Windows 11 24H2 cripta tutti i drive all'insaputa dell'utente (attivazione automatica di Bitlocker)

[Mozo]

https://www.zeusnews.it/n.php?c=30354

Con l'aggiornamento 24H2 di Windows 11, l'installazione (o la reinstallazione) del sistema operativo ha subito una modifica importante: l'attivazione automatica di Bitlocker.
...
l'attivazione di Bitlocker anche sulle partizioni di sistema ha un effetto secondario decisamente sgradito per quanti usano sistemi con un dual boot Windows-Linux e adoperano una partizione formattata NTFS su cui salvare i dati, accessibile da entrambi i sistemi.
Reinstallare Windows 11 in una situazione del genere significa ritrovarsi con la partizione NTFS criptata, e quindi inaccessibile da Linux.
...
Disabilitare Bitlocker durante l'installazione di Windows 11 è possibile, ma richiede di eseguire alcune operazioni particolari.
Una volta giunti alla schermata di scelta della regione, premere Shift+F10 per aprire un prompt dei comandi.
In quella finestra, digitare regedit e premere Invio per avviare l'Editor del Registro di Sistema.
Percorrere la struttura fino alla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker, fare click con il tasto destro su Bitlocker e selezionare Nuovo -> Valore Dword (32-bit).
Assegnare il nome PreventDeviceEncryption al valore così creato, e impostarlo a 1. Chiudere quindi l'Editor e il Prompt dei Comandi, e continuare con l'installazione.

[korda]

vabbeh... a posteriori ci metti comunque due minuti a rimediare con un manage-bde -off (a meno di non usare dischi meccanici da 1TB)

[Filoteo]

Eccellente, nel 2024 con la quantità di dati personali nei dispositivi della gente è inaccettabile avere dischi non criptati. Quanto scritto circa la perdita di prestazioni è errato, la differenza è ininfluente grazie alle CPU attuali equipaggiate con istruzioni AES per la cifratura (da oltre 10 anni a questa parte).

[DoctorStrange]

Eccellente, nel 2024 con la quantità di dati personali nei dispositivi della gente è inaccettabile avere dischi non criptati. Quanto scritto circa la perdita di prestazioni è errato, la differenza è ininfluente grazie alle CPU attuali equipaggiate con istruzioni AES per la cifratura (da oltre 10 anni a questa parte).

Scusa ma non sono d'accordo. Devo essere io a decidere se cifrare o meno i miei dati. Non qualcun'altro. Tanto meno un sistema operativo. In caso di compromissione, la responsabilità sarà solo mia.

[Filoteo]

Scusa ma non sono d'accordo. Devo essere io a decidere se cifrare o meno i miei dati. Non qualcun'altro. Tanto meno un sistema operativo. In caso di compromissione, la responsabilità sarà solo mia.

Puoi sempre disattivarla come spiegato sopra o non utilizzare Windows. Ritengo sia preferibile proteggere milioni di persone di default e scontentare per qualche minuto qualcuno piuttosto che l'alternativa.

[saxtro]

...
Quanto scritto circa la perdita di prestazioni è errato, la differenza è ininfluente grazie alle CPU attuali equipaggiate con istruzioni AES per la cifratura (da oltre 10 anni a questa parte).

Non è proprio cosi. Dipende dall'implementazione.
https://www.tomshw.it/hardware/windows- ... fino-al-45

Io sono per la linea di pensiero che qualsiasi installer debba chiedermi se e cosa "cifrare", almeno in una modalità di installazione per esperti.
Potrei decidere che mi basta cifrare una directory/partizione di 10Gb per i miei dati sensibili.

Cosi come potrei decidere che su alcune workstation, la cifratura non mi occorre affatto.

[korda]

...
Quanto scritto circa la perdita di prestazioni è errato, la differenza è ininfluente grazie alle CPU attuali equipaggiate con istruzioni AES per la cifratura (da oltre 10 anni a questa parte).

Non è proprio cosi. Dipende dall'implementazione.
https://www.tomshw.it/hardware/windows- ... fino-al-45

Io sono per la linea di pensiero che qualsiasi installer debba chiedermi se e cosa "cifrare", almeno in una modalità di installazione per esperti.
Potrei decidere che mi basta cifrare una directory/partizione di 10Gb per i miei dati sensibili.

