none
Bitlocker не принимает правильный пин (русск раскладка отметаем, проверил) изменения конфигурации загрузки с USB на ПИН. help RRS feed

  • Вопрос

  • Здравствуйте,

    Подскажите пожалуйста способ ввести пин код в среде windows чтобы разблокировать диск.

    когда вводил пин, была русская раскладка клавиатуры видимо, ПИН знаю, но при запуске

    предзагрузки только английская раскладка, поэтому пин не может быть введен правильно.

    На данный момент диск заблоченный битлокером имеет только один предохранитель - TPM+pin code.

    никаких рековери кей пассворд и т.д. нет. Только пин + ТПМ.




    1 января 2022 г. 10:33

Ответы

  • Про PIN и TPM:

    Протестил я на новой винде загрузку с ПИН:

    1. Проблема не в русской раскладке, при создании Пина в случае активной русской раскладки,
    вылетает Восклицательный знак и предупреждение, что возможно в предзагрузке вы не сможете его ввести))

    2. При создании Пина (не расширенного в свойствах политики Битлокера) при наборе символов (не допустимы при данной политике) и цифр, Пин код не может быть создан, вылетает предупрежение что необходимо ввести именно цифры.

    Поэтому, TPM не принимал ПИН верный ни разу. Возможно изменилась сама винда, прошли какие-ниб обновления,
    возможно способ загрузки винды с USB на ПИН чип TPM воспринял как атаку и залочился, хотя:

    LockedOut                 : False

    данные по факту говорят что блока нет.

    Меня больше смутило пустая строка:

    OwnerAuth                 :  *ПУСТО*

    а это "пароль" или индентефикация на данный момент, т.е. TPM потерял владельца?)) ничто не могло стать
    на сеанс его владельцем?, поэтому ПИН не был признан как от владельца?

    На данный момент я очистил TPM, сейчас эта строка составляет символьный ряд.
    Возможно при смене винды, и поставновки новой 3 года назад, я не очистил TPM,
    как то он работал с USB, но вот в работе с ПИном настал тот момент... ружье таки стрельнуло))))
    и откладывание в долгий ящик "а где же код восстановления", я кстати задавался таким вопросом, чуял ведь....

    Конечно:

    manage-bde -unlock D: -ct 65FKLJ35098509OG98 -pin

    не сработал, я даже отпечаток сертификата в данных TPM нашел, думал PIN зашит в нем должно сработать,
    но этот сертификат создается для восстановления...

    Пин код правильный, можно было вводить вечно)) и думать о русской раскладке, о том, что возможно
    в цифровом пин коде были приняты какого-то х символы, или при создании ошибся на 1 символ... неее.
    все проще - правильный пин не был принят ни разу.

    Тему можно закрывать.



    3 января 2022 г. 11:39

Все ответы

  • Здравствуйте.

    Попробуйте загрузится с установочного диска и разблокировать диск используя утилиту manage-bde –off C:


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. IT Earth | Блог IT Инженера, YouTube, GitHub, Facebook, TechNet Forum Team.

    1 января 2022 г. 11:39
    Модератор
  • Спасибо за ответ 1 января) С Наступившем 2022. 

    Рука пока не поднимается форматировать диск.

    На данный момент:

    F:\>manage-bde -status d:

    Шифрование дисков BitLocker: версия средства настройки: 10.0.19041
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Том D: []
    [Том данных]

        Размер:                           Неизвестный ГБ
        Версия BitLocker:                 Нет
        Состояние преобразования:         Полностью расшифровано
        Зашифровано (процентов):          0,0%
    Ошибка: произошла ошибка (код: 0x80070057):
    Параметр задан неверно.

    Х меня дернул изменить вариант загрузки системного с USB на пин код,

    но кончилась флешка, вторую запасную думал что не найду с файлом БЕК, поэтому пока система была

    загружена, пришлось изменить способ, думал что так проще, оказалось подставон,

    набрал русской раскладкой, теперь ввести это не представляется возможным при требовании

    ввести именно ПИН.

