某公司的笔记本电脑位于域中,并已使用 Bitlocker 加密。当这台笔记本电脑的 SSD 被放入另一台笔记本电脑时,由于硬件发生变化,驱动器会被锁定。它通过提供密钥 ID 来请求解锁密钥。
这是原版笔记本电脑还是新笔记本电脑的解锁密钥?如果是原版笔记本电脑,是否意味着整个旧笔记本电脑都被加密,并且其 ID 存储在 SSD 上?如果 SSD 放在两台不同的笔记本电脑中,解密密钥是否仍然相同?
答案1
Bitlocker 加密驱动器的解密密钥是如何生成的?
主密钥是随机生成的,并且不会向用户显示。
如果您运行manage-bde -status或manage-bde c: -protectors -get,您会看到每个磁盘可以有多个所谓的“保护器”,每个保护器都保存着磁盘主密钥的副本。在大多数情况下,有两个:
- 第一份副本使用旧笔记本电脑的 TPM 芯片密封;
- 第二份副本使用随机生成的 48 位“恢复密码”进行加密,Windows 通常要求写下来或打印出来。
这是原装笔记本电脑的解锁钥匙还是新笔记本电脑的解锁钥匙?
都不是。这是一个备用密钥存储在 BitLocker 元数据本身中——它是随机生成的,与系统硬件没有任何关系。(事实上,重点恢复密钥——无论硬件发生什么变化,您都可以始终使用它。
如果是原装笔记本电脑,是否意味着整个旧笔记本电脑都将被加密并且其 ID 存储在 SSD 上?
“密钥 ID”与笔记本电脑或物理磁盘完全无关;它只是一个完全随机的 ID,充当数字解锁密码/恢复密钥的“名称”。(例如,如果您管理一个大型办公室并记下了 100 个恢复密钥,“密钥 ID”会让您知道哪台计算机需要哪个密钥。)
如果将 SSD 放在两台不同的笔记本电脑中,解密密钥还会相同吗?
是的 - 主密钥始终是相同的,并且所有非硬件保护器(密码、USB 记忆棒上的 .bek 密钥或数字恢复密钥)都将是相同的,除非您故意更改它们。
但是,BitLocker 只能存储一个 TPM 保护器,因此您只能在一台笔记本电脑上自动解锁。每次您将磁盘移动到新笔记本电脑时,它都会先要求您输入恢复密钥。
答案2
您可以像在旧计算机上一样在新计算机上解密 Bitlocker 磁盘:
将 BitLocker 加密的驱动器插入另一台 Windows 10 计算机时,桌面右下角会出现一条消息:
单击此消息显示密码对话框,您可以用它解锁驱动器:
如果您忘记/丢失了解锁此驱动器的密码,请单击“更多选项”,然后单击“输入恢复密钥”,然后输入 48 位恢复密钥来解锁此驱动器。
如果您没有上述两个密钥中的任何一个,情况就会变得复杂或不可能。