Gestire la crittografia dei dischi con Bitlocker in un ambiente Enterprise

Posted on 27 Gen, 2025 in IT Pro, Microsoft Windows Client, Microsoft Windows Server, Tutte Categorie | 0 comments

L’utilizzo sempre più frequente di dispositivi mobili deve essere accompagnato dalla protezione dei dati al loro interno.

Per questo, oggi parliamo della crittografia dei dischi con Bitlocker, che impedisce accessi non autorizzati in caso di smarrimento o furto del proprio device.

BitLocker Drive Encryption è incluso nelle versioni Enterprise e Ultimate di Windows 7 e nelle versioni Pro ed Enterprise di Windows 8, 8.1, 10 e 11. Su Windows Server è disponibile da 2012 e versioni successive.

È possibile utilizzare questa funzionalità anche per proteggere dispositivi come chiavette usb ed hard disk esterni. In questo caso si parla di un sistema analogo chiamato BitLocker To Go

Per Bitlocker To Go gestiremo un articolo dedicato, maggiori informazioni per ora potete reperirle :

https://docs.microsoft.com/it-it/windows/security/information-protection/bitlocker/bitlocker-to-go-faq

n questa guida voglio mostrarvi come poter gestire in maniera centralizzata in ambiente Enterprise i computer su cui è abilitato Bitlocker. Per questo motivo vedremo come integrare Bitlocker in in Active Directory

Come volti di voi sapranno nel momento in cui viene abilitato BitLocker viene richiesto di conservare o di stampare una chiave di sblocco nel caso in cui volessimo accedere al disco protetto da Bitlocker da una macchina diversa da quella dove il disco è stato crittografato. Se a causa di un guasto hardware la scheda madre oppure il chipset TMP che contiene la chiave di crittografia non dovessero funzionare non si riuscirebbe più ad accedere ai propri dati.

Gestione di BitLocker tramite Active Directory

In ambiente Enterprise abbiamo la possibilità di utilizzare il BitLocker Recovery Password Viewer, che ci permette di visualizzare le password di sblocco di Bitlocker Drive Encryption che sono state salvate in Active Directory.

Il BitLocker Recovery Password Viewer è disponibile come estensione della console Active Directory Users and Computers dopo aver abilitato la funzionalità Bitlocker Drive Encryption Administration Utilities da :

Server Manager > Add roles and feature > Features > Remote Server Administration Tools > Features Administration Tools > Bitlocker Drive Encryption Administration Utilities, come mostrato nella figura sotto:

Una volta aggiunta la funzionalità, troveremo in Active Directory Users and Computers il tab BitLocker Recovery tra le proprietà degli oggetti computer, che ci permetterà di visualizzare le chiavi di sblocco per tutti i drives del computer.

È anche possibile, dalla console di Active Directory Users and Computers, effettuare una ricerca su tutti i domini della foresta semplicemente facendo clic col tasto destro sul domain container. È importante sottolineare che per vedere le recovery key di Bitlocker dovete avere i privilegi di Domain Admin oppure dovete avere un ruolo delegato per questo compito.

Gestione di BitLocker tramite Group Policy Object (GP)

 Arrivati a questo punto è necessario creare un apposita policy di gestione-

Tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\Windows Componenct\Bitlocker Drive Encryption troviamo tutto quello che serve :

Le impostazioni minime da settare sono :

Il tipo di crittografia per i vari sistemi operativi. Abilitiamo e scegliamo quella minima per non appesantire il sistema ( AES 128 bit ( predefinito ) ) :

Nella sezione “Unità del sistema operativo” abilitiamo :

La crittografia solo per lo spazio utilizzato :

Il salvataggio delle informazioni in Active directory deve essere effettuato prima dell’abilitazione del Bitlocker

Una volta terminate le modifiche e collegata la policy alle OU interessate, possiamo procedere con l’abilitazione di Bitlocker.

Abilitazione di BitLocker tramite PowerShell

Sul client con diritti amministrativi avviamo PowerShell e lanciamo il comando:
Enable-BitLocker -Mountpoint “C:” -RecoveryPasswordProtector

Oppure attiviamo la funzionalità da pannello di controllo –> Crittografia unità Bitlocker

A questo punto i computer che avranno attivo la chiave di Bitlocker invieranno le proprie informazioni in Active directory come visibile nell’immagine sottostante :

Per maggiori informazioni su come implementare BitLocker vi rimando alla lettura dell’articolo

https://docs.microsoft.com/it-it/windows/security/information-protection/bitlocker/bitlocker-overview

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :

You may manage your subscription options from your profile.

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
100% Free SEO Tools - Tool Kits PRO