Come copiare la chiave di avvio di un’unità del sistema operativo crittografata con BitLocker in Windows

  • di Bea Fernandez
  • Ultimo aggiornamento
Come copiare la chiave di avvio di un'unità del ssitema operativo crittografata da Bitlocker Immagine banner del blog
  • Ultimo aggiornamento

Come funzione di crittografia integrata di Windows, BitLocker protegge i dati in caso di perdita o dismissione dell’unità, crittografandoli in modo da impedire agli utenti non autorizzati di accedere all’unità offline. Per avviare l’unità bloccata è necessaria una chiave di avvio. In questa guida verrà spiegato come copiare una chiave di avvio di un’unità del sistema operativo crittografata da BitLocker in Windows 10/11, insieme ai motivi per cui questo processo è importante per la sicurezza dei dati e le best practice per la conservazione e la gestione della chiave di avvio BitLocker.

Metodi per copiare la chiave di avvio dell’unità OS

Ora che abbiamo definito cos’è la chiave di avvio ed elencato i vari modi per accedere ai volumi crittografati, la domanda successiva è: “Dove viene archiviata la chiave di avvio di BitLocker in Windows?” Vediamo i diversi modi in cui è possibile individuare e copiare la chiave BitLocker, nella seguente guida passo per passo.

Utilizzo dell’interfaccia di gestione BitLocker per copiare la chiave di avvio

  1. Apri il pannello di controllo. Per farlo, puoi cercarlo nel menu Start oppure premere la combinazione di tasti Windows + R, digitare “control” e premere Invio.
  2. Clicca sull’icona BitLocker Drive Encryption e scegli l’unità del sistema operativo che vuoi crittografare.
  3. Accanto all’unità del sistema operativo scelta, clicca su Copia chiave di avvio.
  4. Inserisci una chiavetta USB nel computer. Seleziona l’unità flash visualizzata nella finestra e clicca su Salva.

Oltre che con chiavetta USB, puoi eseguire il backup della chiave di avvio tramite i seguenti strumenti:

  • File: La chiave di avvio può essere salvata come file BEK e archiviata in qualsiasi dispositivo o unità offline; assicurati solo che questa posizione sia sicura e protetta da password.
  • Account Microsoft: Può anche essere memorizzata automaticamente nell’account Microsoft se è stato effettuato l’accesso sul dispositivo.
  • Active Directory: Infine, se Active Directory Domain Services (AD DS) è abilitato sul dispositivo, la chiave di avvio può essere salvata qui.

Uso del prompt dei comandi per recuperare la chiave di avvio di BitLocker

  1. Apri un prompt dei comandi elevato. Per farlo, premi la combinazione di tasti Windows + X e seleziona Prompt dei comandi (come amministratore).
  2. Digita il comando “manage-bde -protectors -get [lettera unità]” Sostituisci [lettera unità] con la lettera effettiva dell’unità del sistema operativo di cui vuoi copiare la chiave di avvio.
  3. In External Key File Name, verrà visualizzato il nome del file della chiave di avvio. Da qui potrai salvare la chiave seguendo i passaggi della sezione precedente.

Utilizzo di PowerShell per eseguire il backup della chiave di avvio di BitLocker

  1. Apri una sessione elevata di PowerShell premendo la combinazione di tasti Windows + S, digitando “powershell” e quindi cliccando su Esegui come amministratore.
  2. Verifica lo stato di BitLocker dell’unità di cui vuoi eseguire il backup della chiave di avvio. Per farlo, digita “Manage-BDE -Status [lettera unità]:” e sostituisci [lettera unità] con la lettera effettiva dell’unità crittografata con BitLocker. Ricordati di effettuare questa sostituzione anche nelle fasi successive.
  3. Quindi, digita “Manage-BDE -Protectors -Get [lettera unità]:” per vedere un elenco di tutte le protezioni BitLocker per questa unità, compresa la chiave di avvio.
  4. Inserisci una chiavetta USB nel computer. Quindi digit ““Manage-BDE -Protectors -Add [lettera unità]: -StartupKey [lettera USB]:\” e assicurati di sostituire [lettera USB] con la lettera della chiavetta USB collegata.

In uno scenario in cui innumerevoli dispositivi e unità contengono informazioni sensibili, come le cartelle cliniche dei pazienti di un ospedale o i dati di contatto dei clienti di un’azienda, l’ automazione del backup delle chiavi BitLocker garantisce la sicurezza di questi dati e la protezione dei volumi crittografati con BitLocker da accessi ingiustificati.

Capire il ruolo e l’importanza della chiave di avvio di BitLocker

Prima di scoprire come esportare la chiave di avvio di BitLocker, definiamo innanzitutto cos’è questa chiave e come si inserisce nei vari metodi di autenticazione per la crittografia di Windows.

Che cos’è la chiave di avvio di BitLocker?

