3

Я хотел бы зашифровать системный раздел с помощью BitLocker с помощью пароля (manage-bde -protectors -add c: -pw), но (безопасно) хранить ключ в другом месте, если я забуду пароль. Должен ли я добавить ключ восстановления (-rk) или ключ запуска (-sk)?

Кажется, что я мог бы использовать оба для доступа к данным в случае чрезвычайной ситуации. Могу ли я что-нибудь сделать с ключом восстановления, чего не смог сделать с ключом запуска, и наоборот?

|источник

3 ответа3

2

Я тоже удивлялся этому и экспериментировал; это то, что я знаю до сих пор:

  • Обе команды создают внешний *.БЕК ключевой файл.

  • После того, как вы создали -StartupKey и -RecoveryKey они становятся неотделимыми в обзоре защитника. (manage-bde C: -protectors -get) Здесь перечислены все ключи и помечены соответствующие ключи как «Внешний ключ». Только если вы помните {id}, вы сможете увидеть разницу.

Я не могу найти источники, которые могли бы подтвердить утверждения / объяснения по этой теме, однако часть ответа может помочь / вызвать один:

Я подозреваю, что это проблема наследия. Команда была введена в более раннюю версию Bitlocker, а затем была расширена. В настоящее время может иметь смысл вызывать его (-)ExternalKey который, кстати, фактически можно использовать для определения -type если вы используете команду -delete для отмены всего доступа к Externalkeyfile с диска.

Напротив, если мы перемещаем фиксированный (*) диск в другую систему (или Bitlocker обнаруживает изменения целостности системы, нарушающие целостность), он, очевидно, может потребовать пароль восстановления. Если мы расширим язык, ключ восстановления также сможет разблокировать диск:

  • Я могу подтвердить, что кнопка [Загрузить ключ с USB-станции] работает с обоими типами клавиш. (Мультизагрузка, разблокированный системный диск другой ОС.) Однако Bitlocker не был в «режиме восстановления», который может быть вызван некоторыми изменениями.
  • Я могу подтвердить, что вы можете загрузить систему с -RecoveryKey. (Может быть, очевидно, но только для полноты.)

Итак, оставшийся вопрос: если механизм защиты Bitlocker сработает, будет ли ключ запуска по-прежнему разблокировать диск?

На данный момент я думаю, что если бы вы не могли, это было бы плохим дизайном, так как вы не можете различить ни идентификаторы ключей, ни файлы * .bek. (* .sbek, * .rbek не существует.) Однако я не смог подтвердить свои предположения. Тем не менее, я думаю, что точки обеспечивают понимание.

|источник
0

Насколько я понимаю, sk будет храниться на съемном носителе, и вам понадобится этот носитель, чтобы запускать компьютер каждый раз.

Альтернативой будет ПИН. Если вы использовали пин-код, но забыли его, вы сможете получить доступ к своей машине со ссылкой на соответствующий rk, который будет безопасно храниться в другом месте.

PIN-код будет удобнее, если у вас не возникло проблем с его запоминанием.

|источник
0

Согласно документации, одно отличие состоит в том, что:

  • Если компьютер настроен на обычное использование доверенного платформенного модуля для выполнения измеренной загрузки, он будет делать это при использовании ключа запуска , но не при использовании ключа восстановления. Таким образом, ключ восстановления следует использовать только в качестве крайней меры.

Я дополню этот ответ дополнительными отличиями, если обнаружу.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .