Можно ли восстановить BitLocker с помощью USB-накопителя?

Можно ли восстановить BitLocker с помощью USB-накопителя?

Итак, у меня сейчас ноутбук с двойной загрузкой Windows и Linux. В основном я использую установку Linux, но у меня есть определенные вещи, которые должны быть в Windows. В настоящее время у меня установлен BitLocker на Windows, что я предпочитаю, но иногда изменения, которые Linux вносит в систему, приводят к срабатыванию BitLocker и необходимости ввода ключа восстановления. Это случалось уже несколько раз, и необходимость вводить ключ довольно раздражает. Можно ли разблокировать его с помощью файла, сохраненного на USB-накопителе? И я не имею в виду просто положить ключ на USB-накопитель и вводить его оттуда, у меня есть доступ к ключу, но вводить его действительно раздражает.

Если нет, я, вероятно, просто полностью отключу BitLocker, все, что я хотел бы зашифровать, в любом случае находится на моей установке Linux, где есть шифрование. Но было бы неплохо, если бы я мог просто быстрее разблокировать BitLocker, когда это необходимо.

Примечание: есть ли способ просмотреть логи где-нибудь и узнать, что именно заставило BitLocker потребовать ключ восстановления? Думаю, на этот раз я знаю, что именно, но мне хотелось бы быть уверенным.

решение1

В настоящее время у меня установлен BitLocker в Windows, что мне нравится, но иногда изменения, которые Linux вносит в систему, приводят к срабатыванию BitLocker и необходимости ввода ключа восстановления.

Избегайте загрузки Windows из Linux GRUB, поскольку состояние системы, которое BitLocker использует для запечатывания ключа с помощью вашего TPM, зависит от всей цепочки загрузки — загрузка через GRUB означает, что любое обновление grubx64.efi сделает ключ незапечатываемым.

Поэтому вместо этого используйте меню F8 вашей прошивки (или F11, или F12...), чтобы выбрать Windows BOOTMGR, минуя GRUB,илииспользуйте efibootmgrиз Linux, чтобы попросить прошивку «перезагрузиться непосредственно в Windows в следующий раз» (см.здесьиздесь).

Вдобавок ко всему, включение безопасной загрузки позволит BitLocker привязываться к PCR7, который также менее уязвим при работе с обновлениями Windows BOOTMGR. (Отказ от GRUB является необходимым условием для использования преимуществ запечатывания PCR7; BitLocker откажется использовать его, если обнаружит в цепочке что-либо, не подписанное Microsoft.)

Можно ли разблокировать его через файл, сохраненный на USB-флешке? И я не имею в виду просто положить ключ на флешку и ввести его оттуда

Вероятно, да, это встроенная функция BitLocker, но, насколько я помню, она ожидает ключ в другом формате; то есть вы не можете просто поместить числовой ключ восстановления в текстовый файл; для этого вам нужно будет добавить новый слот для ключей («протектор ключа»).

Попробуйте manage-bde -protectors -add -RecoveryKeyсоздать файл ключа на USB-накопителе (например, если он смонтирован на H:\):

manage-bde -protectors -add C: -rk H:\

Примечание: для этого вам понадобится полная версия BitLocker (т. е. «Шифрование устройств», имеющееся в Windows Home, не подойдет). Я на самом деле не знаю, допускает ли BitLocker эту комбинацию – хотя нет никаких веских причин, по которым он не должен этого делать, но я припоминаю, что иногда он бывает придирчивым.

Примечание: есть ли способ просмотреть логи где-нибудь и узнать, что именно заставило BitLocker потребовать ключ восстановления? Думаю, на этот раз я знаю, что именно, но мне хотелось бы быть уверенным.

Технически это возможно, но это не будут журналы BitLocker — вам придется просматривать «Журнал событий TCG» TPM, и вам придетсясравниватьего по более раннему журналу из «известно рабочего» журнала. (Это потому, что это не журнал «что-то пошло не так» — это скорее журнал «аудита состояния системы», на основе которого вычисляются PCR TPM;измененияв этом журнале влияют на то, согласится ли TPM распечатать ключ BitLocker или другие данные.)

Файл журнала находится в стандартном двоичном формате, определенном TCG, и хранится в оперативной памяти прошивки; Windows услужливо сохраняет его в файле .log в C:\Windows\Logs\MeasuredBoot(там собираются журналы с более ранних загрузок, чтобы вы могли их сравнить), Linux позволяет читать его через /sys, и существуют инструменты для декодирования его из двоичного формата в некую форму текстового журнала (я написал один для себя, когда исследовал эту проблему BitLocker); начиная стот, который рекомендует Microsoftможет быть хорошей идеей, но есть такжеМодуль PowerShell, tpm2_eventlogна Linux,tcglog-парсер, и т. д.

(Собственный журнал событий Windows сообщает, запечатывает ли BitLocker свой ключ в PCR7 или PCR4+ и т. д. — без Secure Boot это последний вариант — и я на 80% уверен, что причиной являются изменения в событиях, отмеченных для PCR4, поскольку события PCR4 в первую очередь связаны с записью точных хешей SHA каждого загрузчика, участвующего в процессе, например, grubx64.efi из вашей установки Linux.)

Связанный контент