Indice dei Contenuti
Nella MS Community accade spesso di elaborare domande ove l’utente visualizza la richiesta della recovery key per Bit Locker, spesso facendo andare in panico visto che non si sa dove recuperarla. Può sembra che il BitLocker si sia attivato da solo ma, solitamente, non è così. Vediamo perchè può avvenire questa richiesta e come risolvere il problema.
Che cos’è il BitLocker?
La protezione BitLocker permette di proteggere i dati dell’utente dall’accesso fraudolento, ad esempio in caso di furto o simili. Lavora a stretto contatto con il chip TPM e richiede l’inserimento di una chiave di recovery per poter accedere ai dati in determinate circostanze.
Ad esempio, se il notebook viene smarrito o rubato, probabilmente il malintenzionato smonterà il disco per leggerlo in un altro dispositivo, ma in presenza di un disco protetto da BitLocker verrà richiesta una password di accesso.
Questa password è in possesso solo del proprietario, nemmeno Microsoft ha le autorizzazione per potervi accedere. La chiave di recupero può essere recuperata in diversi metodi, che vedremo fra poco.
Problemi dopo un aggiornamento, in alcuni casi
C’è da dire che, in alcuni casi, il problema della richiesta recovery key in avvio è dovuto ad un aggiornamento problematico, nello specifico la KB5012170. In quel caso è necessario verificare con il produttore se è presente un aggiornamento del firmware.
In alternativa bisogna procedere con il recupero della chiave ed il conseguente inserimento di quest’ultima.
Perchè si attiva BitLocker?
Le cause sono molteplici, esattamente sono:
– Tentativi di modifica impostazioni di sistema/firmware non autorizzate da parte di malintenzionati
– Spostamento del disco protetto da BitLocker in un computer diverso dall’originale
– Installazione o riparazione della scheda madre o di un altro componente critico (es. processore)
– Disabilitazione del chip TPM, disattivazione o aggiornamento firmware di quest’ultimo
Esempio: aggiornare il firmware del bios da Windows Update può comportare la richiesta della recovery-key al successivo riavvio
Quindi prima di ogni modifica di questo tipo, assicuriamoci di avere a portata di mano la chiave di recovery.
Come Sbloccare BitLocker?
La chiave si trova nell’account Microsoft utilizzato al primo avvio/configurazione del sistema.
Quindi, se abbiamo acquistato il computer presso un rivenditore o un centro commerciale, potrebbe trovarsi nell’account Microsoft utilizzato dal tecnico per la prima installazione/configurazione del sistema.
In alternativa può trovarsi in uno di questi percorsi:
– Nel tuo account Microsoft: accedi al tuo account Microsoft su un altro dispositivo per trovare il codice di ripristino. Se disponi di un dispositivo moderno che supporta la crittografia automatica dei dispositivi, la chiave di ripristino sarà probabilmente nell’account Microsoft.
– In un foglio stampato: È possibile che la chiave di ripristino sia stata stampata quando BitLocker è stato attivato. Guarda dove tieni i documenti importanti relativi al tuo computer.
– In un’unità flash USB: Collega l’unità flash USB al PC bloccato e segui le istruzioni. Se hai salvato la chiave come file di testo nell’unità flash, usa un altro computer per leggere il file di testo.
– Mantenuto dall’amministratore di sistema: Se il dispositivo è connesso a un dominio (in genere un dispositivo di lavoro o dell’istituto di istruzione), chiedere all’amministratore di sistema la chiave di ripristino.
In alcuni contesti aziendali la password potrebbe trovarsi nell’account di dominio su Azure, in questo caso contattare l’amministratore di rete per poterla ottenere.
Come recuperare la chiave di BitLocker in Windows?
Un buon detto dice “Meglio prevenire che curare”, anche nel campo informatico questo saggio proverbio è utile.
Per recuperare la chiave di BitLocker procedere come segue:
– Nella barra di ricerca digitare “BitLocker” ed aprire la voce Gestione BitLocker
– Ora vedremo elencate le unità del sistema, ove compariranno quelle protette dalla crittografia
– Cliccare sulla voce Esegui Backup Chiave di ripristino
– Seguire le indicazioni a video, possiamo scegliere di salvare la chiave di ripristino e/o stamparla. Noi consigliamo di adottare entrambi i metodi e tenere la forma cartacea al sicuro. Quando la salviamo suggeriamo di caricarla nel proprio account Onedrive o in una chiavetta USB.
Com’è fatta una chiave di ripristino BitLocker?
La chiave di ripristino di crittografia unità BitLocker presenta due codici, ecco un esempio di chiave di ripristino singola:
il primo è l’identificatore che avrà un formato alfanumerico di questo tipo (5 gruppi totali):
********-****-****-****-************
Il secondo identificatore, denominato codice di ripristino, è composto da 8 gruppi numerici di questo tipo:
******-******-******-******-******-******-******-******-
E’ possibile, in aggiunta, interrogare il chip TPM per conoscerne lo stato. Per farlo bisognerà agire tramite powershell oppure attraverso una funzionalità integrabile in Windows 11, spieghiamo questi metodi in questo articolo:
Come comportarsi in ambiente aziendale?
La protezione BitLocker può essere gestita in modo efficace anche in ambito aziendale. Ad esempio è possibile agire sulle policy di gruppo per far in modo che tutte le password di recovery vengano salvate in un percorso locale predefinito.
Oppure è possibile modificare le seguenti policy:
- Consenti ai dispositivi con avvio protetto e porte DMA protette di disattivare il PIN di preavvio
- Consenti sblocco di rete all’avvio
- Richiedi autenticazione aggiuntiva all’avvio
- Consenti PIN avanzati per l’avvio
- Configurare la lunghezza minima del PIN per l’avvio
- Disabilitare i nuovi dispositivi DMA quando il computer è bloccato
- Non consentire agli utenti standard di modificare il PIN o la password
- Configurare l’utilizzo delle password per le unità del sistema operativo
- Richiedi autenticazione aggiuntiva all’avvio (Windows Server 2008 e Windows Vista)
- Configurare l’utilizzo di smart card su unità dati fisse
- Configurare l’uso delle password su unità dati fisse
- Configurare l’utilizzo di smart card su unità dati rimovibili
- Configurare l’utilizzo delle password su unità dati rimovibili
- Convalidare la conformità alle regole di utilizzo dei certificati smart card
- Abilitare l’utilizzo dell’autenticazione BitLocker che richiede l’input da tastiera al preavvio nelle liste