configurazione garantisce che, all'attivazione di BitLocker su un client, la password di recupero e le relative recovery key vengano salvate automaticamente in Active Directory, garantendone la disponibilità per gli amministratori.
+
+### Visualizzazione delle Recovery Key in Active Directory
+
+Per consultare le recovery key, è necessario che la feature `BitLocker Recovery Password Viewer` sia installata e attiva sul server.
+
+![bitlocker-password-viewer](asset/img/bitlocker-password-viewer.png)
+
+Le chiavi sono successivamente visualizzabili in `Active Directory Users and Computers`. Selezionando l'oggetto computer protetto con BitLocker, la scheda `BitLocker Recovery` mostrerà le informazioni di ripristino corrispondenti.
+
+![bitlocker-viewer](asset/img/bitlocker-viewer.png)
--- a/winserver/asset/img/bitlocker-password-viewer.png
+++ b/winserver/asset/img/bitlocker-password-viewer.png
--- a/winserver/asset/img/bitlocker-recovered.png
+++ b/winserver/asset/img/bitlocker-recovered.png
--- a/winserver/asset/img/bitlocker-viewer.png
+++ b/winserver/asset/img/bitlocker-viewer.png
--- a/winserver/asset/img/store-bitlocker-recovery-information.png
+++ b/winserver/asset/img/store-bitlocker-recovery-information.png
--- a/winserver/asset/img/turn-off-bitlocker.png
+++ b/winserver/asset/img/turn-off-bitlocker.png