Bitlocker windows 10 как разблокировать без пароля без ключа
Перейти к содержимому

Bitlocker windows 10 как разблокировать без пароля без ключа

  • автор:

Обзор восстановления BitLocker

Восстановление BitLocker — это процесс, с помощью которого можно восстановить доступ к диску, защищенному BitLocker, если диск не разблокируется с помощью механизма разблокировки по умолчанию.

В этой статье описаны сценарии, запускающие восстановление BitLocker, настройка устройств для сохранения сведений о восстановлении и параметры восстановления доступа к заблокированному диску.

Сценарии восстановления BitLocker

В следующем списке приведены примеры распространенных событий, которые приводят к переходу устройства в режим восстановления BitLocker при запуске Windows.

  • Слишком много раз ввод неправильного ПИН-кода
  • Отключение поддержки чтения USB-устройства в среде предварительной загрузки из встроенного ПО BIOS или UEFI при использовании usb-ключей вместо доверенного платформенного модуля
  • Наличие компакт-диска или DVD-диска перед жестким диском в порядке загрузки BIOS (как правило, с виртуальными машинами)
  • Закрепление или отстыковка портативного компьютера
  • Изменения в таблице разделов NTFS на диске
  • Изменения в диспетчере загрузки
  • Отключение, отключение, отключение или очистка доверенного платформенного модуля
  • Сбой самотестировщика доверенного платформенного модуля
  • Обновление материнской платы до новой с помощью нового доверенного платформенного модуля
  • Обновление критически важных компонентов раннего запуска, таких как обновление встроенного ПО BIOS или UEFI
  • Скрытие доверенного платформенного модуля из операционной системы
  • Изменение регистров конфигурации платформы (PCR), используемых профилем проверки доверенного платформенного модуля
  • Перемещение диска, защищенного BitLocker, на новый компьютер
  • На устройствах с TPM 1.2 изменение порядка загрузки BIOS или встроенного ПО

В рамках процесса восстановления BitLocker рекомендуется определить, что вызвало переход устройства в режим восстановления. Анализ первопричин может помочь предотвратить возникновение проблемы в будущем. Например, если вы определили, что злоумышленник изменил устройство, получив физический доступ, можно реализовать новые политики безопасности для отслеживания физического присутствия.

В запланированных сценариях, таких как известное обновление оборудования или встроенного ПО, можно избежать инициации восстановления, временно приостановив защиту BitLocker. При приостановке BitLocker диск остается полностью зашифрованным, и администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. При использовании приостановки и возобновления также повторно выполняется повторное выполнение ключа шифрования без необходимости ввода ключа восстановления.

В случае приостановки BitLocker автоматически возобновляет защиту при перезагрузке устройства, если только не указано количество перезагрузок с помощью PowerShell или средства командной manage-bde.exe строки. Дополнительные сведения о приостановке BitLocker см. в руководстве по операциям BitLocker.

Восстановление описывается в контексте незапланированного или нежелательного поведения. Однако восстановление также может быть вызвано как предполагаемый рабочий сценарий, например для управления доступом. При повторном развертывании устройств в других отделах или сотрудниках организации BitLocker можно принудительно выполнить восстановление, прежде чем устройство будет доставлено новому пользователю.

Параметры восстановления BitLocker

В сценарии восстановления могут быть доступны следующие параметры восстановления доступа к диску в зависимости от параметров политики, применяемых к устройствам:

  • Пароль восстановления: 48-значный номер, используемый для разблокировки тома в режиме восстановления. Пароль восстановления можно сохранить в виде текстового файла, распечатать или сохранить в Microsoft Entra id или Active Directory. Пользователь может указать пароль восстановления, если он доступен

Снимок экрана: экран восстановления BitLocker по умолчанию с запросом ввода пароля восстановления.

