BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio

In era GDPR BitLocker dovrebbe essere uno strumento sempre utilizzato sui propri notebook e convertibili Windows 10 per proteggere efficacemente i dati memorizzati sugli stessi dispositivi. E ciò indipendentemente dal fatto che sulle proprie macchine si adoperino unità SSD o i tradizionali hard disk.
BitLocker  permette di crittografare il contenuto di tutte le unità di memorizzazione, compresa quella di sistema, in Windows 10 Pro, Enterprise ed Education ma non è disponibile nell’edizione Home del sistema operativo;

Come richiedere un PIN all’avvio della macchina per sbloccare le unità protette con BitLocker

Per impostazione predefinita, sui sistemi Windows 10 crittografati con BitLocker e protetti con chip TPM (Trusted Platform Module) il contenuto delle unità indicate viene cifrato ma nulla viene richiesto al boot. Così, l’accesso al sistema è possibile solo indicando le password corrette per i vari account configurati alla schermata di logon; se si volesse contare su un livello di sicurezza aggiuntivo e si volesse fare in modo che all’avvio non compaia subito la schermata di logon con la lista degli account, si può utilizzare una chiavetta USB per lo sblocco del sistema oppure richiedere l’inserimento di un PIN di propria scelta all’accensione del dispositivo Windows 10.
Per configurarlo, su un sistema protetto con chip TPM, basta seguire alcuni semplici passaggi:

1) Digitare Gestione BitLocker nella casella di ricerca di Windows 10 e verificare che BitLocker sia attivato. Con un clic su Amministrazione TPM, in basso a sinistra, ci si può accertare che il chip TPM sia presente sul PC in uso.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

2) Premere la combinazione di tasti Windows+R quindi digitare gpedit.msc.

3) Portarsi in corrispondenza di Configurazione computer, Modelli amministrativi, Componenti di Windows, Crittografia unità BitLocker, Unità del sistema operativo quindi fare doppio clic sulla regola Richiedi autenticazione aggiuntiva all’avvio nel pannello di destra.

4) Cliccare sul menu a tendina Configurazione PIN di avvio con il TPM e scegliere Richiedi PIN di avvio con il TPM. Premere quindi OK.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

5) Digitare cmd nella casella di ricerca di Windows 10 quindi premere la combinazione di tasti CTRL+MAIUSC+INVIO per aprire il prompt dei comandi con i diritti di amministratore.

6) Impartire il comando seguente per verificare lo stato della configurazione di BitLocker: manage-bde -status.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

Scrivendo manage-bde -protectors -add c: -TPMAndPIN si chiederà a BitLocker di obbligare l’utente all’inserimento di un PIN all’avvio del PC, prima della fase di boot e vera e propria (con l’indicazione c: si fa ovviamente riferimento all’unità di sistema contenente Windows 10, precedentemente crittografata).

7) Verrà chiesto di inserire un PIN numerico (“Digitare il PIN da utilizzare per proteggere il volume“): si tratta del “lasciapassare” che dovrà d’ora in avanti essere introdotto a ogni avvio della macchina.

8) Scrivendo ancora manage-bde -status, in fondo alla schermata dovrebbe apparire la voce TPM e PIN.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

9) Riavviando il PC verrà subito richiesto il PIN scelto in precedenza con la visualizzazione di una schermata simile a quella in figura.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

10) Nel caso in cui si dovesse dimenticare il PIN, si potrà sempre sbloccare BitLocker e accedere a Windows 10 premendo il tasto ESC e usando il codice di ripristino generato dal sistema in fase di configurazione di BitLocker.

BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio

Come disattivare la richiesta del PIN all’avvio del sistema protetto con BitLocker

Nel caso in cui, in un secondo tempo, si volesse disattivare la richiesta dell’inserimento del PIN all’avvio del sistema, si dovrà rieseguire l’Editor criteri di gruppo (gpedit.msc) e impostare su Non configurata la policy Richiedi autenticazione aggiuntiva all’avvio.

Dopo aver cliccato su OK, da prompt aperto con i diritti di amministratore, si dovrà infine digitare quanto segue:
manage-bde -protectors -add c: -TP
Così facendo tornerà a essere usato unicamente il chip TPM per sbloccare l’unità protetta con BitLocker.