Come disattivare BitLocker in Windows 11

La crittografia dei dati è un aspetto chiave per la sicurezza dei moderni sistemi Windows. In particolare, BitLocker e Crittografia dispositivo rappresentano due soluzioni utilizzate per proteggere le informazioni conservate nelle unità di memorizzazione, in modo da renderle inaccessibili in caso di furto o compromissione del dispositivo. Disattivare BitLocker in Windows 11 può essere necessario in diverse situazioni, sia per motivi di sicurezza che per esigenze tecniche.

Da parte nostra manteniamo BitLocker attivo sui nostri sistemi utilizzando però la protezione TPM più PIN, unica configurazione a offrire una valida protezione contro i molteplici tentativi di attacco che possono essere sferrati da chi ha la disponibilità fisica del dispositivo e ha l’interesse di decifrare i dati memorizzati.

A patto che si utilizzi la crittografia hardware, quindi basata su chip TPM, l’impatto prestazionale di BitLocker è minimo, seppur misurabile e facilmente riscontrabile. Tuttavia, in determinate circostanze, come problemi di compatibilità con software di terze parti, necessità di reinstallazioni o imaging di sistema, modifiche significative sulla configurazione del sistema, applicazione di aggiornamenti firmware o TPM, potrebbe rendersi necessario disattivare BitLocker o la Crittografia dispositivo.

BitLocker e Crittografia dispositivo: cosa cambia

Sebbene Crittografia dispositivo si basi sulla stessa tecnologia di BitLocker, può essere pensata un po’ come una versione “light” di quest’ultimo strumento.

Come abbiamo visto nell’articolo sulle differenze tra BitLocker e Crittografia dispositivo, i due strumenti sono simili nel fine (proteggere i dati cifrando l’unità di memorizzazione), ma differiscono per funzionalità, ambito di utilizzo e attivazione. Crittografia dispositivo usa BitLocker “sotto il cofano”, ma in modo semplificato e con meno controllo da parte dell’utente.

Caratteristica	BitLocker	Crittografia dispositivo
Edizioni supportate	Windows Pro, Enterprise, Education	Windows Home (Pro su hardware idoneo)
Controllo da utente/admin	Completo (interfaccia, opzioni, password,…)	Minimo, spesso automatizzato
Gestione delle unità	Tutte le unità (sistema, dati, USB)	Solo unità di sistema
Integrazione con Active Directory/Azure	✅ (opzionale)	✅ (solo con account Microsoft o Azure AD)
Attivazione	Manuale o tramite criteri di gruppo	Automatizzata in fase di configurazione iniziale
Chiave di ripristino	Gestita dall’utente o dominio	Salvata su cloud Microsoft

Come verificare se BitLocker o Crittografia dispositivo Windows sono abilitati

Premete Windows+R, digitate control quindi cliccate su Crittografia unità BitLocker. Qui è possibile verificare lo stato di ciascuna unità: se c’è scritto BitLocker attivato, allora la protezione crittografica risulta abilitata.

In alternativa, si può digitare cmd nella casella di ricerca di Windows 11 quindi scegliere Esegui come amministratore e infine digitare:

manage-bde -status

La presenza dell’indicazione Crittografia completata conferma che la protezione crittografica è attiva. Tenete presente che Windows 11 restituisce lo stato di BitLocker su ciascuna delle unità collegate al sistema. Assicurarsi di prendere in esame la configurazione dell’unità C:.

Anche il seguente comando PowerShell, restituisce indicazioni simili:

Get-BitLockerVolume

Ancora, aprite una finestra PowerShell (Windows+X, Terminale Admin) e scrivete quanto segue:

Get-ComputerInfo -Property "DeviceEncryption*"

Se il valore di DeviceEncryptionStatus è 1, allora Crittografia dispositivo è attiva. Se 0, è disattivata. Se nulla viene restituito, non è supportata (ed è normale sui sistemi diversi dalla edizione Home).

Quand’è che Windows 11 attiva Crittografia dispositivo?