  • Ключ восстановления: ключ шифрования, хранящийся на съемных носителях, который можно использовать для восстановления данных, зашифрованных на томе BitLocker. Имя файла имеет формат .bek . Для диска ОС ключ восстановления можно использовать для получения доступа к устройству, если BitLocker обнаруживает условие, которое не позволяет разблокировать диск при запуске устройства. Ключ восстановления также можно использовать для получения доступа к фиксированным дискам с данными и съемным дискам, зашифрованным с помощью BitLocker, если по какой-либо причине пароль забыт или устройство не может получить доступ к диску.

Снимок экрана: экран восстановления BitLocker с запросом на подключение USB-накопителя с помощью ключа восстановления.

  • Пакет ключей: ключ расшифровки, который можно использовать со средством восстановления BitLocker для восстановления критически важных частей диска и восстановления данных. С помощью пакета ключей и пароля восстановления или ключа восстановления можно расшифровать части поврежденного диска, защищенного BitLocker. Каждый пакет ключей работает только для диска с соответствующим идентификатором диска. Пакет ключей не создается автоматически и может быть сохранен в файле или в доменные службы Active Directory. Пакет ключей не может храниться в идентификаторе Microsoft Entra
  • Сертификат агента восстановления данных. Агент восстановления данных (DRA) — это тип сертификата, который связан с субъектом безопасности Active Directory и может использоваться для доступа к любым зашифрованным дискам BitLocker, настроенным с соответствующим открытым ключом. Dra могут использовать свои учетные данные для разблокировки диска. Если диск является диском ОС, диск должен быть подключен как диск данных на другом устройстве, чтобы DRA разблокировал его.

Пароль восстановления и ключ восстановления могут быть предоставлены пользователями в панель управления апплете (для данных и съемных дисков) или на экране восстановления перед загрузки. Рекомендуется настроить параметры политики для настройки экрана восстановления перед загрузкой, например путем добавления настраиваемого сообщения, URL-адреса и контактных данных службы поддержки. Дополнительные сведения см. в статье Экран восстановления BitLocker перед загрузки.

При планировании процесса восстановления BitLocker сначала ознакомьтесь с текущими рекомендациями организации по восстановлению конфиденциальной информации. Пример:

☑️ Вопрос
�� Как организация обрабатывает потерянные или забытые пароли?
�� Как организация выполняет сброс ПИН-кода интеллектуального карта?
�� Разрешено ли пользователям сохранять или извлекать сведения о восстановлении для принадлежащих им устройств?
�� Сколько вы хотите, чтобы пользователи участвовали в процессе настройки BitLocker? Вы хотите, чтобы пользователи взаимодействовали с процессом, молчали или и то, и другое?
�� Где хранить ключи восстановления BitLocker?
�� Включить смену паролей восстановления?

Ответы на вопросы помогают определить лучший процесс восстановления BitLocker для организации и соответствующим образом настроить параметры политики BitLocker. Например, если в организации есть процесс сброса паролей, аналогичный процесс можно использовать для восстановления BitLocker. Если пользователям запрещено сохранять или извлекать сведения о восстановлении, организация может использовать агенты восстановления (DRA) или автоматически создавать резервные копии данных.

Следующие параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенному BitLocker.

  • Выберите способы восстановления дисков операционной системы с защитой BitLocker
  • Выберите способы восстановления фиксированных дисков с защитой BitLocker
  • Выберите, как можно восстановить съемные диски с защитой BitLocker

В каждой из этих политик выберите Сохранить сведения о восстановлении BitLocker, чтобы доменные службы Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в AD DS. Используйте параметр Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS, чтобы запретить пользователям включать BitLocker, если резервное копирование сведений о восстановлении BitLocker для диска Microsoft Entra идентификатора или AD DS не будет выполнено.

