当我的 Windows 密码更改时,如何防止笔记本电脑自动解锁驱动器?破解或更改我的帐户密码比解密磁盘容易得多,但为什么 Windows 不提供这样的功能?我也在寻找任何可以从 powershell 自动解锁的脚本。
我不会“直接禁用解锁”。这很有用。我有太多东西从加密卷开始。我想阻止对我的卷的访问,只获取我的帐户。如果我的系统管理员帐户被黑客入侵,所有敏感数据都会丢失。
重现步骤:
- 登录您的账户
- 设置 bitlocker,自动解锁
- 重启电脑并登录账户
- 驱动器已解锁
- 退出账户(我关闭了整台电脑)
- 要求系统管理员将您的密码更改为新密码
- 使用新密码登录您的账户
预期结果:bitlocker 驱动器锁定
实际结果:驱动解锁
答案1
禁用 BitLocker 自动解锁功能
您可以完全禁用 BitLocker 自动解锁功能来实现您的要求 - 防止自动解锁 BitLocker 加密的可移动媒体或您已配置的其他驱动器。
提升的命令提示符或批处理脚本
代替G:
使用适用的驱动器号。
manage-bde -autounlock -disable G:
Powershell 特定卷
代替E:
使用适用的驱动器号,但您可以使用Disable-BitLockerAutoUnlock
cmdlet 删除以下项特定体积使用自动解锁。
Disable-BitLockerAutoUnlock -MountPoint "E:"
Powershell 所有卷
您可以使用Clear-BitLockerAutoUnlock
cmdlet 删除所有配置为使用自动解锁的卷的密钥,而不仅仅是指定的卷。此命令将清除当前计算机上存储的所有自动解锁密钥。
Clear-BitLockerAutoUnlock
更多资源
- 从提升的命令提示符
manage-bde /? BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved. manage-bde[.exe] -parameter [arguments] Description: Configures BitLocker Drive Encryption on disk volumes. Parameter List: -status Provides information about BitLocker-capable volumes. -on Encrypts the volume and turns BitLocker protection on. -off Decrypts the volume and turns BitLocker protection off. -pause Pauses encryption, decryption, or free space wipe. -resume Resumes encryption, decryption, or free space wipe. -lock Prevents access to BitLocker-encrypted data. -unlock Allows access to BitLocker-encrypted data. -autounlock Manages automatic unlocking of data volumes. -protectors Manages protection methods for the encryption key. -SetIdentifier or -si Configures the identification field for a volume. -ForceRecovery or -fr Forces a BitLocker-protected OS to recover on restarts. -changepassword Modifies password for a data volume. -changepin Modifies PIN for a volume. -changekey Modifies startup key for a volume. -KeyPackage or -kp Generates a key package for a volume. -upgrade Upgrades the BitLocker version. -WipeFreeSpace or -w Wipes the free space on the volume. -ComputerName or -cn Runs on another computer. Examples: "ComputerX", "127.0.0.1" -? or /? Displays brief help. Example: "-ParameterSet -?" -Help or -h Displays complete help. Example: "-ParameterSet -h" Examples: manage-bde -status manage-bde -on C: -RecoveryPassword -RecoveryKey F:\ manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
答案2
Windows 通过使用从您的密码派生的密钥对大多数敏感数据(保存的密码、NTFS 加密文件、证书私钥等)进行加密来保护它们。当您改变您的密码,它会使用旧密码解密数据,然后使用新密码重新加密数据。但是,如果管理员(或编辑您硬盘的人,或类似人员)强制重置您的密码,Windows 没有生成解密数据密钥所需的原始密码。这些数据(加密文件等)将永远消失。
我实际上并不确定 BitLocker 自动解锁密钥是否受到与其他类型数据相同的保护,但如果没有,我会非常惊讶。因此,如果你担心的威胁是某人强制重置您的帐户密码,那么就没问题了。
顺便提一下,如果您担心此类威胁,您也应该在启动硬盘(以及任何其他内部磁盘)上使用 BitLocker。这不仅可以保护您的其他数据,还可以防止攻击者使用离线攻击重置您的密码。
答案3
如果你不喜欢密码保护,那么就买一个智能卡读卡器和卡
答案4
BitLocker (To Go) 自动解锁无法防止恶意管理员强制重置您的 Windows 帐户密码以获取访问权限,因为自动解锁密钥与您的 Windows 凭据无关。但是,如果您受 BitLocker 保护的驱动器使用 NTFS 格式化,那么您还可以使用加密文件系统(EFS)功能来加密文件及其所在文件夹。(Windows 2000 以后已包含 EFS。)
此方法有效 - 前提是计算机上没有设置 EFS 数据恢复代理 - 因为 EFS 私钥受用户当前 Windows 密码保护。因此,如果该用户更改密码后,EFS 私钥将被解密,并使用新密码重新加密——但如果管理员强制重置密码后EFS私钥将无法再解密。