Quando TrueCrypt ha chiuso il negozio in modo controverso, ha raccomandato agli utenti di passare da TrueCrypt all'utilizzo di BitLocker o Veracrypt. BitLocker è presente in Windows abbastanza a lungo da essere considerato maturo ed è un prodotto di crittografia generalmente ben considerato dai professionisti della sicurezza. In questo articolo, parleremo di come puoi configurarlo sul tuo PC.
Nota: BitLocker Drive Encryption e BitLocker To Go richiedono una versione Professional o Enterprise di Windows 8 o 10 o la versione definitiva di Windows 7. Tuttavia, a partire da Windows 8.1, le edizioni Home e Pro di Windows includono una funzionalità "Device Encryption" ( una funzionalità inclusa anche in Windows 10) che funziona in modo simile. Ti consigliamo Device Encryption se il tuo computer lo supporta, BitLocker per gli utenti Pro che non possono utilizzare Device Encryption e VeraCrypt per le persone che utilizzano una versione Home di Windows in cui Device Encryption non funzionerà.
Criptare un'intera unità o creare un contenitore crittografato?
Molte guide parlano della creazione di un contenitore BitLocker che funziona in modo molto simile al tipo di contenitore crittografato che puoi creare con prodotti come TrueCrypt o Veracrypt. È un po 'approssimativo, ma puoi ottenere un effetto simile. BitLocker funziona crittografando intere unità. Potrebbe essere l'unità di sistema, un'unità fisica diversa o un disco rigido virtuale (VHD) esistente come file e montato in Windows.
La differenza è in gran parte semantica. In altri prodotti di crittografia, di solito si crea un contenitore crittografato e quindi lo si installa come unità in Windows quando è necessario utilizzarlo. Con BitLocker, si crea un disco rigido virtuale e quindi lo si crittografa. Se desideri utilizzare un contenitore anziché, per esempio, crittografare il tuo sistema o unità di archiviazione esistente, consulta la nostra guida alla creazione di un file contenitore crittografato con BitLocker.
Per questo articolo, ci concentreremo sull'attivazione di BitLocker per un'unità fisica esistente.
Come crittografare un'unità con BitLocker
Per utilizzare BitLocker per un'unità, tutto ciò che devi fare è abilitarla, scegliere un metodo di sblocco: password, PIN e così via, quindi impostare alcune altre opzioni. Prima di entrare in questo, tuttavia, dovresti sapere che usando la crittografia a pieno disco di BitLocker su a sistema di guida generalmente richiede un computer con un Trusted Platform Module (TPM) sulla scheda madre del PC. Questo chip genera e archivia le chiavi di crittografia utilizzate da BitLocker. Se il PC non dispone di un TPM, è possibile utilizzare Criteri di gruppo per abilitare l'utilizzo di BitLocker senza un TPM. È un po 'meno sicuro, ma ancora più sicuro che non usare la crittografia.
È possibile crittografare un'unità non di sistema o un'unità rimovibile senza TPM e senza dover abilitare l'impostazione di Criteri di gruppo.
Su questa nota, dovresti anche sapere che esistono due tipi di crittografia di unità BitLocker che puoi abilitare:
- Crittografia unità BitLocker: A volte indicato come BitLocker, questa è una funzionalità di "crittografia completa del disco" che crittografa un'intera unità. All'avvio del PC, il caricatore di avvio di Windows viene caricato dalla partizione riservata di sistema e il caricatore di avvio richiede il metodo di sblocco, ad esempio una password. BitLocker quindi decrittografa l'unità e carica Windows. La crittografia è altrimenti trasparente: i tuoi file appaiono come se fossero normalmente su un sistema non criptato, ma sono archiviati sul disco in forma crittografata. È anche possibile crittografare le altre unità oltre all'unità di sistema.
- BitLocker To Go: Puoi crittografare le unità esterne, ad esempio unità flash USB e dischi rigidi esterni, con BitLocker To Go. Ti verrà richiesto il metodo di sblocco, ad esempio una password, quando colleghi l'unità al computer. Se qualcuno non ha il metodo di sblocco, non può accedere ai file sul disco.
In Windows 7 fino a 10, non devi preoccuparti di effettuare autonomamente la selezione. Windows gestisce le cose dietro le quinte e l'interfaccia che utilizzerai per abilitare BitLocker non ha un aspetto diverso. Se si finisce per sbloccare un'unità crittografata su Windows XP o Vista, vedrai il branding di BitLocker to Go, quindi abbiamo pensato che dovresti almeno saperlo.
Quindi, con quello fuori mano, andiamo su come funziona davvero.
Passaggio 1: abilita BitLocker per un'unità
Il modo più semplice per abilitare BitLocker per un'unità è fare clic con il pulsante destro del mouse sull'unità in una finestra Esplora file, quindi selezionare il comando "Attiva BitLocker". Se questa opzione non viene visualizzata nel menu di scelta rapida, probabilmente non disponi di un'edizione Pro o Enterprise di Windows e dovrai cercare un'altra soluzione di crittografia.
Fase due: scegliere un metodo di sblocco
La prima schermata che vedrai nella procedura guidata "Crittografia unità BitLocker" ti consente di scegliere come sbloccare l'unità. È possibile selezionare diversi modi per sbloccare l'unità.
Se stai crittografando l'unità di sistema su un computernon lo fa avere un TPM, è possibile sbloccare l'unità con una password o un'unità USB che funzioni come una chiave.Seleziona il tuo metodo di sblocco e segui le istruzioni per quel metodo (inserisci una password o collega l'unità USB).
