Если зашифровать системный раздел диска Windows 10 с помощью BitLocker без модуля TPM, то уже на этапе подготовки шифрования вам будет предложен метод разблокировки с помощью пароля, который можно будет выбрать, указать пароль, который потребуется вводить всякий раз ещё до загрузки системы.
Однако, если ваш ноутбук или компьютер оснащён модулем TPM, такой вариант предложен не будет: диск будет успешно зашифрован, но запрос пароля появляться не будет: ключи, необходимые для разблокирования будут храниться в соответствующем чипе вашего устройства. При желании это поведение можно изменить и сделать так, чтобы пароль (или, точнее, ПИН-код, который может содержать не только цифры) запрашивался каждый раз при включении как дополнительная мера защиты.
Включение запроса ПИН-кода (пароля) для зашифрованного системного диска Windows 10
Прежде чем приступить, учитывайте: все описанные далее действия удобнее выполнять ещё до начала шифрования. Вы можете поступить одним из следующих способов:
- Если системный диск уже зашифрован, то сначала расшифровать его. Для этого вы можете нажать правой кнопкой мыши по диску, выбрать пункт контекстного меню «Управление BitLocker», а затем «Отключить BitLocker», подтвердить расшифровку и дождаться завершения процесса. Затем перейти к далее описанным шагам 1-5.
- Не расшифровывая диск. Перед этим настоятельно рекомендую сохранить ключ восстановления BitLocker в учетной записи Майкрософт или где-либо ещё, сделать это можно, открыв контекстное меню диска и выбрав пункт «Управление BitLocker», а затем — «Архивировать ключ восстановления». Далее выполнить шаги 1-5, после этого запустить командную строку от имени администратора и ввести команду
manage-bde -protectors -add c: -TPMAndPIN
В результате выполнения вам предложат задать ПИН-код, который в дальнейшем будет запрашиваться при включении. Однако, этот подход не всегда срабатывает, а даже в случае успеха, управление ПИН-кодом в разделе «Управление BitLocker» диска может быть недоступным.
Сам порядок действий для включения пароля (ПИН-кода) при использовании TPM (доверенного платформенного модуля) будет состоит из следующих шагов:
- Нажмите клавиши Win+R на клавиатуре (клавиша Win — это клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter для запуска редактора локальной групповой политики.
- В редакторе локальной групповой политики перейдите к разделу Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы.
- Найдите пункт «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», дважды нажмите по нему и установите «Включено».
- В поле «Настройка ПИН-кода запуска доверенного платформенного модуля» установите «Разрешить ПИН-код запуска с доверенным платформенным модулем», примените настройки.
- Если вы не хотите ограничиваться ПИН-кодом из цифр, в том же разделе редактора локальной групповой политики включите параметр «Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера» и примените настройки.
После того, как описанные шаги были проделаны, вы можете снова запустить шифрование диска BitLocker (правый клик по диску в проводнике — включить BitLocker) и задать использование ПИН-кода для расшифровки, либо включить ПИН-код уже после выполнения шифрования: заходим в управление BitLocker в контекстном меню диска и нажимаем «Изменение способа разблокировки диска при загрузке», там же можно изменить ПИН-код.
Если вы забудете ПИН-код, то для расшифровки тома BitLocker потребуется ввести ключ восстановления, сохранить или распечатать который пользователю предлагается при первоначальном шифровании раздела диска.
- Remove From My Forums
-
Question
-
Hi I’ve got a problem with bitlocker on my PC Windows Pro. If I try to encrypt an external device (SDHC, USB disk, etc) everything works fine and bitlocker ask me to prompt a password for the device, before generating the recovery key, but when I try the
same for the local disk (C:) it doesn’t ask me anymore a password and just go straight to generate the recovery key, proceeding with the encryption. At the end, one I reboot the PC, the system doesn’t prompt me for a bitlocker password, but only for windows
login as usual. Finally, if I go in the menu option for the bitlocker feature of C: volume it doesn’t show me the option to change the password.THere is no way to make it works (I’ve tried also by CLI, with manage-bde commands).
