简短说明
它是戴尔 Inspiration 15 7000,运行笔记本随附的戴尔原厂 Windows 10 安装。暂时卸下驱动器后,它将不再从其内部 SSD 启动。通过命令行工具检查驱动器会显示驱动器已加密。
这是完整的解释:
抱歉这么长,我尽量把它结构好……
发生了什么:
驱动器被移除(创建一个由于目标驱动器空间不足而失败的克隆)并在之后重新插入,其他没有任何变化。尝试将笔记本电脑重新启动时失败了。
初步检查:
检查 BIOS(名为“Bootsequenz”的屏幕)显示 SSD 的 Partition 1 作为 UEFI 条目,但缺少“Windows Boot Manager”条目。我认为它曾经看起来与此相似,或者它只是具有 Windows 启动管理器条目(图片来自互联网):
通过 USB 使用 Window 10 安装映像通过命令行工具进行检查,我得到以下条目:
C:\>manage-bde -status G:
BitLocker Drive Encryption: Configuration Tool version 10.0.22000
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume G: []
[Data Volume]
Size: Unknown GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Automatic Unlock: Disabled
Key Protectors: None Found
进一步的分析:
用户未通过 Windows/Bitlocker 启用 Bitlocker,因此未保存恢复密钥。所以我想知道这里发生了什么。我试过manage-bde -protectors -get c:哪个应该给我恢复密钥的标识,但它说它找不到任何安全措施。manage-bde -off C:也不可能。我还读到它不一定是 Bitlocker 本身,只是基于 Bitlocker 的实现。
附加背景信息:
设备/笔记本电脑实现了 PPT,而不是 TPM(BIOS 中没有 TPM 选项)。PPT 在 BIOS 中被激活。
在 BIOS 中启用了 Secure Boot 选项,Secure Boot Mode 为“Deployed Mode”。在专家密钥管理中,“自定义模式”未启用,但似乎在“PK”选项下存储了一些密钥。
加密分区是 Windows 系统分区(460 GB),磁盘布局或多或少具有标准的 Windows 分区,如果您手动安装 Windows 也是如此。EFI System Partition 开头,后面是系统分区。虽然是两个额外的恢复分区,可能用于戴尔恢复选项,并且 EFI 分区没有常规的 100MB 而是 650MB。这是
diskmgmt.msc(作为外部 USB 驱动器插入)的屏幕截图:
尝试使用 Clonezilla 和 Acronis 进行克隆
另一个奇怪的事情:我很确定,因为我拍了一张截图,但请用一点盐(以防我混淆):移除 SSD 后,它在不同的 Win 11 系统中进行了测试可以访问外部 USB 驱动器和文件(但驱动器图标上显示了 Bitlocker 符号)。如果这是真的,那么分区一定是未加密的,或者是加密的,但数据还是可以访问的!这听起来对我来说有点奇怪。特别是当我将 SSD 插入同一个 Win 11 系统时,只在磁盘管理器中显示一个 Bitlocker 加密分区(见上面的截图)。这是我通过 Win 11 访问根目录时的屏幕截图:
我不记得 C 驱动器在启动时在资源管理器中附加了某种“锁定”符号。加密/解密是否可能不是在 Windows 中完成,而是通过一些 BIOS 功能(基于 Bitlockertech),因此 Windows 本身不可见?我找到了一张旧截图,这个分区上没有锁符号,只有常规分区磁盘符号和共享符号:
我对这个问题的看法:
我对安全措施不太熟悉,所以我读了一点(例如在这里),据我所知,在我的情况下,BIOS 可以通过 TPM 或 PPT 处理加密(没有 PIN 的 BitLocker 激活:仅限 TPM) . 所以据我了解,SSD 从一开始就是加密的,这是正确的吗?如果是这样,什么处理了解密?PPT因为没有在BIOS中激活TPM?为什么它不再处理它了?就系统而言,在我将 SSD 重新插入原始笔记本电脑后,没有任何变化。
尽管我可以访问其他系统中的驱动器,但这似乎很奇怪。这让我相信某种安全措施触发了启用加密。当驱动器作为外部 USB 驱动器安装时,数据是否可以以某种方式加密并且仍然可以读取?
可能的解决方案:
我在网上发现了此类问题的各种原因和解决方案(例如在BIOS中的专家密钥管理中恢复出厂设置或通过添加保护器manage-bde -protectors -add c: -tpm),但在没有彻底了解之前我不想尝试任何东西会发生什么,所以我不会让事情变得更糟。
我最好的猜测是manage-bde -protectors -add c: -tpm可以做到这一点,基本上再次将 tpm 添加为有效的密钥保护器(因为目前它显示Key Protectors: None Found)。但同样,我不只是想尝试一下,因为我目前的理解有些有限。
但似乎有少数人成功地恢复了数据。所以我希望得到一些有用的见解。
英特尔 PTT是TPM 2.0 的实现,对于操作系统而言,它与独立的 TPM 设备相同。
很可能,是的,我怀疑它是加密的,但处于“打开”或“挂起”模式——也就是说,卷密钥被清楚地存储在磁盘本身上,等待你稍后完全激活它(给你有机会存储恢复密钥,或等待附加 MS 帐户,或其他)。TPM 尚未涉及。
我已经看到 Windows 这样做是因为它的“设备加密”功能,因为从用户的角度来看,它允许磁盘立即“加密”(无需等待几个小时直到加密过程发生)——系统只是替换了清除带实际保护器的钥匙。
注意它是怎么说的:
表示数据已经可以访问。
(加密现有磁盘还会引发以前未加密的数据在加密过程中是否被安全覆盖的问题;如果一开始没有未加密的数据,这不再是问题。)
对于大多数使用基于 CPU 的加密(而不是 OPAL)的系统来说,这完全是无稽之谈。加密数据仍然只是数据:它不会变得不可复制。不管它是如何加密的,也不管密钥在哪里——相同的字节将解密为相同的东西。
不,这不是它的工作原理。保护器不仅仅是配置条目,它们还保存着实际主加密密钥的副本——如果磁盘被锁定并且密钥未知,你就不能凭空生成一个有效的保护器。
TPM 不直接存储单个 BitLocker 密钥;相反,Windows 要求它使用 TPM 的内部密钥加密磁盘密钥,然后将密封版本返回给操作系统进行存储,在这种情况下,这意味着 BitLocker 标头。因此,换句话说,BitLocker 保护器仅引用 TPM 是不够的,除非它具有原始密封数据,否则它无法执行任何操作。
另一方面,如果磁盘已解锁(表明主密钥当前已知),您当然可以添加新的TPM 保护程序,但它似乎在您的情况下实际上并没有用。
在互联网上连续阅读有关 BitLocker 的几个小时后,我设法检索了“恢复密钥”。实际上,使用 PS 非常“容易”
manage-bde -on g: -recoverypassword。这触发了输入(新)密码的选项,并让我有机会保存恢复密钥。我想这可以通过 GUI 以及通过密码选项选择激活 Bitlocker 的选项来工作,因为没有设置密码,我怀疑它会接受一个新密码。
这是之后驱动器的状态
manage-bde -status g::我可以让分区在 Windows 下挂载(我收到一条错误消息,它不可读或损坏),但通过在 Linux 上挂载它
dislocker可以正常工作。更新: 我设法通过从加密分区恢复通过 Windows 检索数据:
repair-bde g: h: -force -rp 111111-222222-333333-444444-555555-666666-777777-888888. 不知道为什么 Linux 能够挂载分区,但 Windows 不能。