Пароль восстановления BitLocker

Чтобы восстановить BitLocker, пользователь может использовать пароль восстановления, если он доступен. Пароль восстановления BitLocker уникален для устройства, на который он был создан, и его можно сохранить разными способами. В зависимости от настроенных параметров политики пароль восстановления может быть следующим:

  • Сохранено в идентификаторе Microsoft Entra для Microsoft Entra присоединения
  • Сохранено в AD DS для устройств, присоединенных к Active Directory
  • Сохранено в текстовом файле
  • Напечатано

Доступ к паролю восстановления позволяет владельцу разблокировать том, защищенный BitLocker, и получить доступ ко всем его данным. Поэтому для организации важно установить процедуры для управления доступом к паролям восстановления и обеспечить их безопасное хранение отдельно от устройств, которые они защищают.

Ключ восстановления BitLocker можно сохранить в учетной записи Майкрософт пользователя. Этот параметр доступен для устройств, не являющихся членами домена и использующих учетную запись Майкрософт. Хранение пароля восстановления в учетной записи Майкрософт — это рекомендуемый по умолчанию метод хранения ключей восстановления для устройств, которые не Microsoft Entra присоединены или присоединены к Active Directory.

Резервное копирование пароля восстановления должно быть настроено до включения BitLocker, но также может выполняться после шифрования, как описано в руководстве по операциям BitLocker.
Предпочтительная методология резервного копирования в организации заключается в автоматическом хранении сведений о восстановлении BitLocker в центральном расположении. В зависимости от требований организации сведения о восстановлении могут храниться в Microsoft Entra id, AD DS или файловых ресурсах.

Рекомендуется использовать следующие методы резервного копирования BitLocker:

  • Для устройств, присоединенных к Microsoft Entra, сохраните ключ восстановления в Microsoft Entra идентификаторе.
  • Для устройств, присоединенных к Active Directory, сохраните ключ восстановления в AD DS.

Нет автоматического способа хранения ключа восстановления для съемных запоминающих устройств в Microsoft Entra id или AD DS. Однако для этого можно использовать PowerShell или manage.bde.exe команду . Дополнительные сведения и примеры см. в руководстве по операциям BitLocker.

Агенты восстановления данных

DrA можно использовать для восстановления дисков ОС, фиксированных дисков данных и съемных дисков с данными. Однако при использовании для восстановления дисков ОС диск операционной системы должен быть подключен к другому устройству в качестве диска данных , чтобы DRA мог разблокировать диск. Агенты восстановления данных добавляются на диск при его шифровании и могут быть обновлены после шифрования.

Преимущество использования DRA вместо восстановления пароля или ключа заключается в том, что DRA выступает в качестве ключа master для BitLocker. С помощью DRA можно восстановить любой том, защищенный политикой, без необходимости находить определенный пароль или ключ для каждого отдельного тома.

Чтобы настроить dra для устройств, присоединенных к домену Active Directory, необходимо выполнить следующие действия.

  1. Получите сертификат DRA. Следующие атрибуты использования ключей и расширенные атрибуты использования ключа проверяются BitLocker перед использованием сертификата.
    1. Если атрибут использования ключа присутствует, он должен быть следующим:
      • CERT_DATA_ENCIPHERMENT_KEY_USAGE
      • CERT_KEY_AGREEMENT_KEY_USAGE
      • CERT_KEY_ENCIPHERMENT_KEY_USAGE
    2. Если атрибут расширенного использования ключа (EKU) присутствует, он должен иметь один из следующих значений:
      • Как указано в параметре политики или по умолчанию 1.3.6.1.4.1.311.67.1.1
      • Любой идентификатор объекта EKU, поддерживаемый центром сертификации (ЦС)
    • Выберите способы восстановления дисков операционной системы с защитой BitLocker
    • Выберите способы восстановления фиксированных дисков с защитой BitLocker
    • Выберите, как можно восстановить съемные диски с защитой BitLocker

    Сведения о восстановлении BitLocker, хранящиеся в идентификаторе Microsoft Entra

    Сведения о восстановлении BitLocker для Microsoft Entra присоединенных устройств можно хранить в Microsoft Entra идентификаторе. Преимущество хранения паролей восстановления BitLocker в Microsoft Entra идентификаторе заключается в том, что пользователи могут легко получать пароли для устройств, назначенных им, из Интернета, не обращаясь в службу поддержки.

