当我的 Windows 帐户密码更改时,如何禁用 BitLocker 自动解锁?

当我的 Windows 帐户密码更改时,如何禁用 BitLocker 自动解锁?

当我的 Windows 密码更改时,如何防止笔记本电脑自动解锁驱动器?破解或更改我的帐户密码比解密磁盘容易得多,但为什么 Windows 不提供这样的功能?我也在寻找任何可以从 powershell 自动解锁的脚本。

我不会“直接禁用解锁”。这很有用。我有太多东西从加密卷开始。我想阻止对我的卷的访问,只获取我的帐户。如果我的系统管理员帐户被黑客入侵,所有敏感数据都会丢失。

重现步骤:

  1. 登录您的账户
  2. 设置 bitlocker,自动解锁
  3. 重启电脑并登录账户
  4. 驱动器已解锁
  5. 退出账户(我关闭了整台电脑)
  6. 要求系统管理员将您的密码更改为新密码
  7. 使用新密码登录您的账户

预期结果:bitlocker 驱动器锁定

实际结果:驱动解锁

答案1

禁用 BitLocker 自动解锁功能

您可以完全禁用 BitLocker 自动解锁功能来实现您的要求 - 防止自动解锁 BitLocker 加密的可移动媒体或您已配置的其他驱动器。

提升的命令提示符或批处理脚本

代替G:使用适用的驱动器号。

manage-bde -autounlock -disable G:

Powershell 特定卷

代替E:使用适用的驱动器号,但您可以使用Disable-BitLockerAutoUnlockcmdlet 删除以下项特定体积使用自动解锁。

Disable-BitLockerAutoUnlock -MountPoint "E:"

Powershell 所有卷

您可以使用Clear-BitLockerAutoUnlockcmdlet 删除所有配置为使用自动解锁的卷的密钥,而不仅仅是指定的卷。此命令将清除当前计算机上存储的所有自动解锁密钥。

Clear-BitLockerAutoUnlock

更多资源

  • 禁用-BitLockerAutoUnlock

  • 清除 BitLockerAutoUnlock

  • 运行 Manage-bde.exe

  • Technet:管理-bde

  • 从提升的命令提示符
    manage-bde /?
    
    BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    manage-bde[.exe] -parameter [arguments]
    
    Description:
        Configures BitLocker Drive Encryption on disk volumes.
    
    Parameter List:
        -status     Provides information about BitLocker-capable volumes.
        -on         Encrypts the volume and turns BitLocker protection on.
        -off        Decrypts the volume and turns BitLocker protection off.
        -pause      Pauses encryption, decryption, or free space wipe.
        -resume     Resumes encryption, decryption, or free space wipe.
        -lock       Prevents access to BitLocker-encrypted data.
        -unlock     Allows access to BitLocker-encrypted data.
        -autounlock Manages automatic unlocking of data volumes.
        -protectors Manages protection methods for the encryption key.
        -SetIdentifier or -si
                    Configures the identification field for a volume.
        -ForceRecovery or -fr
                    Forces a BitLocker-protected OS to recover on restarts.
        -changepassword
                    Modifies password for a data volume.
        -changepin  Modifies PIN for a volume.
        -changekey  Modifies startup key for a volume.
        -KeyPackage or -kp
                    Generates a key package for a volume.
        -upgrade    Upgrades the BitLocker version.
        -WipeFreeSpace or -w
                    Wipes the free space on the volume.
        -ComputerName or -cn
                    Runs on another computer. Examples: "ComputerX", "127.0.0.1"
        -? or /?    Displays brief help. Example: "-ParameterSet -?"
        -Help or -h Displays complete help. Example: "-ParameterSet -h"
    
    Examples:
        manage-bde -status
        manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
        manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
    

答案2

Windows 通过使用从您的密码派生的密钥对大多数敏感数据(保存的密码、NTFS 加密文件、证书私钥等)进行加密来保护它们。当您改变您的密码,它会使用旧密码解密数据,然后使用新密码重新加密数据。但是,如果管理员(或编辑您硬盘的人,或类似人员)强制重置您的密码,Windows 没有生成解密数据密钥所需的原始密码。这些数据(加密文件等)将永远消失。

我实际上并不确定 BitLocker 自动解锁密钥是否受到与其他类型数据相同的保护,但如果没有,我会非常惊讶。因此,如果你担心的威胁是某人强制重置您的帐户密码,那么就没问题了。

顺便提一下,如果您担心此类威胁,您也应该在启动硬盘(以及任何其他内部磁盘)上使用 BitLocker。这不仅可以保护您的其他数据,还可以防止攻击者使用离线攻击重置您的密码。

答案3

如果你不喜欢密码保护,那么就买一个智能卡读卡器和卡

答案4

BitLocker (To Go) 自动解锁无法防止恶意管理员强制重置您的 Windows 帐户密码以获取访问权限,因为自动解锁密钥与您的 Windows 凭据无关。但是,如果您受 BitLocker 保护的驱动器使用 NTFS 格式化,那么您还可以使用加密文件系统(EFS)功能来加密文件及其所在文件夹。(Windows 2000 以后已包含 EFS。)

此方法有效 - 前提是计算机上没有设置 EFS 数据恢复代理 - 因为 EFS 私钥受用户当前 Windows 密码保护。因此,如果该用户更改密码后,EFS 私钥将被解密,并使用新密码重新加密——但如果管理员强制重置密码后EFS私钥将无法再解密。

相关内容