Cosi come potrei decidere che su alcune workstation, la cifratura non mi occorre affatto.

...ma se sei già "esperto" ti accorgi subito della cifratura, sai attivare BitLocker dove ti pare (su quali volumi) e come ti pare (con o senza TPM, più il PIN o la passkey eventualmente). Così come sai rimuoverlo in un battito d'occhi, all'occorrenza (ancora più rapido se si tratta di un'installazione fresh con ancora poco materiale caricatovi sopra). Non ne vedo una necessità così impellente.

Viceversa, se non sei "esperto", appoggio di gran lunga il pensiero di @Filoteo

[Filoteo]

Non è proprio cosi. Dipende dall'implementazione.
https://www.tomshw.it/hardware/windows- ... fino-al-45

Potrei sbagliarmi, ma nell'articolo in inglese non vedo benchmark che mostra drop del 45% delle letture casuali, ma mi fido. Dovrebbero quindi migliorare l'implementazione. Ad esempio su Mac da anni la cifratura viene gestita direttamente dal SoC in maniera del tutto trasparente al sistema operativo permettendo un impatto prestazionale dello 0%. Analogo su iOS/Android. Ritengo comunque che la maggior parte degli utenti per la maggior parte degli utilizzi non se ne accorgerebbe giustificando quindi opt-out (ok durante install ci dovrebbe stare) piuttosto che opt-in.

[saxtro]

...cut...
...ma se sei già "esperto" ti accorgi subito della cifratura, sai attivare BitLocker dove ti pare (su quali volumi) e come ti pare (con o senza TPM, più il PIN o la passkey eventualmente). Così come sai rimuoverlo in un battito d'occhi, all'occorrenza. Non ne vedo una necessità così impellente.

Viceversa, se non sei "esperto", appoggio di gran lunga il pensiero di Filoteo

D'accordo su tutto. E' solo per una questione di efficienza e tempo da dedicare al setup.

@Filoteo infatti. Per fare tutti contenti basterebbe un flag, che di default è su "yes", ma all'occorrenza si possa settare su "No", quando desiderato.

[woddy68]

...
Quanto scritto circa la perdita di prestazioni è errato, la differenza è ininfluente grazie alle CPU attuali equipaggiate con istruzioni AES per la cifratura (da oltre 10 anni a questa parte).

Non è proprio cosi. Dipende dall'implementazione.
https://www.tomshw.it/hardware/windows- ... fino-al-45

Io sono per la linea di pensiero che qualsiasi installer debba chiedermi se e cosa "cifrare", almeno in una modalità di installazione per esperti.
Potrei decidere che mi basta cifrare una directory/partizione di 10Gb per i miei dati sensibili.

Cosi come potrei decidere che su alcune workstation, la cifratura non mi occorre affatto.

...ma se sei già "esperto" ti accorgi subito della cifratura, sai attivare BitLocker dove ti pare (su quali volumi) e come ti pare (con o senza TPM, più il PIN o la passkey eventualmente). Così come sai rimuoverlo in un battito d'occhi, all'occorrenza (ancora più rapido se si tratta di un'installazione fresh con ancora poco materiale caricatovi sopra). Non ne vedo una necessità così impellente.

Viceversa, se non sei "esperto", appoggio di gran lunga il pensiero di @Filoteo

"esperto" è un po' fuorviante, io sono esperto ? Forse un po' su Linux, ma se dovessi installare Windows non lo sarei, personalmente avrei dovuto cercare in rete come disabilitarlo.
Io non saprei dire se è giusto o sbagliato, ma mettere in fase di installazione un flag BitLocker, abilitato - disabilitato, avrebbe evitato all'utente esperto o inesperto che sia inutili passaggi e sarebbe stata un'opzione di facile implementazione.
Dopodiché per quel che mi riguarda Windows potrebbe anche bruciarli i dati, intanto io non lo uso.

[Stealth]

Resta sempre il problema che, quando si sfascia tutto, con una live recuperi i dati. Se è tutto criptato la vedo più complicata

[Filoteo]

Resta sempre il problema che, quando si sfascia tutto, con una live recuperi i dati. Se è tutto criptato la vedo più complicata

Quando si sfascia tutto recuperi dal backup.