    Доступ к паролям восстановления также можно делегировать службе поддержки, чтобы упростить сценарии поддержки.

    Сведения о пароле восстановления BitLocker, хранящиеся в идентификаторе Microsoft Entra, являются типом bitlockerRecoveryKey ресурса. Ресурс можно получить из центра администрирования Microsoft Entra, центра администрирования Microsoft Intune (для устройств, зарегистрированных в Microsoft Intune), с помощью PowerShell или Microsoft Graph. Дополнительные сведения см. в разделе Тип ресурса bitlockerRecoveryKey.

    Сведения о восстановлении BitLocker, хранящиеся в AD DS

    Сведения о восстановлении BitLocker для устройства, присоединенного к домену Active Directory, можно хранить в AD DS. Сведения хранятся в дочернем объекте самого объекта компьютера. Каждый объект восстановления BitLocker содержит пароль восстановления и другие сведения о восстановлении. Под каждым объектом компьютера может существовать несколько объектов восстановления BitLocker, так как с томом с поддержкой BitLocker может быть несколько паролей восстановления.

    Имя объекта восстановления BitLocker включает глобальный уникальный идентификатор (GUID) и сведения о дате и времени для фиксированной длины 63 символов. Синтаксис : .

    Active Directory ведет журнал всех паролей восстановления для объекта компьютера. Старые ключи восстановления не удаляются из AD DS автоматически, если не удаляется объект компьютера.

    Общее имя (cn) для объекта восстановления BitLocker — ms-FVE-RecoveryInformation . Каждый ms-FVE-RecoveryInformation объект имеет следующие атрибуты:

    Имя атрибута Описание
    ms-FVE-RecoveryPassword Пароль восстановления из 48 цифр, используемый для восстановления тома диска, зашифрованного BitLocker.
    ms-FVE-RecoveryGuid GUID, связанный с паролем восстановления BitLocker. В режиме восстановления BitLocker идентификатор GUID отображается пользователю, чтобы можно было найти правильный пароль восстановления для разблокировки тома. Guid также включается в имя объекта восстановления.
    ms-FVE-VolumeGuid GUID, связанный с томом диска, поддерживаемым BitLocker. Хотя пароль (хранящийся в ms-FVE-RecoveryGuid ) уникален для каждого пароля восстановления, идентификатор тома является уникальным для каждого тома, зашифрованного BitLocker.
    ms-FVE-KeyPackage Ключ шифрования BitLocker тома, защищенный соответствующим паролем восстановления. С помощью этого пакета ключей и пароля восстановления (хранящегося в ms-FVE-RecoveryPassword ), части тома, защищенного BitLocker, можно расшифровать, если диск поврежден. Каждый пакет ключей работает только для тома с соответствующим идентификатором тома (хранится в ms-FVE-VolumeGuid ). Средство восстановления BitLocker можно использовать для использования пакета ключей.

    Дополнительные сведения об атрибутах BitLocker, хранящихся в AD DS, см. в следующих статьях:

    • Атрибут ms-FVE-KeyPackage
    • Атрибут ms-FVE-RecoveryPassword

    Пакет ключей BitLocker не сохраняется по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD DS, в политике, которая управляет методом восстановления, необходимо выбрать параметр политики Резервное копирование пароля восстановления и пакета ключей . Пакет ключей также можно экспортировать из рабочего тома.

    Если сведения о восстановлении не создаются в AD DS или вы хотите сохранить пакет ключей в альтернативном расположении, используйте следующую команду, чтобы создать пакет ключей для тома:

    manage-bde.exe -KeyPackage C: -id -path

    Файл с форматом BitLocker Key Package >.KPG имени создается по указанному пути.

    Чтобы экспортировать новый пакет ключей из разблокированного, защищенного BitLocker тома, локальный администратор должен получить доступ к рабочему тому, прежде чем произойдет повреждение тома.

    Дальнейшие действия

    Узнайте, как получить сведения о восстановлении BitLocker для устройств, присоединенных к Microsoft Entra, Microsoft Entra с гибридным присоединением и присоединенных к Active Directory устройств, а также как восстановить доступ к заблокированным дискам.

    Обратная связь

    Были ли сведения на этой странице полезными?

    Как разблокировать BitLocker Windows 10

    Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.

    ↑ Как разблокировать BitLocker Windows 10

    При активации BitLocker перед процедурой шифрования создаётся идентификатор и ключ восстановления — строка из 48-символов, с помощью которой можно разблокировать доступ к зашифрованному тому в случае утере утери пароля или смарт-карты. После того как том будет заблокирован, получить к нему доступ можно будет только подключив к ПК токен и введя его PIN-код или введя обычный пароль либо воспользовавшись ключом восстановления, если токен или пароль были утеряны. Процедура проста и не требует никаких технических навыков. Кликните дважды по заблокированному разделу, а когда в верхнем правом углу появится приглашение вести пароль, нажмите в окошке «Дополнительные параметры» → «Введите ключ восстановления». Скопируйте из файла «Ключ восстановления BitLocker» 48-значный ключ, вставьте его в соответствующее поле и, убедившись, что первые восемь символов ID ключа совпадают с первыми восьмью символами идентификатора ключа в файле «Ключ восстановления BitLocker», нажмите «Разблокировать». Раздел будет разблокирован точно так же, как если бы вы ввели пароль или воспользовались токеном. Если вы зашифровали системный том, на экране ввода пароля нужно будет нажать клавишу ECS и ввести в ключ восстановления.

    ↑ Как разблокировать BitLocker, если система не загружается

    До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows: кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать». В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».

    ↑ Можно ли взломать BitLocker

    Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker. А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.

    tagsКлючевые слова

    Рекомендуем другие статьи по данной теме

    Блокировка диска BitLocker: как предотвратить и как восстановить доступ

    Шифрование системного диска Windows с помощью BitLocker обеспечивает эффективную защиту от несанкционированного доступа, особенно в сочетании с TPM. Но стоит добавить или заменить видеокарту, обновить прошивку или изменить некоторые настройки в UEFI BIOS, как загрузка с зашифрованного диска станет невозможной, а система попросит ввести код восстановления доступа. Как предотвратить блокировку и что делать, если загрузочный диск заблокирован?

    Как выглядит блокировка BitLocker

    Блокировка загрузки BitLocker выглядит следующим образом:

    Если во время загрузки вы увидели подобный экран, вам потребуется разблокировать системный диск, введя ключ восстановления доступа (BitLocker recovery key). О том, где находится этот ключ и как предотвратить возникновение блокировки — в этой статье.

    В чём причина блокировки

    Блокировка чаще всего случается на компьютерах, оборудованных модулем TPM либо его аналогом или программной эмуляцией (Intel PTT, AMD fTPM), если происходит одно из следующих событий:

    1. Диск был извлечён из одного компьютера и установлен в другой.
    2. Произошло обновление прошивки видеокарты или другого оборудования либо UEFI BIOS компьютера.
    3. Были изменены параметры безопасности в UEFI BIOS компьютера.
    4. Произошли изменения в цепочке доверенной загрузки (например, вредоносным ПО).

    Действия в случае блокировки

    Если вы не можете загрузить Windows по причине блокировки BitLocker, это может означать, что вам потребуется ключ восстановления доступа BitLocker. В большинстве случаев этот ключ является единственным способом разблокировки диска. В этом случае внимательно изучите экран, в котором запрашивается ключ восстановления доступа. В современных версиях Windows 10 и всех версиях Windows 11 такие подсказки обычно содержат информацию о том, когда была создана резервная копия ключа BitLocker, где она была сохранена и как её можно извлечь.

