[Problema] Schermata BitLocker dopo lo Spegnimento di Secure Boot

Scenario: Schermata BitLocker dopo la disattivazione di Secure Boot su un laptop Lenovo con Windows 10

Come mostra il caso, c'è un utente il cui Windows richiede la chiave di ripristino di BitLocker dopo aver disabilitato Secure Boot. Come è successo questo? Queste due funzionalità sembrano abbastanza estranee durante l'uso quotidiano, ma il problema appare comunque sui PC Windows. La verità è che, poiché Secure Boot è strettamente legato al TPM, il vero problema potrebbe trovarsi tra BitLocker e il TPM.

In questo post, spiegheremo perché BitLocker richiede la chiave dopo la disattivazione di Secure Boot e ti offriremo un'altra opzione per gestire BitLocker sul tuo PC.

Panoramica di BitLocker, Secure Boot e TPM

Secure Boot e BitLocker sono entrambe funzionalità di sicurezza fornite da Windows, ma servono scopi diversi e hanno una relazione somewhat interconnessa, soprattutto quando è coinvolto il Trusted Platform Module (TPM).

▶ Secure Boot

Secure Boot è uno standard di sicurezza sviluppato dai membri dell'industria PC per garantire che il tuo PC si avvii utilizzando solo software affidabile dal produttore del PC. È progettato per proteggere il processo di avvio:

1. Prevenzione di Bootkits e Rootkits: Secure Boot aiuta a prevenire "bootkits" e altri malware che cercano di attaccare il computer nella fase più precoce del processo di avvio.
2. Configurazione UEFI/BIOS: È implementato nel UEFI (Unified Extensible Firmware Interface) firmware e garantisce che solo i boot loader e i driver firmati e certificati vengano eseguiti durante l'avvio del sistema.

▶ BitLocker

BitLocker è una funzionalità di crittografia dell'intero disco che aiuta a proteggere i dati crittografando l'intero volume di sistema di Windows. Funziona con:

1. TPM per una maggiore sicurezza: BitLocker può utilizzare il TPM per memorizzare una chiave unica necessaria per sbloccare l'unità. Questa chiave viene creata quando BitLocker viene attivato per la prima volta.
2. Autenticazione Pre-boot: Richiede l'autenticazione prima che il sistema operativo inizi, garantendo che i dati sull'unità rimangano crittografati fino a quando non vengono fornite le credenziali corrette.

▶ Il Ruolo del TPM

Il TPM è un chip specializzato sulla scheda madre che memorizza chiavi crittografiche ed esegue processi di crittografia e decrittografia a livello hardware. Gioca un ruolo cruciale tra Secure Boot e BitLocker.

1. Secure Boot e TPM: Durante il processo di avvio, Secure Boot utilizza il TPM per verificare le firme digitali dei componenti di avvio. Se le firme sono valide, il processo di avvio continua.
2. BitLocker e TPM: BitLocker utilizza il TPM per sigillare la chiave di crittografia allo stato hardware e software del computer. Ciò significa che la chiave di crittografia può essere sbloccata (rilasciata) solo quando la configurazione del sistema corrisponde allo stato in cui la chiave è stata sigillata.

▶ Connessione e Interazione

1. TPM come Ponte: Il TPM è un elemento comune su cui si basano Secure Boot e BitLocker. Secure Boot lo utilizza per verificare i componenti di avvio, e BitLocker lo utilizza per memorizzare e gestire le chiavi di crittografia.
2. Applicazione delle Politiche: In alcuni casi, BitLocker potrebbe essere configurato per richiedere che Secure Boot sia abilitato come politica per garantire che l'ambiente di avvio del sistema sia sicuro e affidabile.

Quando Secure Boot è disabilitato, può potenzialmente consentire modifiche non autorizzate all'ambiente di avvio, che BitLocker potrebbe interpretare come un rischio per la sicurezza. Questo perché i controlli di integrità eseguiti da Secure Boot non vengono più applicati, e BitLocker potrebbe bloccare l'unità per proteggere i dati fino a quando non viene fornita la chiave di ripristino corretta.

Perché BitLocker richiede la chiave dopo la disattivazione di Secure Boot?

Quindi, le ragioni per cui BitLocker richiede la chiave dopo aver disabilitato Secure Boot sono:

1. Dipendenza dal TPM: BitLocker si basa sul Trusted Platform Module (TPM) per memorizzare una parte della chiave di crittografia, migliorando la sicurezza del sistema. Disabilitare Secure Boot può influire sul normale funzionamento del TPM, attivando i meccanismi di protezione di BitLocker.

2. Modifiche ai Componenti di Avvio del Sistema: Secure Boot è progettato per garantire che i componenti utilizzati durante il processo di avvio del sistema siano affidabili. Disabilitare Secure Boot potrebbe consentire modifiche ai componenti di avvio, che BitLocker potrebbe interpretare come un rischio per la sicurezza, richiedendo quindi una chiave di ripristino per sbloccare l'unità.

