none
BitLocker problema grave su client con Windows Seven Ultimate

    Domanda

  • su di un notebook Dell ( XPS 13 ) dopo aver inizializzato il TPM, ho attivato il BitLocker dopo aver impostato nei criteri di gruppo il livello di criptazione e come deve avvenire l'avvio ( ho settato chiave di avvio più pin ) i criteri di recupero.

    Al riavvio del pc, ho attivato il BitLocker che non ha dato problemi. Successivamente al riavvio, ho notato però che il BitLocker non ha chiesto nulla riguardo il pin. Ho pensato quindi che fosse un problema con i criteri di gruppo locali ( che ho impostato con gpedit.msc ) quindi ho disabilitato il BitLocker.

    Anche la disabilitazione non ha dato problemi. Ho resettato tutti i parametri dei criteri di gruppo locale per riavviare e reimpostare le stesse policy di autenticazione ed avvio con BitLocker ed in aggiunta ho settato anche l'autenticazione con smart card. al riavvio del pc, ho riabilitato il bitLocker ed al successivo riavvio del pc, il BitLocker è attivato e richiede la chiave di avvio, ma ancora non ha richiesto nulla riguardo pin o smart card ( ma non ha chiesto nemmeno dove salvare la chiave di ripristino ).

    Quindi ho ripetuto l'intera operazione di disabilitazione per riabilitarlo ( pensavo che dipendesse da una mancata individuazione dal parte del s.o. delle modifiche apportate ). Nel riabilitare il BitLocker compare un messaggio "Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker. Per attivare BitLocker, contattare l'amministratore del sistema.".

    Il computer, nonostante il messaggio è perfettamente funzionante ed accessibile. Ho provato a reimpostare un punto di ripristino ma seppur sia stato correttamente reimpostato ad uno stato precedente, il bitLocker è ancora inutilizzabile ( sono state resettate solo le modifiche sotto i criteri di gruppo locali ).

    Il BitLocker non dà altri messaggi di errore ( ne blue screen od altro ).

    L'unica cosa che mi viene in mente è una reinstallazione del s.o. ( o perlomeno dei componenti relativi al solo bitLocker ).

    vorrei avere conferma se il BitLocker quando correttamente attivato e configurato, cripta anche la directory C:\Windows\System32\config\.

    Infine vorrei sapere se sia possibile configurare il BitLocker con un lettore di impronte biometrico con smart card ( e se eventualmente servano ulteriori software che permettano i settaggi in questa autenticazione avanzata ).

    martedì 29 aprile 2014 13:12

Risposte

  • Premetto che prima di eseguire dei test con BitLocker è indispensabile eseguire un backup completo dei dati in quanto c'è comunque la possibilità che qualche impostazione non configurata correttamente impedisca l'avvio del pc (inoltre potrebbe non essere possibile nemmeno recuperare i dati in maniera diretta).

    Se vuoi forzare BitLocker a richiedere determinate tipologie di autenticazione in fase di avvio dovrai attivare il criterio "Richiedi autenticazione aggiuntiva all'avvio" con le impostazioni che vuoi configurare (ovviamente prima di attivare BitLocker). Infatti in fase di attivazione di BitLocker verranno impostate le tipologie di autenticazione specificate nella policy per l'avvio dell'hard disk del sistema operativo, senza richiedere nulla all'utente. Il problema è che se selezioni TPM+chiave+PIN (dal fingerprint reader) non potrai poi abilitare BitLocker tramite wizard ma dovrai utilizzare lo strumento da riga di comando:

    http://technet.microsoft.com/en-us/library/ff829873.aspx

    • Contrassegnato come risposta fortuna977 mercoledì 30 aprile 2014 19:57
    mercoledì 30 aprile 2014 17:00
  • Il messaggio di errore "Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker" compare in genere a causa di un'impostazione non corretta del criterio "Richiedi autenticazione aggiuntiva all'avvio" (Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo) nella Group Policy. Infatti se è richiesto più di un tipo di avvio verrà visualizzato quel messaggio di errore in fase di abilitazione. Verifica quindi che il criterio sia attivato e che sia selezionata una sola tipologia, ad esempio PIN con TPM.

    E' possibile anche che venga visualizzato quel messaggio se le Group policy non sono state completamente applicate.