    В некоторых ситуациях диск можно разблокировать посредством PIN-кода или пароля. Вы можете проверить, так ли это, загрузившись в Elcomsoft System Recovery и попытавшись смонтировать системный раздел с BitLocker. Подробные инструкции доступны по ссылке Как получить доступ к BitLocker, загрузившись с USB накопителя; здесь же мы приведём сокращённую инструкцию, не включающую в себя шаги по изготовлению загрузочного накопителя.

    Итак, после загрузки в Elcomsoft System Recovery инструмент автоматически просканирует доступные жёсткие диски на предмет зашифрованных томов. Если программа обнаружит хотя бы один том, защищённый BitLocker, будет выведено предложение разблокировать диск:

    В следующем окне инструмент отобразит букву диска и тип протектора. Если будет обнаружен хотя бы один неподдерживаемый протектор, такие протекторы не будут показаны по умолчанию. Чтобы отобразить все протекторы, включая неподдерживаемые, снимите флажок «Show supported disk protectors only».

    Как только флажок будет снят, вы увидите неподдерживаемые протекторы. В приведённом ниже примере загрузочный диск был защищён двумя протекторами: TPM+PIN (напрямую не поддерживается в Elcomsoft System Recovery) и депонированным ключом (Recovery Key), который в Elcomsoft System Recovery поддерживается.

    Встречаются тома BitLocker, защищённые сразу несколькими протекторами, которые поддерживаются Elcomsoft System Recovery. В приведённом ниже примере том был защищён паролем, а ключ восстановления был создан в качестве дополнительного (резервного) протектора. Именно таким образом обычно и защищены все диски, кроме загрузочных. В этом случае укажите тот тип протектора, к которому у вас есть доступ. Например, если вы знаете пароль к тому BitLocker, выберите «Password».

    Обратите внимание: если компьютер оборудован TPM или его программным эмулятором, то системный диск, как правило, можно разблокировать либо ключом из модуля TPM, либо ключом восстановления доступа (recovery key). В большинстве случаев других способов разблокировать диск нет (их можно добавить вручную, но так мало кто делает). Если ключ восстановления доступа указан как единственный протектор — для разблокирования диска вам придётся использовать именно его.

    Пользователь утверждает, что не включал шифрование

    В ряде случаев шифрование BitLocker Device Encryption включается автоматически, не уведомляя пользователя. В статье Общие сведения о функции шифровании устройств BitLocker в Windows — Windows security | Microsoft Docs объясняются основные принципы этого типа шифрования. Приведём выдержку из этой статьи.

    Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживающих современный режим ожидания. С Windows 11 и Windows 10 Microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, которые работают Windows 10 Домашняя или Windows 11. […]

    В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

    • После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
    • Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
    • Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). […]
    • Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

    В переводе с машинного на русский, Microsoft утверждает следующее:

    1. Если компьютер (ноутбук или современный настольный компьютер) поддерживается BitLocker Device Encryption, то диск будет зашифрован к моменту окончания начальной настройки Windows. На этот момент все данные на диске будут уже зашифрованы, однако ключ шифрования будет сохранён в заголовке тома в открытом виде.
    2. Ключ шифрования будет удалён из заголовка тома лишь после того, как будет создана его резервная копия в виде ключа восстановления доступа. Это важно: ключ шифрования удаляется из заголовка тома только и исключительно после того, как создаётся его резервная копия.
    3. Для обычных пользователей копия ключа создаётся в учётной записи Microsoft account. Используется учётная запись первого пользователя, который войдёт в компьютер с учётной записью Microsoft account (а не с использованием локальной учётной записи Windows) с административными привилегиями. Таким образом, если вы получили уже настроенный компьютер (или приобрели бывшее в употреблении устройство), то ключ восстановления доступа будет храниться не у вас, а у того пользователя, который впервые осуществил настройку системы.
    4. В организациях для хранения ключей часто используются службы Active Directory и Azure AD.

    Таким образом, для снятия блокировки вам нужен ключ восстановления доступа BitLocker.

