С чем вы сталкиваетесь
Линия устройств Microsoft Surface поставляется в зашифрованном виде с помощью BitLocker или Device Encryption (который по сути является ненастраиваемым BitLocker). Это шифрование вообще не зависит от пароля пользователя. (Может, но нет.) Вместо этого он использует ключ восстановления, хранящийся в защищенном от взлома чипе доверенного платформенного модуля (TPM), встроенном в устройство.
Я также предполагаю, что безопасная загрузка включена на Surface Pro. TPM и Secure Boot предотвращают несанкционированное изменение конфигурации загрузки. Это одна из вещей, которая может эффективно остановить буткиты (boot rootkit) и вымогателей. Когда они определяют, что путь загрузки может быть скомпрометирован, TPM отказывается предоставлять ключ восстановления BitLocker для загрузчика. (Никто не хочет, чтобы буткит получил его / ее ключ восстановления.) Поклонники Linux уже знают и то и другое, потому что жизнь в мире Linux требует технического специалиста. Поэтому, когда они устанавливают Linux, который определенно требует изменений конфигурации загрузки, они заранее отключают BitLocker (и иногда Secure Boot).
Не заблуждайтесь: люди любят все это; их данные намного безопаснее. Единственное исключение - журналистское сообщество, которое любит это и любит поливать грязью, потому что это их работа.
Что делать сейчас?
К счастью, у Microsoft есть меры безопасности в случае сбоя TPM: ключ восстановления, о котором я упоминал ранее, генерируется во время последовательности действий при использовании OOBE при первом включении Surface Pro и только при выборе войти в систему с учетной записью Microsoft. Шифрование устройства не будет применено без него. Этот ключ восстановления затем загружается в вашу учетную запись Microsoft и не будет удален без вашей явной команды. Вы можете найти его, используя этот URL:
https://account.microsoft.com/devices/recoverykey
Это так же, как стандартная конфигурация Microsoft. Но если вы включили BitLocker сами ... ну, неважно; ты сказал, что нет.
С помощью этого ключа вы можете загружать Windows с зашифрованного диска. В Windows вы можете отключить BitLocker/Device Encryption и заняться установкой Linux. Но имейте в виду: Linux означает жить на переднем крае. Если у вас нет достаточных технических знаний, некоторые другие технические трудности могут угрожать вашей цифровой жизни. Итак, я предлагаю иметь резервную копию на месте.
Вещи, которые вы не должны делать
Не пытайтесь отключить или сбросить TPM через UEFI. Это не предоставит вам доступ. (Подумайте об этом так: если ваш ноутбук когда-нибудь украли, вы бы не хотели, чтобы воры получали какой-либо доступ с помощью простой настройки BIOS, не так ли?) Если вы сделаете это, даже если вы сможете отменить несоответствие конфигурации, которое каким-то образом вступило в силу, ваш уникальный ключ на основе TPM будет потерян навсегда.
