Come abilitare e configurare BitLocker in Windows utilizzando i comandi CMD

Cos'è BitLocker e cosa ci fornisce?

BitLocker è un Microsoft programma di sicurezza che fornisce protezione a dischi rigidi o SSD utilizzando la crittografia dei dati, questa tecnologia è disponibile per impostazione predefinita nelle versioni di Windows Vista in poi, quindi l'ultima versione di Windows 10 incorpora anche questa funzionalità importante. Per i sistemi operativi server Microsoft, BitLocker è installato per impostazione predefinita in Windows Server 2008 in poi.

Grazie a questa tecnologia Microsoft, possiamo crittografare i dati su hard disk interni o esterni, nonché su chiavette USB, e tutto questo utilizzando un algoritmo di crittografia simmetrica sicuro come AES, nelle sue diverse versioni configurabili tramite sistema operativo interno opzioni. In questo articolo abbiamo spiegato in precedenza tutto su BitLocker, poiché ti abbiamo insegnato ad attivarlo e configurarlo nel dettaglio tramite l'interfaccia utente grafica.

Esistono diversi modi per abilitare BitLocker su un'unità disco:

• Pannello di controllo
• Centro attività
• File Browser
• Riga di comando con prompt dei comandi
• PowerShell

Oggi ti mostreremo come attivarlo e configurarlo tramite la riga di comando utilizzando il prompt dei comandi o CMD nei sistemi operativi Windows.

Accedi alla console dei comandi di Windows

Questa volta vedremo come attivare BitLocker dalla riga di comando, per questo utilizzeremo il comando Manage-bde; Per eseguire questo comando abbiamo bisogno dei permessi di amministratore, quindi dobbiamo entrare nella riga di comando con i permessi di amministratore, per questo, in Windows 10, facciamo clic sull'icona della lente di ingrandimento sulla barra delle applicazioni e digitiamo CMD.

Nella parte superiore vediamo l'applicazione trovata, «Prompt dei comandi», facendo clic con il tasto destro del mouse su di essa appare un menu di scelta rapida in cui sceglieremo l'opzione "Esegui come amministratore". Quando si sceglie questa opzione, ci chiede conferma che vogliamo eseguire la console dei comandi del sistema operativo con i privilegi di amministratore.

Facciamo clic sul pulsante "Sì" e si apre la finestra della console di comando di Microsoft Windows.

Una volta che siamo qui, possiamo iniziare a eseguire i diversi comandi per attivare, disattivare e configurare BitLocker in dettaglio.

Tutti i comandi per gestire BitLocker

In questo tutorial imparerai tutti i comandi che devi utilizzare per eseguire diverse azioni con BitLocker, come, ad esempio, attivarlo nel nostro sistema operativo, verificare lo stato di utilizzo di BitLocker, possiamo anche configurarlo per crittografare un'unità disco o partizione, nonché una memoria flash. Il comando fondamentale per eseguire tutte queste attività è "manage-bde", e lo useremo durante il tutorial.

Successivamente, hai tutti i dettagli per sfruttare al meglio la tecnologia BitLocker per proteggere tutti i dati contenuti nei diversi dischi.

Abilita BitLocker dal prompt dei comandi o CMD

Manage-bde è uno strumento da riga di comando che ci consente di abilitare la crittografia BitLocker su avvio interno, dati interni e unità disco esterne, incluse le unità flash USB. Manage-bde ha ancora più parametri di quelli mostrati dallo strumento BitLocker eseguito dal pannello di controllo.

manage-bde /?

Ci mostra un elenco di tutti i parametri che possiamo usare.

manage-bde -status

Ci mostra la situazione di crittografia di tutti i dischi collegati al sistema.

manage-bde -status  F:

Ci mostra la situazione di crittografia del disco collegato all'unità F.

Per attivare la cifratura di un disco con BitLocker è necessario prevedere dei “protettori” per la cifratura, questi protettori possono essere di diversi tipi:

• Una password di sblocco (con i requisiti minimi di sicurezza: lunghezza 8 caratteri, maiuscole, minuscole, numeri e caratteri speciali).
• Una chiave di ripristino.
• Una password di ripristino.
• Un certificato di firma digitale.

Per lo meno, dovrai fornire una protezione con password di sblocco e una chiave di ripristino, come abbiamo visto quando si utilizza BitLocker dal Pannello di controllo, Centro operativo o File Explorer.

Dalla riga di comando possiamo farlo in due modi:

Opzione 1

Fornendo la password di sblocco e la chiave di ripristino nel comando “Manage-bde –on -pw -rk ”.

manage-bde -on f: -pw -rk g:

Il comando precedente ci chiede una password di sblocco e genera una chiave di ripristino sul disco "G:" e quindi inizia la crittografia del disco "F:". Il disco in cui è archiviata la chiave di ripristino non può essere un disco crittografato con BitLocker.

Nella posizione indicata ci salva un file .BEK con la chiave di ripristino e ci mostra sullo schermo le informazioni sulle protezioni aggiunte: la chiave di ripristino e la password. Nel nome del file viene visualizzato un identificatore che BitLocker ci chiederà di utilizzare la chiave di ripristino che corrisponde a un disco crittografato specifico.

Opzione 2

La seconda opzione è fornire prima la password di sblocco e la chiave di ripristino nel comando "Manage-bde –protectors –add -pw -rk ” e abilitando poi BitLocker su detta unità disco con il comando «Manage-bde –on »

manage-bde f: -protectors -add -pw -rk g:

Il comando precedente ci chiede di inserire e confermare una password di sblocco per l'unità "F:" e quindi genera una chiave di ripristino e la salva nel percorso specificato, unità "G:". Quindi attiviamo BitLocker sul disco «F:» eseguendo il comando:

manage-bde –on f:

Il sistema ci dice che la crittografia dell'unità F è iniziata:

E una finestra di dialogo ci mostra lo stato di avanzamento del processo di crittografia.

Possiamo eseguire il comando "fvenotify.exe ” per mostrare la finestra di dialogo sopra nel caso in cui non appaia. L'immagine seguente mostra il risultato dell'esecuzione di “manage-bde –status f:”.

Una volta appreso come abilitarlo, ora intraprenderemo altre azioni essenziali per gestire correttamente BitLocker.

Aggiungi un protettore della password di ripristino

Facoltativamente, possiamo aggiungere una password di ripristino numerica al disco crittografato che, come la chiave di ripristino, ci consente di sbloccare un'unità crittografata nel caso in cui abbiamo perso la password di sblocco. Per questo useremo il parametro –rp, in una delle sue due opzioni:

manage-bde -on f: -pw -rk g: -rp

Altra possibilità

manage-bde f: -protectors -add -pw -rk g: -rp manage-bde -on f:

Nell'immagine seguente vediamo come aggiungere una password di ripristino a un disco già crittografato.

Mostrare i metodi per proteggere un disco crittografato

Dalla console dei comandi eseguiamo la seguente frase:

manage-bde f: -protectors –get

Blocca, sblocca e sblocca automaticamente un disco crittografato

Con i comandi precedenti abbiamo visto come attivare un BitLocker su un disco, di default il disco crittografato è sbloccato e possiamo utilizzarlo direttamente. In caso di espulsione del disco, quando lo si ricollega a qualsiasi computer, indicherà che il disco è crittografato e ci chiederà di scrivere la chiave di sblocco. I seguenti comandi ci consentono di gestire il blocco del disco di crittografia.

