У меня есть диск операционной системы, зашифрованный с помощью Bitlocker, настроенный через групповую политику на требование TPM и PIN при запуске. Второй диск автоматически разблокируется вместе с системным диском. Сегодня я заметил, что при загрузке в среду WinPE через USB, хотя этот второй диск был правильно заблокирован, системный диск был разблокирован. При загрузке с этого USB мне, конечно, не требовалось вводить PIN.
Это задуманное поведение? Если да, как сделать так, чтобы привод разблокировался только с помощью PIN-кода?
ОБНОВЛЕНИЕ: Ответ нижепользователь1686. Дополнительная информация: внешний ключ был сохранен на USB-накопителе WinPE компанией Macrium Reflect.
решение1
Это вообще не должен был быть TPM, потому что этот ключ запечатан таким образом, что становится недоступным при изменении любой части процесса загрузки. (В этом и заключается вся идея разблокировки на основе TPM: с PIN-кодом или без него ключ не раскрывается никому, кроме «реального» загрузчика ОС.)
Я предполагаю, что диск был разблокирован с помощьювнешний ключ, т. е. <uuid>.bek
файл, хранящийся на той же USB-флешке. Это возможно, если у вас была подключена флешка WinPE, когда Windows запросила сохранение ключа восстановления.
решение2
Я столкнулся с этим сегодня и провел большую часть дня, пребывая в паранойе, что мой включенный том BitLocker каким-то образом не был настроен правильно, и тестируя различные сценарии. Я даже настроил BitLocker на запрос улучшенного PIN-кода (пароля), но USB-накопитель Macrium WinPE все равно мог автоматически разблокировать том. Я протестировал USB-накопитель Macrium WinPE на другом ноутбуке, зашифрованном BitLocker, и у него не было доступа к этому тому, поэтому я погуглил «Macrium Reflect BitLocker» и нашел ответ. Страшно, что параметр по умолчанию — «Автоматически разблокировать тома BitLocker», но нет предупреждения большими красными буквами, сообщающего, что USB-накопитель WinPE должен быть должным образом защищен, поскольку на нем есть ключ дешифрования BitLocker! Ниже приведена статья Macrium KB, в которой об этом упоминается. Теперь я знаю об этом, и я также узнал, как принудительно установить PIN-код + TPM на моем томе BitLocker. https://knowledgebase.macrium.com/display/KNOW72/Добавление+поддержки+BitLocker+в+Windows+PE