USB 드라이브를 사용하여 Bitlocker를 복구할 수 있습니까?

현재 Windows에 Bitlocker가 설정되어 있는데, 이 기능을 선호하지만 때때로 Linux에서 시스템을 변경하면 Bitlocker가 작동하지 않아 복구 키가 필요하게 됩니다.

BitLocker가 TPM으로 키를 봉인하는 데 사용하는 시스템 상태는 전체 부팅 체인에 따라 달라지므로 Linux GRUB 내에서 Windows를 부팅하지 마세요. GRUB를 거치면 grubx64.efi 업그레이드로 인해 키가 봉인되지 않게 됩니다.

따라서 대신 펌웨어의 F8 메뉴(또는 F11 또는 F12...)를 사용하여 GRUB를 거치지 않고 Windows BOOTMGR을 선택하십시오.또는Linux에서 사용하여 efibootmgr펌웨어에 "다음에는 Windows로 직접 재부팅하십시오"라고 요청합니다(참조:여기그리고여기).

또한 보안 부팅을 활성화하면 BitLocker가 Windows BOOTMGR 업데이트를 처리할 때 취약성이 덜한 PCR7에 바인딩할 수 있습니다. (GRUB를 방지하는 것은 PCR7 봉인을 활용하기 위한 전제 조건입니다. BitLocker는 체인에서 Microsoft가 서명하지 않은 항목을 감지하면 GRUB 사용을 거부합니다.)

USB 스틱에 저장된 파일을 통해 잠금을 해제할 수 있나요? 그리고 단지 열쇠를 막대기에 꽂고 거기에서 입력한다는 뜻이 아닙니다.

아마도 그렇습니다. BitLocker에 내장된 기능이지만 제가 기억하는 바에 따르면 다른 형식의 키가 필요합니다. 즉, 텍스트 파일에 숫자 복구 키를 넣을 수는 없습니다. 이를 위해서는 새 키 슬롯("키 보호기")을 추가해야 합니다.

manage-bde -protectors -add -RecoveryKeyUSB 스틱에 키 파일을 생성하는 데 사용해보세요 (예: H:\에 마운트되어 있다고 가정).

manage-bde -protectors -add C: -rk H:\

참고: 이를 위해서는 BitLocker 정식 버전이 필요합니다(예: Windows Home에 있는 "장치 암호화"는 지원되지 않음). BitLocker가 이 조합을 허용하는지 여부는 실제로 알지 못합니다. 허용해서는 안되는 타당한 이유는 없지만 가끔 까다로울 때가 있다는 것을 기억합니다.

참고 사항 - 로그를 어딘가에서 살펴보고 복구 키가 필요한 bitlocker가 정확히 실행된 원인을 알아낼 수 있는 방법이 있습니까? 이번에는 무슨 내용인지 알 것 같지만 확실히 알고 싶습니다.

기술적으로는 가능하지만 BitLocker 로그는 아닙니다. TPM의 "TCG 이벤트 로그"를 보고 다음을 수행해야 합니다.비교하다"알려진 작업" 로그의 이전 로그와 비교합니다. (그 이유는 "문제가 발생했습니다" 로그가 아니기 때문입니다. TPM PCR이 계산되는 "시스템 상태 감사" 로그에 가깝습니다.변화이 로그는 TPM이 BitLocker 키 또는 기타 데이터의 봉인을 해제하는 데 동의할지 여부에 영향을 줍니다.)

로그 파일은 표준 TCG 정의 바이너리 형식이며 펌웨어의 RAM에 저장됩니다. Windows에서는 이를 .log 파일에 덤프하고 C:\Windows\Logs\MeasuredBoot(이전 부팅의 로그는 비교할 수 있도록 여기에 수집됨), Linux에서는 /sys를 통해 읽을 수 있으며, 바이너리 형식에서 텍스트 로그 형식으로 디코딩할 수 있는 도구가 있습니다(I 이런 종류의 BitLocker 문제를 조사할 때 제가 직접 작성했습니다.) 로 시작Microsoft가 권장하는 것좋은 생각일 수도 있지만파워셸 모듈, tpm2_eventlog리눅스의 경우,tcglog-파서, 등.

(Windows 자체 이벤트 로그는 BitLocker가 키를 PCR7 또는 PCR4+ 등으로 봉인하는지 여부를 알려줍니다. 보안 부팅이 없으면 후자입니다. 그리고 PCR4 이벤트가 주로 PCR4로 표시된 이벤트의 변경 사항이 원인이라고 80% 확신합니다. Linux 설치의 grubx64.efi와 같이 프로세스에 관련된 모든 부트로더의 정확한 SHA 해시를 기록해야 합니다.)