    Поэтому использовал repair bde и ввод пароля, подумал что примет его как ПИН и вот что писало:

    C:\>repair-bde D: C: -pw -force
    Шифрование дисков BitLocker: средство восстановления, версия 10.0.19041
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Введите пароль для разблокировки этого тома:
    ОШИБКА ЖУРНАЛА: 0xc000002e
    Не удалось включить режим доступа RAW для тома. (0x80070005)
    ОШИБКА ЖУРНАЛА: 0xc0000031
    Не удалось открыть "C:". (0x80070005)

    Ошибка: не удается открыть "C:". Убедитесь, что он не используется. Для
    продолжения в случае использования тома примените параметр -Force.

    Где D зашиврованный диск,

    нашел вторую запасную флешку на которой был файл БЕК но этот способ

    разблокировки не является предохранителем, так как был изменен, но

    я всеже попробовал:

    F:\>repair-bde D: C: -rk F:\B7044E5E-9FE8-4D03-B25F-16929E8A0FC6.BEK -force
    Шифрование дисков BitLocker: средство восстановления, версия 10.0.19041
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    ОШИБКА ЖУРНАЛА: 0xc000002e
    Не удалось включить режим доступа RAW для тома. (0x80070005)
    ОШИБКА ЖУРНАЛА: 0xc0000031
    Не удалось открыть "C:". (0x80070005)

    Ошибка: не удается открыть "C:". Убедитесь, что он не используется. Для
    продолжения в случае использования тома примените параметр -Force.

    Сейчас пишет что диск разблокирован, но это не так.. попробую грузануться с него..

    не могу найти как в power shell или в CMD вариант команды разблокировки диска с вводом ПИН.

    только рековерикей пароль, но никак не ПИН.....


    1 января 2022 г. 12:02
  • К сожалению все как и было))

    C:\>manage-bde -status d:

           

    Шифрование дисков BitLocker: версия средства настройки: 10.0.19041
    (C) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Том D: [Неизвестная метка]
    [Том данных]

        Размер:                           Неизвестный ГБ
        Версия BitLocker:                 2.0
        Состояние преобразования:         Неизвестный
        Зашифровано (процентов):          Неизвестный%
        Метод шифрования:                 XTS-AES 256
        Состояние защиты:                 Неизвестный
        Состояние блокировки:             Блокировка
        Поле идентификации:               Неизвестный
        Автоматическая разблокировка:     Отключен
        Предохранители ключа:
    Доверенный платформенный модуль и ПИН-код

    ПИН я знаю)), просто ввести его при предзагрузке правильно не могу из-за не перекл анг

    раскладки, переход на русс раскл невозможен.

    А других средств ввода через CMD или Power shell я не могу найти.,

    Кстати сейчас пробовал изменить способ разблокировки системного диска

    винды с которой сижу при помощи пин кода=  спокойно вводятся символы, русс раскладки, английс, при числовом пинкоде))) интересно он эти буквы потом цифрами заменяет?

    написано: введите от 6 до 20 цифер.. буквы как он интерпретирует потом?

    1 января 2022 г. 12:25
  • Известная "проблема". Самым простым решением будет вариант подключения диска к другому ПК  где есть нужная раскладка.
    1 января 2022 г. 12:46
  • т.е. 

    1. При Предзагрузке возможна все-таки русская раскладка(наши буквы) при вводе ПИН-кода  ЛИБО

    2. Система не может корректно понять именно цифры которые нужно вводить клавишами f1-f10, а буквы будут отметены либо заменены на латиницу? (хотя цифры выводит правильные при исп INSERT - показ что вводишь)

    HELPppp Неужели нет средств либо команды в power shell или CMD которые позволяют снять блок -pin, как раз там

    можно пользоваться русс раскладкой. (я найти кроме changepin них не смог) а для того чтобы команда была исполнена, надо снять блок пином))))))

    Спасибо за ответ в столь праздничный день, с НАСТУПИВШЕМ 2022)

    1 января 2022 г. 15:44
  • Уважаемый МаксимDC

    какой смысл в некропостинге, от этого вам быстрее не ответят и ваша проблема не решится быстрее.

    А как результат получили предупреждение.


