Windows Server 2008 R2 Core – Come abilitare BitLocker da riga di comando
BitLocker è una tecnologia semplice da configurare ed affidabile che permette la cifratura (encryption) di dischi a livello di settori. E’ disponibile a partire da Windows Vista e Windows Server 2008. Dettagli ed informazioni su questa tecnologia sono disponibili a questo link su Microsoft TechNet: http://technet.microsoft.com/en-us/windows/aa905065.aspx (http://technet.microsoft.com/it-it/windows/aa905065.aspx in italiano).
In Microsoft si considera tecnicamente possibile ed importante arrivare alla cifratura del proprio parco macchine desktop e laptop come uno standard aziendale. E’ evidente il vantaggio in termini di riduzione dei rischi di perdita di informazioni riservate associati a furti, dismissioni di hardware o altre situazioni di accesso fisico ai dischi non autorizzato. Si tratta inoltre di un importante impegno verso i propri clienti quando si detengano loro informazioni personali o riservate.
In base a queste considerazioni ho quindi iniziato da un po’ di tempo a cifrare tutti i dischi delle mie macchine, incluse le installazioni server. Si tratta di un’operazione abbastanza semplice, la documentazione disponbile (es. “Help and Support” nel menu principale) mi è stata sufficiente ad arrivare all’obiettivo. La mia macchina preferita è un Windows Server 2008 R2 Server Core con ruolo di file server personale ed Hyper-V per il mio laboratorio. In questo ultimo caso ho dovuto documentarmi in modo un po’ più approfondito, come spesso accade con la Server Core, non essendo sempre disponibili tutti gli strumenti amministrativi come nel caso dell’edizione Full.
Ho quindi voluto condividere sul nostro Blog i passi che ho seguito, che sono illustrati nel seguito.
Per installare la feature “Bitlocker” si deve eseguire il seguente comando:
start /w ocsetup BitLocker
nota: “L” maiuscola perché le feature sono riconosciute in modo “case sensitive”, il seguente riferimento contiene una lista delle feature che possono essere abilitate tramite ocsetup: http://technet.microsoft.com/en-us/magazine/dd673656.aspx.
Per l’encription del drive di boot e/o di sistema, nella modalità che detiene la chiave nel sottosistema TPM, si renderà necessario iniziaizzare il sottosistema stesso. Per ottenere questo scopo ci sono due alternative:
- Console amministrativa “TPM management”. Essa è in grado di operare remotamente, tuttavia nella sua normale configurazione locale non è immediatamente disponibile un’opzione per connettersi ad un’altro computer. Per arrivare allo scopo si può eseguire una mmc vuota (start/run/mmc) ed aggiungere manualmente (File, Add/ Remove Snap-in) una console di tipo “TPM management”, in questa fase sarà quindi possibile selezionare se operare localmente o remotamente, specificando il nome del computer remoto.
- Utility manage-bde con l’opzione -tpm. Useremo questa utility anche nel seguito. I dettagli delle opzioni di questa utility, compresa l’opzione -tpm sono elencate nella seguente pagina di documentazione su Microsoft TechNet: http://technet.microsoft.com/en-us/library/dd875513(WS.10).aspx.
Nota: il sottosistema TPM può necessitare di essere abilitato ed eventualmente inizializzato anche a livello di BIOS. Questa operazione deve essere fatta prima dell’inizializzazone a livello di sistema operativo. Non entrerò nei dettagli di questa parte perché è specifica dei singoli BIOS forniti dagli OEM (Original Equipment Manufacturer).
Per iniziare la cifratura dei dischi si userà ancora il comando manage-bde.exe da command prompt. Esso può essere eseguito sia localmente, sul Server Core, che remotamente; per questa seconda modalità l’opzione -cn (abbreviazione di -ComputerName) permette di specificare la macchina remota sulla quale il comando verrà applicato. Il comando più comune e semplice per la cifratura sarà il seguente:
manage-bde.exe -on X: -rp [-cn <computername>]
dove X: è il volume sul drive che si intende cifrare (tipicamente si inizierà da C:).
E’ importante notare che il parametro associato a -rp, NumericalPassword, è opzionale. Lasciandolo non specificato ne viene generata una automaticamente. Lasciare che la password sia generata automaticamente è comodo per il fatto che la stessa è soggetta a certi vincoli e quindi non è possibile scegliere una qualsiasi sequenza di cifre. E’ raccomandabile salvarla e stamparla e porla in luogo sicuro secondo le stesse modalità che la documentazione per il caso comune (non Server Core) illustra.
Operando remotamente è opportuno lavorare in un command prompt non elevato, in questa situazione infatti, se ci si dimenticasse di specificare -cn (-ComputerName), si eviterà l’encryption non desiderata su una macchina che non era la destinazione del comando. Al contrario l’elevazione locale non serve per operare come amministraztore sul server di destinazione.
Sempre con l’utility manage-bde si potrà monitorare il procedere dell’encryption:
manage-bde -status [-cn <computername>]
l’output in questo caso sarà una serie di informazioni per ciascun disco nel sistema, una di esse è il progredire dell’encription in termini percentuali.
Per sbloccare manualmente un drive, dopo un reboot senza aver configurato l’autounlock, e per impostare quest’utima modalità saranno necessari rispettivamente i seguenti due comandi:
manage-bde -unlock X: -rp ******-******-******-******-******-******-******-******
manage-bde -autounlock -enable X:
Nota: ******-******-******-******-******-******-******-****** rappresenta la password numerica che era stata messa in output dal comando manage-bde -on mostrato precedentemente.
L’obiettivo di questo post è di illustrare come eseguire certi passi, che nella versione Full del sistema operativo sono abbastanza agevoli, da command line e/o remotamente sulla Server Core. Relativamente ai meccanismi specifici di Bitlocker raccomando di documentarsi, p.es. facendo rifetimento ai link indicati, e di capirne dettagliatamente i meccanismi su cui si basa. Raccomando inoltre di mantenere sempre una copia delle password numeriche o di altro tipo per riacquisire l’accesso ai dati cifrati in caso di problemi. E’ infatti importante sapere che per ogni problema che portasse alla perdita delle chiavi a disposizione del sistema (memorizzate nel TPM, su file o dispositivi di storage esterni), solo la disponibilità delle password e/o chiavi permette di sbloccare i propri dispositivi e riaquistare l’accesso ai dati memorizzati su di essi.
Fabio Lavatelli
Escalation Engineer
Microsoft Enterprise Platform Support