Già da qualche mese tanti professionisti e utenti aziendali segnalavano la comparsa di uno strano errore 65000 con BitLocker, la nota soluzione integrata in Windows che permette di crittografare partizioni, volumi e interi sistemi. Adesso, dopo una serie di verifiche, Microsoft ha confermato l’esistenza del problema che sembra interessare le macchine gestite attraverso BitLocker Configuration Service Provider (CSP).
CSP è un componente software che offre un insieme di configurazioni e impostazioni gestite tramite MDM (Mobile Device Management) o altre soluzioni di amministrazione centralizzata dei dispositivi. BitLocker CSP contiene un set di parametri che concorrono a controllare e personalizzare il comportamento di BitLocker su un dispositivo Windows. Questi parametri possono essere utilizzati per implementare politiche di sicurezza, definire le opzioni crittografiche, abilitare o disabilitare determinate funzionalità di BitLocker e altro ancora.
Da cosa dipende l’errore 65000 con BitLocker
Microsoft spiega che negli ambienti di rete in cui è in uso BitLocker CSP, i sistemi client come Windows 11 22H2, Windows 10 22H2, Windows 11 21H2, Windows 10 21H2 e Windows 10 Enterprise LTSC 2019 possono esporre l’errore 65000. I sistemi interessati dalla problematica sono quelli che usano politiche di cifratura dei dati con BitLocker quali FixedDrivesEncryptionType e SystemDrivesEncryptionType.
Entrambe le policy permettono di configurare il tipo di crittografia utilizzato da Crittografia unità BitLocker. La crittografia completa permette di richiedere la cifratura dell’intera unità; la cifratura del solo spazio utilizzato si limita a intervenire sui dati effettivamente memorizzati. La differenza sta che nel primo caso, la preferenza ha effetto sulle varie unità di memorizzazione collegate con il sistema; nel secondo, invece, sull’unità di sistema ove risulta installato Windows 10 o Windows 11.
Il problema dell’errore 65000 non interessa invece alcuna versione di Windows Server.
Come risolvere l’errore 65000 BitLocker
Allo stato attuale, Microsoft non ha ancora rilasciato alcun aggiornamento correttivo. I tecnici sono attualmente al lavoro per sanare la situazione ma l’azienda non condivide una data per il possibile rilascio della patch.
Nel frattempo, l’azienda guidata da Satya Nadella si limita a consigliare di disattivare semplicemente le policy in questione, fintanto che il problema non sarà risolto.
L’intervento può essere effettuato anche da Microsoft Intune, piattaforma di gestione dei dispositivi e delle applicazioni basata su cloud. Intune consente agli amministratori IT di gestire in modo centralizzato dispositivi e applicazioni all’interno di un’organizzazione, facilitando le operazioni di messa in sicurezza e la conformità dei device.
In questo caso, le impostazioni da porre su “Non configurato” sono le due seguenti: “Applicare il tipo di crittografia delle unità nelle unità dati fisse” e “Applicare il tipo di crittografia delle unità nelle unità del sistema operativo“.
Cos’è possibile fare con BitLocker CSP
Utilizzando BitLocker CSP, gli amministratori IT possono definire e applicare in modo centralizzato le configurazioni di BitLocker su dispositivi gestiti all’interno di un ambiente aziendale. Gli amministratori di sistema e di rete possono specificare l’algoritmo di crittografia e le opzioni legate alla gestione della chiave, richiedere l’inserimento di una password per avviare il sistema operativo, configurare opzioni di recupero, stabilire l’integrazione con il chip TPM.
A questo proposito, ricordiamo che è diventato indispensabile impostare un PIN in BitLocker: il bypass di BitLocker e lo sblocco del sistema, con la conseguente possibilità per un aggressore di accedere a dati potenzialmente riservati, è possibile con un analizzatore logico e una dotazione piuttosto economica. Questo se BitLocker si appoggia soltanto al chip TPM e, quindi, la chiave di cifratura viaggia in chiaro tra tale componente e il processore.