bitlocker

winserver/020-bitlocker.md

@@ -0,0 +1,36 @@
+# Bitlocker
+
+Per abilitare la crittografia del disco sulla VM server, accedere a `Server Manager` e selezionare `Add roles and features > Features`. Aggiungere la funzionalità `Bitlocker Drive Encryption`.
+
+Dopo il riavvio del sistema, aprire `Manage Bitlocker` per accedere al pannello di gestione.
+
+![bitlocker-drive-encryption](/asset/img/bitlocker-drive-encryption.png)
+
+## Gestione dello sblocco
+
+L'integrazione con il `TPM` rende lo sblocco del disco trasparente per l'utente. Il sistema utilizza il modulo hardware per sbloccare automaticamente il volume crittografato, richiedendo esclusivamente la password dell'account utente per accedere al sistema operativo. In assenza, è necessario prima immettere la password di decrittazione del disco e successivamente quella di autenticazione dell'utente.
+
+Per consentire l'attivazione di Bitlocker in assenza di TPM, modificare la policy locale da `gpedit.msc`:
+
+- `Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Operating System Drives`
+- Abilitare l'impostazione `Require additional authentication at startup`
+
+![bitlocker-local-policy](/asset/img/bitlocker-local-policy.png)
+
+## Attivazione di Bitlocker
+
+Successivamente all'abilitazione della policy, sarà possibile attivare Bitlocker tramite password:
+
+- Accedere a Manage Bitlocker
+- Scegliere l'opzione `Turn on Bitlocker`
+
+![bitlocker-turn-on](/asset/img/bitlocker-turn-on.png)
+
+- Selezionare `Enter a password` come metodo di sblocco
+
+Durante il processo di attivazione, è fondamentale salvare la `recovery key` in un luogo sicuro e separato dallla VM.
+Processo di autenticazione
+
+Al successivo avvio del sistema, in uno scenario senza TPM,, verrà richiesta la password di decrittazione del disco prima del caricamento del sistema operativo.
+
+![bitlocker-password](/asset/img/bitlocker-password.png)