Crittografia e protezione dei dati

• Si applica a:

  Windows 11

Quando le persone viaggiano con i loro PC, le loro informazioni riservate viaggiano con loro. Ovunque vengano archiviati, i dati riservati devono essere protetti da accessi non autorizzati, tramite furto di dispositivi fisici o applicazioni dannose.

BitLocker

BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo per affrontare le minacce di furto o esposizione dei dati da dispositivi smarriti, rubati o non correttamente rimossi. Usa l'algoritmo AES in modalità XTS o CBC con lunghezze di chiave a 128 bit o a 256 bit per crittografare i dati nel volume. Durante l'installazione iniziale, quando BitLocker è abilitato durante la Configurazione guidata e l'utente accede al proprio account Microsoft per la prima volta, BitLocker salva automaticamente la password di ripristino nell'account Microsoft per il recupero, se necessario. Gli utenti hanno anche la possibilità di esportare la password di ripristino se abilitano manualmente BitLocker. Il contenuto della chiave di ripristino può essere salvato nell'archiviazione cloud in OneDrive o Azure^[4].

Per le organizzazioni, BitLocker può essere gestito tramite Criteri di gruppo o con una soluzione di gestione dei dispositivi come Microsoft Intune^[3]. Fornisce la crittografia per il sistema operativo, i dati fissi e le unità dati rimovibili (BitLocker To Go), usando tecnologie come Hardware Security Test Interface (HSTI), Modern Standby, UEFI Secure Boot e TPM.

Novità di Windows 11 versione 24H2

La schermata di ripristino dell'avvio preliminare di BitLocker include l'hint dell'account Microsoft (MSA), se la password di ripristino viene salvata in un account del servizio gestito. Questo suggerimento consente all'utente di comprendere quale account dell'account del servizio gestito è stato usato per archiviare le informazioni sulla chiave di ripristino.

Ulteriori informazioni

• Panoramica di Bitlocker

BitLocker To Go

BitLocker To Go fa riferimento a BitLocker nelle unità dati rimovibili. BitLocker To Go include la crittografia delle unità flash USB, delle schede SD e delle unità disco rigido esterne. Le unità possono essere sbloccate usando una password, un certificato in una smart card o una password di ripristino.

Ulteriori informazioni

• Domande frequenti su BitLocker

Crittografia dispositivo

La crittografia dei dispositivi è una funzionalità di Windows che semplifica il processo di abilitazione della crittografia BitLocker in determinati dispositivi. Garantisce che solo l'unità del sistema operativo e le unità fisse siano crittografate, mentre le unità esterne/USB rimangono non crittografate. Inoltre, i dispositivi con porte accessibili esternamente che consentono l'accesso DMA non sono idonei per la crittografia dei dispositivi. A differenza dell'implementazione standard di BitLocker, la crittografia del dispositivo viene abilitata automaticamente per garantire la protezione continua. Una volta completata l'installazione pulita di Windows e completata l'esperienza predefinita, il dispositivo viene preparato per il primo uso con la crittografia già in atto.

Le organizzazioni hanno la possibilità di disabilitare la crittografia dei dispositivi a favore di un'implementazione completa di BitLocker. Ciò consente un controllo più granulare sui criteri e sulle impostazioni di crittografia, garantendo che siano soddisfatti i requisiti di sicurezza specifici dell'organizzazione.

Novità di Windows 11 versione 24H2

I prerequisiti di crittografia del dispositivo di DMA e HSTI/Modern Standby vengono rimossi. Questa modifica rende più dispositivi idonei per la crittografia automatica e manuale dei dispositivi.

Ulteriori informazioni

• Crittografia del dispositivo

Disco rigido crittografato

I dischi rigidi crittografati sono una classe di dischi rigidi auto crittografati a livello di hardware. Consentono la crittografia hardware su disco completo e sono trasparenti per l'utente. Queste unità combinano i vantaggi di sicurezza e gestione offerti da BitLocker, con la potenza delle unità con crittografia automatica.

Mediante l'offload delle operazioni di crittografia nell'hardware, i dischi rigidi crittografati migliorano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo energetico. Poiché le unità disco rigido crittografate crittografa rapidamente i dati, la distribuzione di BitLocker può essere espansa in tutti i dispositivi aziendali con un impatto minimo o nullo sulla produttività.

I dischi rigidi crittografati consentono di:

• Prestazioni senza problemi: l'hardware di crittografia integrato nel controller dell'unità consente all'unità di funzionare a velocità dati completa senza riduzione delle prestazioni
• Sicurezza avanzata basata sull'hardware: la crittografia è sempre attiva e le chiavi per la crittografia non lasciano mai il disco rigido. L'unità autentica l'utente in modo indipendente dal sistema operativo prima dello sblocco
• Facilità d'uso: la crittografia è trasparente per l'utente e l'utente non deve abilitarla. I dischi rigidi crittografati vengono facilmente cancellati usando una chiave di crittografia di onboarding. Non è necessario crittografare nuovamente i dati nell'unità
• Costo di proprietà inferiore: non è necessario che la nuova infrastruttura gestirà le chiavi di crittografia perché BitLocker usa l'infrastruttura esistente per archiviare le informazioni di ripristino. Il dispositivo funziona in modo più efficiente perché i cicli del processore non devono essere usati per il processo di crittografia

Ulteriori informazioni

• Disco rigido crittografato

Crittografia dei dati personali

Personal Data Encryption è un meccanismo di crittografia autenticato dall'utente progettato per proteggere il contenuto dell'utente. La crittografia dei dati personali usa Windows Hello for Business come schema di autenticazione moderno, con pin o metodi di autenticazione biometrica. Le chiavi di crittografia usate da Personal Data Encryption vengono archiviate in modo sicuro all'interno del contenitore Windows Hello. Quando un utente accede con Windows Hello, il contenitore viene sbloccato, rendendo disponibili le chiavi per decrittografare il contenuto dell'utente.

La versione iniziale di Personal Data Encryption in Windows 11 versione 22H2 ha introdotto un set di API pubbliche che le applicazioni possono adottare per proteggere il contenuto.

Novità di Windows 11 versione 24H2

Personal Data Encryption è ulteriormente migliorato con Personal Data Encryption per le cartelle note, che estende la protezione alle cartelle di Windows: Documenti, Immagini e Desktop.

Ulteriori informazioni

• Crittografia dei dati personali

crittografia Email

Email crittografia consente agli utenti di proteggere i messaggi di posta elettronica e gli allegati in modo che solo i destinatari previsti con un id o un certificato digitale possano leggerli^[8]. Gli utenti possono anche firmare digitalmente un messaggio, che verifica l'identità del mittente e garantisce che il messaggio non sia stato manomesso.

La nuova app Outlook inclusa in Windows 11 supporta vari tipi di crittografia della posta elettronica, tra cui Microsoft Purview Message Encryption, S/MIME e Information Rights Management (IRM).

Quando si usano S/MIME (Secure/Multipurpose Internet Mail Extensions), gli utenti possono inviare messaggi crittografati a persone all'interno dell'organizzazione e a contatti esterni che dispongono dei certificati di crittografia appropriati. I destinatari possono leggere i messaggi crittografati solo se hanno le chiavi di decrittografia corrispondenti. Se un messaggio crittografato viene inviato ai destinatari i cui certificati di crittografia non sono disponibili, Outlook chiede di rimuovere questi destinatari prima di inviare il messaggio di posta elettronica.

Ulteriori informazioni

• S/MIME per la firma e la crittografia dei messaggi in Exchange Online
• Introduzione al nuovo Outlook per Windows
• crittografia Email