Configurazione di crittografia hardware sui SED Crucial^® via Bitlocker

Le versioni Windows® 8.1 e più recenti supportano automaticamente la gestione della chiave di crittografia dei SED attraverso un’applicazione chiamata BitLocker®. Prima di abilitare la crittografia hardware Bitlocker, devono essere soddisfatti i requisiti qui sotto (la crittografia software diversa da Bitlocker potrebbe avere requisiti aggiuntivi o modificati).

Nota: i seguenti passaggi consentiranno di abilitare la crittografia hardware utilizzando BitLocker sui SED Crucial che supportano Microsoft® eDrive. Non tutti i SED Crucial supportano Microsoft eDrive, quindi è importante verificare che l’unità supporti tale specifica prima di eseguire i passaggi di questa guida. Se si procede come indicato nella guida su un’unità che non supporta Microsoft eDrive, con Bitlocker sarà possibile abilitare solo la crittografia software, e non quella hardware. Se si dispone di un SED Crucial serie MX500 o precedente, continuare con i passaggi riportati di seguito. Se si dispone di un SED NVMe M.2 Crucial, seguire le informazioni fornite nell’articolo Abilitazione della crittografia hardware per gli SSD NVMe® Crucial.

• Modulo TPM: BitLocker supporta solo le versioni TPM 1.2 e 2.0 (o più nuove). Inoltre, si raccomanda fortemente di usare un driver TPM fornito da Microsoft (Nota: Bitlocker può funzionare anche senza un TPM, ma in tal caso sarà necessaria un’unità disco USB per impostare la password). Contatta il tuo produttore di sistema se hai bisogno di aiuto nell’identificare la tua disponibilità TPM.
• UEFI 2.3.1 o maggiore: il computer host deve essere basato almeno su UEFI 2.3.1 e avere EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definito. Questo consente al comando del protocollo di sicurezza di essere inviato da e al SED. Contatta il produttore del tuo computer ospite se non sei sicuro di aver soddisfatto questo requisito.
  
• Avvio sicuro: nell’impostazione del BIOS di sistema deve essere abilitato Avvio sicuro; la maggior parte dei sistemi Windows 8.1 e superiori lo avranno automaticamente abilitato. Contattare il produttore del sistema per assistenza su come abilitarlo.
  
• Supporto Opal 2.0: il sistema deve supportare gli standard di sicurezza Opal 2.0. Lo standard Opal 2.0 non è retrocompatibile; i SED Crucial non sono compatibili con Opal 1.0. Contatta il tuo produttore di sistema se hai bisogno di aiuto nel verificare la conformità del tuo sistema a Opal.
  
• Microsoft eDrive: una specifica di sicurezza utilizzata da Microsoft per abilitare la crittografia hardware sui SED utilizzando BitLocker o criteri di gruppo, e basata sugli standard TCG OPAL e IEEE 1667. Ciò è richiesto su un SED solo quando si tenta di abilitare la crittografia hardware utilizzando BitLocker o criteri di gruppo all’interno del sistema operativo. Le soluzioni di terze parti potrebbero non richiedere obbligatoriamente questa funzione per abilitare la crittografia hardware.
• Modalità UEFI: il computer host deve sempre avviarsi da UEFI. Qualsiasi modalità di avvio “compatibilità” o “legacy” deve essere disabilitata. Consigliamo di mettere il sistema in sola modalità UEFI prima di installare il SED Crucial. Anche la CSM (modalità di supporto di compatibilità, compatibility support mode) deve essere disabilitata. Contatta il produttore del tuo sistema per assistenza su queste impostazioni. 
  
• Due partizioni (una non crittografata): l’SSD deve avere due partizioni (solitamente vanno bene anche unità con Windows installato) e quella principale da crittografare deve essere NTFS. Questa partizione secondaria non crittografata deve essere di almeno 1,5 GB. La partizione viene usata per scopi di autenticazione ed è necessaria a far funzionare la crittografia.
  
• Disco di base: i dischi dinamici non sono supportati da BitLocker. Le unità di Windows 8 e Windows 10 saranno configurate come Disco di base con layout di partizione GPT, richiesto per usare la crittografia hardware.     
  

