diff --git a/winserver/020-bitlocker.md b/winserver/020-bitlocker.md index 271b679..5e30b3a 100644 --- a/winserver/020-bitlocker.md +++ b/winserver/020-bitlocker.md @@ -33,3 +33,46 @@ Durante il processo di attivazione, è fondamentale salvare la `recovery key` in Al successivo avvio del sistema, in uno scenario senza TPM,, verrà richiesta la password di decrittazione del disco prima del caricamento del sistema operativo. ![bitlocker-password](asset/img/bitlocker-password.png) + +Per verificare da powershell los tatus dell'encryption esiste il comando: + +```powershell +PS C:\Users\cookiemonster> Get-BitLockerVolume -MountPoint C: + + ComputerName: DC01 + +VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection + Point Percentage Enabled Status +---------- ----- ---------- ------------ ---------- ------------ ---------- ---------- +OperatingSystem C: 63.14 FullyEncrypted 100 {Password, RecoveryPas... On +``` + +## Disattivazione di BitLocker + +Per disattivare permanentemente BitLocker, accedere a `Manage BitLocker` e selezionare l'opzione `Turn Off BitLocker`. + +![turn-off-bitlocker](asset/img/turn-off-bitlocker.png) + +## Attivazione di BitLocker tramite Group Policy + +Sul Domain Controller, creare una nuova Group Policy Object, abilitando l'impostazione `Store BitLocker recovery information in Active Directory Domain Services`. + +![store-bitlocker-recovery-information](asset/img/store-bitlocker-recovery-information.png) + +È consigliato configurare il criterio che consente l'utilizzo di BitLocker senza un TPM, come precedentemente illustrato. + +Abilitare inoltre l'impostazione `Choose how BitLocker-protected operating system drives can be recovered`. + +![bitlocker-recovered](asset/img/bitlocker-recovered.png) + +Associare infine la policy alla OU corretta. Questa configurazione garantisce che, all'attivazione di BitLocker su un client, la password di recupero e le relative recovery key vengano salvate automaticamente in Active Directory, garantendone la disponibilità per gli amministratori. + +### Visualizzazione delle Recovery Key in Active Directory + +Per consultare le recovery key, è necessario che la feature `BitLocker Recovery Password Viewer` sia installata e attiva sul server. + +![bitlocker-password-viewer](asset/img/bitlocker-password-viewer.png) + +Le chiavi sono successivamente visualizzabili in `Active Directory Users and Computers`. Selezionando l'oggetto computer protetto con BitLocker, la scheda `BitLocker Recovery` mostrerà le informazioni di ripristino corrispondenti. + +![bitlocker-viewer](asset/img/bitlocker-viewer.png) diff --git a/winserver/asset/img/bitlocker-password-viewer.png b/winserver/asset/img/bitlocker-password-viewer.png new file mode 100644 index 0000000..5f1726f Binary files /dev/null and b/winserver/asset/img/bitlocker-password-viewer.png differ diff --git a/winserver/asset/img/bitlocker-recovered.png b/winserver/asset/img/bitlocker-recovered.png new file mode 100644 index 0000000..e323e3d Binary files /dev/null and b/winserver/asset/img/bitlocker-recovered.png differ diff --git a/winserver/asset/img/bitlocker-viewer.png b/winserver/asset/img/bitlocker-viewer.png new file mode 100644 index 0000000..b6ef90f Binary files /dev/null and b/winserver/asset/img/bitlocker-viewer.png differ diff --git a/winserver/asset/img/store-bitlocker-recovery-information.png b/winserver/asset/img/store-bitlocker-recovery-information.png new file mode 100644 index 0000000..d534ee8 Binary files /dev/null and b/winserver/asset/img/store-bitlocker-recovery-information.png differ diff --git a/winserver/asset/img/turn-off-bitlocker.png b/winserver/asset/img/turn-off-bitlocker.png new file mode 100644 index 0000000..8445737 Binary files /dev/null and b/winserver/asset/img/turn-off-bitlocker.png differ