O volume é criptografado, mas a chave de criptografia é salva "de forma clara"

Question 1

O volume é criptografado, mas a chave de criptografia é salva "de forma clara"

O volume está realmente criptografado, mas o BitLocker está "suspenso". Isso significa que a chave de criptografia de volume total (FVEK) usada para embaralhar os dados é salva no disco em texto simples, onde qualquer pessoa pode acessá-la. Isso significa que eles também podem acessar seus dados.

Você pode verificar isso por si mesmo. Supondo que seu volume seja C:, execute manage-bde -on C:a partir de um prompt de comando elevado (não, isso não ativará o BitLocker...éjásobre):

PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.

Observe a última instrução na saída:

A proteção do BitLocker é suspensa até que protetores de chave sejam criados para o volume.

De acordo com a documentação da Microsoft sobresuspendendo o BitLocker:

A suspensão do BitLocker não significa que o BitLocker descriptografa os dados no volume. Em vez disso, a suspensão torna [a] chave usada para descriptografar os dados disponível para todos de forma clara. Novos dados gravados no disco ainda estão criptografados.

O que significa "Aguardando ativação"?

A razão pela qual o BitLocker está "aguardando ativação" é porque nãoProtetores de chaveexistem para o volume. O BitLocker usa protetores para controlar o acesso ao FVEK. Observe a saída de manage-bde -protectors C: -get:

PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
All Key Protectors

ERROR: No key protectors found.

Até que pelo menos um protetor seja criado, o BitLocker não poderá sair do modo suspenso e a interface do usuário do Windows informará que está aguardando ativação.

Como concluir a ativação do BitLocker

Existem várias maneiras de ativar o BitLocker nesta situação. Prefiro fazer isso no Painel de Controle, pois permite ativar a proteção sem exigir uma conta da Microsoft:

Em Iniciar pesquisa manage BitLockere escolha o resultado no Painel de Controle
No miniaplicativo Criptografia de Unidade de Disco BitLocker, clique emAtive o BitLocker
Escolha uma das opções para fazer backup da sua chave de recuperação.
Conclua o assistente.

O resultado da conclusão deste assistente é que sua chave de criptografia de volume está "protegida" e não é mais salva no disco de forma transparente, o que significa que seus dados criptografados agora estão realmente protegidos contra acesso não autorizado.

Como o BitLocker foi habilitado?

O Windows pode ter habilitado automaticamente o BitLocker depois que você concluiu a experiência inicial (OOBE) se o seu dispositivo suportarModo de espera modernoou éCompatível com HSTI. Desde o Windows 8.1, o BitLocker foiativado automaticamentenesses dispositivos. Isso significa que muitos computadores novos virão de fábrica com o BitLocker habilitado por padrão.

Recursos adicionais

Lista dos diferentes tipos de BitLockerprotetores de chave
Superusuárioresponderdiscutindo o relacionamento da chave de criptografia de volume total e dos protetores de chave.

Answer

O volume é criptografado, mas a chave de criptografia é salva "de forma clara"

O volume está realmente criptografado, mas o BitLocker está "suspenso". Isso significa que a chave de criptografia de volume total (FVEK) usada para embaralhar os dados é salva no disco em texto simples, onde qualquer pessoa pode acessá-la. Isso significa que eles também podem acessar seus dados.

Você pode verificar isso por si mesmo. Supondo que seu volume seja C:, execute manage-bde -on C:a partir de um prompt de comando elevado (não, isso não ativará o BitLocker...éjásobre):

PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.

Observe a última instrução na saída:

A proteção do BitLocker é suspensa até que protetores de chave sejam criados para o volume.

De acordo com a documentação da Microsoft sobresuspendendo o BitLocker:

A suspensão do BitLocker não significa que o BitLocker descriptografa os dados no volume. Em vez disso, a suspensão torna [a] chave usada para descriptografar os dados disponível para todos de forma clara. Novos dados gravados no disco ainda estão criptografados.

O que significa "Aguardando ativação"?

