忘记BitLocker PIN:恢复加密驱动器
忘记BitLocker PIN:恢复加密驱动器
将 PIN 添加到 TPM 保护程序有助于保护 BitLocker 免受已知攻击。但是,这种额外的安全性需要权衡取舍。它降低了用户的便利性,他们可能会忘记 PIN 并因此将自己锁定。在这种情况下,只有恢复密钥才能解锁驱动器。
当 BitLocker 在系统启动期间使用 TPM 作为唯一保护程序时,驱动器将在用户登录之前解锁。因此,未加密的卷主密钥 (VMK) 已加载到 RAM 中,攻击者可以通过内存转储获取该 RAM。要求 PIN 可以增加一层针对此威胁的额外保护。
虽然在较旧的基于 BIOS 的系统上,即使对系统进行微小更改也会在启动时将用户重定向到 BitLocker 恢复控制台,而启用了安全启动的现代电脑在这方面更为宽容。因此,忘记 PIN 已成为求助于恢复密钥的最常见原因之一。
TPM 允许大量不正确的条目
当提示用户在电脑启动时输入 BitLocker PIN 时,默认情况下,他们通常有 32 次重试可用。根据 PIN 的复杂性要求,用户很有可能仍会回忆起所选的机密。
如果没有,他们可以通过按 ESC 键切换到故障恢复控制台。在这种情况下,恢复控制台需要输入 48 位恢复密钥。
如果用户无法调用 PIN,则可以通过按 ESC 打开故障恢复控制台。
查找恢复密钥
激活 BitLocker 时,用户可以使用多种选项来存储恢复密钥,包括将其打印在纸上或将其保存在文件中。
但是,在托管环境中,密钥通常存储在中心位置,通常存储在 Active Directory 中。从那里,可以使用 Active Directory 用户和计算机或 AD 管理中心检索它。
从 Active Directory 中检索 BitLocker 恢复密钥。
或者,Entra ID 或 Microsoft 帐户也可以用作恢复密钥的存储位置。在前一种情况下,还可以通过 Intune 检索密钥。
在大型企业中,服务台不认识员工,因此出现了如何可靠地识别他们的问题,尤其是当他们在旅途中报告问题时。确保恢复密钥不会落入未经授权的人手中至关重要。
每个恢复密钥都有一个与之关联的 ID,允许您验证它连接到哪台计算机。输入密钥后,PC应相应地解锁。
在这里,存储在 PDF 中的恢复密钥包含计算机所需的 ID。
更改或重置 PIN 码
一旦用户重新获得对其计算机的访问权限,他们应该设置一个新的 PIN,因为他们不再记得旧的 PIN。否则,他们将在下次重新启动后再次需要恢复密钥。
这可以通过控制面板中的 BitLocker 小程序或通过驱动器的属性来完成。相应的对话框最初需要旧 PIN 的输入,在这种情况下不太可能可用。
因此,通过单击链接重置忘记的 PIN,您可以访问一个对话框,该对话框仅需要输入新 PIN。但是,为此需要管理权限。
在不知道旧 PIN 的情况下,重置它需要提升的权限。
可以在特权帐户的上下文中执行脚本,并运行以下命令,而不是授予用户对管理员帐户的访问权限:
manage-bde -changepin c:
与 Windows 密码一样,管理员无法强制用户更改其 PIN。BitLocker 没有这样的机制。相反,他们只能提醒用户这样做。
总结
忘记的 BitLocker PIN 可能是求助于 48 位恢复密钥的最常见原因。此密钥可在托管环境中的 Active Directory 或 Entra ID 中找到,支持人员可以使用适当的工具检索它。
每个恢复密钥都有一个 ID,该 ID 必须与故障恢复控制台上显示的 ID 匹配。
恢复驱动器后,用户应重置 PIN 以避免再次被锁定。但是,这需要管理权限,这些权限可以授予 manage-bde,例如使用 runas。