Вопрос или проблема
На совершенно новом Lenovo Yoga 7 slim с Windows 11 Home, во время первоначальной настройки Windows предложила сделать резервную копию ключей восстановления шифрования BitLocker в OneDrive, на что я согласился.
Я также заметил в Безопасности Windows, что шифрование устройства было включено.
Из-за сбоя обновления BIOS мне заменили материнскую плату по гарантии, и к моему удивлению Windows загрузилась, не запрашивая ключ восстановления BitLocker.
Как это возможно? Windows обманывает меня насчет шифрования устройства?
Перед сбоем Windows Update и Lenovo Vantage установили различные обновления и запросили перезагрузку.
Это после замены материнской платы:
>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Диски, которые могут быть защищены
шифрованием BitLocker:
Том C: [Windows-SSD]
[Том ОС]
Размер: 951,65 ГБ
Версия BitLocker: 2.0
Статус конверсии: Зашифровано только используемое пространство
Процент шифрования: 100,0%
Способ шифрования: XTS-AES 128
Статус защиты: Защита Включена
Статус блокировки: Разблокировано
Поле идентификации: Неизвестно
Защита ключей:
Числовой пароль
TPM
>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.26100
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Том C: [Windows-SSD]
Все средства защиты ключей
Числовой пароль:
ID: {****}
Пароль:
****
Тип резервной копии:
Резервное копирование учетной записи Microsoft
TPM:
ID: {****}
Профиль проверки PCR:
7, 11
(Использует Secure Boot для проверки целостности)
Таким образом, мое предположение сейчас заключается в том, что Lenovo Vantage приостанавливает шифрование диска перед перезагрузкой для обновления BIOS, чтобы избежать восстановления BitLocker.
И поскольку это обновление не удалось, диск остался в состоянии приостановки BitLocker.
.
Ответ или решение
Конечно. Давайте разберемся, почему замена материнской платы на вашем Lenovo Yoga 7 Slim после неудачного обновления BIOS не привела к запросу ключа восстановления BitLocker. В теории, основная причина, по которой BitLocker может не запрашивать ключ восстановления после замены материнской платы, связана с реализацией технологии TPM (Trusted Platform Module) и её взаимодействием с BitLocker.
Теория
TPM — это аппаратный модуль безопасности, встроенный в большинство современных компьютеров, который позволяет хранить криптографические ключи безопасным образом. В контексте BitLocker, TPM используется для обеспечения того, что защищенный доступ к диску может быть предоставлен только если аппаратная и программная конфигурация системы остаётся неизменной. При этом конфигурация системы хэшируется и сравнивается c эталонной, сохраненной в TPM.
По умолчанию, TPM выступает в качестве основного средства защиты BitLocker, и малейшие изменения в конфигурации, такие как изменения BIOS, приводят к необходимости ввода ключа восстановления. Поэтому, в обычной ситуации, замена материнской платы с другим TPM модулем и другой конфигурацией BIOS должна была бы вызвать запрос ключа восстановления.
Пример
В данном случае, основной подозреваемый — программное обеспечение Lenovo Vantage. Это ПО часто используется для управления обновлением драйверов и BIOS, а также для выполнения задач обслуживания и повышения безопасности системы. Для снижения риска возникновения проблем с BitLocker при обновлении BIOS, Lenovo Vantage может временно приостановить защиту BitLocker до завершения обновления. Эта процедура позволяет избежать ситуации, когда после обновления системы BIOS или его неудачи потребуется вводить ключ восстановления.
Если в процессе обновления BIOS ПО Lenovo Vantage приостановило работу BitLocker и не успело активировать защиту обратно из-за неудачи обновления, то после замены материнской платы, диск остался в состоянии, когда защита BitLocker была приостановлена. Поэтому даже с новой материнской платой система может загрузиться, не запрашивая ключ восстановления, потому что BitLocker по сути не был полностью активировал защиту. Этот сценарий подтверждается выводом команды manage-bde -status, где BitLocker числится как "Protection On", но возможно, это записано неактуально.
Применение
Рассмотрение текущего состояния вашего BitLocker может быть полезным не только для понимания техники его работы, но и для выявления уязвимостей, которые могут возникнуть при автоматизированных обновлениях. Ниже представлены некоторые рекомендации, которые могут быть полезны для руководства по защите данных и управлению безопасностью системы:
-
Регулярное резервное копирование ключей восстановления. Несмотря на то, что в вашем случае ключ был сохранен в вашей учетной записи Microsoft, полезно иметь несколько резервных копий ключей восстановления, хранящихся в безопасных местах. Обеспечение доступа к ключу может быть критически важным при восстановлении системы после сбоя.
-
Мониторинг состояния BitLocker. Регулярно проверяйте состояние BitLocker на случай, если защита была случайно приостановлена или отключена. Команды, такие как
manage-bde -status, могут помочь быстро оценить состояние шифрования. -
Понимание процессов обновления ПО. Ознакомьтесь с документацией Lenovo Vantage и других установленных системных утилит для понимания, как они взаимодействуют с функциями безопасности Windows, такими как BitLocker. Понимание этой информации поможет вам принимать обоснованные решения о том, когда и как применять обновления.
-
Ручное возобновление защиты. После установки новой материнской платы, особенно в результате сбоя, ручное возобновление функции защиты BitLocker может быть полезной мерой для обеспечения активной защиты и предотвращения потенциальных уязвимостей.
Заключая, можно сказать, что понимание и управление функциями безопасности, особенно в контексте обновлений аппаратного обеспечения или программного обеспечения, являются важными элементами общей стратегии ИТ-безопасности. Надеюсь, это объяснение помогло вам лучше понять возможность отсутствия запроса на ввод ключа восстановления BitLocker в вашем конкретном случае.