Bloccare un volume protetto da BitLocker

BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e permette di crittografare volumi (compreso quello del sistema operativo) al fine di gestire minacce di furto dei dati o l’esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer.

Una tipica applicazione di BitLocker può essere quella di proteggere un volume su una chiavetta USB. Se si è utilizzato BitLocker in questo tipo di scenario si sarà notato che dopo aver protetto con BitLocker un volume lo si può sbloccare semplicemente inserendo la password, mentre non esiste una voce nel menu contestuale per bloccare il volume.

Per bloccare il menù è necessario riavviare il computer oppure utilizzare il seguente comando che però richiede i privilegi amministratore locale per essere eseguito:

manage-bde -lock [<drive letter>]

Per consentire ad utente non amministratore di bloccare il volume è possibile utilizzare la seguente procedura.

Passo 1: Creare un’operazione pianificata che esegue a richiesta tramite un account che ha i privilegi di amministratore locale il comando manage-bde -lock [<drive letter>] 

 

Passo 2: Creare un collegamento che permetta l’avvio dell’operazione pianificata a richiesta permettendo all’utente senza privilegi amministrativi di bloccare il volume protetto da BitLocker. Il collegamento dovrà eseguire il seguente comando:

schtasks.exe /run /tn “Nome operazione pianificata”

Per completezza di analisi riporto anche una soluzione che non ho testato trovata in questo forum https://superuser.com/questions/1127182/unlock-bitlocked-data-drive-as-standard-user-on-the-command-line in cui vengono suggerite alcune modifiche ai privilegi WMI che dovrebbero permettere ad un utente senza privilegi amministrativi di eseguire il comando per bloccare il volume protetto da BitLocker (a riguardo si veda anche Authorize WMI users and set permissions):