    • Contrassegnato come risposta fortuna977 mercoledì 30 aprile 2014 16:06
    mercoledì 30 aprile 2014 15:53

Tutte le risposte

  • ti consiglio di leggere prima attentamente queste FAQ

    http://technet.microsoft.com/de-de/library/ee449438(v=ws.10).aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 30 aprile 2014 07:33
  • ho riletto con attenzione il link che mi ha segnalato, tant'è che avevo ltrovato e letto la guida in italiano posta sul link http://technet.microsoft.com/it-it/library/dd835565(v=ws.10).aspx.

    Quindi pur avendo riletto entrambi le guide non sono riuscito a trovare quanto accaduto nella casistica annoveratta dalle due guide, anche perché non c'è un messaggio di errore, inoltre non c'è stato un controllo integrità del sistema e del firmware o del bios ( P.C.R., M.B.R. ) che ha mandato in blocco l'avvio del BitLocker.

    Al successivo tentativo di riabilitazione del BitLocker è comparso il messaggio  "Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker. Per attivare BitLocker, contattare l'amministratore del sistema.". che per me è inspiegabile. Inoltre il tpm 1.2 è stato inizializzato correttamente  ( non ci sono stati messaggi di errore, attivandolo prima dal bios e poi inizializzandolo da gestione TPM ).  ------- non vedo altra soluzione che provare a reinstallare il s.o.. -------------------------------------------------------------Vorrei avere conferma se il BitLocker quando correttamente
    attivato e configurato, cripta anche la directory C:\Windows\System32\config\  .         

     
    mercoledì 30 aprile 2014 11:46
  • Vorrei avere conferma se il BitLocker quando correttamente
    attivato e configurato, cripta anche la directory C:\Windows\System32\config\  .         

     

    da quanto mi risulta Bitlocker cripta a livello di volumi perciò se cripti c:\ diventa tutto criptato.

    http://en.wikipedia.org/wiki/BitLocker


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 30 aprile 2014 13:32
  • Il messaggio di errore "Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker" compare in genere a causa di un'impostazione non corretta del criterio "Richiedi autenticazione aggiuntiva all'avvio" (Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo) nella Group Policy. Infatti se è richiesto più di un tipo di avvio verrà visualizzato quel messaggio di errore in fase di abilitazione. Verifica quindi che il criterio sia attivato e che sia selezionata una sola tipologia, ad esempio PIN con TPM.

    E' possibile anche che venga visualizzato quel messaggio se le Group policy non sono state completamente applicate.

    • Contrassegnato come risposta fortuna977 mercoledì 30 aprile 2014 16:06
    mercoledì 30 aprile 2014 15:53
  • ok ti ringrazio del supporto.
    mercoledì 30 aprile 2014 15:57
  • infatti ho riverificato tutto quanto impostato e deselezionando sotto criteri di gruppo locali, tutto quanto avevo attivato, è tornata possibile l'attivazione del BitLocker.

    Nel caso io volessi impostare come criterio, la chiave di ripristino salvata su penna usb e come criterio l'autenticazione con chiave di avvio più biometria ( fingerprint reader ) più TPM 1.2 quale voce dell'editor criteri di gruppo locali dovrei settare? tale settaggio deve essere applicato prima o dopo l'attivazione del BitLocker ( all'attivazione segue la criptazione del volume )?

    mercoledì 30 aprile 2014 16:05
  • Premetto che prima di eseguire dei test con BitLocker è indispensabile eseguire un backup completo dei dati in quanto c'è comunque la possibilità che qualche impostazione non configurata correttamente impedisca l'avvio del pc (inoltre potrebbe non essere possibile nemmeno recuperare i dati in maniera diretta).

    Se vuoi forzare BitLocker a richiedere determinate tipologie di autenticazione in fase di avvio dovrai attivare il criterio "Richiedi autenticazione aggiuntiva all'avvio" con le impostazioni che vuoi configurare (ovviamente prima di attivare BitLocker). Infatti in fase di attivazione di BitLocker verranno impostate le tipologie di autenticazione specificate nella policy per l'avvio dell'hard disk del sistema operativo, senza richiedere nulla all'utente. Il problema è che se selezioni TPM+chiave+PIN (dal fingerprint reader) non potrai poi abilitare BitLocker tramite wizard ma dovrai utilizzare lo strumento da riga di comando:

    http://technet.microsoft.com/en-us/library/ff829873.aspx

    • Contrassegnato come risposta fortuna977 mercoledì 30 aprile 2014 19:57
    mercoledì 30 aprile 2014 17:00
  • ho provato a fare qualche prova per meglio capire il messaggio di errore “Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker. Per attivare BitLocker, contattare l'amministratore del sistema”, ma seppur non ci sono problemi di accesso al pc, il perché compaia questo messaggio d'errore non è chiaro.

