web-dev-qa-db-ja.com

システムドライブの暗号化なしでBitlockerの自動ロック解除を有効にする

Bitlockerで暗号化されたシステムドライブがなくてもBitlockerボリュームを自動ロック解除できるレジストリの変更、グループポリシーなどのトリックを知っている人はいますか?

私のシステムドライブはSamsung 850 Pro SSDなので、BIOSのドライブパスワードを使用して有効にする暗号化機能が組み込まれています。

私のBIOSではネイティブハードウェア暗号化を使用するように構成できないため、システムドライブでBitlockerを使用していません。そのため、CPUで暗号化してリソースを浪費しています。

私はBitlockerで暗号化した2番目の機械式ハードドライブを持っています。それを自動ロック解除したいのですが。

現時点では、bitlockerコマンドラインユーティリティを使用して手動でドライブのロックを解除するタスクをシステムブート時に実行することにより、ハッキングを行う方法を見つけました。ただし、これは非常に不格好な方法のようです。

暗号化されていないドライブに復号化キーを保存したくないため、この制限の背後にある理由を理解しています。ただし、私の場合、システムドライブは完全に暗号化されているため、実際には適用されません。

このチェックを上書きして自動ロック解除を強制する方法があるかどうか疑問に思っていますか?

7
user1751825
  1. 自動ロック解除するドライブのビットロッカーをオフにする
  2. このドライブをリムーバブルドライブとしてマウントします。つまり、StarTechなどのUSB接続ドライブユニットに接続します。
  3. システムを起動してドライブをビットロックし、自動ロック解除をオンにします
  4. システムをシャットダウンする
  5. ドライブを永続ドライブとしてマウントします
  6. システムを再起動すると、WindowsがリムーバブルドライブであるとWindowsが認識するため、ドライブが自動ロック解除されます。

問題なく動作します

0
user895068

仮定:

  • タスクはパスワードを入力するため、Windowsタスクスケジューラに保存されます。
  • 起動後にデータドライブのパスワードを入力するのは好きではありません。

この回避策はそれほど不格好ではないかもしれませんが、おそらく少し安全ではありません。

実際、Windowsでは、システムパーティションが暗号化されていない場合(ビットロッカーを使用)、固定ドライブで自動ロック解除を有効にすることはできません。

ただし、回避策を使用しました。 manage-bdeコマンドを使用して、リカバリキー(外部キーファイル)をUSBフラッシュドライブに保存しました。ドライブをロック解除したいときはいつでも、パスワードを入力する代わりに、その下のテキストボタンをクリックすると、既存のUSBデバイスが自動的にチェックされてロックが解除されます。したがって、入力する代わりにクリックします。

あなたの状況では、Cは別の方法で暗号化されているため、Cは暗号化されていないため、(ビットロッカーで暗号化された)USBフラッシュドライブに一時的にキーを作成します。このファイルは* .bekで、システムの隠しファイルタイプdir/A:Sで表示されます。これをC:\ User\{Accountname}\AutoUnlockKeys\{keyfileid} .bekディレクトリにコピーします。このフォルダへのアクセス権をできる限り拒否します。

次に、タスクを更新します

manage-bde -unlock D: -RecoveryKey "C:\pathtofile\key.bek"

C:は、Bitlocker以外の何かを使用する暗号化されたシステムドライブです

通常、自動ロック解除キーは レジストリ に保存されます。 -Password unlockタスクと比較した-RecoveryKeyタスクの利点は、最も弱いリンクがWindowsタスクマネージャーのclear textに記載されているパスワードではないことですただし、最も弱いリンクは、folder/*。bekキーファイルに適用されるWindowsのアクセス権です。

4
A71