3. Impostazioni delle Politiche di Gruppo di BitLocker: Se il computer dell'utente è collegato a un dominio, potrebbe essere soggetto a controlli delle politiche di gruppo che richiedono una nuova verifica della protezione di BitLocker dopo modifiche a impostazioni BIOS critiche, come la disattivazione di Secure Boot.

Soluzione: Recuperare la chiave di ripristino di BitLocker tramite account Microsoft

Al momento, non esiste un metodo per aggirare la necessità della chiave di ripristino. Questo requisito di chiave di ripristino è una disposizione di sicurezza di BitLocker. Se il tuo account locale era collegato a un account Microsoft, è possibile che la tua chiave di ripristino possa essere recuperata accedendo alle chiavi di ripristino di BitLocker.

Passo 1. Vai a Chiavi di ripristino BitLocker e accedi al tuo account Microsoft.

Passo 2. Vai alla pagina “Sicurezza del dispositivo” nelle impostazioni del tuo account.

Passo 3. Cerca la sezione delle chiavi di ripristino BitLocker o cerca “BitLocker” all'interno delle impostazioni.

Passo 4. Quando trovi la sezione giusta, potrai vedere e gestire tutte le tue chiavi di ripristino BitLocker per ogni dispositivo collegato al tuo account Microsoft.

Gestore BitLocker alternativo allo strumento integrato di sistema

Windows BitLocker è un'utilità di sicurezza dei dati sofisticata. Tuttavia, potrebbe non essere accessibile a tutti gli utenti a causa delle sue complesse esigenze di competenze tecniche e dei difficili passaggi di risoluzione dei problemi che devono essere affrontati quando si verificano problemi. Inoltre, vorremmo suggerire un'alternativa più semplice per la gestione di BitLocker: AOMEI Partition Assistant. La funzione principale del software, BitLocker, contiene tutti i componenti necessari per la gestione.

Non è necessario navigare attraverso il Pannello di controllo o le Impostazioni per abilitarlo o disabilitarlo in caso di problemi; basta pochi clic. Inoltre, offre la possibilità di abilitare BitLocker per gli utenti di Windows Home, che consente loro di eseguire una varietà di attività all'interno di una singola funzione, inclusi il backup della chiave di ripristino, la modifica della password, la protezione dell'unità e la disattivazione di BitLocker.

1. Come eseguire il backup della chiave di ripristino

Passo 1. Quando imposti e confermi una password per crittografare l'unità, puoi scegliere il modo per eseguire il backup della chiave di ripristino.

Se selezioni "Salva in un file", scegli una posizione sul tuo PC per salvare la chiave di ripristino.

Consigli: Non salvare la chiave di ripristino nel percorso dell'unità crittografata. Ad esempio, non è possibile crittografare D: e salvare la chiave di ripristino sulla stessa unità D:.

Se selezioni "Stampa la chiave di ripristino", abiliterà la funzione di stampa sul tuo PC per stampare la chiave di ripristino. Poi, puoi cliccare sul pulsante "Avanti" per completare il processo di backup .

2. Cambiare la password di BitLocker

Passo 1. Individua l'unità crittografata per la quale desideri cambiare la password, quindi clicca sull'opzione "Cambia password".

Passo 2. Hai due opzioni per cambiare la password: Utilizza la password per cambiare la password dell'unità oppure Utilizza la chiave di ripristino per cambiare la password dell'unità. Scegli il metodo che preferisci.

Passo 3. Se il cambiamento ha successo, vedrai una finestra che dice "Password cambiata con successo".

3. Blocca/Sblocca l'unità

Se l'unità è sbloccata, puoi cliccare sull'opzione "Blocca l'unità" per bloccarla direttamente.

Se l'unità è già bloccata, "Sblocca l'unità" sarà l'unica opzione disponibile per gestire BitLocker. Devi sbloccare l'unità prima di poter gestire le impostazioni di BitLocker per l'unità.

4. Disattiva BitLocker

Oltre a poter attivare facilmente BitLocker su Windows 10 Home, AOMEI Partition Assistant offre anche un modo semplice per disattivarlo.

Passo 1. Individua l'unità crittografata che desideri decrittografare, quindi clicca sull'opzione "Disattiva BitLocker".

Passo 2. Hai due opzioni per decrittografare l'unità: Usa la password per decrittografare l'unità oppure Usa la chiave di ripristino per decrittografare l'unità. Scegli il metodo che si adatta alle tue esigenze. E poi inizia il processo di chiusura.

Conclusione

BitLocker ha una stretta connessione con Secure Boot e TPM, ecco perché appare la richiesta di BitLocker dopo la disattivazione di Secure Boot. Se il tuo account Microsoft non memorizza la chiave di ripristino di BitLocker, l'unico modo per far funzionare il sistema è reinstallare Windows, e perderai tutti i dati.

AOMEI Partition Assistant Professional è uno strumento affidabile per la gestione di Windows. Per gestire in sicurezza le tue unità BitLocker, ti suggeriamo di salvare la tua password in un'altra posizione e stamparla. Puoi anche verificare la chiave di ripristino di BitLocker nel tuo account Microsoft per assicurarti di poter sbloccare l'unità crittografata quando BitLocker ostacola le tue operazioni.