Bitlocker로 암호화된 운영 체제 드라이브가 있고 시작 시 TPM 및 PIN을 요구하도록 그룹 정책을 통해 설정되어 있습니다. 두 번째 드라이브는 시스템 드라이브와 함께 자동 잠금 해제됩니다. 오늘 USB를 통해 WinPE 환경으로 부팅했을 때 두 번째 드라이브는 제대로 잠겨 있지만 시스템 드라이브는 잠금 해제된 것을 발견했습니다. 해당 USB로 부팅할 때는 물론 PIN을 입력할 필요가 없었습니다.
이것이 의도된 동작인가요? 그렇다면 드라이브가 PIN을 통해서만 잠금 해제되도록 하려면 어떻게 해야 합니까?
업데이트 : 아래 답변사용자1686. 추가 정보: 외부 키는 Macrium Reflect에 의해 WinPE USB 드라이브에 저장되었습니다.
답변1
부팅 프로세스의 일부가 변경되면 해당 키에 액세스할 수 없게 되는 방식으로 키가 봉인되어 있기 때문에 전혀 TPM이 아니어야 했습니다. (이것이 TPM 기반 잠금 해제의 전체적인 아이디어입니다. PIN이 있든 없든 키는 "실제" OS 로더 외에는 공개되지 않습니다.)
내 생각엔 디스크가 다음을 사용하여 잠금 해제된 것 같습니다.외부 키, 즉 <uuid>.bek
동일한 USB 스틱에 저장된 파일입니다. Windows에서 복구 키 저장을 요청할 때 WinPE 스틱을 연결했다면 가능합니다.
답변2
저는 오늘 이 문제를 겪었고 BitLocker가 활성화된 볼륨이 올바르게 설정되지 않은 것에 대해 편집증을 느끼며 다양한 시나리오를 테스트하면서 하루의 상당 부분을 보냈습니다. 강화된 PIN(비밀번호)을 요구하도록 BitLocker를 설정했지만 Macrium WinPE USB 드라이브는 여전히 자동으로 볼륨 잠금을 해제할 수 있었습니다. 다른 BitLocker 암호화 노트북에서 Macrium WinPE USB 드라이브를 테스트했는데 해당 볼륨에 액세스할 수 없었기 때문에 "Macrium Reflect BitLocker"를 검색하여 답을 찾았습니다. 기본 옵션이 "BitLocker 볼륨 자동 잠금 해제"라는 점은 무섭지만 WinPE USB 드라이브에 BitLocker 암호 해독 키가 있으므로 제대로 보호되어야 함을 알려주는 큰 빨간색 글자로 된 경고가 없습니다. 이에 대해 언급한 Macrium KB는 아래와 같습니다. 이제 저는 이에 대해 알고 있으며 BitLocker 볼륨에 PIN + TPM을 강제로 적용하는 방법도 배웠습니다. https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE