none
Windows 11 a Bitlocker RRS feed

  • Dotaz

  • Dobry den,

    chcel by som poprosit o radu s nasledujucim problemom.

    Dostal sa ku mne notebook DELL s OS Windows 11 Pro. Po zapnuti sa objavi hlaska o obnoveni sifrovania Billockerom ktora caka na zadanie odomykacieho kluca. Podla informacii ktore som dostal sa jedna o lokalny uzivatelsky ucet na ktorom nebol Bitlocker nikdy zapnuty (uzivatel nema odomykaci kluc). Notebook nie je pripojeny do ziadnej domeny a je iba v pracovnej skupine. Po patrani na internete som objavil kopec clankov kde sa spominany problem riesi ale nic z toho nie je pouzitelne v tomto pripade. Podla vsetkeho to sposobila aktualizacia s oznacenim KB5012170. Odinstalovanie aktualizacii neprebehne, bod obnovenia je vypnuty cize vratit system do povodneho stavu nie je mozne, vypnutie a zapnutie SecureBoot nepomohlo.

    Z mojho pohladu je asi jedina moznost a to reinstalacia systemu spojena so stratou dat.

    Mate niekto napad, popripade radu co dalej? Dakujem Imp.



    • Upravený Imperator úterý 6. září 2022 13:22
    úterý 6. září 2022 12:34

Odpovědi

  • Požadavek na zadání obnovovacího klíče je typicky z důvodu detekované změny hardware, případně změny konfigurace něčeho významnějšího v UEFI - například i zmíněné vypnutí Secure Boot je změna, která vyvolá požadavek na zadání obnovovacího klíče pro BitLocker. Nebo pokud někdo vymaže obsah TPM nebo aktualizuje firmware TPM. Může to být ale také známka vadného HW.

    Každopádně pokud obnovovací klíč není k dispozici, k datům na zašifrovaném oddílu není přístup.

    • Upravený Lukas Beran úterý 6. září 2022 14:28
    • Označen jako odpověď Imperator středa 7. září 2022 7:20
    úterý 6. září 2022 14:27

Všechny reakce

  • Ahoj.

    BitLocker nesouvisí s uživatelským účtem, ale s operačním systémem. BitLocker šifruje celé diskové oddíly, nikoliv pouze profily uživatelů. A se Secure Boot BitLocker nijak nesouvisí.

    Pokud byl BitLocker zapnutý, musel být uživatel/admin vyzván k tomu, aby bezpečně uložit daný klíč. Zeptej se daného uživatele/admina, kam daný klíč uložil a následně ho použij pro odemčení zašifrovaného disku. Klíč mohl být úložen například na Microsoft účet, do souboru nebo vytištěný. Pokud obnovovací klíč není k dispozici, není možné se dostat k zašifrovaným datům na disku.

    Pokud jsou na disku důležitá data, předpokládal bych, že budou zálohovaná - minimálně například uživatelský OneDrive apod. Můžeš je tedy poté obnovit ze zálohy. Pokud data zálohovaná nejsou, pak asi nejsou zase tak důležitá :-)

    úterý 6. září 2022 12:56
  • Zdravim,

    toto vsetko mi je jasne. Ze sa jedna o lokalny ucet som pisal preto lebo vsade sa spomina ze odomykaci kluc sa da v pripade potreby najst v Microsoft ucte. Tento uzivatel vsak ziadny MS ucet nema. Taktiez uzivatelia v niektorych pripadoch hlasili ze im pomohlo vypnutie Secureboot v BIOSe.

    Zahada je pre mna to, ze vcera uzivatel normalne pracoval a vecer notebook vypol. Pri dnesnom zapnuti mu vyskocila uvedena hlaska. Uzivatel si nie je vedomy ze by Bitlocker spustal a nieco nastavoval. V niektorom fore som sa docital ze Windows 11 po uvedej aktualizacii siforovanie zapina automaticky a ak uzivatelovi vyskoci "divna" hlaska o nejakom kluci zabezpecenia ktory si ma odlozit ten ju moze v klude odignorovat a okno zavriet.

    Imp

    úterý 6. září 2022 13:10
  • Požadavek na zadání obnovovacího klíče je typicky z důvodu detekované změny hardware, případně změny konfigurace něčeho významnějšího v UEFI - například i zmíněné vypnutí Secure Boot je změna, která vyvolá požadavek na zadání obnovovacího klíče pro BitLocker. Nebo pokud někdo vymaže obsah TPM nebo aktualizuje firmware TPM. Může to být ale také známka vadného HW.

    Každopádně pokud obnovovací klíč není k dispozici, k datům na zašifrovaném oddílu není přístup.

    • Upravený Lukas Beran úterý 6. září 2022 14:28
    • Označen jako odpověď Imperator středa 7. září 2022 7:20
    úterý 6. září 2022 14:27
  • Dakujem za vysvetlenie. Uzivatel sa bude musiet zmierit so stratou dat.

    Prajem pekny den. Imp.

    středa 7. září 2022 7:20
  • Většina nových zařízení přichází s takzvaným "Device Encryption", což je de facto BitLocker, jen bez správy.

    Uložiště je šifrované, dešifrovací klíče jsou uložené v čitelném formátu a případně jištěné otiskem TPM. Pokud se jedná o problém s danou aktualizací, tak můžete ještě zkusit kroky uvedené v KB5012170: Security update for Secure Boot DBX: August 9, 2022 (microsoft.com).

    Pokud jste ale za stavem, že jste změnil konfiguraci pro další restart, je ztráta dat nevyhnutelná. Možností jsou ještě forenzní nástroje, které umí využít toho, že klíče jsou fyzicky na médiu, ale cenovkou bude přijatelnější ztráta dat.

    Pokud se uživatel někdy hlásil soukromým Microsoft účtem, jsou klíče zálohovány zde, podobně jako ve firmách do AD či Azure AD. Za zkoušku nic nedáte.

    pátek 30. září 2022 14:44