Si consiglia che l’UEFI di sistema ospite sia configurato per accettare il SED prima di installarlo fisicamente, come delineato nell’esempio qui sotto. I dettagli della configurazione di sistema varieranno da sistema a sistema, così come i nomi delle diverse funzionalità. Tuttavia, sono abbastanza simili che un singolo esempio dovrebbe essere sufficiente. Per dettagli su configurazioni UEFI specifiche, contatta il produttore del tuo computer.

1. Abilita Avvio sicuro. L’Avvio sicuro di Microsoft è un requisito per eseguire qualsiasi sistema Windows 8.1 o successivo. Qualsiasi computer che è stato configurato dalla fabbrica per Windows 8.1/10/11 (come mostrato da un adesivo Windows 8/10/11) avrà già l’Avvio sicuro abilitato. Se il sistema ospite è stato originariamente configurato per Windows 7 o un sistema operativo precedente, assicurati che Avvio sicuro sia abilitato, come mostrato sotto.

2. Supporto a Modalità/CSM avvio UEFI. Il sistema computer ospite deve essere in sola modalità UEFI, come mostrato sotto. Solitamente il CSM verrà disabilitato automaticamente in sola modalità UEFI; tuttavia, ciò dovrebbe essere verificato e il CSM disabilitato se necessario.

3. Installa Windows 8.1/10/11. Il modo più diretto per implementare la crittografia hardware è di eseguire una nuova installazione pulita del sistema operativo. Le versioni di BitLocker nelle edizioni di Windows 8.x, 10 e 11 Enterprise e Professional supportano la crittografia hardware sui SED. Non è necessario alcun passaggio speciale per questa funzione; segui la normale procedura di installazione del SO descritta da Microsoft.  Dopo che il SO è installato, procedi alla sezione Abilita BitLocker. 
   Nota: nelle impostazioni delle priorità di avvio del BIOS, il sistema deve essere impostato in modo da avviare per primo il tuo SSD, non puoi avere opzioni USB o CD prima di esso.
4. Clonazione del sistema.  Dato che i SED Crucial supportano eDrive, attivare BitLocker crea partizioni speciali, che sono richieste per attivare le funzionalità eDrive. Quando un SSD con eDrive attivato viene clonato, queste partizioni speciali potrebbero non venire copiate correttamente sull’unità target. L’unità target potrebbe funzionare, ma non viene considerata una procedura valida e potrebbe causare problemi di prestazioni latenti. Se il disco di origine è stato crittografato usando la crittografia software in BitLocker, assicurarsi prima che BitLocker sia disattivato prima di iniziare la clonazione dell’immagine su un SED Crucial. Se si usa BitLocker in modalità crittografia software sul sistema di origine, occorrerà una procedura di decrittazione per disattivare BitLocker. Ciò può impiegare diverse ore, a seconda della quantità di dati utente e del SO sull’unità.

1. Premere il tasto Windows (solitamente tra <Ctrl> e <Alt>), quindi digitare Questo PC e premere Invio.
2. Fare clic con il tasto destro sull’icona dell’unità del sistema e selezionare Attiva BitLocker dal menu a comparsa.

3. Successivamente, verrà mostrata una casella di stato che conferma che BitLocker si sta configurando, assieme a una barra di stato. Ciò si completerà a momenti.
4. Seleziona una delle opzioni per salvare la tua chiave di recupero indicata da Microsoft. Anche se Crucial non ha un’opzione di preferenza, non sottovalutare questo passaggio. In alcune circostanze, questo potrebbe essere l’unico modo per recuperare dati dal tuo SSD. Crucial non ha metodi backdoor di fabbrica per recuperare i dati se una chiave di autenticazione o una password è stata persa. Dopo aver salvato la chiave, seleziona Avanti per continuare.
   

5. BitLocker chiederà Sei pronto a crittografare questa unità? Dopo aver fatto clic su Continua, sarà necessario riavviare il sistema per completare la procedura.

6. Dopo aver completato il riavvio, vedrai dall’icona del lucchetto BitLocker sull’unità del tuo sistema che Bitlocker è abilitato.

Il video qui sotto illustra la procedura nella sua completezza.