BitLocker è una funzionalità di Windows 10 Pro ed Enterprise per impedire l’accesso non autorizzato ai dati.
La funzione BitLocker non è prevista per la versione Home, ma potrebbe capitare che questa funzione venga implementata dal produttore stesso dell’Hardware.

Quando si attiva il BitLocker sull’unità del sistema operativo viene creata una chiava di avvio su una memoria flash USB rimovibile, ad ogni avvio il sistema controlla la presenza della chiave, se non è presente il sistema operativo non si avvierà.

Con l’attivazione del BitLocker viene creata anche una chiave di ripristino che permette di recuperare i dati nel caso in cui viene persa la chiave di avvio.
Tramite l’impostazione Richiedi autenticazione aggiuntiva all’avvio nei criteri di gruppo possiamo abilitare la crittografia dell’unità anche senza l’uso del TPM (Trusted Platform Module).

Gestione delle chiavi di BitLocker

Sottotitoli del video
vai al minuto 0:00:10
La funzionalità bitlocker è disponibile solo dalla versione pro di Windows.
I passaggi da eseguire sono principalmente 3: Attivare il TPM nel BIOS, attivare una Group Policy e alla fine attivare il BitLocker sul disco di sistema.

vai al minuto 0:00:26
Per prima cosa verifichiamo se il TPM è attivo nel BIOS. Senza entrare nel BIOS possiamo verificarlo dalla console di gestione.
Nel campo di ricerca della barra delle applicazioni digitiamo tpm.msc e avviamo la console di gestione del TPM.

vai al minuto 0:00:43
In questo caso la console non riesce a trovare un TMP compatibile o perché non è presente o perché non è abilitato nel BIOS.
Se proprio non avete il modulo TPM potrete ugualmente criptare l’unità di sistema tramite l’impostazione della group policy che tra poco andremo a vedere.

vai al minuto 0:00:57
In questo caso il modulo TPM è presente e dobbiamo solo abilitarlo nel BIOS. All’avvio del sistema premiamo il tasto F2 o Canc per entrare nel BIOS.
All’interno del BIOS dovete abilitare la modalità avanzata.
Tra le voci che trovate in alto, selezionate Avanzate.

vai al minuto 0:01:20
Nella lista che compare sulla sinistra troviamo la voce AMD fTPM.
Entrate nella configurazione del TPM.
Dal menù a discesa scegliamo la voce abilitato.
A seconda della scheda madre che avete, il percorso e le voci possono cambiare. 
Salvate le impostazioni e riavviate.

vai al minuto 0:01:41
Qui troviamo anche la lista delle impostazioni che sono state modificate.
Adesso andremo ad aprire la console di BitLocker. Nel campo di ricerca della barra della applicazioni digitiamo bitlocker.
Se ora attiviamo il BitLocker sul disco di avvio, ci viene restituito un errore perché dobbiamo ancora configurare una policy.

vai al minuto 0:02:01
Ora dobbiamo aprire l’editor delle Policy tramite il Prompt dei Comandi.
Eseguiamo il prompt come amministratore e andiamo a digitare il comando gpedit e poi invio.
Questo comando ci aprirà l’editor dei criteri di gruppo.

vai al minuto 0:02:15
Ora seguite questo percorso: Modelli amministrativi/Componenti di Windows/Crittografia unità BitLocker/Unità del sistema operativo/Richiedi autenticazione aggiuntiva all’avvio.
Doppio clic per aprire.
Attiviamo la regola.
Se lasciamo la spunta sulla prima voce, possiamo attivare il BitLocker anche senza TPM, ma se è presente possiamo togliere la spunta.

vai al minuto 0:02:55
Per aggiornare la regola appena configurata eseguiamo il comando gpupdate con il parametro force per forzare l’aggiornamento.
Terminato l’aggiornamento delle policy possiamo attivare il BitLocker sull’unità.
Scegliamo la chiavetta USB su cui salvare la chiave di avvio.

vai al minuto 0:03:21
Ora ci chiede di salvare una seconda chiave, quella di ripristino.
Questa chiave ci servirà nel caso in cui perdessimo la chiave di avvio che abbiamo salvato sulla chiavetta USB.
Per il momento la salvo come file nella stessa chiavetta in cui è presente  la chiave di avvio.

vai al minuto 0:03:44
In un secondo momento posso salvare una copia del file su un altro supporto.
Poi vedremo come utilizzare la chiave di ripristino per recuperare il disco criptato senza la chiave di avvio.
Se scegliete la prima opzione non vengono criptati i dati che risultano essere stati cancellati, cioè quei file che sono stati eliminati dal cestino.

vai al minuto 0:03:59
Anche se sono stati eliminati dal cestino possono ancora essere recuperati con dei software appositi e risulterebbero ancora leggibili.
La seconda opzione andrebbe a criptare anche questi file.
Se avete avuto dei dati sensibili sul disco, vi consiglio la seconda opzione.

vai al minuto 0:04:16
Scegliete la modalità compatibile se intendete poi spostare il disco su un sistema operativo precedente a Windows 10 versione 1511.
Lasciamo selezionata l’opzione che permette di controllare che il sistema BitLocker riesca a leggere correttamente la chiave di avvio prima di crittografare l’unità.

vai al minuto 0:04:42
Se crittografate l’unità e poi il sistema non riesce ad accedere alla chiavetta USB in fase di Boot, sarete costretti a utilizzare la chiave di ripristino.
La crittografia dell’unità inizierà dopo il riavvio.
Dopo il riavvio, nella barra delle applicazioni, è apparsa l’icono  di BitLocker.
Durante la crittografia dell’unità è possibile continuare a utilizzare il sistema.