Bitlocker не требует PIN-код при запуске?

Question 1

Это вообще не должен был быть TPM, потому что этот ключ запечатан таким образом, что становится недоступным при изменении любой части процесса загрузки. (В этом и заключается вся идея разблокировки на основе TPM: с PIN-кодом или без него ключ не раскрывается никому, кроме «реального» загрузчика ОС.)

Я предполагаю, что диск был разблокирован с помощьювнешний ключ, т. е. <uuid>.bekфайл, хранящийся на той же USB-флешке. Это возможно, если у вас была подключена флешка WinPE, когда Windows запросила сохранение ключа восстановления.

Answer

Это вообще не должен был быть TPM, потому что этот ключ запечатан таким образом, что становится недоступным при изменении любой части процесса загрузки. (В этом и заключается вся идея разблокировки на основе TPM: с PIN-кодом или без него ключ не раскрывается никому, кроме «реального» загрузчика ОС.)

Я предполагаю, что диск был разблокирован с помощьювнешний ключ, т. е. <uuid>.bekфайл, хранящийся на той же USB-флешке. Это возможно, если у вас была подключена флешка WinPE, когда Windows запросила сохранение ключа восстановления.

Question 2

Я столкнулся с этим сегодня и провел большую часть дня, пребывая в паранойе, что мой включенный том BitLocker каким-то образом не был настроен правильно, и тестируя различные сценарии. Я даже настроил BitLocker на запрос улучшенного PIN-кода (пароля), но USB-накопитель Macrium WinPE все равно мог автоматически разблокировать том. Я протестировал USB-накопитель Macrium WinPE на другом ноутбуке, зашифрованном BitLocker, и у него не было доступа к этому тому, поэтому я погуглил «Macrium Reflect BitLocker» и нашел ответ. Страшно, что параметр по умолчанию — «Автоматически разблокировать тома BitLocker», но нет предупреждения большими красными буквами, сообщающего, что USB-накопитель WinPE должен быть должным образом защищен, поскольку на нем есть ключ дешифрования BitLocker! Ниже приведена статья Macrium KB, в которой об этом упоминается. Теперь я знаю об этом, и я также узнал, как принудительно установить PIN-код + TPM на моем томе BitLocker. https://knowledgebase.macrium.com/display/KNOW72/Добавление+поддержки+BitLocker+в+Windows+PE

Answer

Я столкнулся с этим сегодня и провел большую часть дня, пребывая в паранойе, что мой включенный том BitLocker каким-то образом не был настроен правильно, и тестируя различные сценарии. Я даже настроил BitLocker на запрос улучшенного PIN-кода (пароля), но USB-накопитель Macrium WinPE все равно мог автоматически разблокировать том. Я протестировал USB-накопитель Macrium WinPE на другом ноутбуке, зашифрованном BitLocker, и у него не было доступа к этому тому, поэтому я погуглил «Macrium Reflect BitLocker» и нашел ответ. Страшно, что параметр по умолчанию — «Автоматически разблокировать тома BitLocker», но нет предупреждения большими красными буквами, сообщающего, что USB-накопитель WinPE должен быть должным образом защищен, поскольку на нем есть ключ дешифрования BitLocker! Ниже приведена статья Macrium KB, в которой об этом упоминается. Теперь я знаю об этом, и я также узнал, как принудительно установить PIN-код + TPM на моем томе BitLocker. https://knowledgebase.macrium.com/display/KNOW72/Добавление+поддержки+BitLocker+в+Windows+PE

Bitlocker не требует PIN-код при запуске?

решение1

решение2

Связанный контент