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. IT Earth | Блог IT Инженера, YouTube, GitHub, Facebook, TechNet Forum Team.


    1 января 2022 г. 16:16
    Модератор
  • Вводил символы из таблиц ASCII через ALT, в CMD и Power shell работает
    а при предзагрузке нет. Может там другая таблица и можно ввести русс буквы?
    1 января 2022 г. 16:31
  • Нельзя. Не теряйте время - подключайте к другому ПК, отключайте шифрование
    1 января 2022 г. 17:26
  • это невозможно, я уже с другого компа, в CMD и power shell нет команды на unlock через ПИН код, 

    там рус раскладка срабатывает, и был бы пароль, скинул без проблем, но команды снятие блока через PIN нет.

    Судя по видео -How to fix: Bitlocker Recovery Code WORKS, but pin does NOT (ютуб-, в TMP 

    были внесены изменения загрузки с USB на PIN, а этого было достаточно, чтобы PIN он больше не принял,

    хотя я ввожу его правильно.

    Попробую приостановить защиту этого системника, возможно TPM скинет блок с ПИН для другого,

    TPM сейчас один и тотже что для того системника что для этого.

    К сожалению, к него могу приостановить защиту битлокера для того диска.., для начала нужно снять блокировку.

    замкнутый круг.

    1 января 2022 г. 17:51
  • Где я могу ошибаться в командах при разблокировке D?

    Или это означает что ПИн не подходит или TPM не отсчитала время пока в блокировке из-за неверного ввода ПИН и надо пробовать позже?

    PS C:\Windows\system32> $SecureString = ConvertTo-SecureString "мой пин на руссиш" -AsPlainText -Force
    PS C:\Windows\system32> Unlock-BitLocker -MountPoint "D:" -Pin $SecureString

    Unlock-BitLocker : Не удается разрешить набор параметров с использованием указанных именованных параметров.
    строка:1 знак:1
    + Unlock-BitLocker -MountPoint "D:" -Pin $SecureString


    1 января 2022 г. 19:07
  • Где я могу ошибаться в командах при разблокировке D?

    Или это означает что ПИн не подходит или TPM не отсчитала время пока в блокировке из-за неверного ввода ПИН и надо пробовать позже?

    PS C:\Windows\system32> $SecureString = ConvertTo-SecureString "мой пин на руссиш" -AsPlainText -Force
    PS C:\Windows\system32> Unlock-BitLocker -MountPoint "D:" -Pin $SecureString

    Unlock-BitLocker : Не удается разрешить набор параметров с использованием указанных именованных параметров.
    строка:1 знак:1
    + Unlock-BitLocker -MountPoint "D:" -Pin $SecureString


    $SecureString = ConvertTo-SecureString "fjuksAS1337" -AsPlainText -Force
    Unlock-BitLocker -MountPoint "E:" -Password $SecureString
    Unlock-BitLocker


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. IT Earth | Блог IT Инженера, YouTube, GitHub, Facebook, TechNet Forum Team.

    1 января 2022 г. 19:31
    Модератор
  • - Password указанный предохранитель ключа не найден.

    мне надо ввести только -pin предохранитель, или -TPMPIN

    а как это через unlock прописать, методом тыка только.

    и то, если TPM пин вообще принимает)) после изменения конфигурации загрузки,

    многие пишут, что пин отказывается принимать правильный.

    пытался сбросить TPMPIN эти строки кода есть, но без разблокировки сбросить ничего нельзя,

    надо сначала ввести ПИН. После чего можно suspend, off, и сбросить вообще пин.

    1 января 2022 г. 19:48
  • А что мешает ввести ключ восстановления? Ну а дальше можно расшифровать диск и/или поменять пин избежав всех этих ненужных хлопот.

    This posting is provided "AS IS" with no warranties, and confers no rights.

    1 января 2022 г. 21:34
  • Гугло-экспертиза это пшик, а в "некропостинге" недостающая информация:

    "...Имеются только один предохранитель системного это PIN и TPM, ни паролей ни рековери ключей рекавери паролей нет..."