[korda]

Resta sempre il problema che, quando si sfascia tutto, con una live recuperi i dati. Se è tutto criptato la vedo più complicata

Con la live riesci comunque a recuperare i dati da un sistema Linux criptato?

Edit: con la recovery key riesci a recuperare i dati anche da un Windows criptato con Bitlocker, ndr

Edit bis: considerato che in un'installazione standard per "inesperti" con Windows 11 devi aggiungere un'utenza con account Microsoft, non avresti nemmeno bisogno di appuntarti apposta da qualche parte la recovery key

[GjMan78]

Per una full-disk-encryption dalla live basta usare cryptsetup per mappare il disco decriptato e poi montare il dispositivo, non è nulla di complicato.
Se non hai perso la passphrase ovviamente.

[korda]

Per una full-disk-encryption dalla live basta usare cryptsetup per mappare il disco decriptato e poi montare il dispositivo, non è nulla di complicato.
Se non hai perso la passphrase ovviamente.

Non tutti sono così svegli

[Stealth]

Non tutti sono così svegli

Il punto mi sembrava proprio questo, e penso che riferirirsi ad un power user sia inutile, sa come fare per disattivarlo, attivarlo e gestirlo. Se invece vogliamo pensare al 98% (?) degli utenti di windows beh, la mia esperienza personale è che nulla è scontato. Non lo è che sappiano le password e tantomeno che facciano il backup. E poi vabbè. male che vada è tutto fatturato

[Mozo]

Premetto che non uso windows sui miei pc da anni, l'ultimo è stato xp.
Naturalmente per lavoro windows lo uso, ma non sono autorizzato ad amministrarlo per cui non è un mio problema.

Sono abbastanza soddisfatto degli interventi che chiariscono alcuni aspetti per me confusi, su ciò che si può fare per risolvere il problema che ho evidenziato in rosso nella mia citazione iniziale.

Ora, avendo consigliato ad amici e conoscenti l'installazione di Ubuntu in dual boot con partizione condivisa, mi verrà sicuramente richiesto di rimediare a questo nuovo problema.
Quale potrebbe essere una "semplice" procedura per decrittare la singola partizione condivisa?

[korda]

Premetto che non uso windows sui miei pc da anni, l'ultimo è stato xp.
Naturalmente per lavoro windows lo uso, ma non sono autorizzato ad amministrarlo per cui non è un mio problema.

Sono abbastanza soddisfatto degli interventi che chiariscono alcuni aspetti per me confusi, su ciò che si può fare per risolvere il problema che ho evidenziato in rosso nella mia citazione iniziale.

Ora, avendo consigliato ad amici e conoscenti l'installazione di Ubuntu in dual boot con partizione condivisa, mi verrà sicuramente richiesto di rimediare a questo nuovo problema.
Quale potrebbe essere una "semplice" procedura per decrittare la singola partizione condivisa?

Apri la sessione di Windows, lanci un terminale (cmd o powershell) con privilegi di admin, dai il comando manage-bde -off C:, aspetti...

...ogni tanto lancia manage-bde -status per verificare l'avanzamento della decriptazione. Qualche minuto, per un SSD, e avrai fatto.

[Mozo]

@korda Immagino di dover modificare quel C: con la lettera della partizione desiderata.
Grazie!

[saxtro]

Premetto che non uso windows sui miei pc da anni, l'ultimo è stato xp.
Naturalmente per lavoro windows lo uso, ma non sono autorizzato ad amministrarlo per cui non è un mio problema.

Sono abbastanza soddisfatto degli interventi che chiariscono alcuni aspetti per me confusi, su ciò che si può fare per risolvere il problema che ho evidenziato in rosso nella mia citazione iniziale.

Ora, avendo consigliato ad amici e conoscenti l'installazione di Ubuntu in dual boot con partizione condivisa, mi verrà sicuramente richiesto di rimediare a questo nuovo problema.
Quale potrebbe essere una "semplice" procedura per decrittare la singola partizione condivisa?

Apri la sessione di Windows, lanci un terminale (cmd o powershell) con privilegi di admin, dai il comando manage-bde -off C:, aspetti...

...ogni tanto lancia manage-bde -status per verificare l'avanzamento della decriptazione. Qualche minuto, per un SSD, e avrai fatto.

Oppure utilizzare dislocker su linux https://www.ilsoftware.it/focus/come-ap ... -da-linux/