La chiave di avvio di BitLocker è un file BEK solitamente archiviato in un’unità flash USB rimovibile. Viene inserito in un computer per avviare il dispositivo, come se si usasse una chiave per sbloccare un lucchetto. Insieme al chip TPM (Trusted Platform Module) del computer, che funge da crittoprocessore, la chiave di avvio di Windows BitLocker garantisce un livello significativo di protezione dei dati.

Metodi di autenticazione: Solo TPM, TPM+PIN e chiave di avvio BitLocker

Il TPM è un’altra funzione di sicurezza integrata nella maggior parte dei dispositivi, che può essere utilizzata da sola o con un numero di identificazione personale (PIN). In termini di autenticazione pre-avvio, un TPM non manomesso e una chiave di avvio BitLocker sono due metà che lavorano insieme per un accesso sicuro e automatico a un volume bloccato.

Ecco alcune differenze fondamentali tra i metodi di autenticazione con chiave di avvio TPM, TPM+PIN e BitLocker per le unità crittografate.

  • Solo TPM: Questo metodo richiede solo che il TPM autorizzi l’accesso all’unità, senza che l’utente debba compiere altre azioni.
  • TPM+PIN: Con il TPM, l’unità richiede all’utente di inserire un PIN, solitamente composto da 4-20 caratteri, per poter accedere ai dati in essa contenuti.
  • Chiave di avvio BitLocker: Con questo metodo, l’utente deve solo collegare al computer una chiavetta USB contenente la chiave di avvio crittografata con BitLocker: il TPM fa il resto del lavoro automaticamente.

“Posso utilizzare il TPM, un PIN, e la chiave di avvio di BitLocker per l’autenticazione pre-avvio?” La risposta è sì, ed è consigliabile integrare il maggior numero possibile di questi metodi per ottenere una sicurezza ottimale dei dati, a patto di conservare e gestire correttamente questi dettagli e strumenti (per saperne di più, continua a leggere).

Best practice per la gestione delle chiavi di avvio di BitLocker

Oltre a sapere come esportare la chiave di crittografia BitLocker con i passaggi corretti, seguire le best practice per la sua gestione è cruciale per qualsiasi operazione di backup di un’unità. Considerate queste pratiche come dei portachiavi affidabili per non perdere di vista gli strumenti di accesso individuali. Ne elenchiamo alcuni di seguito.

Raccomandazioni per l’archiviazione sicura della chiave di avvio di BitLocker

Innanzitutto, assicurati di conservare la chiave di avvio BitLocker di Windows in un luogo ben protetto, tra cui, a titolo esemplificativo, i seguenti:

  • USB esterna: Se si sceglie di salvare la chiave di avvio in una memoria USB esterna, per esempio una chiavetta portatile, ti consigliamo di tenerla sempre con te (per esempio, appesa a un cordino accanto al documento di identità aziendale) o in uno scomparto nascosto ma non eccessivamente caldo (per esempio un cassetto della scrivania chiuso a chiave), lontano da occhi indiscreti e dalla luce diretta del sole.
  • Gestore di password: Poiché i gestori di password di terze parti stanno diventando sempre più affidabili in un’epoca di continui attacchi informatici, ti consigliamo di utilizzarne uno per tenere al sicuro anche la chiave di avvio di BitLocker.
  • Sicurezza del cloud storage: Puoi anche caricare la chiave di avvio nel cloud utilizzando un servizio di archiviazione cloud affidabile, preferibilmente con un account protetto da password.

Conserva più copie della chiave di avvio di BitLocker in luoghi diversi

Così come consigliamo di utilizzare l’autenticazione a più fattori per accedere e copiare la chiave di avvio di BitLocker, consigliamo anche di conservare più copie di questa chiave in caso di perdita o furto. Quando archivi queste copie in posizioni separate, usa la regola del backup 3-2-1tre copie della chiave di avvio archiviate in due tipi diversi di supporti (per esempio, due dischi rigidi esterni distinti) e una in uina posizione fuori sede (per esempio, cloud storage).

Errori comuni da evitare quando si copia e si archivia la chiave di avvio

Essere proattivi e seguire pratiche di backup ottimali della chiave BitLocker significa evitare i seguenti errori:

  • Non proteggere la posizione della chiave di avvio: Evita di lasciare la chiave di avvio dell’unità OS in un luogo in cui altri possano facilmente rubarla. Utilizzare un cloud storage con password o PIN. Conserva la chiavetta USB contenente la chiave di avvio in una cassetta di sicurezza o in un cassetto nascosto.
  • Non utilizzare la chiave giusta per l’unità giusta: Assicurati che la chiave di avvio BitLocker utilizzata corrisponda all’unità che vuoi avviare. Sarebbe utile, ad esempio, scrivere la lettera dell’unità crittografata sulla chiavetta con un pennarello indelebile.
  • Non creare più copie della chiave di avvio: Perdere l’unica chiave di avvio per avviare l’unità crittografata potrebbe significare perdere completamente l’accesso ai dati contenuti nell’unità. Puoi evitare questo problema conservando più copie della chiave in luoghi diversi.

