Ich habe ein mit Bitlocker verschlüsseltes Betriebssystemlaufwerk, das über die Gruppenrichtlinie so eingestellt ist, dass beim Start TPM und PIN erforderlich sind. Ein zweites Laufwerk wird automatisch mit dem Systemlaufwerk entsperrt. Heute habe ich beim Booten in eine WinPE-Umgebung über USB festgestellt, dass das zweite Laufwerk zwar ordnungsgemäß gesperrt ist, das Systemlaufwerk jedoch entsperrt war. Beim Booten von diesem USB musste ich natürlich keine PIN eingeben.
Ist das beabsichtigt? Wenn ja, wie kann ich dafür sorgen, dass das Laufwerk nur mit der PIN entsperrt wird?
UPDATE: Unten beantwortetBenutzer1686. Zusatzinformation: Auf dem WinPE-USB-Laufwerk wurde von Macrium Reflect ein externer Schlüssel gespeichert.
Antwort1
Es hätte überhaupt nicht das TPM sein dürfen, da dieser Schlüssel so versiegelt ist, dass er unzugänglich wird, wenn sich irgendein Teil des Startvorgangs ändert. (Das ist die ganze Idee der TPM-basierten Entsperrung: Ob mit oder ohne PIN, der Schlüssel wird niemandem außer dem „echten“ Betriebssystemlader offenbart.)
Ich vermute, dass die Festplatte entsperrt wurde mit einemexterner Schlüssel, also eine <uuid>.bek
Datei, die auf demselben USB-Stick gespeichert ist. Dies ist möglich, wenn Sie den WinPE-Stick angeschlossen hatten, als Windows nach der Speicherung eines Wiederherstellungsschlüssels fragte.
Antwort2
Ich bin heute darauf gestoßen und habe einen Großteil meines Tages damit verbracht, paranoid zu sein, dass mein BitLocker-fähiges Volume irgendwie nicht richtig eingerichtet war, und verschiedene Szenarien zu testen. Ich habe BitLocker sogar so eingerichtet, dass eine erweiterte PIN (Passwort) erforderlich ist, aber das Macrium WinPE-USB-Laufwerk konnte das Volume trotzdem automatisch entsperren. Ich habe das Macrium WinPE-USB-Laufwerk auf einem anderen mit BitLocker verschlüsselten Laptop getestet und es hatte keinen Zugriff auf dieses Volume, also habe ich „Macrium Reflect BitLocker“ gegoogelt und die Antwort gefunden. Es ist beängstigend, dass die Standardoption „BitLocker-Volumes automatisch entsperren“ lautet, es jedoch keine Warnung in großen roten Buchstaben gibt, die Sie darauf hinweist, dass das WinPE-USB-Laufwerk ordnungsgemäß gesichert sein sollte, da sich darauf der BitLocker-Entschlüsselungsschlüssel befindet! Das Macrium-KB, das dies erwähnt, finden Sie weiter unten. Jetzt weiß ich darüber Bescheid und habe auch gelernt, wie ich eine PIN + TPM auf meinem BitLocker-Volume erzwingen kann. https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE