我知道 Bitlocker 可以自动暂停操作系统驱动器/分区的保护,例如,安装某些系统更新。
有时用户可能需要手动暂停操作系统驱动器/分区的保护,例如安装某些第三方系统更新。
我的问题是关于固定的内部非操作系统驱动器/分区和可移动驱动器/分区。
Windows 是否会因某种原因自动暂停此类驱动器/分区上的 Bitlocker 保护?
或者用户需要这样做有什么理由吗?
(这是一台不受任何组织等管理的单用户个人计算机。
提出这个问题的动机是我不想在我的非操作系统驱动器/分区上暂停 Bitlocker 保护,因此我试图找出是否存在 Windows 本身会决定这样做的情况,或者我需要自己手动执行此操作的情况。)
答案1
无需用户干预就自动暂停 Bitlocker 会造成重大安全漏洞。攻击者只需模拟系统更新情况即可侵入计算机。
这BitLocker 常见问题解答 关于系统更新:
我是否必须暂停 BitLocker 保护才能下载和安装系统更新和升级?
BitLocker 无需用户操作即可应用 Microsoft 的更新,包括 Windows 质量更新和功能更新。用户需要暂停 BitLocker 才能应用非 Microsoft 软件更新
[...]
如果 BitLocker 已暂停,您可以在安装升级或更新后恢复 BitLocker 保护。恢复保护后,BitLocker 将重新封装加密密钥,使其与在升级或更新过程中更改的测量组件的新值一致。如果在未暂停 BitLocker 的情况下应用这些类型的升级或更新,计算机将在重新启动时进入恢复模式,并且需要恢复密钥或密码才能访问计算机。