題 無需系統驅動器加密即可啟用Bitlocker自動解鎖


有沒有人知道任何技巧 - 註冊表更改,組策略等,這將允許Bitlocker卷自動解鎖,而無需bitlocker加密系統驅動器?

我的系統驅動器是Samsung 850 Pro SSD,因此它顯然具有內置加密功能,我可以使用bios驅動器密碼啟用它。

我沒有在系統驅動器上使用Bitlocker,因為使用我的BIOS我無法將其配置為使用本機硬件加密,因此浪費資源加密CPU。

我有第二個機械硬盤,我用Bitlocker加密了,我希望能夠自動解鎖它。

目前,我通過在系統啟動時運行任務,使用bitlocker命令行實用程序來手動解鎖驅動器,從而找到了執行此操作的黑客攻擊。然而,這似乎是一種非常笨重的方式。

我理解這個限制背後的原因,因為他們不想將解密密鑰存儲在未加密的驅動器上,但是在我的情況下它並不真正適用,因為系統驅動器是完全加密的,而不是Bitlocker。

我只是想知道是否有某種方法來覆蓋此檢查,並強制它允許自動解鎖?


6
2017-10-26 13:59


起源


首次安裝卷時,應該有一個複選標記,表示它通過記住密碼短語自動安裝卷。 - Ramhound
@Ramhound。僅在系統驅動器已加密時才會出現此選項。我看到密碼輸入沒有復選框。 - user1751825
兩台計算機(Windows 7企業版和Windows 10專業版)都給我提示,當我連接加密的USB外置硬盤時,它們的系統驅動器都沒有加密。 - Ramhound
對不起,我應該更清楚。這是固定潛水,不可拆卸。 - user1751825


答案:


  1. 關閉要自動解鎖的驅動器上的bitlocker
  2. 將此驅動器安裝為可移動驅動器 即將其插入USB連接的驅動單元,如StarTech或許多其他驅動單元
  3. 啟動系統並鎖定驅動器並打開自動解鎖
  4. 關閉系統
  5. 將驅動器安裝為永久驅動器
  6. 重新啟動系統,驅動器將自動解鎖,因為Windows現在認為 它是一個可移動的驅動器

為我工作沒有問題


0
2018-04-14 22:06





假設:

  • 您的任務輸入密碼,因此它保存在Windows任務計劃程序中。
  • 您不喜歡在啟動後輸入數據驅動器密碼。

這種解決方法可能不會那麼笨重,但可能不那麼不安全。

實際上,當系統分區未加密時(使用bitlocker),Windows將不允許您在固定驅動器上啟用自動解鎖。

但是,我使用了一種解決方法。我使用manage-bde命令將recoverykey(外部密鑰文件)保存到USB閃存驅動器。現在每當我想要解鎖驅動器時,我點擊它下面的文本按鈕,而不是輸入密碼,它會自動檢查現有的USB設備並解鎖。所以點擊而不是打字。

在你的情況下,因為C是以我的C不是以另一種方式加密,我會臨時在(bitlocker加密的)USB閃存驅動器上創建密鑰。這個文件是* .bek是系統隱藏文件類型dir / A:S看;將其複製到目錄C:\ User \ {Accountname} \ AutoUnlockKeys \ {keyfileid} .bek。我會盡可能地拒絕此文件夾的權利。

然後將您的任務更新為

manage-bde -unlock D: -RecoveryKey "C:\pathtofile\key.bek"

其中C:是使用Bitlocker之外的其他東西的加密系統驅動器。

通常,自動解鎖密鑰保存在 註冊處。與-Password解鎖任務相比,-RecoveryKey任務的好處是你最薄弱的環節不是上面提到的密碼 明文 在Windows任務管理器中,但最薄弱的環節是應用於文件夾/ * .bek密鑰文件的Windows訪問權限。


4
2018-05-05 16:05



這是一個非常有趣的方法。我會嘗試一下。我並不關心當前的設置,因為驅動器是硬件加密的。但是你的解決方案確實聽起來不那麼笨拙 - user1751825
還有一件事,我想我會補充一下。在我當前的設置中,解鎖驅動器的命令實際上是在.cmd文件中,然後由任務管理器引用,因此技術上不會將解鎖密鑰直接存儲在任務調度程序中。 - user1751825