Windows 11 attiva automaticamente Crittografia dispositivo se sono contemporaneamente soddisfatte tutte le seguenti condizioni, sui sistemi Windows Home e alcuni Windows Pro:

• Il dispositivo ha un chip TPM 2.0.
• Secure Boot è attivo.
• Il dispositivo supporta Modern Standby.
• L’utente effettua l’accesso con un account Microsoft o Azure Active Directory.
• Il disco è GPT (non MBR).

In questo caso, non appena si completa la prima configurazione del PC, Windows provvede a crittografare automaticamente l’unità di sistema e salva la chiave di ripristino nell’account Microsoft specificato.

La chiave di ripristino è un codice numerico di 48 cifre che serve a sbloccare un’unità crittografata con BitLocker nel caso in cui non fosse possibile usare il metodo di sblocco abituale (i.e. TPM, PIN o password). È una misura di emergenza per garantire l’accesso ai dati anche in caso di problemi hardware, modifiche al sistema o smarrimento delle credenziali.

Si può trovare la chiave di ripristino BitLocker nella pagina Chiavi di ripristino di BitLocker dopo aver effettuato il login con nome utente (indirizzo email) e password associati all’account Microsoft specificato durante l’installazione di Windows 11.

E BitLocker?

Diversamente rispetto a Crittografia dispositivo, in generale BitLocker non si attiva automaticamente. Ciò può avvenire soltanto in alcuni casi ben precisi:

• Se la macchina si trova in un dominio aziendale con policy di gruppo (GPO) o con Intune configurato per abilitare BitLocker.
• Si utilizza un dispositivo fornito da un’azienda con profilo preconfigurato.
• In ambienti Azure AD o in cui si utilizzano soluzioni MDM (Mobile Device Management), BitLocker può essere abilitato al primo accesso.

I passaggi per disattivare BitLocker in Windows 11

Come visto in precedenza, si può premere Windows+R, digitare control quindi cliccare su Crittografia unità BitLocker per poi fare clic su Disattiva BitLocker.

In alternativa, per disattivare BitLocker e Crittografia dispositivo su Windows 11, basta digitare cmd nella casella di ricerca di Windows, selezionare Esegui come amministratore quindi scrivere quanto segue:

manage-bde -off C:

In questo modo si chiede di disattivare BitLocker o Crittografia dispositivo sull’unità di sistema di Windows 11.

La decifratura dei dati è progressiva: non interrompete il processo, ad esempio spegnendo, riavviando o mettendo in sospensione/ibernazione il PC. Attendete invece la fine delle operazioni di decodifica. Digitate più volte manage-bde -status C:, il valore di Percentuale completamento crittografia deve progressivamente scendere fino allo 0%.

Nel caso di Crittografia dispositivo, potete premere Windows+I, cliccare su Privacy e sicurezza, Crittografia dispositivo e infine selezionare Disattiva.

In caso di problemi, tenete sempre da parte la chiave di ripristino: in un altro articolo abbiamo visto come sbloccare BitLocker dal supporto d’installazione di Windows.

Come disattivare BitLocker durante l’installazione di Windows 11

Abbiamo detto che per impostazione predefinita, quando ricorrono le condizioni, alcune edizioni di Windows 11 provvedono ad attivare automaticamente Crittografia dispositivo durante l’installazione di Windows 11.

I trucchi che permettono di installare Windows 11 senza connessione di rete e senza account Microsoft, oppure la modalità di installazione non presidiata basata su file unattend.xml o autounattend.xml fanno sì che l’attivazione automatica di BitLocker non avvenga durante il setup di Windows 11.

Un tool come Rufus, che permette di predisporre chiavette avviabili contenenti l’installazione di Windows 11, aggiunge al supporto USB di boot un file \sources\$OEM$\$$\Panther\unattend.xml. Spuntando la casella Disabilita la crittografia automatica dei dispositivi BitLocker in fase di creazione del supporto, all’interno di tale file vengono inseriti questi riferimenti:

<PreventDeviceEncryption>true</PreventDeviceEncryption>

<TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>

Con queste impostazioni, BitLocker non è attivato automaticamente durante l’installazione di Windows 11 e la crittografia sarà inibita all’avvio del sistema.

Credit immagine in apertura: iStock.com – filo