如何记录与系统保留分区相关的系统事件以便记录故障?

如何记录与系统保留分区相关的系统事件以便记录故障?

我一直在阅读系统保留分区n 并了解它包含 Windows PC 启动所需的所有启动项。我试图了解在使用 Bit Locker 的情况下它与主 OS 分区的交互如何工作。

我的理解是,计算机使用分区进行启动,然后一旦用户成功登录,操作系统就可以开始解密主驱动器以供使用。

当我考虑到 Windows 正常运行必须发生的事情(例如登录尝试的事件记录)时,我感到很困惑。

如果登录成功,我认为解密后它们将被放入相应的事件日志中,但如果登录失败,则该文件尚不可用。要让 Windows 记录它,事件记录必须存放在某个永久位置,我能想到的唯一位置是系统保留分区,因为它是当时唯一未加密的可用分区。

是这样吗?如果是这样,我希望得到一个答案,详细说明这些事件在分区上的存储位置和存储方式。如果不是,我想知道到底发生了什么。

答案1

保留分区与日志记录无关。没有必要。

“据我理解,计算机使用分区进行启动,然后一旦用户成功登录,操作系统就可以开始解密主驱动器以供使用。”

BitLocker 并非如此,尽管有些文档可能暗示它确实如此。但由于多种原因,它无法工作,而且还有更好的方法。

驱动器上的数据仅在读取或写入时才加密和解密。数据在从磁盘读取时解密,在写入时加密。这允许驱动器上的数据在启动前、启动期间和启动后始终保持加密状态。只有一小部分操作系统与 BitLocker 有关,其余部分对此一无所知。在启动和登录期间,操作系统可以根据需要对驱动器进行完全读写访问。登录失败由事件日志软件记录,无需 BitLocker 的帮助或了解。

相关内容