This problem is the same as here (unresolved): https://answers.microsoft.com/en-us/windows/forum/windows_10-security/changing-bitlocker-password-windows-10/847a428f-2679-4573-9921-906a01b5a87c
Also, it seems to be similar to the following: https://social.technet.microsoft.com/Forums/en-US/8d4f69d4-08c9-4b5b-b70a-e544e5a2fe5b/bitlocker-password-not-requested?forum=win10itprosecurity
In the last one someone argues it must be related to the TPM module, but I dont’ know how to make it works (solutions proposed in that topic is not applicable for me).
THamk you in advance guys
- Remove From My Forums
-
Question
-
Hi I’ve got a problem with bitlocker on my PC Windows Pro. If I try to encrypt an external device (SDHC, USB disk, etc) everything works fine and bitlocker ask me to prompt a password for the device, before generating the recovery key, but when I try the
same for the local disk (C:) it doesn’t ask me anymore a password and just go straight to generate the recovery key, proceeding with the encryption. At the end, one I reboot the PC, the system doesn’t prompt me for a bitlocker password, but only for windows
login as usual. Finally, if I go in the menu option for the bitlocker feature of C: volume it doesn’t show me the option to change the password.THere is no way to make it works (I’ve tried also by CLI, with manage-bde commands).
This problem is the same as here (unresolved): https://answers.microsoft.com/en-us/windows/forum/windows_10-security/changing-bitlocker-password-windows-10/847a428f-2679-4573-9921-906a01b5a87c
Also, it seems to be similar to the following: https://social.technet.microsoft.com/Forums/en-US/8d4f69d4-08c9-4b5b-b70a-e544e5a2fe5b/bitlocker-password-not-requested?forum=win10itprosecurity
In the last one someone argues it must be related to the TPM module, but I dont’ know how to make it works (solutions proposed in that topic is not applicable for me).
THamk you in advance guys
На чтение 8 мин. Просмотров 1.6k. Опубликовано 03.09.2019
Один из лучших способов защитить ваши данные – это зашифровать их, и многие пользователи используют BitLocker для этого. Несмотря на то, что BitLocker – отличная функция, некоторые пользователи сообщали о проблемах с экраном запроса пароля BitLocker в Windows 10.
Содержание
- Проблема с подсказкой пароля BitLocker в Windows 10, как это исправить?
- Решение 1. Введите ваш PIN-код вслепую
- Решение 2. Удалите проблемное обновление и переустановите его.
- Решение 3 – Использование командной строки
- Решение 4 – Используйте устаревшую загрузку
- Решение 5 – Отключить функцию быстрого запуска
- Решение 6 – Обновите свой BIOS
- Решение 7. Использование командной строки вне Windows 10
- Решение 8 – Отключить безопасную загрузку
- Решение 9 – Запустите команду bcedit
- Решение 10. Извлеките жесткий диск из компьютера и расшифруйте его на другом компьютере.
Проблема с подсказкой пароля BitLocker в Windows 10, как это исправить?
BitLocker – отличная возможность, если вы хотите зашифровать жесткий диск и защитить его, но иногда могут возникнуть проблемы. Говоря о проблемах, вот некоторые распространенные проблемы, о которых сообщили пользователи:
- Черный экран Windows 10 BitLocker . Это довольно распространенная проблема, и для ее устранения необходимо просто ввести пароль, даже если экран с подсказкой не виден.
- BitLocker запрашивает ключ восстановления вместо пароля – . Чтобы устранить эту проблему, вы можете попробовать с помощью командной строки ввести ключ восстановления и снова зашифровать жесткий диск.
- Синий экран BitLocker . Это распространенная проблема, которая может быть вызвана устаревшей версией BIOS. Обновите свой BIOS и проверьте, решает ли это проблему.
- BitLocker не запрашивает пароль . Если вы столкнулись с этой проблемой, попробуйте переключиться на LegacyBoot и проверьте, решает ли это вашу проблему.
- Запрос пароля BitLocker не работает . Эта проблема может возникать из-за функции быстрого запуска, но после ее отключения вы сможете снова использовать запрос пароля.
Решение 1. Введите ваш PIN-код вслепую
Пользователи сообщили, что вместо экрана приглашения BitLocker они получают сплошной синий экран без поля ввода для ввода своего PIN-кода. Это может быть немного сложным, но вы должны знать, что вы все равно можете ввести свой PIN-код на сплошном экране, даже если вы не видите поле пароля.
Просто введите ваш PIN-код вслепую, и вы должны без проблем войти в Windows 10.
Решение 2. Удалите проблемное обновление и переустановите его.
Пользователи сообщали, что определенное обновление вызвало проблему с экраном запроса пароля BitLocker, и для решения этой проблемы необходимо удалить проблемное обновление и переустановить его. Первое, что вам нужно сделать, это войти в Windows 10, используя метод, который мы описали в предыдущем решении.
После входа необходимо удалить проблемное обновление. Для этого выполните следующие действия:
-
Откройте приложение “Настройки” и перейдите на страницу Обновление и безопасность .
-
Теперь нажмите Просмотреть историю обновлений .
-
Все установленные обновления вы увидите в разделе «История обновлений». Нажмите Удалить обновления .
-
Найдите проблемное обновление и дважды щелкните по нему, чтобы удалить его. Пользователи сообщили, что обновление KB3172985 вызвало у них проблему, поэтому обязательно удалите их.
- Перезагрузите компьютер.
После удаления обновления необходимо временно приостановить BitLocker. Чтобы приостановить BitLocker, сделайте следующее:
-
Нажмите Windows Key + S и введите bitlocker. Выберите Управление BitLocker из списка результатов.
- Теперь вы должны увидеть ваши зашифрованные диски. Выберите параметр Приостановить защиту .
После приостановки защиты BitLocker необходимо переустановить обновление. Просто перейдите в раздел «Центр обновления Windows» в приложении «Настройки» и проверьте наличие обновлений, чтобы автоматически загрузить отсутствующее обновление. После переустановки обновления проблема должна быть решена, и вы можете снова включить защиту BitLocker.
Решение 3 – Использование командной строки
Пользователи сообщили, что вы можете решить эту проблему с помощью командной строки. Перед использованием командной строки может потребоваться приостановить защиту BitLocker. Кажется, что есть проблема с файлами шрифтов во время загрузки, и вы можете это исправить, выполнив следующие действия:
-
Запустите Командную строку от имени администратора. Это можно сделать, нажав сочетание клавиш Windows Key + X и выбрав в меню Командная строка (Администратор) .
-
После открытия командной строки введите bfsvc.exe% windir% boot/v и нажмите Enter , чтобы запустить ее.
После выполнения команды проблема с экраном запроса пароля BitLocker должна быть полностью устранена.
Решение 4 – Используйте устаревшую загрузку
Windows 10 использует новое графическое меню загрузки, и иногда это меню загрузки может привести к определенным проблемам, таким как проблемы с экраном запроса пароля BitLocker.По словам пользователей, если вы вернетесь к прежней загрузке, проблем с экраном пароля BitLocker не возникнет. Для этого выполните следующие действия:
- Откройте командную строку от имени администратора.
-
После запуска командной строки введите bcdedit/set {default} bootmenupolicy legacy и нажмите Enter , чтобы запустить его.
После включения устаревшей загрузки экран загрузки может выглядеть не так красиво, но у вас больше не должно быть проблем с экраном паролей BitLocker.
Решение 5 – Отключить функцию быстрого запуска
Быстрый запуск может быть весьма полезен, так как он позволит вашему компьютеру загружаться быстрее, но, несмотря на полезность этой функции, иногда быстрый запуск может вызвать проблемы с экраном запроса пароля BitLocker. Чтобы решить эту проблему, пользователи рекомендуют отключить быстрый запуск на вашем компьютере и в BIOS.
Чтобы отключить быстрый запуск в Windows, выполните следующие действия:
-
Нажмите Windows Key + S и введите настройки питания . Выберите Настройки питания и сна из списка результатов.
-
Нажмите Дополнительные параметры питания в разделе Связанные настройки .
-
Откроется окно Параметры электропитания . Выберите Выберите функцию кнопки питания на левой панели.
-
Нажмите Изменить настройки, которые в данный момент недоступны .
-
Снимите флажок Включить быстрый запуск (рекомендуется) и нажмите Сохранить изменения .
После этого перейдите в BIOS и найдите там вариант быстрого запуска. После отключения быстрого запуска в BIOS и Windows проблема должна быть полностью решена.
Решение 6 – Обновите свой BIOS
Если у вас проблемы с подсказкой пароля Bitlocker, возможно, проблема в BIOS. Несколько пользователей сообщили, что они исправили эту проблему, просто обновив BIOS до последней версии.
Обновление BIOS представляет собой довольно сложную процедуру, поэтому для ее правильного выполнения обязательно ознакомьтесь с руководством по материнской плате для получения пошаговых инструкций. Если вы не обновите свой BIOS должным образом, вы можете нанести непоправимый ущерб вашей системе, поэтому будьте особенно осторожны.
Мы также написали краткое руководство о том, как прошить ваш BIOS, так что вы можете проверить его для некоторых общих инструкций. После обновления BIOS отключите BitLocker и включите его еще раз, и проблема будет решена.
Некоторые пользователи утверждают, что для правильного использования BitLocker вам потребуется прошивка TPM 2.0 . Если у вас уже есть прошивка TPM 2.0, перейдите на версию TPM 1.2 , и проблема должна быть решена. Некоторые пользователи также предлагают обновить ControlValut , так что вы также можете попробовать это.
Решение 7. Использование командной строки вне Windows 10
По словам пользователей, если у вас есть проблемы с экраном запроса пароля BitLocker, вы можете исправить это, просто выполнив несколько команд за пределами Windows. Это довольно просто, и вы можете сделать это, выполнив следующие действия:
- Перезагрузите компьютер пару раз во время загрузки.
- Приблизительно после трех перезапусков вы начнете автоматический ремонт. Вам будет представлен список вариантов. Выберите Устранение неполадок> Командная строка .
- Когда откроется Командная строка , введите manage-bde – status и нажмите Enter .
- Теперь вы должны увидеть список томов. Введите manage-bde -protectors – отключите C: и нажмите Enter , чтобы запустить его. Имейте в виду, что вам нужно заменить C на букву зашифрованного диска.
- Теперь выполните команду wpeutil reboot .
После выполнения всех команд закройте командную строку, перезагрузите компьютер и проверьте, устранена ли проблема.
В качестве альтернативы вы можете использовать следующие команды:
- manage-bde -status c:
- manage-bde -unlock c: -rp
- manage-bde -protectors -disable c:
Помните, что эти команды могут не решить проблему, но, по крайней мере, они позволят вам снова получить доступ к Windows 10.
Решение 8 – Отключить безопасную загрузку
Если у вас возникают проблемы с экраном запроса пароля BitLocker, вы можете решить эту проблему, отключив функцию безопасной загрузки в BIOS.
Чтобы узнать, как получить доступ к BIOS и как отключить эту функцию, мы настоятельно рекомендуем вам проверить подробные инструкции в руководстве к материнской плате или ноутбуку.
Решение 9 – Запустите команду bcedit
По словам пользователей, их ПК отключается на экране запроса пароля BitLocker. Это несколько нормально и автоматически, но вы можете решить проблему, выполнив одну команду. Для этого выполните следующие действия:
- Запустите Командную строку за пределами Windows 10.
- При запуске Командная строка выполните команду bcdedit/set {bootmgr} bootshutdowndisabled 1 .
После выполнения этой команды ваш компьютер не выключится во время экрана запроса пароля.
Решение 10. Извлеките жесткий диск из компьютера и расшифруйте его на другом компьютере.
