7

Мой рабочий ноутбук работает под управлением Windows Vista с включенным Bitlocker. Время от времени, особенно когда я ухожу в отпуск и у меня есть персональный SSD, я подключаю его к ноутбуку, чтобы использовать его в личных целях, пока меня нет дома. Корпоративный образ ОС действительно заблокирован, и я не получаю локального администратора.

В любом случае, всякий раз, когда я возвращаюсь из отпуска и заменяю корпоративный диск в Windows, он не загружается, сообщая, что информация о загрузке изменилась. Я должен позвонить в нашу справочную службу и попросить их починить вещи с битлокерами.

Они никогда не мешали мне, и я объяснил, что я делаю, и, похоже, ни у кого нет проблем с этим - но меня раздражает то, что я не могу переключаться между дисками, когда захочу.

Кто-нибудь имеет представление о том, что переключение между двумя жесткими дисками, а не изменение каких-либо других настроек, может быть сделано для компьютера, BIOS или чего-либо еще, что Bitlocker рассматривает, чтобы заставить это сделать это?

Что еще более важно, есть ли способ для меня, чтобы выяснить, что изменяется, и изменить его самостоятельно, чтобы я мог загружаться обратно на свой корпоративный диск без необходимости каждый раз звонить в службу поддержки? А еще лучше, есть идеи, как я могу предотвратить любые изменения, которые происходят с самого начала?

Ноутбук - это новый Lenovo Thinkpad T420, если природа оборудования имеет к нему отношение.

Заранее спасибо!

|источник

1 ответ1

6

Из FAQ по BitLocker:

Какие системные изменения могут привести к сбою проверки целостности диска с операционной системой?

Следующие типы системных изменений могут вызвать сбой проверки целостности и помешать TPM выпустить ключ BitLocker для дешифрования диска защищенной операционной системы:

  • Перемещение диска с защитой BitLocker на новый компьютер.

  • Установка новой материнской платы с новым TPM.

  • Выключение, отключение или очистка доверенного платформенного модуля.

  • Изменение любых настроек конфигурации загрузки.

  • Изменение BIOS, прошивки UEFI, основной загрузочной записи, загрузочного сектора, менеджера загрузки, дополнительного ПЗУ или других компонентов ранней загрузки или данных конфигурации загрузки.

Эта функциональность предусмотрена дизайном; BitLocker рассматривает несанкционированную модификацию любого из компонентов начальной загрузки как потенциальную атаку и переводит систему в режим восстановления. Авторизованные администраторы могут обновлять загрузочные компоненты, не входя в режим восстановления, предварительно отключив BitLocker.

Также прочтите 30 с лишним пунктов в разделе « Что заставляет BitLocker переходить в режим восстановления при попытке запустить диск с операционной системой?

Я полагаю, вы видите следующую ошибку во время загрузки:

1

У вас есть доступ к текстовому файлу, содержащему пароль восстановления? Я предполагаю, что только у Администратора или ИТ-специалистов есть это, правильно?

Очевидно, что полностью отключить BitLocker и расшифровать рабочий диск в этом сценарии невозможно. Вот что может помочь в соответствии с FAQ:

Можно ли поменять жесткие диски на том же компьютере, если на диске с операционной системой включен BitLocker?

Да, вы можете поменять несколько жестких дисков на одном компьютере, если включен BitLocker, но только если жесткие диски были защищены BitLocker на одном компьютере. Ключи BitLocker являются уникальными для доверенного платформенного модуля и диска операционной системы, поэтому, если вы хотите подготовить резервную копию операционной системы или диска данных для использования в случае сбоя диска, вам необходимо убедиться, что они соответствуют правильному доверенному платформенному модулю. Вы также можете настроить разные жесткие диски для разных операционных систем, а затем включить BitLocker на каждой с разными методами аутентификации (например, один с TPM-только и один с TPM+PIN-кодом) без каких-либо конфликтов.

Так что, если это вообще возможно, я думаю, вы можете зашифровать свой домашний диск в той же системе, и тогда вы сможете легко поменять диски.

Если вышеупомянутое не вариант, то следующее могло бы работать, но я почти уверен, что для этого требуется доступ администратора. Если он у вас есть, то в следующий раз, когда вы захотите поменять местами диски, сделайте следующее:

  1. Перейдите в Start / Control Panel / System and Security / BitLocker Drive Encryption

  2. Нажмите Приостановить защиту для диска ОС (работы):

    2

  3. Нажмите Да, когда будет предложено:

    3

  4. Убедитесь, что BitLocker приостановлен для диска ОС:

    4

  5. Теперь выключите компьютер (не спите!)

  6. Поменяйте местами диски, затем поменяйте местами после отпуска и не забудьте возобновить защиту для диска ОС (работы)

Выполнив эту процедуру, вы приостановили защиту BitLocker на накопителе, изменив ключ дешифрования на ключ очистки. Для считывания данных с диска для доступа к файлам используется ключ очистки. Когда BitLocker приостановлен, проверка TPM не происходит, и другие методы аутентификации, такие как использование PIN-кода или USB-ключа для разблокировки диска операционной системы, не применяются.

Также из FAQ:

В чем разница между приостановкой и расшифровкой BitLocker?

Расшифровка полностью удаляет защиту BitLocker и полностью расшифровывает диск.

Когда BitLocker приостановлен, BitLocker сохраняет данные в зашифрованном виде, но шифрует главный ключ тома BitLocker с помощью чистого ключа. Чистый ключ - это криптографический ключ, который хранится в незашифрованном и незащищенном виде на диске. Сохраняя этот ключ в незашифрованном виде, параметр «Приостановить» позволяет вносить изменения или обновления в компьютер без затрат времени и средств на расшифровку и повторное шифрование всего диска. После внесения изменений и повторного включения BitLocker BitLocker повторно запечатает ключ шифрования с новыми значениями измеренных компонентов, которые были изменены в ходе обновления, главный ключ тома изменен, защитные устройства обновлены в соответствии и очищены. ключ стерт.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .