25

Jun

Giocando con BitLocker

Oggi, mentre il mio nuovo portatile (si ho un nuovo portatile ) criptava il disco con BitLocker, ho fatto un giro per la rete ed ho trovato un interessante articolo step-by-step intitolato "How to use BitLocker without TPM in Vista" (Come usate BitLocker in Vista senza TPM). Dopo averlo letto la mia workstation ha rapidamente fatto compagnia al portatile ed ora in entrambi fa capolino la finestra "Encrypting..."

4904_bitlocker

Il link all'articolo originale è questo: http://searchwindowssecurity.techtarget.com/general/0,295582,sid45_gci1246548,00.html, in sintesi:

BitLocker, una funzionalità disponibile in Microsoft Windows Vista Enterprise e Ultimate, consente di criptare una partizione senza l'ausilio di programmi di terze parti. Generalmente per poter usare BitLocker è necessario un sistema dotato di un Trusted Platform Module (TPM), versione 1.2 o superiore, che i produttori di hardware hanno iniziato a implementare solo recentemente. Ma se volessimo usare BitLocker su un sistema sprovvisto di TPM? La maggior parte dei computer attualmente in uso non ha TPM e non è possibile aggiungerlo: o è già presente o non lo è. Fortunatamente Microsoft ha preso alcuni accorgimenti che rendono BitLocker disponibili anche su computer non equipaggiati col TPM.

Ciò di cui abbiamo bisogno sono:

1) Una chiavetta USB (scrivere "Un dispositivo rimovibile di memorizzazione USB" mi fa un po' schifo )

2) Un BIOS che supporti il Boot da dispositivi USB

Se il BIOS non supportase il boot di dispositivi USB è comunque possibile, anche se estremamente poco pratico, abilitare BitLocker: sarà necessario inserire una password di 48 caratteri all'avvio del computer. Non è possibile settare manualmente la password o la sua lunghezza, il chè rende un po' complesso l'uso di tale password durante una normale procedura di boot.

Per poter installare BitLocker sul sistema i file di Boot di Vista devono essere in una partizione separata. Solitamente questo viene fatto prima dell'installazione creando almeno due partizioni: una partizione più piccola di circa 2GB per il boot ed una partizione più grande per il sistema operativo. Tale separazione è necessaria per mantenere i file di boot non criptati. La guida all'attivazione di BitLocker di Microsoft illustra questo processo nel dettaglio. Per poter utilizzare BitLocker in un sistema in cui Vista è già installato, è necessario un add-ons disponibile per Vista Business e Ultimate (non ho verificato ma non mi pare che per la Business sia disponibile, ndt) chiamato BitLocker Drive Preparation Tool, reperibile tra gli Aggiornamenti Extra del Windows Update. Questo strumento consente di preparare un sistema che abbia una sola partizione, o comunque una situazione delle partizioni non compatibile, all'uso di BitLocker. Solitamente questo consiste nella creazione di una partizione di boot dalla "coda" della partizione esistente (in parole povere "taglia" 2GB di spazio vuoto dalla partizione esistente e ne crea un altra,solitamente chiamata S: , ndt) e nella copia dei file di boot al suo interno.

Una volta installato il BitLocker Drive Preparation Tool fare quanto segue:

1) Fare Click su Start e digitare BitLocker nel campo Cerca;

2) Fare Click su BitLocker Drive Preparation Tool;

3) Accettare il contratto; (eeh quanti ne ho accettati in vita mia, ndt)

4) Seguire le istruzioni per crare una nuova partizione di boot del sistema (brr come mi tocca tradurre!, ndt). Al termine della procedura sarà necessario riavviare.

Per impostazione prederfinita BitLocker lavora solo con TPM e non si avvierà senza la sua presenza. Questa particolare condizione è dovuta ad una restrizione tramite Group Policy, quinti sarà necessario modificare tale impostazione:

1) Fare Click su Start, quindi su Esegui;

2) Digitare gpedit.msc e premere Invio. Questo genererà una richiesta di conferma di UAC (User Account Control, ndt): fare Click su Conferma per continuare. Espandere Local Computer Policy, Computer Configuration, Administrative Templates, Windows Components, BitLocker Drive Encryption (in italiano Impostazioni Computer Locale, Configurazione Computer, Modelli Amministrativi, Componenti di Windows, BitLocker Drive Encryption, ndt);

3) Doppio Click su Control Panel Setup: Enable advanced startup options (in italiano Impostazioni Pannello di Controllo: Abilita opzioni di avvio avanzate, ndt), quindi fare click su Enable (Abilita, ndt) per poter modificare la policy;

4) La voce Allow BitLocker without a compatible TPM dovrebbe automaticamente essere spuntata, se non lo fosse spuntarla;

5) Fare Click su OK;

6) Chiudere Group Policy Editor;

7) Disconnettersi e Riconnettersi affinché le modifiche abbiano luogo.

A questo punto si è pronti ad usare BitLocker e a criptare la partizione (in originale sarebbe "the drive" ma BitLocker cripta le partizioni ed ho osato sostituire la parola, ndt). Questa fare impiegherà una grande quantità di tempo, probabilmente svariate ore a seconda del contenuto della partizione. Tuttavia il computer sarà accessibile durante questa fare, seppur estremamente lento. Il mio consiglio e di evitare qualsiasi utilizzo fino al completamento del processo di crittografia (il suo consiglio, io ho navigato beatamente e ho scritto questo post durante la criptazione ).

Per avviare la criptazione del disco:

1) Fare click su Start e digitare BitLocker nel campo Cerca, selezionare BitLocker Drive Encryption (E' anche possibile avviare BitLocker dal Pannello di Controllo);

2) A questo punto dovrebbero essere visibile la vista dei volumi (solitamente C:) che possono essere criptati con BitLocker. Se viene visualizzato un messagio d'errore, ad esempio un messaggi che c'informa della mancanza del TPM, tornare indietro ed assicurarsi di aver seguito quanto illustrato sopra;

3) Fare click su Turn on BitLocker per la partizione (ancora, solitamente C:) per iniziare la configurazione di BitLocker per quella partizione.

La guida continua con la spiegazione dettagliata della configurazione, ma poiché la mia curiosità è stata attratta dalla possibilità di usare BitLocker senza TPM e poiché la configurazione che segue è pressoché analoga a quella col TPM mi fermerò qui.

by Francesco V. Buccoli on 6/25/2007
Post archive