Štítek: BitLocker

Posted in: Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Oprava opakovaného vyžádání obnovovacího klíče Bitlocker

Written by administrator

Dnes jen malá poznámka o problému, se kterým se setkávám a to je, když nástroj Bitlocker si vyžádá kód pro obnovení i po správně zadaném hesle. Nejčastěji je na vině aktualizace, BIOS bez pozastavené ochrany, ale někdy i ovladačů nebo pouze systému. Níže představím rychlé řešení, které lze aplikovat z běžícího systému, nebo z WinPE po odemčení jednotky, viz starší článek.

Začne řešením pro případ, že jednotka se odemyká automaticky pomocí TPM.

manage-bde -protectors -delete C: -Type TPM
manage-bde -protectors -add c: -tpm

Případ, kdy kombinujeme TPM a PIN je obdobný, příkazy níže:

manage-bde -protectors -delete C: -Type TPMAndPIN
manage-bde -protectors -add c: -TPMAndPIN

Byť to nemusí být nezbytné, doporučuji po této operaci znovu zálohovat klíč pro obnovu. Jak tomuto stavu předcházet? Na 100% to nelze, ale nejčastěji je na vině aktualizace BIOS, proto před jejím započetím doporučuji Bitlocker pozastavit a po jejím dokončení opět obnovit ochranu.

Posted in: Windows 10, Windows 11, Windows 8 a 8.1, Windows server

Pokročilá nastavení BitLockeru

Written by administrator

Tento krátký text bude o možnostech nástroje BitLocker, které nejsou konfigurovatelné pomocí GUI, ale mohou se hodit pro datové disky, USB klíčenky, zálohy nebo další paměťová média. Pro práci s níže popsaným je potřeba PowerShell, nebo příkazová řádka.

Pro odemčení jednotky je možné využít certifikátu, který vystaví interní certifikační autorita. Přidání možnosti odemknout jednotku certifikátem ukáži na příkladu níže. Pokud využíváme PowerShell je možné místo souboru certifikátu odkázat na certifikát instalovaný v systému (účet uživatele, nebo počítače).

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Velmi zajímavou možností pro sdílená externí paměťová média je pak možnost odemknout jednotku pomocí členství účtu uživatele, nebo počítače ve skupině zabezpečení. Pro uživatele jde o velmi pohodlnou možnost, kdy pro odemčení jednotky nemusí nic zadávat a zároveň nehrozí vyzrazení pinu nepovolané osobě. Tuto možnost ovšem nedoporučuji využívat pro zálohovací média, protože při ztrátě AD již nebude možné takové médium odemknout, pokud nebude vytvořená vytištěná záloha 48 mastného obnovovacího klíče. Níže uvedený příklad nastavuje právo odemknout jednotku E: členům skupiny ekonomického oddělení.

manage-bde -protectors -add E: -sid DOMAIN\skupina-ekonomicke

V konfiguraci nástroje BitLocker je potřeba mít pořádek, proto se hodí vypsat konfiguraci pro danou jednotku (např. C:), což provede příkaz:

manage-bde -protectors -get C:

Výše uvedený příkaz rovněž zobrazí obnovovací 48 ciferný klíč. Posledním typem, který zde v krátkosti popíši je vynucení zálohy obnovovacího klíče do účtu počítače v AD. Pomocí GPO je možné nastavit, že bez této úspěšné zálohy nepůjde zahájit šifrování, ale někdy se může hodit možnost přidat klíč ručně (např. počítač je již šifrovaný v době zařazení do domény). Pro úspěšné provedený zálohy je nutné znát ID obcovacího klíče, které je mimo jiné výstupem příkazu výše uvedeného. Vlastní zálohu pak realizuje příkaz:

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'
Posted in: Windows 10, Windows 11, Windows 8 a 8.1

Deaktivování BitLockeru pomocí instalačního média systému Windows

Written by administrator

Dnes to bude trochu netypické, jsou situace, kdy z nějakého důvodu potřebujete deaktivovat BitLocker, protože brání spuštění systému Windows, nebo přístupu k datům. Tento stav může nastat při chybě čipu TPM, případně vzácně při aktualizaci UEFI. Dále popsanou cestou jde řešit i poměrně vzácná chyba, kdy si BitLocker vyžádá po pinu obnovovací klíč a následně dojde k restartu, po kterém se stav opakuje.

Pro řešení výše popsaných problémů potřebujeme mít přístup k příkazové řádce, tedy nabootovat počítač z instalačního média systému Windows. Zde je nutné podotknout, že pokud je šifrovaným systémem Windows 10, nebo Windows 11, potřebujeme instalační médium systému Windows 10 minimálně verze 1703 (instalačka tedy nemusí být úplně aktuální). Po nabootování z instalačního média potvrdíme jazyk a rozložení klávesnice, následně otevřeme příkazovou řádku (buď pomocí SHIFT + F10, nebo pomocí možností opravy systému). Nástrojem Diskpart zjistíme označení uzamčené systémové jednotky (příkaz list volume)

Nyní přistoupíme k vlastnímu odemčení jednotky pomocí:

  • hesla: manage-bde –unlock C: -password He$!o
  • obnovovacího klíče: manage-bde –unlock E: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx
  • USB klíče: manage-bde –unlock E: -recoverykey F:\Backupkeys\recoverykey.bek

Po úspěšném odemčení jednotky potřebujeme ochranu pozastavit, aby se s restartem jednotka opět neuzamkla. Pozastavení ochrany provedeme příkazem:

manage-bde -protectors -disable C:

Pokud (např. kvůli aktualizacím) potřebujeme pozastavit ochranu na více než jeden restart, využijeme parametr rc, následující příkaz pozastaví ochranu na 3 restarty:

manage-bde -protectors -disable C: -rc 3

Pokud víme, že problémy s BitLockerem jsou způsobeny chybou TPM modulu, je možné provést tzv. vynucenou obnovu. Tato možnost způsobí, že veškeré klíče nástroje BitLocker, které jsou uloženy v TPM, budou vymazány při staru počítače a jedinou možností, jak danou jednotku odemknout je použití obnovovacího klíče, nebo disku USB k odemčení jednotky. Vynucenou obnovu provedeme příkazem:

manage-bde –forcerecovery C:

Nejzazším scénářem je úplné dešifrování jednotky, které je proveditelné příkazem:

manage-bde –off C:
Back to Top