无 Microsoft 帐户的 BitLocker 加密方案如何工作?

无 Microsoft 帐户的 BitLocker 加密方案如何工作?

我有一个新的戴尔XPS 157590)我没有给出初始Windows 10 家庭版设置任何 Wi-Fi 信息,这样我就可以使用纯本地用户帐户安装 Windows——我的计算机上没有任何 Microsoft 帐户。

然后我安装了Fedora31,就像人们所做的那样,并惊讶地发现主数据分区已由 BitLocker 加密!我无法用解除锁定因为我不知道它是如何加密的。

当我启动机器时,我进入了 Windows 10 登录屏幕,无需输入任何密码来解密驱动器(当我启动到 Fedora 31 分区时,我必须输入密码,该分区由卢克斯):我输入的唯一密码是我的本地用户帐户的密码。

我很想知道我的恢复密钥或密码是什么!这样我就可以从 Fedora 内部解密驱动器以安装它。但 Windows 10 Home 不应该支持 BitLocker,而微软的文档似乎暗示如果没有 Microsoft 帐户(恢复密码就存储在该帐户中),您就无法使用 BitLocker。

manage-bde几乎意味着驱动力不是加密,但 Windows 磁盘管理器(和分区) 可以清楚地看到 C: 分区已加密。Explorer 不显示常见的 BitLocker 图标,也不提供“管理 BitLocker”选项。

cd C:\Windows\system32
manage-bde -status c:

输出:

BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [OS]
[OS Volume]

    Size:                 765.15 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection Off
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:       None Found

有人遇到过这种情况吗?我很想保留驱动器上的加密。看来,manage-bde -off C:Windows 10 Home 中的驱动器将永久解密,但我不知道驱动器是如何加密的,也不知道恢复密钥存储在哪里。

答案1

BitLocker 从未依赖过 Microsoft 帐户。它只是可能的存储恢复密码的位置,但不是唯一的位置(相同的密码可以存储在 Active Directory 上,或存储在您选择的纯文本文件中) - 并且 BitLocker 驱动器不一定具有恢复密码。

你可以运行manage-bde c: -protectors -get查看可用的解锁机制。只要存在恢复密码,它就会直接显示在保护程序列表中。

但在您的情况下,状态输出立即表明没有:磁盘的主密钥只是存储在磁盘本身上,根本没有给您提供任何保护。

这意味着 BitLocker 的使用只是期望您稍后手动激活它——无论您何时决定这样做,Windows 都无需花时间加密数 GB 的实际数据,它只会加密主密钥。那时 BitLocker 也会提示您保存恢复密码。

Dislocker 应该能够使用该--clearkey选项访问驱动器。


也供将来参考:

通常,无密码解锁是通过使用 TPM 来实现的,TPM 将密钥保存在单独的芯片中,并且只有当整个启动过程完全符合其要求时才将其提供给操作系统。(也就是说,如果您在同一台计算机上启动 Linux,则启动日志将产生不同的 PCR 哈希,并且无法检索 TPM 密封的密钥。)

如果您的磁盘实际上启用了 TPM 保护但没有恢复密钥,则可以使用 添加一个manage-bde c: -protectors -add -recoverypassword

(或者,你可以添加恢复密钥文件使用该-recoverykey选项并将其与 Dislocker 一起使用--bekfile=。)

但是,同样,在您的情况下,尚未添加“主要”保护程序。因此,如果您想保护数据,您应该先添加-tpm-password保护程序,然后添加恢复密钥作为第二个选项。

相关内容