По словам пользователей, они исправили проблемы с экраном запроса пароля BitLocker на своем ПК, удалив жесткий диск и расшифровав его на другом ПК. Для этого вам необходимо выключить компьютер, отсоединить его от электрической розетки, открыть корпус и аккуратно извлечь жесткий диск.
Теперь подключите жесткий диск к другому ПК и расшифруйте его. После этого вставьте жесткий диск обратно в компьютер. Если все работает правильно, рекомендуется обновить систему до того, как вы снова зашифруете жесткий диск. Вы можете сделать это, выполнив следующие действия:
- Откройте приложение Настройки и перейдите в раздел Обновление и безопасность .
-
Теперь нажмите кнопку Проверить обновления .
Если доступны какие-либо обновления, они будут загружены в фоновом режиме и установлены, как только вы перезагрузите компьютер. Как только ваша система обновится, вы снова зашифруете свой жесткий диск.
BitLocker – это один из самых простых способов шифрования и защиты жесткого диска, и если у вас возникают проблемы с экраном запроса пароля BitLocker, обязательно попробуйте некоторые из наших решений.
Примечание редактора . Этот пост был первоначально опубликован в августе 2016 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.
У меня есть Windows 10 PC (обновлен с Win 8.1) с поддержкой Bitlocker. ПК нет модуля TPM, поэтому он просит длинный пароль при каждой загрузке.
С сегодняшнего дня, это больше не работает. Он загружается в экран BitLocker, где обычно я должен ввести пароль, но весь экран пуст. Это просто пустой синий экран без поля ввода пароля и текста. Нажатие Insert ничего не делает (это должно изменить пароль от маленьких точек до реальных символов обычно.)
Если я нажму Esc, меня попросят Ключ восстановления Bitlocker и после ввода его, я получаю обычные параметры восстановления.
Я смог заставить компьютер снова работать, запустив консоль из этих параметров восстановления и запустив manage-bde -protectors -disable e:
. Это отключает запрос пароля при загрузке и загрузке ПК. Bitlocker по-прежнему активен на всех дисках, только ключ хранится в незашифрованном виде.
хотя я могу использовать компьютер сейчас, это, очевидно, не является постоянным решением. Это известно проблема? Есть какое-нибудь решение?
есть ли способ заставить Windows воссоздать эту вещь bootmanager / decryption, где вводится пароль Bitlocker?
источник
К сожалению, нет — это невозможно сделать без надежных устройств безопасности. На это есть несколько причин. Все нижеприведенное работает при условии, что у вас нет TPM или другого доверенного устройства безопасности, и вы работаете в среде «только пароль».
Зашифрованный диск зашифрован. Он заблокирован, когда машина выключена, ее нужно разблокировать. Это все равно, что спросить, можно ли завести машину без ключа, если водитель не левша. Когда машина включена, BitLocker не знает, что находится на диске и как его разблокировать. Ваш пароль образует «ключевой» компонент в процессе разблокировки.
Разработка методов, позволяющих обходить пароль, в значительной степени лишает законной силы шифрование. Это позволило бы новый вектор атаки и потенциальный способ обойти шифрование диска. В вашем сценарии — я мог бы украсть ваш ноутбук, и все, что мне нужно было бы сделать, чтобы разблокировать машину, было бы буквально ничем (мне бы НЕ пришлось вставлять карту памяти).
Определение Определение «подозрительного поведения» будет неоднозначным и будет варьироваться от случая к случаю. Хотя это, вероятно, может быть обработано программно — это откроет больше векторов атак, откроет машины для злоупотреблений, неверной конфигурации и множества других потенциальных дыр в безопасности.
Описание Как включить ПИН код BitLocker в Windows
Если вы зашифровали системный диск Windows с помощью BitLocker, вы можете добавить ПИН-код для дополнительной безопасности. Вам нужно будет вводить ПИН-код каждый раз, когда вы включаете компьютер, прежде чем запустится Windows, это отличный способ повысить безопасность своих данных.
