Navigaweb.net logo

Attivare BitLocker su WIndows, anche senza TPM e su Home

Aggiornato il: Scritto Da: - @pomhey
Proteggi i file in caso di furto del PC. Guida completa per attivare la crittografia disco su Windows 11 e 10, recuperare le chiavi e gestire il TPM
BitLocker Windows

Il furto di un portatile o lo smarrimento di un hard disk esterno rappresentano rischi enormi, non tanto per il valore dell'oggetto, quanto per i dati contenuti. Foto private, documenti fiscali e accessi bancari sono alla mercé di chiunque sappia smontare un disco e collegarlo altrove, aggirando in pochi secondi la password di accesso di Windows.

La soluzione definitiva è la crittografia del disco. Microsoft integra nei suoi sistemi operativi una tecnologia chiamata BitLocker, capace di rendere i dati illeggibili senza la chiave di sicurezza corretta. In questa guida analizziamo come blindare il sistema operativo, gestendo le differenze tra le versioni di Windows e indicando la rotta di Navigaweb per non rimanere mai chiusi fuori dai propri dati.

LEGGI ANCHE: Criptare il disco del PC e l'avvio di Windows con Veracrypt

Differenza tra BitLocker Pro e Crittografia Dispositivo

Esiste una confusione diffusa sui nomi. Sotto il cofano la tecnologia di cifratura è la stessa (algoritmo AES), ma la gestione cambia radicalmente in base alla licenza posseduta.

  • BitLocker Drive Encryption: Esclusiva di Windows 10/11 Pro, Enterprise ed Education. Offre gestione completa, permette di scegliere l'algoritmo, funziona su dischi rimovibili (BitLocker To Go) e si può attivare anche su PC datati senza chip di sicurezza.
  • Crittografia dispositivo: Presente su Windows Home (e Pro). È un processo automatico "tutto o niente". Si attiva solo se il PC rispetta standard hardware moderni (come TPM 2.0 e Secure Boot) e salva obbligatoriamente la chiave di recupero sul cloud Microsoft.

Nota importante: Nelle installazioni recenti di Windows 11 (versione 24H2 e successive), la "Crittografia dispositivo" viene spesso attivata automaticamente durante la configurazione iniziale, anche su versione Home. È vitale verificare lo stato del disco per sapere se si è già protetti o se si rischia di perdere l'accesso.

Guida per Windows Pro: Configurazione Manuale

Chi possiede una licenza Pro ha il controllo totale. Ecco la procedura per la massima sicurezza.

1. Attivazione e verifica TPM

Cercando Gestione BitLocker nel menu Start, si accede al pannello di controllo dedicato. Selezionando l'unità C: e cliccando su Attiva BitLocker, il sistema controllerà la presenza del chip Trusted Platform Module (TPM). Questo componente hardware custodisce le chiavi di cifratura separatamente dal disco.

2. Salvataggio della Chiave di Ripristino

Questo passaggio non va sottovalutato. Se la scheda madre si rompe o il TPM fallisce, i dati sono persi per sempre senza questa chiave. Windows propone:

  • Salva nell'account Microsoft: L'opzione più sicura per la maggior parte degli utenti.
  • Salva in un file: Da memorizzare tassativamente su una chiavetta USB diversa da quella che si sta cifrando.
  • Stampa la chiave: Utile per avere una copia fisica da mettere in cassaforte.

3. Modalità di crittografia (XTS vs CBC)

Windows chiederà quanto spazio cifrare. Se il computer è nuovo, basta scegliere Spazio utilizzato (più rapido). Se il PC è in uso da tempo, selezionare Intera unità per proteggere anche i frammenti di file cancellati in passato.

Per il metodo di cifratura, selezioniamo la Nuova modalità di crittografia (XTS-AES) per i dischi fissi interni, poiché offre maggiore integrità e sicurezza. Per chiavette USB o dischi esterni che devono essere letti su versioni vecchie di Windows (precedenti alla 10 versione 1511), è necessario usare la Modalità compatibile.

Attivare BitLocker senza TPM (Per vecchi PC)

Se durante l'attivazione compare l'errore "Impossibile trovare un dispositivo di sicurezza TPM compatibile", non bisogna rinunciare. È possibile forzare l'attivazione modificando i criteri di gruppo (solo su Pro).

  1. Premere Windows + R, digitare gpedit.msc e inviare.
  2. Navigare in: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.
  3. Aprire la voce Richiedi autenticazione aggiuntiva all'avvio.
  4. Impostare su Attivata e assicurarsi che sia spuntata l'opzione "Consenti BitLocker senza un TPM compatibile".

Dopo questa modifica, BitLocker chiederà di creare una password di avvio o di usare una chiavetta USB come chiave fisica da inserire a ogni accensione.

Prestazioni: BitLocker rallenta il PC?

Una preoccupazione comune riguarda la velocità. I moderni processori integrano istruzioni dedicate (AES-NI) che gestiscono la cifratura in tempo reale senza pesare sulla CPU. Test indipendenti mostrano che su SSD NVMe l'impatto prestazionale è rilevabile solo nei benchmark sintetici, mentre nell'uso quotidiano è impercettibile.

Microsoft, per impostazione predefinita, utilizza la crittografia software e non quella hardware (basata sul controller del disco). Questa scelta è deliberata: in passato, molti SSD "self-encrypting" hanno mostrato gravi vulnerabilità nel firmware che permettevano di bypassare la protezione. Affidarsi all'algoritmo software di Windows è oggi la scelta più sicura.

Come recuperare la chiave di sblocco

Può capitare che Windows chieda la chiave di ripristino (48 cifre) dopo un aggiornamento del BIOS, una modifica hardware o un crash di sistema. Se non si trova la stampa cartacea, c'è una soluzione online.

È possibile recuperare le chiavi salvate nel cloud visitando la pagina ufficiale:

Account Microsoft - Chiavi di ripristino BitLocker

È necessario accedere con lo stesso account usato sul PC. Consiglio di verificare l'accesso a questa pagina preventivamente, assicurandosi che le chiavi siano presenti e aggiornate.

Dettagli utili e Risoluzione Problemi

Ecco alcuni aspetti tecnici da considerare per una gestione senza sorprese:

  • Sospensione per aggiornamenti: Quando si deve aggiornare il BIOS/UEFI, è fondamentale "Sospendere" BitLocker dal Pannello di Controllo. Non serve decriptare tutto il disco, basta la sospensione temporanea per evitare che al riavvio il TPM blocchi l'accesso non riconoscendo il firmware.
  • BitLocker To Go: Su chiavette USB, la cifratura protegge i file in lettura. Se si perde la chiavetta, i dati sono sicuri, ma chi la trova può formattarla per riutilizzarla (perdendo i dati).
  • Impatto Batteria: Sui portatili, l'uso del chip TPM e delle istruzioni CPU dedicate è così efficiente che non si registrano cali misurabili nella durata della batteria.
  • Recupero Dati forense: In caso di guasto fisico del disco, le aziende di recupero dati non possono estrarre nulla senza la chiave di ripristino o la password. La crittografia rende i piatti magnetici o i chip di memoria inutili blocchi di materiale inerte per chi non ha le credenziali.

Sempre sullo stesso argomento possiamo leggere la guida su come proteggere file e cartelle con password su Windows.





Posta un commento


0%