Se il tuo computer fa avere un TPM, vedrai opzioni aggiuntive per sbloccare l'unità di sistema. Ad esempio, è possibile configurare lo sblocco automatico all'avvio (in cui il computer afferra le chiavi di crittografia dal TPM e decrittografa automaticamente l'unità). È anche possibile utilizzare un PIN anziché una password o persino scegliere opzioni biometriche come un'impronta digitale.
Se stai crittografando un'unità non di sistema o un'unità rimovibile, vedrai solo due opzioni (se hai o meno un TPM). È possibile sbloccare l'unità con una password o una smart card (o entrambe).
Passaggio 3: eseguire il backup della chiave di ripristino
BitLocker fornisce una chiave di ripristino che è possibile utilizzare per accedere ai file crittografati nel caso in cui si perda la chiave principale, ad esempio, se si dimentica la password o se il PC con TPM muore e si deve accedere all'unità da un altro sistema.
È possibile salvare la chiave sul proprio account Microsoft, su un'unità USB, su un file o persino stamparla. Queste opzioni sono le stesse sia per la crittografia di un sistema o di un'unità non di sistema.
Se esegui il backup della chiave di ripristino sul tuo account Microsoft, puoi accedere alla chiave più tardi all'indirizzo https://onedrive.live.com/recoverykey. Se si utilizza un altro metodo di recupero, assicurarsi di tenere questa chiave al sicuro, se qualcuno vi accede, potrebbe decodificare l'unità e ignorare la crittografia.
Nota: Se si sta crittografando un'unità USB o un'altra unità rimovibile, non è possibile salvare la chiave di ripristino su un'unità USB. Puoi usare una qualsiasi delle altre tre opzioni.
Passaggio 4: crittografare e sbloccare l'unità
BitLocker crittografa automaticamente i nuovi file quando li aggiungi, ma devi scegliere cosa succede con i file attualmente sul tuo disco. È possibile crittografare l'intera unità, compreso lo spazio disponibile, o semplicemente crittografare i file del disco utilizzato per accelerare il processo. Queste opzioni sono uguali anche se stai crittografando un sistema o un'unità non di sistema.
Se stai configurando BitLocker su un nuovo PC, crittografa solo lo spazio su disco utilizzato: è molto più veloce. Se stai impostando BitLocker su un PC che usi da un po 'di tempo, dovresti crittografare l'intera unità per assicurarti che nessuno possa recuperare i file cancellati.
Passaggio 5: Scegli una modalità di crittografia (solo per Windows 10)
Se utilizzi Windows 10, visualizzerai uno schermo aggiuntivo che ti consente di scegliere un metodo di crittografia. Se utilizzi Windows 7 o 8, passa direttamente al passaggio successivo.
Windows 10 ha introdotto un nuovo metodo di crittografia denominato XTS-AES. Fornisce maggiore integrità e prestazioni rispetto a AES utilizzato in Windows 7 e 8. Se si conosce che l'unità che si sta crittografando verrà utilizzata solo su PC Windows 10, andare avanti e selezionare l'opzione "Nuova modalità di crittografia". Se si ritiene che potrebbe essere necessario utilizzare l'unità con una versione precedente di Windows ad un certo punto (particolarmente importante se si tratta di un'unità rimovibile), scegliere l'opzione "Modalità compatibile".
Step Six: Finire
Il processo di crittografia può richiedere da pochi secondi a minuti o anche di più, a seconda delle dimensioni dell'unità, della quantità di dati che si sta crittografando e se si è scelto di crittografare lo spazio libero.
Se stai crittografando l'unità di sistema, ti verrà richiesto di eseguire un controllo del sistema BitLocker e riavviare il sistema. Assicurati che l'opzione sia selezionata, fai clic sul pulsante "Continua", quindi riavvia il PC quando richiesto. Dopo il riavvio del PC per la prima volta, Windows crittografa l'unità.
Indipendentemente dal tipo di unità che si sta crittografando, è possibile controllare l'icona Crittografia unità BitLocker nella barra delle applicazioni per vedere i suoi progressi e continuare a utilizzare il computer mentre vengono crittografate le unità: sarà più lento.
Sbloccare il tuo disco
Se l'unità di sistema è crittografata, lo sblocco dipende dal metodo scelto (e dal fatto che il PC abbia un TPM). Se si dispone di un TPM e si è scelto di sbloccare l'unità automaticamente, non si noterà nulla di diverso: si avvia semplicemente direttamente in Windows come sempre. Se hai scelto un altro metodo di sblocco, Windows ti chiederà di sbloccare l'unità (digitando la tua password, collegando l'unità USB o qualsiasi altra cosa).
Se hai crittografato un'unità non di sistema o rimovibile, Windows ti chiede di sbloccare l'unità quando la accedi per la prima volta dopo aver avviato Windows (o quando lo colleghi al PC se è un'unità rimovibile). Digita la tua password o inserisci la tua smart card e l'unità dovrebbe sbloccarsi per poterla usare.
Come tutte le crittografie, BitLocker aggiunge un sovraccarico. Le Domande frequenti di BitLocker di Microsoft affermano che "In genere impone un sovraccarico delle prestazioni percentuale a una cifra". Se la crittografia è importante per te perché hai dati sensibili, ad esempio un laptop pieno di documenti aziendali, la sicurezza avanzata merita lo scambio di prestazioni -off.