    1 января 2022 г. 21:49
  • такой предохранитель не был сформирован. не знаю почему) помню что искал в винде в консоли где

    его можно архивировать, но не нашел. .. махнул рукой подумал сделаю как-ниб как время будет...

    Был сформирован ключ запуска и пользовался я им года 3, пока флешке не пришел конец)

    причем пока был в системе загружен это обнаружил и решил быстро поменять метод загрузки на ПИН,

    флешки под рукой не было никакой так бы ключ перенес с консоли.. 

    Но как оказалось, это изменение конфигурации после перезагрузки TPM просто не принимает,

    есть видосы что помогает только ключ восстановления, ЛИБО русская раскладка при формировании ПИН, а на предзапуске ее просто нет...

    Команду unlock можно исполнить -Password, -RecoveryPassword, -RecoveryKeyPath -AdAccountOrGroup , но никак не для PIN , причем есть changepin, но только после разблокировки диска)))

    Можно даже снести PINandTPM key но, только после разблокировки)

    Можно добавить предохранители все возможные, но только после разблокировки,

    которую невозможно осуществить с консоли cmd power shell где можно пин ввести кириллицей, никак нельзя вывести TPM из ступора, хотя он и не в ступоре вроде

    (LockedOut                 : False)

    TpmPresent                : True
    TpmReady                  : True
    TpmEnabled                : True
    TpmActivated              : True
    TpmOwned                  : True
    RestartPending            : True
    ManufacturerId            : 1229870147
    ManufacturerIdTxt         : INTC
    ManufacturerVersion       : 11.0.0.1171
    ManufacturerVersionFull20 : 11.0.0.1171

    ManagedAuthLevel          : Full
    OwnerAuth                 :
    OwnerClearDisabled        : False
    AutoProvisioning          : Enabled
    LockedOut                 : False
    LockoutHealTime           : 2 hours
    LockoutCount              : 31
    LockoutMax                : 32
    SelfTest                  : {}

    думаю формат будет самой логичной командой))

    а потом проверю в чем была ошибка изменении конфигурации загрузки что TPM пин сразу не принял ни разу, или в русс раскладке...

    1 января 2022 г. 22:27
  • такой предохранитель не был сформирован. не знаю почему) помню что искал в винде в консоли где

    его можно архивировать, но не нашел. .. махнул рукой подумал сделаю как-ниб как время будет...

    Был сформирован ключ запуска и пользовался я им года 3, пока флешке не пришел конец)

    причем пока был в системе загружен это обнаружил и решил быстро поменять метод загрузки на ПИН,

    флешки под рукой не было никакой так бы ключ перенес с консоли.. 

    Но как оказалось, это изменение конфигурации после перезагрузки TPM просто не принимает,

    есть видосы что помогает только ключ восстановления, ЛИБО русская раскладка при формировании ПИН, а на предзапуске ее просто нет...

    Команду unlock можно исполнить -Password, -RecoveryPassword, -RecoveryKeyPath -AdAccountOrGroup , но никак не для PIN , причем есть changepin, но только после разблокировки диска)))

    Можно даже снести PINandTPM key но, только после разблокировки)

    Можно добавить предохранители все возможные, но только после разблокировки,

    которую невозможно осуществить с консоли cmd power shell где можно пин ввести кириллицей, никак нельзя вывести TPM из ступора, хотя он и не в ступоре вроде

    (LockedOut                 : False)

    TpmPresent                : True
    TpmReady                  : True
    TpmEnabled                : True
    TpmActivated              : True
    TpmOwned                  : True
    RestartPending            : True
    ManufacturerId            : 1229870147
    ManufacturerIdTxt         : INTC
    ManufacturerVersion       : 11.0.0.1171
    ManufacturerVersionFull20 : 11.0.0.1171

    ManagedAuthLevel          : Full
    OwnerAuth                 :
    OwnerClearDisabled        : False
    AutoProvisioning          : Enabled
    LockedOut                 : False
    LockoutHealTime           : 2 hours
    LockoutCount              : 31
    LockoutMax                : 32
    SelfTest                  : {}

    думаю формат будет самой логичной командой))

    а потом проверю в чем была ошибка изменении конфигурации загрузки что TPM пин сразу не принял ни разу, или в русс раскладке...

