BITLOCKER

La gestione di BitLocker è più efficiente in situazioni dove è presente il chip TPM (meglio 2.0) sul computer. E’ possibile usarlo anche su macchine che non ne sono dotate, usando una chiavetta di avvio, ad esempio.

Il TPM, semplificando al massimo, è un chip che si occupa della crittografia, e nel quale vengono memorizzate le chiavi crittografiche necessarie per lo sblocco del disco (in realtà è un po’ più complesso, ad esempio può emulare una smart card). Senza la presenza di queste chiavi il disco non verrà sbloccato e non sarà leggibile. In mancanza di TPM è possibile usare una chiavetta di boot che svolga lo stesso compito.

In sintesi, collegare ad un altro PC il disco di una macchina con Bitlocker attivo è inutile a meno di non avere accesso alle chiavi per sbloccarlo.

In aggiunta a quanto sopra è possibile impostare un PIN di avvio (pre-boot Bitlocker PIN), inserendo un “secondo livello di sicurezza”. E’ consigliabile usare il PIN soprattutto sulle macchine utilizzate spesso fuori ufficio.

Un importante aspetto di cui curarsi, con tecnologie di questo tipo, è il recupero dei dati in caso di problemi (ES: pin dimenticato!!!). Quando attivato viene generata una chiave che è possibile stampare, copiare in un file o su una chiavetta USB. Nei PC in dominio, è possibile anche memorizzare questa chiave in Active Directory. Affinché tutto funzioni correttamente è necessario installare Bitlocker ed i tool di gestione sui domain controller. Dopodiché sarà possibile accedere alle informazioni di BitLocker da un tab aggiuntivo sull’account macchina/utente.

Dal mio punto di vista rappresenta la soluzione migliore anche se in presenza di molti oggetti potrebbe appesantire notevolmente le dimensioni e gli eventuali tempi di replica.

Per attivare Bitlocker ho utilizzato le GPO, dove ho specificato l’attivazione, la memorizzazione in AD delle informazioni di sicurezza ed alcuni altri parametri.

Il resto della gestione è possibile svolgerla direttamente da client, oppure da remoto tramite il comando manage-bde.

Ad esempio per attivare il PIN preboot è possibile usare il comando:

Manage-bde -status -computername PIPPO (nome del computer remoto)

Manage-bde -status -computername PIPPO (nome del computer remoto)

GPO

COMPUTER CONFIGURATION

MODELLI AMMINISTRATIVI – COMPONENTI DI WINDOWS – CRITTOGRAFIA UNITA BITLOCKER

Scegli modalità di ripristino delle unita protette con Bitlocker (abilitato)

MODELLI AMMINISTRATIVI – COMPONENTI DI WINDOWS – CRITTOGRAFIA UNITA BITLOCKER – UNITA DEL SISTEMA OPERATIVO

Richiedi autenticazione aggiuntiva all’avvio:

(consenti significa che è possibile abilitare un parametro, richiedi lo rende obbligatorio. Le opzioni non DEVONO andare in contraddizione tra di loro).

Scegli modalità di ripristino delle unità del sistema operativo protette con Bitlocker.

Utile per alcune opzioni tra cui:

-          Consenti agenti recupero dati basati su certificato

-          Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory

-          Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo

Altre impostazioni interessanti sono l’impostazione del tipo di cifratura, se cifrare tutto il disco o solo lo spazio occupato ecc. ecc.

Dopo aver configurato il tutto, applicare le policy e verificare che dal client tutto sia attivo.

p.s. consiglio di scaricare le versioni piu recenti dei template admx x Windows 10 prima di fare tutto.

Se possibile consiglio di verificare direttamente dal client, ma in alternativa si può fare tutto da remoto. Il comando principale che andremo ad usare è manage-bde. Per la gestione remota tramite questa utility è fondamentale essere amministratori della macchina remota a cui ci vogliamo collegare e che siano attivate le regole di firewall x WMI. Nel caso attivarle (o aggiungere anche queste alla policy).

Supponiamo di utilizzare un computer chiamato CLIENT01

Verifica lo stato di Bitlocker

manage-bde -status -computername “CLIENT01”

Imposta il PIN

manage-bde -protectors -add c: -TPMAndPIN -computername "CLIENT01"

Cambia il PIN

manage-bde -changepin c: -computername "CLIENT01"

Rimuove il PIN

manage-bde -protectors -delete c: -type TPMAndPIN -computername "CLIENT01"

Che io sappia (ma non significa che non sia possibile), l'operazione di "creazione" del pin va fatta a mano direttamente da client oppure da command line. Probabilmente Endpoint manager/Intune/SCCM l'operazione e' possibile. In alternativa e' possibile inserire i comandi in uno script, che magari verifichi lo stato di bitlocker. 

APPENDICE

Usare l'help in manage-bde

Help breve

manage-bde -protectors -delete -?

Help completo

manage-bde -protectors -delete -help

 

Comandi utili

Get-tpm

Manage-bde

Get-BitLockerVolume 

REFERENCE

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview

https://www.ictpower.it/sistemi-operativi/gestire-la-crittografia-dei-dischi-con-bitlocker-in-un-ambiente-enterprise.htm

https://www.dell.com/support/kbdoc/it-it/000127780/utilizzo-dell-editor-criteri-di-gruppo-per-abilitare-l-autenticazione-bitlocker-nell-ambiente-di-preavvio-per-windows-7-8-8-1-10

https://oliverkieselbach.com/2019/08/02/how-to-enable-pre-boot-bitlocker-startup-pin-on-windows-with-intune/