locked
Bitlocker: spostare disco di sistema su un altro PC RRS feed

  • Domanda

  • Salve,

    non ho trovato una risposta chiara sul web a proposito di uno scenario che reputo potenzialmente piuttosto frequente...

    Se utilizzo bitlocker per proteggere un disco di sistema (win7 x64), scegliendo la modalità "solo TPM" con key salvata in AD, quali sono i passi da fare se devo spostare il disco su un altro computer?

    Nel caso che il "vecchio" computer riesca a fare il boot, da quanto ho capito è sufficiente sospendere bitlocker da pannello di controllo, poi spostare il disco, e infine ripristinare bitlocker una volta che il sistema è partito sul nuovo PC.

    Ma nel caso sia impossibile fare il boot sul "vecchio" computer - i.e. scheda madre saltata - e sono quindi costretto ad inserire il disco nel nuovo PC con bitlocker ancora attivo?

    In questo caso, all'avvio ovviamente mi parte la modalità bitlocker recovery, ovvero mi chiede la key. Io gliela inserisco e il boot avviene, ma poi, per rimettere bitlocker in modalità normale e non fargli più richiedere la key al boot,  basta sospenderlo, riavviare, e riattivarlo? O in questo scenario è necessario "spegnerlo" (turn off), decriptare il disco, riavviare e poi riattivarlo? (ovviamente spendendo molto più tempo)?

    Grazie,

     

    fabio

    venerdì 13 gennaio 2012 15:26

Risposte

  • Ciao, qui trovi la descrizione completa di come operare nella sezione "Depoyment ad administration".

    http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx

    Per per le prove che ho fatto posso dirti che in un caso come il tuo continua a richiedermi la chiave di sbloccoad ogni boot anche se lo sospendo e lo riavvio. Posso comunque dirti che per una tua sicurezza quando vai ad inserire un disco lockato in un nuovo pc c'è poco da fidarsi a lasciarlo su senza togliere il blocco e rimetterlo decrittando tutto e recrittando, perchè in caso salti anche il nuovo pc non so come possa comportarsi.

    Per quella che è la mia esperienza comunque, se salta un sistema e devo cambiare pc il disco lockato lo metto se proprio in secondario dopo aver tirato su il sistema del nuovo pc e presi fuori i dati lo riformatto...perchè dovrei metterlo come master disk? Sarò un sentimentale ma se mi salta una macchina a meno che quella sostituita non sia identica e non le è praticamente mai, mi piace partire da una situazione pulita e non portarmi dietro tutti i log ed i temp del vecchio sistema nemmeno se questo è possibile. Windows 7 ci mette 20 minuti a salire. Il gioco non vale la candela. 

    Ciao A.

    • Contrassegnato come risposta Anca Popa venerdì 20 gennaio 2012 11:22
    domenica 15 gennaio 2012 16:36
    Moderatore

Tutte le risposte

  • Ciao, qui trovi la descrizione completa di come operare nella sezione "Depoyment ad administration".

    http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx

    Per per le prove che ho fatto posso dirti che in un caso come il tuo continua a richiedermi la chiave di sbloccoad ogni boot anche se lo sospendo e lo riavvio. Posso comunque dirti che per una tua sicurezza quando vai ad inserire un disco lockato in un nuovo pc c'è poco da fidarsi a lasciarlo su senza togliere il blocco e rimetterlo decrittando tutto e recrittando, perchè in caso salti anche il nuovo pc non so come possa comportarsi.

    Per quella che è la mia esperienza comunque, se salta un sistema e devo cambiare pc il disco lockato lo metto se proprio in secondario dopo aver tirato su il sistema del nuovo pc e presi fuori i dati lo riformatto...perchè dovrei metterlo come master disk? Sarò un sentimentale ma se mi salta una macchina a meno che quella sostituita non sia identica e non le è praticamente mai, mi piace partire da una situazione pulita e non portarmi dietro tutti i log ed i temp del vecchio sistema nemmeno se questo è possibile. Windows 7 ci mette 20 minuti a salire. Il gioco non vale la candela. 

    Ciao A.

    • Contrassegnato come risposta Anca Popa venerdì 20 gennaio 2012 11:22
    domenica 15 gennaio 2012 16:36
    Moderatore
  • Grazie Alessandro,

    ho fatto anche io le prove, simulando entrambi gli scenari, ed in entrambi i casi è bastato il "Suspend" e la successiva riattivazione. Ovviamente nel caso del PC "morto", con spostamento del disco a bitlocker ancora attivo, al primo boot mi chiede la key, il che fa perdere un po' più di tempo.

    Ma ho scoperto un'altra piccola seccatura: se il "nuovo" PC non ha mai utilizzato il TPM, non è sufficiente abilitarne il chip da BIOS prima di spostarci il disco: quando vai a riattivare manualmente bitlocker, te lo impedisce, specificando che il TPM va inizializzato. E' una procedura di pochi secondi, e la password che ti chiede di creare la ritengo poco "sensibile", visto che il TPM, per le mie esigenze, è solo un requisito per Bitlocker.

    La cosa mi era ignota perché normalmente attiviamo Bitlocker durante una OSD Task Sequence, e a questo punto presumo che questo tipo di attivazione si occupi anche di inizializzare il TPM. L'unica cosa che facciamo prima di lanciare la TS è controllare che il  laptop abbia il chip TPM attivo.

    Venendo alle considerazioni di opportunità, ovviamente sono d'accordo che la totale disattivazione di Bitlocker, con conseguente unencrypting e poi re-encrypting, sia più sicura. La applicherò senz'altro quando il tempo sarà meno denaro del solito...

    Stesso ragionamento vale per l'opportunità o meno di riclonare il sistema invece di spostare direttamente il disco. Qui però i tempi si allungano parecchio, perché non solo devi avere il tempo di riclonare (e ti assicuro che la nostra Task Sequence prende più di venti minuti), ma anche di riversare i dati locali, che spesso non sono pochi!

    Per cui, a meno che il disco non contenga un sistema "vecchio", e/o che il guasto sia  potenzialmente imputabile all'HDD stesso, preferisco cmq lo spostamento del disco. Ma è una scelta dettata da esigenze contestuali, è ovvio che tecnicamente sia preferibile la tua.

    Ciao,

    fabio

    lunedì 16 gennaio 2012 12:03
  • Io uso acronis workstation pro 11. Appena uscito, fino ad ora usavo la 10. Per clonare anche i dischi loccati è una bomba. Costa un pochino come soluzione, però ti puoi prendere una licenza e tenerla per quando ti serve senza metterla su tutte le macchine. O meglio una NFR se sei un rivenditore come me. Costano il 50% in meno.

    Buon lavoro.

    A.

    lunedì 16 gennaio 2012 12:10
    Moderatore