Risoluzione dei problemi e problemi comuni durante la copia della chiave BitLocker

Cosa fare se non riesci ad accedere alla chiave di avvio

Prima di creare una chiave di avvio per un’unità del sistema operativo, accertati sempre che BitLocker sia attivato e che la Crittografia unità BitLocker sia abilitata. Questa chiave di crittografia viene generata automaticamente quando inserisci una chiavetta USB nel dispositivo. Per sicurezza, assicurati che l’unità flash possa essere formattata con il file system NTFS, FAT o FAT32.

Se non riesci ad accedere alla chiave di avvio sulla chiavetta, prova a farlo manualmente tramite il File Explorer, seguendo i seguenti passaggi:

  1. Apri File Explorer sul computer, quindi apri Opzioni cartella.
  2. Seleziona Mostra file, cartelle e unità nascoste e togli la spunta da Nascondi file protetti del sistema operativo (consigliato). Clicca su OK.
  3. Inserisci la chiavetta USB e aprila nel File Explorer.
  4. Il file della chiave di avvio dovrebbe ora essere visibile sullo schermo. Puoi eseguire il backup di questo file in qualsiasi altra posizione e ripristinare le opzioni di cartella predefinite, se preferisci.

Recupero di una chiave di avvio BitLocker perduta

Per prima cosa, controlla tutte le opzioni di archiviazione, sia online che offline, per verificare se la chiave di crittografia BitLocker è effettivamente assente: dagli oggetti personali e l’archiviazione fisica (per esempio cassetti e cassette di sicurezza) ai gestori di password, fino all’account Microsoft, all’account dell’organizzazione e all’account del servizio cloud.

Se la chiave di avvio non si trova in nessuna di queste posizioni, potresti dover ricorrere ricorrere alla modalità di ripristino BitLocker per accedere ai file dell’unità crittografata. Ciò comporta la ricerca e l’utilizzo di una chiave di recupero BitLocker per decrittografare il volume.

Risoluzione degli errori di avvio di BitLocker dopo la modifica delle chiavi

Dopo qualsiasi modifica ai metodi di autenticazione di un’unità crittografata con BitLocker, riavvia sempre l’unità e proteggi i dati e gli strumenti di accesso. Per i PIN e le password, sfrutta l’uso dei gestori di password e del cloud storage. Per i dispositivi di archiviazione esterni, segui le raccomandazioni di archiviazione elencate sopra.

Domande frequenti

Posso copiare la chiave di avvio in più posizioni?

Sì, e questo è altamente incoraggiato. Prova a utilizzare la già citata regola di backup 3-2-1. Ovunque tu decida di archiviare i backup delle chiavi BitLocker, assicurati che questi luoghi siano protetti da password o PIN.

Cosa succederebbe se perdessi la chiave di avvio di BitLocker?

BitLocker offre diverse opzioni per l’accesso all’unità crittografata tramite la modalità di ripristino. Semplicemente, segui le istruzioni della schermata di ripristino di BitLocker.

È sicuro archiviare la chiave di avvio in un servizio cloud?

Sì, ma come per qualsiasi volume o servizio di archiviazione, è consigliabile aggiungere livelli di protezione al tuo account cloud per mantenere le tue chiavi al sicuro (per esempio, password, autenticazione biometrica).

Sul corretto backup della chiave BitLocker

Il backup della chiave di avvio dell’unità del sistema operativo, tramite l’interfaccia di gestione di BitLocker, il prompt dei comandi, PowerShell o la funzione Posizione file, può essere molto utile per avviare in modo sicuro un’unità crittografata. Conserva più copie della tua chiave di crittografia in luoghi distinti e ben protetti e non rischierai praticamente mai di perdere l’accesso a queste chiavi e ai tuoi dati sensibili.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento di erogazione dei servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Scopri di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Inizia la tua prova gratuita

Ti potrebbe interessare anche

Come sbloccare unità crittografate da Bitlocker in Windows 10

Come sbloccare unità crittografate da BitLocker in Windows 10

Come eseguire la scansione manuale di file, cartelle e unità alla ricerca di malware in Windows 10 Immagine banner del blog

Come eseguire una scansione manuale di file, cartelle e unità alla ricerca di malware in Windows 10

Come eseguire il backup e il ripristino delle autorizzazioni di file, cartelle e altro ancora Immagine del banner del blog

Come eseguire il backup e il ripristino delle autorizzazioni di file, cartelle o unità in Windows

Differenza tra GPT e MBR Immagine del banner del blog

Comprendere la differenza tra GPT e MBR: qual è la soluzione migliore quando si partiziona un’unità?

Come forzare la modifica della password al prossimo accesso in Windows 10 e Windows 11 Immagine banner del blog

Come forzare la modifica della password al prossimo accesso in Windows 10 e Windows 11

Come configurare la scadenza delle password per gli account locali in Windows Immagine banner del blog

Come configurare la scadenza delle password per gli account locali in Windows 10 e Windows 11

Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto