Вопрос или проблема
Кто-нибудь знает какой-нибудь трюк – смена реестра, политика группы и т.д., который позволит автоматическую разблокировку тома Bitlocker без битлокера на системном диске?
Мой системный диск – это Samsung 850 Pro SSD, поэтому у него, очевидно, есть встроенное шифрование, которое я активирую, используя пароль BIOS на диск.
Я не использую Bitlocker на системном диске, потому что в моем BIOS я не могу настроить его для использования встроенного аппаратного шифрования, поэтому это было бы пустой тратой ресурсов шифровать его с помощью процессора.
У меня есть второй механический жесткий диск, который я зашифровал с помощью Bitlocker, и я хотел бы иметь возможность автоматически разблокировать его.
На данный момент я придумал взлом, чтобы сделать это, запустив задачу при загрузке системы, которая использует утилиту командной строки Bitlocker для ручной разблокировки диска. Однако это кажется очень неудобным способом.
Я понимаю причину этого ограничения, потому что они не хотят хранить ключи дешифрования на незашифрованном диске, однако в моем случае это не совсем применимо, поскольку системный диск полностью зашифрован, только не с помощью Bitlocker.
Мне просто интересно, есть ли способ обойти эту проверку и заставить позволить автоматическую разблокировку?
- выключите bitlocker на диске, который вы хотите автоматически разблокировать
- смонтируйте этот диск как съемный диск, то есть подключите его к блоку внешнего диска, например, StarTech или многими другими
- загрузите систему и активируйте bitlocker на диске и включите автоматическую разблокировку
- выключите систему
- смонтируйте диск как постоянный диск
- перезагрузите систему, и диск будет автоматически разблокирован, потому что Windows теперь думает, что это съемный диск
У меня работает без проблем
Предположения:
- Ваша задача вводит пароль, поэтому он сохранен в планировщике задач Windows.
- Вы не хотите вводить пароль диска данных после каждой загрузки.
Этот обходной путь может быть не менее неудобным, но, возможно, немного менее небезопасным.
Действительно, Windows не позволит вам включить автоматическую разблокировку на фиксированном диске, если системный раздел не зашифрован (с помощью Bitlocker).
Однако я использовал обходное решение. Я сохранил ключ восстановления (внешний файл ключа) с помощью команды manage-bde на флеш-накопитель USB. Теперь, когда я хочу разблокировать диск, вместо ввода пароля, я нажимаю на текст-кнопку под ним, и он автоматически проверяет существующие USB-устройства и разблокирует. То есть нажатие вместо ввода.
В вашей ситуации, потому что C зашифрованным другим способом, а мой C не был, я временно создал ключ на (зашифрованной Bitlocker) флешке USB. Этот файл имеет формат *.bek и является скрытым системным файлом, используйте dir /A:S для просмотра. Скопируйте его в папку C:\User\{Accountname}\AutoUnlockKeys\{keyfileid}.bek. Я бы отказал права на эту папку по максимуму.
Затем обновите свою задачу до
manage-bde -unlock D: -RecoveryKey "C:\pathtofile\key.bek"
Где C: – это зашифрованный системный диск, использующий что-то другое, кроме Bitlocker.
Обычно ключ автоматической разблокировки сохраняется в реестре. Преимущество задачи разблокировки -RecoveryKey по сравнению с задачей разблокировки -Password в том, что ваше слабое звено – это не пароль, указанный в явном виде в диспетчере задач Windows, а слабое звено – это права доступа Windows, примененные к папке/файлу ключа *.bek.