A razão pela qual o BitLocker está "aguardando ativação" é porque nãoProtetores de chaveexistem para o volume. O BitLocker usa protetores para controlar o acesso ao FVEK. Observe a saída de manage-bde -protectors C: -get:

PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
All Key Protectors

ERROR: No key protectors found.

Até que pelo menos um protetor seja criado, o BitLocker não poderá sair do modo suspenso e a interface do usuário do Windows informará que está aguardando ativação.

Como concluir a ativação do BitLocker

Existem várias maneiras de ativar o BitLocker nesta situação. Prefiro fazer isso no Painel de Controle, pois permite ativar a proteção sem exigir uma conta da Microsoft:

Em Iniciar pesquisa manage BitLockere escolha o resultado no Painel de Controle
No miniaplicativo Criptografia de Unidade de Disco BitLocker, clique emAtive o BitLocker
Escolha uma das opções para fazer backup da sua chave de recuperação.
Conclua o assistente.

O resultado da conclusão deste assistente é que sua chave de criptografia de volume está "protegida" e não é mais salva no disco de forma transparente, o que significa que seus dados criptografados agora estão realmente protegidos contra acesso não autorizado.

Como o BitLocker foi habilitado?

O Windows pode ter habilitado automaticamente o BitLocker depois que você concluiu a experiência inicial (OOBE) se o seu dispositivo suportarModo de espera modernoou éCompatível com HSTI. Desde o Windows 8.1, o BitLocker foiativado automaticamentenesses dispositivos. Isso significa que muitos computadores novos virão de fábrica com o BitLocker habilitado por padrão.

Recursos adicionais

Lista dos diferentes tipos de BitLockerprotetores de chave
Superusuárioresponderdiscutindo o relacionamento da chave de criptografia de volume total e dos protetores de chave.

Question 2

Para desligar o BitLocker sem ativação

Caso você queira se livrar da criptografia do BitLocker sem ativá-la, use primeiro:

manage-bde c: -off

Não há outra maneira de desativar o bitlocker enquanto ele estiver no estado de "espera".

Isso é útil quando você deseja usar uma solução diferente de Drive Encryption ou deseja mudar para AES256.

Answer

Para desligar o BitLocker sem ativação

Caso você queira se livrar da criptografia do BitLocker sem ativá-la, use primeiro:

manage-bde c: -off

Não há outra maneira de desativar o bitlocker enquanto ele estiver no estado de "espera".

Isso é útil quando você deseja usar uma solução diferente de Drive Encryption ou deseja mudar para AES256.

Question 3

A mensagem 'Aguardando ativação' que você vê no BitLocker Drive Encryption CP significa que a unidade estáCRIPTOGRAFADO, mas está aguardando para liberar algum tipo de chave de recuperação.

No Painel de Controle do BitLocker, deve haver uma opção para ‘Ativar o BitLocker’. Deve aparecer uma janela que o guiará na geração de uma chave de recuperação. Se não houver uma opção ou gerar um erro, você pode tentar o seguinte:

Tente remover a criptografia BitLocker da partição e criptografe-a novamente. Isso pode resolver o problema.

Você pode encontrar mais informações sobre issoFórum MS.

Answer

A mensagem 'Aguardando ativação' que você vê no BitLocker Drive Encryption CP significa que a unidade estáCRIPTOGRAFADO, mas está aguardando para liberar algum tipo de chave de recuperação.

No Painel de Controle do BitLocker, deve haver uma opção para ‘Ativar o BitLocker’. Deve aparecer uma janela que o guiará na geração de uma chave de recuperação. Se não houver uma opção ou gerar um erro, você pode tentar o seguinte:

Tente remover a criptografia BitLocker da partição e criptografe-a novamente. Isso pode resolver o problema.

Você pode encontrar mais informações sobre issoFórum MS.

O volume é criptografado, mas a chave de criptografia é salva "de forma clara"

Responder1

O volume é criptografado, mas a chave de criptografia é salva "de forma clara"

O que significa "Aguardando ativação"?

Como concluir a ativação do BitLocker

Como o BitLocker foi habilitado?

Recursos adicionais

Responder2

Para desligar o BitLocker sem ativação

Responder3

informação relacionada