Злоумышленник не получит данных с вашего диска, если не узнает пин код 🙂
Предзагрузочный ПИН-код предотвращает автоматическую загрузку ключа шифрования в системную память в процессе загрузки, что защищает от атак прямого доступа к памяти (DMA) на системы с уязвимым для них оборудованием.
Доверенный платформенный модуль = TPM
Решение Как включить ПИН код BitLocker в Windows
Включаем шифрование BitLocker
Это функция BitLocker, поэтому для установки предзагрузочного ПИН-кода необходимо сначала зашифровать системный диск с помощью BitLocker. Это доступно только в выпусках Windows Professional и Enterprise.
Обратите внимание, если вы включили BitLocker на компьютере без TPM, вам будет предложено создать пароль для запуска, который будет использоваться вместо TPM.
Следующие шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями TPM, которые есть на большинстве современных компьютеров.
Чтобы проверить наличие TPM, нажмите Windows + R, введите «tpm.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Если у вас домашняя версия / Home Windows, вы не сможете использовать BitLocker. Вместо этого у вас может быть функция шифрования устройства, но она работает иначе и не позволит вам настроить PIN код перед входом в ОС Windows.
Включаем ПИН код в Редакторе Групповых Политик
После того, как вы включили BitLocker, вы можете включить запрос ПИН-кода перед загрузкой Windows. Это требует изменения настроек групповой политики. Чтобы открыть редактор групповой политики, нажмите Windows + R, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Перейдите в шпаргалку чтобы узнать другие, облегчающие жизнь, команды Windows
Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Шифрование диска BitLocker» > «Диски операционной системы» в окне групповой политики.
Дважды щелкните параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» на правой панели.
Выберите «Включено» в верхней части окна. Затем установите флажок «Настроить ПИН-код запуска TPM» и выберите параметр «Требовать ПИН-код запуска с доверенным платформенным модулем». Нажмите «ОК», чтобы сохранить изменения.
Задаем ПИН код BitLocker
Чтобы добавить ПИН-код на зашифрованный BitLocker диск используется команда manage-bde.
Для этого запустите окно командной строки или powershell от имени администратора.
В Windows 11 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Терминал Windows (Администратор)».
В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (администратор)».
В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
Выполните следующую команду. Приведенная ниже команда работает на вашем системном диске C:, поэтому, если вы установить ПИН код для другого диска, введите его букву диска вместо c: .
manage-bde -protectors -добавить c: -TPMAndPIN
Здесь нужно будет ввести ваш ПИН код 2 раза. При следующей загрузке операционной системы вам будет предложено ввести этот BitLocker ПИН-код.
Чтобы убедиться, что ПИН код добавлен перед загрузкой Windows, вводим команду:
manage-bde -status
Если есть «Доверенный платформенный модуль и ПИН-код», значит всё сработало правильно и теперь перед загрузкой системы будет запрашиваться ПИН код. «Чиcловой пароль» здесь, это ключ восстановления / recovery key BitLocker.
Изменить ПИН код BitLocker
Чтобы изменить ПИН-код, откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -changepin c:
Нужно будет ввести ПИН код 2 раза.
Удалить ПИН код BitLocker
Если вы передумаете и захотите прекратить использование ПИН-кода, вы можете вернуть все обратно.
Нужно зайти в окно групповой политики и изменить параметр обратно на «Разрешить ПИН-код запуска с доверенным платформенным модулем».
Вы не можете оставить параметр «Требовать ПИН-код запуска с доверенным платформенным модулем», иначе Windows не позволит вам удалить PIN-код.
Затем откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandPIN» требованием «TPM», удалив PIN-код. В дальнейшем, Ваш диск будет автоматически разблокирован с помощью TPM при каждой загрузке компьютера.
Чтобы убедиться, что ПИН код удален, запустим уже известную команду:
manage-bde -status c:
Как видите, «Доверенный платформенный модуль и ПИН-код» стало просто «Доверенный платформенный модуль», а значит ПИН код при загрузке Windows больше запрашиваться не будет.
Если вы забыли PIN-код, вам нужно будет предоставить ключ восстановления / recovery key BitLocker, который вы должны были сохранить в безопасном месте, когда включали BitLocker для системного диска.
