dado/learning
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
1b687e8cbe8a4db713423b4c64f532e2aa590686
learning/winserver/020-bitlocker.md

4.0 KiB
Raw Blame History

Bitlocker

Per abilitare la crittografia del disco sulla VM server, accedere a Server Manager e selezionare Add roles and features > Features. Aggiungere la funzionalità Bitlocker Drive Encryption.

bitlocker-drive-encryption

Dopo il riavvio del sistema, aprire Manage Bitlocker per accedere al pannello di gestione.

Gestione dello sblocco

L'integrazione con il TPM rende lo sblocco del disco trasparente per l'utente. Il sistema utilizza il modulo hardware per sbloccare automaticamente il volume crittografato, richiedendo esclusivamente la password dell'account utente per accedere al sistema operativo. In assenza, è necessario prima immettere la password di decrittazione del disco e successivamente quella di autenticazione dell'utente.

Per consentire l'attivazione di Bitlocker in assenza di TPM, modificare la policy locale da gpedit.msc:

  • Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Operating System Drives
  • Abilitare l'impostazione Require additional authentication at startup

bitlocker-local-policy

Attivazione di Bitlocker

Successivamente all'abilitazione della policy, sarà possibile attivare Bitlocker tramite password:

  • Accedere a Manage Bitlocker
  • Scegliere l'opzione Turn on Bitlocker

bitlocker-turn-on

  • Selezionare Enter a password come metodo di sblocco

Durante il processo di attivazione, è fondamentale salvare la recovery key in un luogo sicuro e separato dallla VM.

Al successivo avvio del sistema, in uno scenario senza TPM,, verrà richiesta la password di decrittazione del disco prima del caricamento del sistema operativo.

bitlocker-password

Per verificare da powershell los tatus dell'encryption esiste il comando:

PS C:\Users\cookiemonster> Get-BitLockerVolume -MountPoint C:

   ComputerName: DC01

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
OperatingSystem C:         63.14 FullyEncrypted         100        {Password, RecoveryPas...            On

Disattivazione di BitLocker

Per disattivare permanentemente BitLocker, accedere a Manage BitLocker e selezionare l'opzione Turn Off BitLocker.

turn-off-bitlocker

Attivazione di BitLocker tramite Group Policy

Sul Domain Controller, creare una nuova Group Policy Object, abilitando l'impostazione Store BitLocker recovery information in Active Directory Domain Services.

store-bitlocker-recovery-information

È consigliato configurare il criterio che consente l'utilizzo di BitLocker senza un TPM, come precedentemente illustrato.

Abilitare inoltre l'impostazione Choose how BitLocker-protected operating system drives can be recovered.

bitlocker-recovered

Associare infine la policy alla OU corretta. Questa configurazione garantisce che, all'attivazione di BitLocker su un client, la password di recupero e le relative recovery key vengano salvate automaticamente in Active Directory, garantendone la disponibilità per gli amministratori.

Visualizzazione delle Recovery Key in Active Directory

Per consultare le recovery key, è necessario che la feature BitLocker Recovery Password Viewer sia installata e attiva sul server.

bitlocker-password-viewer

Le chiavi sono successivamente visualizzabili in Active Directory Users and Computers. Selezionando l'oggetto computer protetto con BitLocker, la scheda BitLocker Recovery mostrerà le informazioni di ripristino corrispondenti.

bitlocker-viewer

Reference in New Issue View Git Blame Copy Permalink