Bitlocker erfordert beim Start keine PIN?

Question 1

Es hätte überhaupt nicht das TPM sein dürfen, da dieser Schlüssel so versiegelt ist, dass er unzugänglich wird, wenn sich irgendein Teil des Startvorgangs ändert. (Das ist die ganze Idee der TPM-basierten Entsperrung: Ob mit oder ohne PIN, der Schlüssel wird niemandem außer dem „echten“ Betriebssystemlader offenbart.)

Ich vermute, dass die Festplatte entsperrt wurde mit einemexterner Schlüssel, also eine <uuid>.bekDatei, die auf demselben USB-Stick gespeichert ist. Dies ist möglich, wenn Sie den WinPE-Stick angeschlossen hatten, als Windows nach der Speicherung eines Wiederherstellungsschlüssels fragte.

Answer

Es hätte überhaupt nicht das TPM sein dürfen, da dieser Schlüssel so versiegelt ist, dass er unzugänglich wird, wenn sich irgendein Teil des Startvorgangs ändert. (Das ist die ganze Idee der TPM-basierten Entsperrung: Ob mit oder ohne PIN, der Schlüssel wird niemandem außer dem „echten“ Betriebssystemlader offenbart.)

Ich vermute, dass die Festplatte entsperrt wurde mit einemexterner Schlüssel, also eine <uuid>.bekDatei, die auf demselben USB-Stick gespeichert ist. Dies ist möglich, wenn Sie den WinPE-Stick angeschlossen hatten, als Windows nach der Speicherung eines Wiederherstellungsschlüssels fragte.

Question 2

Ich bin heute darauf gestoßen und habe einen Großteil meines Tages damit verbracht, paranoid zu sein, dass mein BitLocker-fähiges Volume irgendwie nicht richtig eingerichtet war, und verschiedene Szenarien zu testen. Ich habe BitLocker sogar so eingerichtet, dass eine erweiterte PIN (Passwort) erforderlich ist, aber das Macrium WinPE-USB-Laufwerk konnte das Volume trotzdem automatisch entsperren. Ich habe das Macrium WinPE-USB-Laufwerk auf einem anderen mit BitLocker verschlüsselten Laptop getestet und es hatte keinen Zugriff auf dieses Volume, also habe ich „Macrium Reflect BitLocker“ gegoogelt und die Antwort gefunden. Es ist beängstigend, dass die Standardoption „BitLocker-Volumes automatisch entsperren“ lautet, es jedoch keine Warnung in großen roten Buchstaben gibt, die Sie darauf hinweist, dass das WinPE-USB-Laufwerk ordnungsgemäß gesichert sein sollte, da sich darauf der BitLocker-Entschlüsselungsschlüssel befindet! Das Macrium-KB, das dies erwähnt, finden Sie weiter unten. Jetzt weiß ich darüber Bescheid und habe auch gelernt, wie ich eine PIN + TPM auf meinem BitLocker-Volume erzwingen kann. https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE

Answer

Ich bin heute darauf gestoßen und habe einen Großteil meines Tages damit verbracht, paranoid zu sein, dass mein BitLocker-fähiges Volume irgendwie nicht richtig eingerichtet war, und verschiedene Szenarien zu testen. Ich habe BitLocker sogar so eingerichtet, dass eine erweiterte PIN (Passwort) erforderlich ist, aber das Macrium WinPE-USB-Laufwerk konnte das Volume trotzdem automatisch entsperren. Ich habe das Macrium WinPE-USB-Laufwerk auf einem anderen mit BitLocker verschlüsselten Laptop getestet und es hatte keinen Zugriff auf dieses Volume, also habe ich „Macrium Reflect BitLocker“ gegoogelt und die Antwort gefunden. Es ist beängstigend, dass die Standardoption „BitLocker-Volumes automatisch entsperren“ lautet, es jedoch keine Warnung in großen roten Buchstaben gibt, die Sie darauf hinweist, dass das WinPE-USB-Laufwerk ordnungsgemäß gesichert sein sollte, da sich darauf der BitLocker-Entschlüsselungsschlüssel befindet! Das Macrium-KB, das dies erwähnt, finden Sie weiter unten. Jetzt weiß ich darüber Bescheid und habe auch gelernt, wie ich eine PIN + TPM auf meinem BitLocker-Volume erzwingen kann. https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE

Bitlocker erfordert beim Start keine PIN?

Antwort1

Antwort2

verwandte Informationen