Мое решение описано здесь
Чтобы настроить автоматическую разблокировку диска BitLocker при входе в систему:
- Создайте файл UnlockDrives.ps1
try {
$Volume = "E:"
$Password = "BITLOCKPASSWORD"
Unlock-BitLocker -MountPoint $Volume -ErrorAction Stop -Password (ConvertTo-SecureString $Password -AsPlainText -Force)
Write-Host "Drive $Volume unlocked"
}
catch {
throw "Failed to unlock $Volume $_"
}
- Сохраните UnlockDrives.ps1 и RunHiddenConsole.exe в папке C:\Users\YOURUSER\AppData\Local\UnlockDrives
- ДЛЯ БЕЗОПАСНОСТИ ТОЛЬКО: Включите шифрование папки и отредактируйте ее разрешения так, чтобы только ваш пользователь имел доступ к этой папке
- Откройте планировщик задач
- Создайте новую задачу под Microsoft\Windows\Powershell\ScheduledJobs
- Введите имя: “UnlockDrives”
- Выберите General -> “Запускать только после входа пользователя в систему”, только для вашего пользователя
- Выберите General -> “Выполнять с наивысшими привилегиями”
- Добавьте триггеры -> “На входе в систему”, только для вашего пользователя
- Добавьте действие -> “Запуск программы”
- Установите программу: RunHiddenConsole.exe
- Установите аргументы: powershell.exe -ExecutionPolicy Unrestricted -Command “./UnlockDrives.ps1”
- Установите “Начальная папка”: C:\Users\YOURUSER\AppData\Local\UnlockDrives
RunHiddenConsole.exe можно скачать по указанной выше ссылке или скомпилировать из исходников, хотя это не обязательно, но это решает проблему всплывающих окон во время входа в систему.
Спасибо @jenkas, это прекрасно сработало для меня. К вашему сведению, это также работает, если выбрать запуск задачи в планировщике при перезагрузке – то есть без присмотра.
Ответ или решение
Вопрос о том, как включить автоматическую разблокировку Bitlocker без шифрования системного диска, является актуальным для пользователей, которые сталкиваются с ограничениями платформы Windows в области управления безопасностью. Ваша ситуация сложилась из-за того, что системный диск (Samsung 850 Pro SSD) уже зашифрован встроенной функцией дискового шифрования, активируемой через пароль BIOS, однако не с помощью Bitlocker. Таким образом, вы ищете способ автоматической разблокировки второго диска, зашифрованного с помощью Bitlocker, без использования Bitlocker на системном диске. Давайте подробнее рассмотрим возможные способы решения данной задачи.
Теория
Основной принцип работы Bitlocker заключается в том, чтобы обеспечивать безопасность данных на устройствах, избегая при этом хранения ключей шифрования в незащищенных местах. Это имеет особую актуальность для случайного или злонамеренного несанкционированного доступа к данным при физическом доступе к машине. Одна из встроенных функций Bitlocker — "автоматическая разблокировка", которая первоначально была разработана для использования на системах, где все диски зашифрованы, включая системный диск. Windows ожидает наличия шифрования на системном разделе, чтобы хранить ключи автоматически разблокированных дисков в защищенном формате.
Пример
Ваш опыт показывает, что можно пробовать альтернативные методы, например такие, как использование программы-запускателя при загрузке системы или сохранение ключа восстановления на переносном носителе. Эти методы хотя и не являются официальными решениями, но способны предложить необходимую функциональность.
Вы предложили вариант с использованием внешних USB-дисков и перенастройкой диска как "съемного", после чего осуществляется активация автозапуска. Другой метод — это написание сценария PowerShell для разблокировки диска при входе в систему. Вы делаете это с использованием утилиты RunHiddenConsole.exe, чтобы избежать показа окна консоли при запуске сценария.
Применение
Если вы нетерпеливы в своем стремлении настроить автоматическую разблокировку дисков в текущей конфигурации системы, вам стоит сосредоточиться на следующих шагах:
-
Подготовьте специальную папку для хранения конфиденциальных данных, таких как файл ключа восстановления (имейте в виду, что он должен иметь как можно больше ограничений доступа).
-
Создайте сценарий PowerShell, который выполнит разблокировку Bitlocker с использованием данного ключа.
-
Настройте Планировщик задач Windows для выполнения данного сценария при загрузке системы или во время входа в систему. Это обеспечит автоматизацию процесса разблокировки без вмешательства пользователя.
-
Обратите особое внимание на безопасность данных — удостоверитесь, что папка с файлами ключей защищена должным образом. Это является важнейшей частью, так как компрометация данного файла ставит под угрозу безопасность данных на диске.
Применение этих методов требует тщательной настройки и понимания механизмов безопасности системы. Один из лучших подходов — это создание резерва данных перед изменением настроек шифрования, чтобы избежать потери данных в случае ошибки. Понимание и использование встроенных функций шифрования вашей системы также могут помочь в дальшейших обновлениях и решениях возможных проблем.
Таким образом, чтобы достичь цели автоматической разблокировки зашифрованного диска Bitlocker без использования Bitlocker на системном разделе, следует использовать обходные методы, применяя PowerShell и осознавая связанные с этим риски безопасности.