Evitare l'attivazione di BitLocker durante l'installazione di Windows 11

BitLocker è una funzionalità di sicurezza, attivabile dagli utenti Windows, che provvede a proteggere i dati crittografando l’intero supporto di memorizzazione. La protezione è estesa all’intera unità in cui è installato il sistema operativo e la cifratura dei dati avviene utilizzando l’algoritmo crittografico AES.

In generale, dovrebbe essere l’utente a richiedere l’attivazione di BitLocker, soprattutto allorquando avesse l’esigenza di spostarsi con il proprio notebook da un luogo all’altro. Quando vi fosse il rischio di perdere il dispositivo, la possibilità che possa essere rubato o comunque che possa cadere nelle mani di utenti non autorizzati, allora l’esigenza di proteggere i dati con una soluzione come BitLocker si fa più pressante. Lo abbiamo chiarito nell’articolo su cos’è BitLocker e quando è da abilitare in ottica GDPR.

L’importante è non limitarsi all’utilizzo del chip TPM per la memorizzazione della chiave di cifratura usata da BitLocker. È essenziale impostare BitLocker per richiedere un PIN all’avvio. Diversamente, sono possibili diverse modalità di attacco che consentono di sbloccare i sistemi protetti con BitLocker, senza l’autorizzazione del legittimo proprietario del sistema, anche nelle configurazioni più moderne.

Microsoft può attivare BitLocker all’insaputa dell’utente

La tendenza è che Microsoft attivi automaticamente BitLocker sempre più spesso, già durante l’installazione di Windows. In passato abbiamo raccontato casi di utenti che lamentavano di non riuscire ad accedere al proprio PC, dopo una modifica importante a livello hardware (ad esempio sul BIOS), perché veniva loro richiesta la chiave di ripristino BitLocker.

La chiave di ripristino è una chiave di accesso alternativa utilizzata per sbloccare l’unità crittografata BitLocker nel caso in cui l’utente abbia perso la password o si verifichi un problema con il riconoscimento della chiave principale. È una misura di sicurezza importante per garantire che l’utente non perda l’accesso ai propri dati crittografati. Questa preziosa informazione può essere salvata in diversi modi: sotto forma di file, sull’account Microsoft dell’utente o stampata su carta.

Talvolta, però, gli utenti non sono neppure consapevoli che sul loro sistema sia abilitato BitLocker. Lo abbiamo spiegato nell’articolo in cui chiariamo quando e perché BitLocker è attivato automaticamente su Windows 10 Home e Windows 11 Home.

Attivazione Bitlocker durante l’installazione di Windows 11: ecco come evitarla

L’attivazione di BitLocker per impostazione predefinita, sarà estesa a un numero sempre più ampio di sistemi. Soprattutto da quando Windows 11 24H2 sarà pubblicato e distribuito in versione finale.

BitLocker è certamente una funzionalità utile in molteplici frangenti ma lo scotto si paga in termini di prestazioni: è noto che la cifratura software-based (XTS-AES 128) su Windows, può portare a cali di performance significativi anche sulle unità più veloci, come i moderni SSD PCIe Gen4 NVMe.

Un software libero come Rufus permette di creare un supporto d’installazione di Windows 11 che non attiva BitLocker. Lo fa predisponendo un file chiamato unattended.xml che al suo interno ospita la direttiva PreventDeviceEncryption. Maggiori informazioni sull’installazione Unattended di Windows 11 sono disponibili in un nostro articolo dedicato.

Per evitare l’attivazione di BitLocker durante la fase d’installazione di Windows 11 si può tuttavia procedere anche dal supporto d’installazione originale, scaricato dai server Microsoft o creato con il Media Creation Tool (vedere la pagina Download Windows 11): lo vediamo al paragrafo seguente.

Impedire l’abilitazione di BitLocker con una modifica sul registro di sistema

Utilizzando il supporto d’installazione di Windows 11 scaricato dai server Microsoft sotto forma di file ISO oppure creato con il Media Creation Tool, al momento del boot del sistema da tale unità, si sceglieranno il layout di tastiera, il fuso orario e la regione preferiti. Premendo la combinazione di tasti MAIUSC+F10, si può far comparire il prompt dei comandi.

A questo punto, va semplicemente digitare quanto segue, per poi chiudere il prompt dei comandi e continuare normalmente l’installazione di Windows 11:

reg add HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 /f

Effettuando questo semplice passaggio, si ha la certezza che BitLocker non sia attivato da Windows 11 nel corso dell’installazione del sistema operativo.

Credit immagine in apertura: iStock.com – NguyenDucQuang