Если Вам было полезно или есть вопросы, оставляйте комментарии, всем удачи 🙂
Добрый день!
Столкнулся с неприятной особенностью Windows 10 Pro, которая при наличии TPM модуля в компьютере и привязки компьютера к учетной записи (УЗ) Microsoft без объявления войны включает BitLocker. При этом по идее, но только по идее ключ
восстановления Bitlocker должен сохраняться в УЗ Microsoft, но на деле этого не происходит.
Предыстория: решил обновить на ноутбуке Windows 10 Pro до версии LTSB, что возможно только путем чистой установки. Не беда делаем бэкап всех файлов и заодно всей системы на второй диск в ноутбуке и ставим
систему с нуля, загружаемся с образа, удаляем партицию с системным диском, устанавливаем LTSB. После загрузки наблюдаем неприятный момент, диск, куда сложили бэкапы оказывается был зашифрован BitLocker,
заблокирован и требует ввести ключ восстановления. Будучи уверенным, что в здравом уме и трезвой памяти не стал бы включать, а если бы стал сохранил бы ключ восстановления, начинаю изучать ситуацию. Первые же ссылки приводят меня
в УЗ Microsoft, видим свой ноутбук (до переустановки ОС), видим оба диска и объем занятого пространства, и что оба диска зашифрованы. Беда в том, что ключа восстановления там нет, приплыли. Другие варианты восстановления тоже
не подходят, т.к. используют раздел восстановления WinRE, а он у нас оказывается перезаписанным в процессе установки ОС.
В связи с этим два вопроса, можно ли каким-то образом использовать TPM для получения ключа восстановления BitLocker? Может ли ключ восстановления сохраниться в УЗ Microsoft, но при этом не отображаться
и можно ли его как-то вытащить? Поддержка Microsoft утверждает, что нет и доступа у них к ключам восстановления нет, при этом дальше первой линии мой кейс не ушел. Хотя есть ощущения, что есть кто-то в Microsoft у кого доступ есть,
но как дотолкать кейс до этих людей непонятно.
Вообще очень странное поведение Windows, без предупреждения включать Bitlocker, не давая шанса сохранить ключ восстановления.
Сейчас провел эксперимент с системным диском компьютера. Установил обратно Windows 10 Pro, привязал к этой же УЗ и вуаля, Bitlocker включен. Только в этом случае новый ключ восстановления
таки отображается в УЗ.
В сухом остатке:
- Есть ли какие-то идеи как получить ключ восстановления через TPM или другим способом?
- Реально ли достать ключ восстановления через УЗ путем эскалирования кейса в поддержке и как это сделать?
-
Изменен тип
8 апреля 2019 г. 4:55
Отсутствие активности
Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.
При активации BitLocker перед процедурой шифрования создаётся идентификатор и ключ восстановления — строка из 48-символов, с помощью которой можно разблокировать доступ к зашифрованному тому в случае утере утери пароля или смарт-карты. После того как том будет заблокирован, получить к нему доступ можно будет только подключив к ПК токен и введя его PIN-код или введя обычный пароль либо воспользовавшись ключом восстановления, если токен или пароль были утеряны. Процедура проста и не требует никаких технических навыков.
Кликните дважды по заблокированному разделу, а когда в верхнем правом углу появится приглашение вести пароль, нажмите в окошке «Дополнительные параметры» → «Введите ключ восстановления».
Скопируйте из файла «Ключ восстановления BitLocker» 48-значный ключ, вставьте его в соответствующее поле и, убедившись, что первые восемь символов ID ключа совпадают с первыми восьмью символами идентификатора ключа в файле «Ключ восстановления BitLocker», нажмите «Разблокировать».
Раздел будет разблокирован точно так же, как если бы вы ввели пароль или воспользовались токеном. Если вы зашифровали системный том, на экране ввода пароля нужно будет нажать клавишу ECS и ввести в ключ восстановления.
До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows: кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать».
В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».
Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker.
А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.