    Ho provato a Digitare gpedit.msc, sotto criteri computer locale poi sotto Modelli Amministrativi poi Componenti di Windows poi sotto Crittografia unità BitLocker poi sotto ‘Unità del sistema operativo’

    alla voce ‘Richiedi autenticazione aggiuntiva all’avvio’ clicco su Attivata e poi se si seleziona l’ultima voce ‘Richiedi chiave e PIN di avvio con il TPM’ oppure impostandola su ‘Consenti chiave e PIN di avvio con il TPM’ ( per poi cliccare su applica e chiudere la console gpedit.msc editor criteri di gruppo Locali ) impostando su 'Non consentire' le prime tre voci ( ‘Non consentire TPM’, poi non ‘consentire pin di avvio con il TPM’, poi ‘Non consentire chiave di avvio con il TPM’ ).

    Se successivamente si attiva il BitLocker compare il messaggio “Per questo computer è necessaria un'opzione di avvio non supportata dalla configurazione di BitLocker. Per attivare BitLocker, contattare l'amministratore del sistema.”.

    Stesso messaggio d’errore se le quattro voci sono settate su Richiedi …

    Stesso messaggio per le prime tre voci su Consenti e l’ultima su Richiedi …

    Se le quattro voci sono su Consenti ( e l’ultima è quindi è impostata su ‘Consenti chiave e PIN di avvio con il TPM’ ) all’attivazione del BitLocker è permesso di scegliere o TPM più chiave o TPM più pin ( o ‘Usa BitLocker senza chiavi aggiuntive’ ), ma non è consentito TPM 1.2 più chiave di avvio più pin.

    Non c’è invece lo stesso messaggio di errore se, aprendo l’editor criteri di gruppo locali con gpedit.msc, si và sotto criteri computer locale poi sotto Modelli Amministrativi poi Componenti di Windows poi sotto Crittografia unità BitLocker poi sotto ‘Unità del sistema operativo’

    alla voce ‘Richiedi autenticazione aggiuntiva all’avvio (Windows Server 2008 e Windows Vista)’ se si imposta richiedi pin all’avvio con TPM e richiedi chiave usb all’avvio con TPM, non ci sono messaggi di errore.

    Riguardo la riga di comando manage-bde ho trovato indicazioni utili riguardo la configurazione pin + chiave di avvio più tpm come ad esempio

    manage-bde -protectors -add c: -TPMAndPIN 1234 presumo che la startupKey vada aggiunta con manage-bde -protectors -add c: -StartupKey F: inserendo poi in F: la penna usb da destinare a chiave di avvio ( credo che però dovrei attivare sempre da command-line il bitLocker ).

    Riguardo invece la smartcard ho trovato dei link che indicano di attivarla tramite la configurazione guidata dell'editor dei criteri gruppi locali ( nel percorso Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives ). Lo stesso link però dice di effetturare la configurazione del tpm 1.2 più pin più chiave di avvio dall’editor dei criteri di gruppo. E’ corretto attivare la smartcard così?

    Riguardo invece il fingerprint reader, non ho trovato nessuna stringa o voce che permettesse di configurarne uno. E' possibile configurarli?

     


    • Modificato fortuna977 giovedì 1 maggio 2014 20:51
    giovedì 1 maggio 2014 20:45
  • Purtroppo il comportamento del wizard è per certi versi un po' imprevedibile quando si utilizzano quei criteri, quindi ti consiglio di utilizzare sempre la linea di comando.

    Per l'utilizzo delle SmartCard con BitLocker fai riferimento a questa guida:

    http://technet.microsoft.com/it-it/library/dd875530(v=ws.10).aspx

    Per quanto riguarda il fingerprint reader in realtà non è presente un supporto nativo, quindi la possibilità di utilizzarlo o meno in fase di autenticazione dipende dalla capacità del software di interfacciarsi con i metodi di autenticazione di Windows. Solitamente per i notebook Dell c'è un software apposito (Dell Data Protection) che sostituisce o integra la gestione di Windows. Permette di proteggere l'accesso con impronte, smartcard, PIN e di crittografare l'intero disco (anche con la tecnologia BitLocker), ma non so se è incluso gratuitamente anche negli XPS (ma non mi sembra).

    http://www.dell.com/learn/us/en/19/campaigns/dell-data-protection-solutions


    venerdì 2 maggio 2014 10:40