# Bitlocker Per abilitare la crittografia del disco sulla VM server, accedere a `Server Manager` e selezionare `Add roles and features > Features`. Aggiungere la funzionalità `Bitlocker Drive Encryption`. ![bitlocker-drive-encryption](asset/img/bitlocker-drive-encryption.png) Dopo il riavvio del sistema, aprire `Manage Bitlocker` per accedere al pannello di gestione. ## Gestione dello sblocco L'integrazione con il `TPM` rende lo sblocco del disco trasparente per l'utente. Il sistema utilizza il modulo hardware per sbloccare automaticamente il volume crittografato, richiedendo esclusivamente la password dell'account utente per accedere al sistema operativo. In assenza, è necessario prima immettere la password di decrittazione del disco e successivamente quella di autenticazione dell'utente. Per consentire l'attivazione di Bitlocker in assenza di TPM, modificare la policy locale da `gpedit.msc`: - `Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Operating System Drives` - Abilitare l'impostazione `Require additional authentication at startup` ![bitlocker-local-policy](asset/img/bitlocker-local-policy.png) ## Attivazione di Bitlocker Successivamente all'abilitazione della policy, sarà possibile attivare Bitlocker tramite password: - Accedere a Manage Bitlocker - Scegliere l'opzione `Turn on Bitlocker` ![bitlocker-turn-on](asset/img/bitlocker-turn-on.png) - Selezionare `Enter a password` come metodo di sblocco Durante il processo di attivazione, è fondamentale salvare la `recovery key` in un luogo sicuro e separato dallla VM. Al successivo avvio del sistema, in uno scenario senza TPM,, verrà richiesta la password di decrittazione del disco prima del caricamento del sistema operativo. ![bitlocker-password](asset/img/bitlocker-password.png) Per verificare da powershell los tatus dell'encryption esiste il comando: ```powershell PS C:\Users\cookiemonster> Get-BitLockerVolume -MountPoint C: ComputerName: DC01 VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection Point Percentage Enabled Status ---------- ----- ---------- ------------ ---------- ------------ ---------- ---------- OperatingSystem C: 63.14 FullyEncrypted 100 {Password, RecoveryPas... On ``` ## Disattivazione di BitLocker Per disattivare permanentemente BitLocker, accedere a `Manage BitLocker` e selezionare l'opzione `Turn Off BitLocker`. ![turn-off-bitlocker](asset/img/turn-off-bitlocker.png) ## Attivazione di BitLocker tramite Group Policy Sul Domain Controller, creare una nuova Group Policy Object, abilitando l'impostazione `Store BitLocker recovery information in Active Directory Domain Services`. ![store-bitlocker-recovery-information](asset/img/store-bitlocker-recovery-information.png) È consigliato configurare il criterio che consente l'utilizzo di BitLocker senza un TPM, come precedentemente illustrato. Abilitare inoltre l'impostazione `Choose how BitLocker-protected operating system drives can be recovered`, fondamentale per gestire il recupero delle unità protette da BitLocker all'interno di un dominio. È possibile configurare il sistema in modo che vengano salvate sia le recovery key che le password. ![bitlocker-recovered](asset/img/bitlocker-recovered.png) Associare infine la policy alla OU corretta. Questa configurazione garantisce che, all'attivazione di BitLocker su un client, la password di recupero e le relative recovery key vengano salvate automaticamente in Active Directory, garantendone la disponibilità per gli amministratori. ### Visualizzazione delle Recovery Key Per consultare le recovery key, è necessario che la feature `BitLocker Recovery Password Viewer` sia installata e attiva sul server. ![bitlocker-password-viewer](asset/img/bitlocker-password-viewer.png) Le chiavi sono successivamente visualizzabili in `Active Directory Users and Computers`. Selezionando l'oggetto computer protetto con BitLocker, la scheda `BitLocker Recovery` mostrerà le informazioni di ripristino corrispondenti. ![bitlocker-viewer](asset/img/bitlocker-viewer.png)