Как отключить автоматическую разблокировку bitlocker при изменении пароля моей учетной записи Windows?

Question

Как предотвратить автоматическую разблокировку дисков на моем ноутбуке при изменении пароля Windows? Взломать или изменить пароль моей учетной записи гораздо проще, чем расшифровать диск, но почему Windows не предоставляет такую функциональность из коробки? Я искал любые скрипты для автоматической разблокировки с powershell также.

Я не собираюсь "просто отключить разблокировку". Это очень полезная вещь. У меня слишком много вещей, которые начинаются с зашифрованного тома. Я хочу запретить доступ к своему объему только путем получения моей учетной записи. Если мою учетную запись системного администратора можно взломать, все конфиденциальные данные будут потеряны.

Действия по воспроизведению:

1. Войдите в свой аккаунт
2. Настройка битлокера, авто-разблокировка
3. Перезагрузите компьютер и войдите в аккаунт
4. Диск разблокирован
5. Выйти из учетной записи (я выключил весь компьютер)
6. Попросите sysadmin сменить пароль на новый.
7. Войдите в свой аккаунт с новым паролем

Ожидаемый результат: диск битлокера заблокирован

Фактический результат: диск разблокирован

Answer 1

Отключение функций автоматической разблокировки BitLocker

Вы можете просто отключить функцию автоматической разблокировки BitLocker, чтобы дать вам то, о чем вы просите, - предотвратить автоматическую разблокировку зашифрованных съемных носителей BitLocker или других дисков, для которых вы настроили это.

Повышенная командная строка или пакетный скрипт

^{Замените G: соответствующей буквой диска.}

manage-bde -autounlock -disable G:

Удельный объем Powershell

^{Замените E: на соответствующую букву диска, но вы можете использовать командлет Disable-BitLockerAutoUnlock , чтобы удалить ключи для определенных томов, которые используют автоматическую разблокировку.}

Disable-BitLockerAutoUnlock -MountPoint "E:"

Powershell Все тома

^{Командлет Clear-BitLockerAutoUnlock можно использовать для удаления ключей для всех томов, настроенных для использования автоматической разблокировки вместо только указанных томов. Эта команда очищает все ключи автоматической разблокировки, хранящиеся на текущем компьютере.}

Clear-BitLockerAutoUnlock

---

Дополнительные ресурсы

• Disable-BitLockerAutoUnlock

• Clear-BitLockerAutoUnlock

• Запуск Manage-bde.exe

• Technet: Manage-BDE

• ^{Из повышенной командной строки}

  manage-bde /?
  
  BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved.
  
  manage-bde[.exe] -parameter [arguments]
  
  Description:
      Configures BitLocker Drive Encryption on disk volumes.
  
  Parameter List:
      -status     Provides information about BitLocker-capable volumes.
      -on         Encrypts the volume and turns BitLocker protection on.
      -off        Decrypts the volume and turns BitLocker protection off.
      -pause      Pauses encryption, decryption, or free space wipe.
      -resume     Resumes encryption, decryption, or free space wipe.
      -lock       Prevents access to BitLocker-encrypted data.
      -unlock     Allows access to BitLocker-encrypted data.
      -autounlock Manages automatic unlocking of data volumes.
      -protectors Manages protection methods for the encryption key.
      -SetIdentifier or -si
                  Configures the identification field for a volume.
      -ForceRecovery or -fr
                  Forces a BitLocker-protected OS to recover on restarts.
      -changepassword
                  Modifies password for a data volume.
      -changepin  Modifies PIN for a volume.
      -changekey  Modifies startup key for a volume.
      -KeyPackage or -kp
                  Generates a key package for a volume.
      -upgrade    Upgrades the BitLocker version.
      -WipeFreeSpace or -w
                  Wipes the free space on the volume.
      -ComputerName or -cn
                  Runs on another computer. Examples: "ComputerX", "127.0.0.1"
      -? or /?    Displays brief help. Example: "-ParameterSet -?"
      -Help or -h Displays complete help. Example: "-ParameterSet -h"
  
  Examples:
      manage-bde -status
      manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
      manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
  

Answer 2

Windows защищает наиболее важные данные (сохраненные пароли, зашифрованные файлы NTFS, закрытые ключи для сертификатов и т.д.), Зашифровывая их с помощью ключа, полученного из вашего пароля. Когда вы меняете свой пароль, он использует старый пароль для расшифровки данных, а затем повторно шифрует данные, используя ваш новый пароль. Однако, если администратор (или кто-то, кто редактирует ваш жесткий диск, или что-то в этом роде) принудительно сбрасывает ваш пароль, у Windows нет исходного пароля, необходимого для создания ключа для расшифровки данных. Эти данные (зашифрованные файлы и т.д.) Исчезли навсегда.

На самом деле я не знаю наверняка, что ключи автоматической разблокировки BitLocker защищены так же, как эти другие виды данных, но я был бы очень удивлен, если бы они не были. Поэтому, если вы обеспокоены тем, что кто-то принудительно сбрасывает пароль вашей учетной записи, вы, вероятно, в порядке.

В качестве примечания: если вас беспокоят подобные угрозы, вам следует также использовать BitLocker на загрузочном жестком диске (и любых других внутренних дисках). Это не только защитит остальные ваши данные, но и не позволит злоумышленнику сбросить ваш пароль с помощью автономной атаки.

Answer 3

Если защита паролем не для вас, тогда приобретите устройство для чтения смарт-карт и карту

Answer 4

Функция автоматической разблокировки BitLocker (To Go) не обеспечивает защиту от злонамеренного администратора, который может принудительно сбросить пароль учетной записи Windows для получения доступа, поскольку ключ автоматической разблокировки не привязан к вашим учетным данным Windows. Однако если ваш диск, защищенный BitLocker, отформатирован с использованием NTFS, вы можете дополнительно использовать функцию шифрованной файловой системы (EFS) для шифрования файлов и содержащих их папок. (EFS была включена с Windows 2000.)

Этот метод работает (при условии, что на компьютере не настроены агенты восстановления данных EFS), поскольку закрытый ключ EFS защищен текущим паролем пользователя Windows. Таким образом, если этот пользователь меняет свой пароль, закрытый ключ EFS дешифруется и повторно шифруется под новым паролем - но если администратор принудительно сбрасывает пароль, закрытый ключ EFS больше не может быть расшифрован.