    Ключ восстановления может быть в учетной записи MSA если вы ее использовали. Или в домене вашего предприятия - если ПК в домене. Или его можно (нужно) было сохранить самостоятельно в любой момент. Посмотрите, может быть найдете. 


    This posting is provided "AS IS" with no warranties, and confers no rights.

    1 января 2022 г. 22:52
  • Понимаю что надо было сохранять ключ, но по какой то причине кнопка на панели bitlocker именно этого диска стала отсутствовать, перед тем как поменять способ загрузки я искал кнопку архивации ключа восстановления и просто ее не нашёл там где по всем дискам она была. Разбираться с этим я не стал, подумал пин.а хватит, не думал что пин приниматься не будет прям с первого раза!!!!!!. Именно для этого диска существует только 1 предохранитель, это пин совместно с tpm. Как ввести на русском в предзагрузке или вывести tpm хотя он не в блоке судя по данным выше я не знаю. ??????? ______Существует ли способ разблокировки пин с тпм из среды windows??? Может есть какие сторонние программы? Cmd с power shell не позволяют этого сделать, там нет параметра unlock bitlocker только для пина))) все что угодно но только не для пина)))



    2 января 2022 г. 11:18
  • Прошёл день... А вы до сих пор не подключали диск к другому компьютеру... у которого должны быть все инструменты для снятия битлокера, включая выводы с отличных от US раскладок... Сам с таким встречался, когда с дуру решил вместо EN-US использовать EN-UK, а потом ввёл пароль с со знаком £ 🙄
    2 января 2022 г. 11:29
  • Прошёл день... А вы до сих пор не подключали диск к другому компьютеру... у которого должны быть все инструменты для снятия битлокера, включая выводы с отличных от US раскладок... Сам с таким встречался, когда с дуру решил вместо EN-US использовать EN-UK, а потом ввёл пароль с со знаком £ 🙄

    Я в течении часа после тщетных попыток набрать пин поставил винду на другой раздел и подключился к диску и выяснил что у него только 1 предохранитель. В течении всего дня я с другой винды использовал все возможные команды unlock , но для Пина unlock Не работает…В предзагрузке не будет русской раскладки не на одном компе, если это не ступор битлокера как есть на ютубе видосы что пин не принимает с первого раза введённый латиницей как надо, просто tpm считает это изменением конфигурации способа загрузки. Конечно в cmd и power shell есть возможность ввести кириллицу, но не предусмотрен в команде unlock для пина способ разблокировки, читал все параметры команды unlock там нет -pin. ======== Поэтому спрашиваю, есть ли сторонние программы под windows или оболочки которые могут разблокировать диск и там есть команда разблокировки для Pin TPM?? Других вариков нет, все проверил.
    2 января 2022 г. 11:51
  • Так я не понял, вот у вас один уровень защиты (не предохранитель) - ПИН, вы подключили этот диск/раздел с другой винды - ПИН сработал? 
    2 января 2022 г. 11:57
  • Так я не понял, вот у вас один уровень защиты (не предохранитель) - ПИН, вы подключили этот диск/раздел с другой винды - ПИН сработал? 

    Нет. В другой винде этот диск определяется как зашифрованный и винда пишет что «нет предохранителей для разблокировки диска, диск невозможно разблокировать» в консоли битлокера у винды, в cmd пишет что есть способ разблокировки через пин с tpm. Но в среде виндовс в ней нет способа такого разблокировки для Пина нет команды, для всех возможных пароль рековери пароль, рекавери кей и даже рекавери кей что на флешке есть команда в cmd и power shell но для пина команды них нет)) только в предзагрузке а там нет русск раскладки в этой самой предзагрузке.
    2 января 2022 г. 12:56
  • Прошёл день... А вы до сих пор не подключали диск к другому компьютеру... у которого должны быть все инструменты для снятия битлокера, включая выводы с отличных от US раскладок... Сам с таким встречался, когда с дуру решил вместо EN-US использовать EN-UK, а потом ввёл пароль с со знаком £ 🙄


    Я в течении часа после тщетных попыток набрать пин поставил винду на другой раздел и подключился к диску и выяснил что у него только 1 предохранитель. В течении всего дня я с другой винды использовал все возможные команды unlock , но для Пина unlock Не работает…В предзагрузке не будет русской раскладки не на одном компе, если это не ступор битлокера как есть на ютубе видосы что пин не принимает с первого раза введённый латиницей как надо, просто tpm считает это изменением конфигурации способа загрузки. Конечно в cmd и power shell есть возможность ввести кириллицу, но не предусмотрен в команде unlock для пина способ разблокировки, читал все параметры команды unlock там нет -pin. ======== Поэтому спрашиваю, есть ли сторонние программы под windows или оболочки которые могут разблокировать диск и там есть команда разблокировки для Pin TPM?? Других вариков нет, все проверил.

    Погодите, у вас при загрузке все еще спрашивают пин? Или сразу сваливается в восстановление? После манипуляций вроде загрузки с внешнего диска билокер должен сваливаться в рековери и пин после этого не имеет значения.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    2 января 2022 г. 17:34
  • Прошёл день... А вы до сих пор не подключали диск к другому компьютеру... у которого должны быть все инструменты для снятия битлокера, включая выводы с отличных от US раскладок... Сам с таким встречался, когда с дуру решил вместо EN-US использовать EN-UK, а потом ввёл пароль с со знаком £ 🙄


    Я в течении часа после тщетных попыток набрать пин поставил винду на другой раздел и подключился к диску и выяснил что у него только 1 предохранитель. В течении всего дня я с другой винды использовал все возможные команды unlock , но для Пина unlock Не работает…В предзагрузке не будет русской раскладки не на одном компе, если это не ступор битлокера как есть на ютубе видосы что пин не принимает с первого раза введённый латиницей как надо, просто tpm считает это изменением конфигурации способа загрузки. Конечно в cmd и power shell есть возможность ввести кириллицу, но не предусмотрен в команде unlock для пина способ разблокировки, читал все параметры команды unlock там нет -pin. ======== Поэтому спрашиваю, есть ли сторонние программы под windows или оболочки которые могут разблокировать диск и там есть команда разблокировки для Pin TPM?? Других вариков нет, все проверил.

    Погодите, у вас при загрузке все еще спрашивают пин? Или сразу сваливается в восстановление? После манипуляций вроде загрузки с внешнего диска билокер должен сваливаться в рековери и пин после этого не имеет значения.


    This posting is provided "AS IS" with no warranties, and confers no rights.


    Загрузчик windows предлагает 2 варианта windows та на которой пин и новая которая как тестовая тоже на битлокере, Битлокер как и по прежнему спрашивает пин в предзагрузке винды которая на пине, пробовал восстановление, оно сваливается в ошибку потому что нет рекавери ключа для этого диска, восстановление Это понимает и ввалится в ошибку, после неверно набранных пинов ровно в 2 часа можно пробовать 1 раз, предлагается загрузить другой виндовс на другом разделе прям там есть графа где пин с ошибкой )) причём верный) Сделано грамотно красиво, но как обычно с моментом, при котором верный пин не принимается с первого раза. И ни в каком обновлении виндовс, этот косяк с пином не закрыт. Причём тут даже не русская раск виновата, пользователи с ЕС тоже снимают видосы про неверный пин хотя введённый правильно, просто конфигурация загрузки изменена, а что изменена из под виндовс, авторизованным пользователем с правами вошедшем в виндовс пройдя проверку TPM пох. Нарушена конфигурация получите неверный пин. Причём не пишет же что TPm его не принимает верный))) Вполне возможно что и раскладка виновата, я проверю на тестовой винде,.. В общем Варик только формат делать.
    2 января 2022 г. 18:09

  • Загрузчик windows предлагает 2 варианта windows та на которой пин и новая которая как тестовая тоже на битлокере, Битлокер как и по прежнему спрашивает пин в предзагрузке винды которая на пине, пробовал восстановление, оно сваливается в ошибку потому что нет рекавери ключа для этого диска, восстановление Это понимает и ввалится в ошибку, после неверно набранных пинов ровно в 2 часа можно пробовать 1 раз, предлагается загрузить другой виндовс на другом разделе прям там есть графа где пин с ошибкой )) причём верный) Сделано грамотно красиво, но как обычно с моментом, при котором верный пин не принимается с первого раза. И ни в каком обновлении виндовс, этот косяк с пином не закрыт. Причём тут даже не русская раск виновата, пользователи с ЕС тоже снимают видосы про неверный пин хотя введённый правильно, просто конфигурация загрузки изменена, а что изменена из под виндовс, авторизованным пользователем с правами вошедшем в виндовс пройдя проверку TPM пох. Нарушена конфигурация получите неверный пин. Причём не пишет же что TPm его не принимает верный))) Вполне возможно что и раскладка виновата, я проверю на тестовой винде,.. В общем Варик только формат делать.


    Увы, но данные скорее всего утрачены. Использование шифрования - тяжелое бремя, надо озаботится резервными копиями, ключами восстановления и т.п., иначе данные будут рано или поздно утрачены. У битлокера ведь глаз нет, он не знает кто изменил конфигурацию загрузки и считает всех "злодеями".

    Случалось со мной несколько раз при изменении настроек БИОС. Конечно я до того уже терял данные по разным причинам, поэтому был и ключ восстановления и несколько проверенных резервных копий. :) Последние нужны в любом случае так как диски могут приказать долго жить в любой момент без всякого шифрования. 

    Что до раскладки, то есть такое в FAQ (подчеркнуто мной):

    https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-key-management-faq

    Why do I have to use the function keys to enter the PIN or the 48-character recovery password?

    The F1 through F10 keys are universally mapped scan codes available in the pre-boot environment on all computers and in all languages. The numeric keys 0 through 9 are not usable in the pre-boot environment on all keyboards.

    When using an enhanced PIN, users should run the optional system check during the BitLocker setup process to ensure that the PIN can be entered correctly in the pre-boot environment.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    2 января 2022 г. 18:59
  • When using an enhanced PIN, users should run the optional system check during the BitLocker setup process to ensure that the PIN can be entered correctly in the pre-boot environment.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    В консоли набора пина при выборе способа варианта разблокировки диска при запуске спокойно вводится кириллица и латиница вместе с цифрами, причем чуть выше написано - "введите от 6 до 20 цифр"
    В командной же строке manage-bde -protectors -add c: -TPMAndPIN при вводе в документации сказано что любые буквы будут отметаться, реагирует только на цифры,

    А самое веселое -   вместо фразы "РЕКОМЕНДУЕТСЯ" в строке рядом с PIN-код в списке выбора способа варианта разблокировки диска при запуске, писали бы WARNING с пояснением "users should run the optional system check during the BitLocker setup process to ensure that the PIN can be entered correctly in the pre-boot environment."
    и включали бы этот оптионал сустем чек автоматически, с возможностью откатить нах хотя бы 1 раз
    потому что с первого раза их способ "рекомендованный" не прокатил при верном введенном ПИне))) 

    Единственное упоминание про -pin для команды UNLOCK в справке:

    manage-bde -unlock том
                        {[{-RecoveryPassword| -rp} числовой_пароль] |
                        [{-RecoveryKey|-rk} путь_к_файлу_внешнего_ключа]}
                        [{-Certificate|-cert} {-cf путь_к_файлу_сертификата|
                                               -ct отпечаток_сертификата} {-pin}]

    Дело не в файлах которые давно на облаках, а в настройках и программах, которые нужно устанавливать настраивать, некоторые весят дох,

    все эти настройки и установки занимают уйму времени, вспоминать как оно было. под себя было сделано, теперь все сначала делать... 

    кстати по поводу ввода 48 ключа, спокойно вводил его через NUMlk и было принято неоднократно. 




