In questa pagina

In questa pagina

Come abilitare la sicurezza BitLocker senza un TPM

BitLocker di Microsoft è piuttosto utile per crittografare le unità e proteggere i dati, soprattutto se il computer è dotato di un Trusted Platform Module (TPM). Per la maggior parte dei computer più recenti, attivarlo è semplicissimo: basta attivare un interruttore in Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLocker e il gioco è fatto. Ma quando non è presente un chip TPM, come su alcuni sistemi più vecchi, macchine virtuali o build personalizzate, la situazione diventa complicata. In ogni caso, non siete sfortunati. Potete configurare BitLocker per funzionare senza TPM modificando alcune impostazioni, ma è un’operazione un po’ più manuale e richiede alcuni passaggi aggiuntivi.

Ecco il punto: in assenza di TPM, è necessario autenticarsi all’avvio con una password o una chiavetta USB.È un po’ fastidioso, ma funziona. Attenzione: questo metodo aggiunge un livello di sicurezza richiedendo un input manuale o un dispositivo per sbloccare l’unità, il che è meglio di niente se si desidera mantenere la sicurezza. E, attenzione: ci vuole un po’ più di tempo e a volte si potrebbero riscontrare delle stranezze, come il blocco dell’accesso se si dimentica la password o la chiavetta USB. Quindi, procedi tenendolo a mente.

Come abilitare BitLocker su un sistema senza TPM

Metodo 1: utilizzo di Criteri di gruppo per consentire BitLocker senza TPM

Questo metodo consiste in realtà nel comunicare a Windows che è possibile attivare BitLocker senza il sofisticato modulo TPM.È utile quando si lavora su configurazioni personalizzate o macchine virtuali, o se l’hardware non ne supporta uno. Questa modifica consente a Windows di accettare una password o una chiave USB all’avvio, un approccio piuttosto standard in questi casi.

Ecco cosa fare:

  • Apri l’ Editor Criteri di gruppo locali : premi Windows + R, quindi digita gpedit.msce premi Invio. Abbastanza facile, vero? Se ti trovi su un computer aggiunto a un dominio, potresti dover inviare i criteri tramite il tuo team IT o utilizzare il controller di dominio.
  • Passare a: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.
  • Trova e abilita il criterio denominato “Richiedi autenticazione aggiuntiva all’avvio”. Fai doppio clic su di esso, impostalo su “Abilitato” e, nelle opzioni, seleziona “Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio su un dispositivo USB)”.

Perché farlo? Perché Windows normalmente impedisce la crittografia delle unità senza un TPM, a meno che non venga specificato diversamente. Abilitando questa policy, in pratica si dice: “Sì, ok, ho capito: usare una password o una chiavetta USB va bene”.

Una volta fatto, puoi andare su Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLocker e cliccare su “Attiva BitLocker” accanto all’unità. Quando richiesto, scegli l’opzione password o chiave USB, a seconda della tua configurazione.

Aspettatevi alcune richieste per salvare la chiave di recupero, che è estremamente importante. Conservatela in un luogo sicuro, ad esempio in un gestore di password o stampatela. Vi servirà se dimenticate la password o perdete il dispositivo USB.

Dopo aver configurato il sistema, riavvia il computer portatile e, al prompt di BitLocker, digita la password o inserisci la chiavetta USB per sbloccare l’unità. Il processo di crittografia si avvia in seguito, eseguendo silenziosamente in background. Controlla lo stato nella stessa finestra di Crittografia unità BitLocker o tramite l’icona nella barra delle applicazioni, che a volte consente di visualizzare i progressi.

Nota: su alcuni sistemi, la prima crittografia potrebbe richiedere un po’ di tempo, a seconda delle dimensioni del disco e dei dati, ma non è complessa. E sì, durante questo periodo è comunque possibile utilizzare normalmente il sistema.

Un piccolo consiglio: se le cose non funzionano subito, a volte può essere utile riavviare il sistema o modificare alcune opzioni. Windows può essere un po’ strano con queste cose, soprattutto quando si modificano i criteri di gruppo per la prima volta.

Opzione 2: Utilizzo della riga di comando (per utenti avanzati che preferiscono il controllo)

Se hai familiarità con la riga di comando, puoi anche abilitare BitLocker senza TPM direttamente tramite i comandi manage-bde o persino PowerShell. Ad esempio, in PowerShell, esegui come amministratore:

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes128 -TpmProtector

Tuttavia, poiché la tua configurazione non include TPM, potresti ignorare la protezione TPM e aggiungere invece una protezione con password come questa:

Manage-Bde -on C: -Password

Questi comandi sono più semplici, ma richiedono una certa familiarità con la riga di comando. Tuttavia, è comunque soddisfacente fare tutto manualmente e offre il controllo su come viene gestita la crittografia.

Tieni presente che:

Qualunque sia il metodo scelto, ricordatevi di conservare la chiave di ripristino in un luogo sicuro.È letteralmente la vostra ultima risorsa se dimenticate la password o riscontrate problemi di blocco. Inoltre, la crittografia potrebbe richiedere un po’ di tempo, a seconda delle dimensioni dell’unità, quindi pianificate di conseguenza.

Tutto sommato, attivare BitLocker senza TPM non è complicato una volta che si sa dove cercare: bastano poche modifiche a criteri e impostazioni. Certo, è un po’ più laborioso, ma funziona. E dopo un riavvio, l’unità è protetta senza bisogno di hardware aggiuntivo.

  • Abilitare il criterio di gruppo “Consenti BitLocker senza un TPM compatibile”.
  • Vai su Pannello di controllo > Sistema e sicurezza > Gestisci BitLocker.
  • Scegli il metodo di sblocco che preferisci (password o USB).
  • Conserva la tua chiave di recupero: non perderla! Considerala il tuo piano di riserva.
  • Riavvia e goditi le unità crittografate, anche senza quel luccicante chip TPM.

Incartare

Far funzionare BitLocker senza TPM può essere un po’ complicato all’inizio, ma una volta invertite le impostazioni, è piuttosto semplice. Non capisco perché Windows complichi le cose, ma ehi, Microsoft è fatta così. Basta conservare la chiave di ripristino al sicuro e sarai pronto a bloccare le tue unità senza bisogno di nuovo hardware. Incrociamo le dita affinché questo aiuti qualcuno a risparmiare tempo e mal di testa!

Articoli correlati

Visti di recente

Questo articolo è stato utile?