Questo comando blocca un disco sbloccato, se è già bloccato non fa nulla.

manage-bde –lock f:

Il comando seguente sblocca un disco bloccato utilizzando la password di sblocco. Ci chiede di scrivere la chiave di sblocco.

manage-bde –unlock f: -pw

Il seguente comando sblocca un disco bloccato utilizzando la chiave di ripristino che si trova nel percorso indicato, è necessario indicare il nome del file che contiene la chiave di ripristino poiché possiamo avere chiavi di ripristino diverse per dischi crittografati diversi.

manage-bde -unlock f: -rk g:6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK

Il comando seguente sblocca un disco bloccato utilizzando la password di ripristino che abbiamo generato con il parametro –rp.

manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790

L'opzione –autounlock consente di abilitare o disabilitare il blocco automatico di un disco crittografato quando è connesso a un computer. Per abilitare lo sblocco automatico, è necessario che il disco sia stato precedentemente sbloccato con uno dei tre metodi precedenti.

Per abilitare lo sblocco automatico scriviamo il seguente comando:

manage-bde -autounlock -enable f:

Questo comando crea una chiave esterna associata su questo disco per consentire lo sblocco automatico quando si collega il disco a un computer. Per disabilitare lo sblocco automatico di un'unità disco scriviamo il comando:

manage-bde -autounlock -disable f:

È necessario rimuovere la chiave esterna associata come indicato dal sistema operativo in modo da poter disabilitare completamente lo sblocco automatico utilizzando il seguente comando:

manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}

Il comando ci viene indicato dal sistema operativo stesso.

Aggiunta di un certificato di firma digitale come protettore

Per mezzo di questo protettore possiamo fare la cifratura di un disco questo protetto per mezzo della chiave pubblica di un certificato di firma digitale. Per questo dobbiamo avere un certificato digitale o una firma elettronica. Da questo certificato avremo bisogno del percorso in cui si trova la chiave pubblica, (un file con estensione .cer).

Nella riga seguente vediamo un esempio di come aggiungere un digital certificate protector al disco “F:” e come indichiamo il percorso dove si trova il file contenente la chiave pubblica.

manage-bde -protectors -add f: -certificate -cf "g:certcp.cer"

Come negli esempi precedenti, dopo aver aggiunto la protezione all'unità disco si procede all'attivazione di BitLocker su detta unità:

manage-bde –on f:

Disattiva BitLocker su un'unità disco

Per disabilitare BitLocker su un'unità disco, cioè per decrittare un'unità disco, è necessario che l'unità sia sbloccata, quindi eseguiamo il seguente comando dalla console di comando del sistema operativo

manage-bde –off f:

In questo momento avremo BitLocker disabilitato su questa unità disco, il comando è molto facile da ricordare, quindi possiamo sempre eseguirlo senza dover guardare la documentazione.

Abilita BitLocker su un disco di avvio

Come abbiamo visto nell'articolo” Protezione dei dati sui nostri dischi con BitLocker in Windows 10 “, la crittografia dell'unità di avvio ha alcune peculiarità; in questo caso ci concentreremo sul caso che la nostra macchina necessiti di una memoria flash USB dove memorizzare una chiave per sbloccare il disco che contiene il sistema operativo all'avvio.

Innanzitutto, dovrai generare una chiave di avvio "-startupkey" utilizzando l'opzione "-protector -add" del comando manage-bde.

Il comando seguente aggiunge un protettore di tipo –startupkey per l'unità "E:" e lo salva in un file nella cartella principale dell'unità "F:".

manage-bde e: -protectors –add –sk f:

In secondo luogo, il file con la chiave di avvio generata deve essere copiato su una memoria flash USB che verrà utilizzata per sbloccare l'unità che contiene il sistema operativo del computer durante l'avvio.

Terzo, attiveremo BitLocker sull'unità disco di avvio e dopo il riavvio inizierà la crittografia, è importante non rimuovere la memoria flash USB che contiene la chiave di avvio durante l'intero processo e fino al termine della crittografia.

manage-bde -on C:

Come hai visto, possiamo attivare e disattivare questa tecnologia di sicurezza tramite la riga di comando, ideale per eseguire tutte le azioni tramite il CMD senza utilizzare l'interfaccia utente grafica di Windows. Ci auguriamo che con questo tutorial tu sia stato in grado di apprendere in dettaglio come viene utilizzato BitLocker per proteggere i dati sui tuoi dischi rigidi, SSD e anche unità di archiviazione USB esterne.