    2 января 2022 г. 20:38
  • Единственное упоминание про -pin для команды UNLOCK в справке:

    manage-bde -unlock том
                        {[{-RecoveryPassword| -rp} числовой_пароль] |
                        [{-RecoveryKey|-rk} путь_к_файлу_внешнего_ключа]}
                        [{-Certificate|-cert} {-cf путь_к_файлу_сертификата|
                                               -ct отпечаток_сертификата} {-pin}]

    Дело не в файлах которые давно на облаках, а в настройках и программах, которые нужно устанавливать настраивать, некоторые весят дох,

    все эти настройки и установки занимают уйму времени, вспоминать как оно было. под себя было сделано, теперь все сначала делать... 

    кстати по поводу ввода 48 ключа, спокойно вводил его через NUMlk и было принято неоднократно. 

    Можно наверное и написать, но ведь все равно проигнорируют. Вот, например, при включении битлокера через UI в ходе процесса есть шаг сохранения ключа восстановления, но вы этого не сделали. Ну а администраторы которые развертывают битлокер через политики и/или CLI _обязаны_ знать что к чему... Тут сложный баланс между дизайном "пользователи все знают" и "пользователи совсем ничего не знают". 

    Думаю этот pin для доступа сертификату, не даром он в группе параметров сертификата. Пин самого битлокера после залочки однозначно не должен действовать.

    Да, разумеется... Для этого создается резервный образ всего диска ОС со всеми настройками и установленными программами для восстановления на пустом желез (bare metal). Это типично работает даже если ПК полностью вышел из строя (с учетом разницы в железе). 

    Такой образ можно создать командой ниже указав куда сохранять бэкап (диск или сеть). Для восстановления можно загрузиться с дистрибутива ОС или диска восстановления. Если ПК и/или диск другой, то может быть необходимость в восстановлении загрузки используя тот же диск восстановления. Я таким образом переносил ОС на новый ПК с приказавшего долго жить пару раз, а так же много раз переносил ОС на другой диск. 

    wbAdmin start backup -backupTarget:<куда надо> -allCritical


    This posting is provided "AS IS" with no warranties, and confers no rights.

    2 января 2022 г. 22:22
  • Про PIN и TPM:

    Протестил я на новой винде загрузку с ПИН:

    1. Проблема не в русской раскладке, при создании Пина в случае активной русской раскладки,
    вылетает Восклицательный знак и предупреждение, что возможно в предзагрузке вы не сможете его ввести))

    2. При создании Пина (не расширенного в свойствах политики Битлокера) при наборе символов (не допустимы при данной политике) и цифр, Пин код не может быть создан, вылетает предупрежение что необходимо ввести именно цифры.

    Поэтому, TPM не принимал ПИН верный ни разу. Возможно изменилась сама винда, прошли какие-ниб обновления,
    возможно способ загрузки винды с USB на ПИН чип TPM воспринял как атаку и залочился, хотя:

    LockedOut                 : False

    данные по факту говорят что блока нет.

    Меня больше смутило пустая строка:

    OwnerAuth                 :  *ПУСТО*

    а это "пароль" или индентефикация на данный момент, т.е. TPM потерял владельца?)) ничто не могло стать
    на сеанс его владельцем?, поэтому ПИН не был признан как от владельца?

    На данный момент я очистил TPM, сейчас эта строка составляет символьный ряд.
    Возможно при смене винды, и поставновки новой 3 года назад, я не очистил TPM,
    как то он работал с USB, но вот в работе с ПИном настал тот момент... ружье таки стрельнуло))))
    и откладывание в долгий ящик "а где же код восстановления", я кстати задавался таким вопросом, чуял ведь....

    Конечно:

    manage-bde -unlock D: -ct 65FKLJ35098509OG98 -pin

    не сработал, я даже отпечаток сертификата в данных TPM нашел, думал PIN зашит в нем должно сработать,
    но этот сертификат создается для восстановления...

    Пин код правильный, можно было вводить вечно)) и думать о русской раскладке, о том, что возможно
    в цифровом пин коде были приняты какого-то х символы, или при создании ошибся на 1 символ... неее.
    все проще - правильный пин не был принят ни разу.

    Тему можно закрывать.



    3 января 2022 г. 11:39