¿Bitlocker no requiere PIN al inicio?

¿Bitlocker no requiere PIN al inicio?

Tengo una unidad de sistema operativo cifrada con Bitlocker, configurada mediante una política de grupo para requerir TPM y PIN al inicio. Una segunda unidad se desbloquea automáticamente con la unidad del sistema. Hoy, cuando inicié un entorno WinPE a través de USB, noté que, mientras esa segunda unidad estaba correctamente bloqueada, la unidad del sistema estaba desbloqueada. Al arrancar desde ese USB, por supuesto, no se me pidió que ingresara el PIN.

¿Es este el comportamiento previsto? Si es así, ¿cómo puedo hacer para que la unidad solo se desbloquee con el PIN?

ACTUALIZACIÓN: Respondido a continuaciónusuario1686. Información adicional: Macrium Reflect almacenó una clave externa en la unidad USB WinPE.

Respuesta1

No debería haber sido el TPM en absoluto, porque esa clave está sellada de tal manera que se vuelve inaccesible cuando cambia cualquier parte del proceso de arranque. (Esa es la idea del desbloqueo basado en TPM: ya sea con PIN o sin él, la clave no se revela a nada más que al cargador del sistema operativo "real").

Supongo que el disco se desbloqueó usando unclave externa, es decir, un <uuid>.bekarchivo almacenado en la misma memoria USB. Esto es posible si tenía el dispositivo WinPE conectado cuando Windows le preguntó acerca de almacenar una clave de recuperación.

Respuesta2

Me encontré con esto hoy y pasé gran parte del día estando paranoico porque de alguna manera mi volumen habilitado para BitLocker no estaba configurado correctamente y probando varios escenarios. Incluso configuré BitLocker para que requiera un PIN (contraseña) mejorado, pero la unidad USB Macrium WinPE aún pudo desbloquear el volumen automáticamente. Probé la unidad USB Macrium WinPE en otra computadora portátil cifrada con BitLocker y no tenía acceso a ese volumen, así que busqué en Google "Macrium Reflect BitLocker" y encontré la respuesta. Da miedo que la opción predeterminada sea "Desbloquear automáticamente volúmenes de BitLocker", pero no hay ninguna advertencia en grandes letras rojas que le indique que la unidad USB WinPE debe estar protegida adecuadamente ya que tiene la clave de descifrado de BitLocker. El Macrium KB que menciona esto se encuentra a continuación. Ahora sé esto y también aprendí cómo forzar un PIN + TPM en mi volumen BitLocker. https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE

información relacionada