    Как предотвратить блокировку

    Для предотвращения блокировки системного диска BitLocker существует два способа; использовать нужно оба. Во-первых, сохраните резервную копию ключа восстановления доступа и убедитесь, что запомните, куда именно вы её сохранили. Во-вторых, перед тем, как внести изменения в аппаратную конфигурацию компьютера и/или обновить прошивку или версию UEFI BIOS, временно отключите шифрование командой suspend BitLocker.

    Сохранить ключ восстановления доступа можно как через графический интерфейс Windows, так и из командной строки. В любом случае вам потребуется учётная запись с административными привилегиями.

    Сохранение ключа BitLocker через Windows GUI

    Запустите апплет “BitLocker Drive Encryption” из панели управления Windows Control Panel. Проще всего это сделать, введя слово “bitlocker” в строку поиска в Windows.

    Если системный диск зашифрован, вы увидите список возможных действий: Suspend protection, Backup your recovery key, Turn off BitLocker. Для сохранения резервной копии ключа используйте команду “Backup your recovery key”.

    Ключ можно сохранить как в облако (если вы используете для входа в систему Microsoft account), так и в файл или в виде распечатки.

    Обратите внимание: в Windows 10 начиная с версии 1903 и всех версиях Windows 11 система запомнит, когда и куда вы сохраняли ключ восстановления доступа. Эта информация выводится на экране блокировки BitLocker; узнать её другим способом нельзя.

    Сохранение ключа BitLocker из командной строки

    Для сохранения копии ключа BitLocker из командной строки запустите cmd.exe с правами администратора (“Run as administrator”), после чего введите команду:

    manage-bde -protectors -get C:

    Будет выведена следующая информация:

    C:\WINDOWS\system32>manage-bde -protectors -get C: BitLocker Drive Encryption: Configuration Tool version 10.0.19041 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [NVME] All Key Protectors TPM: ID: PCR Validation Profile: 0, 2, 4, 11 Numerical Password: ID: Password: 123456-123456-123456-123456

    Здесь поле “Numerical Password” и есть ключ восстановления доступа для ключа, идентифицируемого по key ID.

    Сохранение ключа BitLocker из PowerShell

    В Windows доступна замена командной строки в виде PowerShell. Для извлечения всех ключей BitLocker для всех зашифрованных дисков используйте следующий скрипт, сохранив его в файл с расширением .ps1 (например, «backup-bitlocker.ps1») и запустив из PowerShell с административными привилегиями.

    # Export the BitLocker recovery keys for all drives and display them at the Command Prompt. $BitlockerVolumers = Get-BitLockerVolume $BitlockerVolumers | ForEach-Object < $MountPoint = $_.MountPoint $RecoveryKey = [string]($_.KeyProtector).RecoveryPassword if ($RecoveryKey.Length -gt 5) < Write-Output ("The drive $MountPoint has a BitLocker recovery key $RecoveryKey") >>

    Как предотвратить блокировку BitLocker при обновлении UEFI BIOS, замене или обновлении оборудования

    Если вы планируете обновить версию UEFI BIOS, убрать или добавить видеокарту или обновить её прошивку, либо просто перенести зашифрованный диск из одного компьютера в другой, вы можете предотвратить блокировку и обойтись без ввода длинного ключа восстановления доступа. Всё, что для этого нужно — это приостановить шифрование BitLocker командой suspend BitLocker из панели управления Windows. Для этого откройте апплет BitLocker в Windows Control Panel и нажмите “Suspend protection”.

    В результате этого действия ключ шифрования диска будет сохранён в заголовке тома в открытом виде. Далее вы можете переместить диск в другой компьютер, обновить UEFI BIOS или изменить последовательность загрузки; несмотря на эти действия, Windows загрузится в обычном режиме без блокировки. После этого система создаст новую цепочку доверенной загрузки и пропишет её в модуле TPM, после чего шифрование будет вновь активировано, а ключ тома будет удалён из его заголовка.

    Действия при блокировке

    Если система всё-таки была заблокирована, внимательно изучите экран восстановления доступа. В современных версиях Windows на этом экране выводится подсказка с информацией о том, когда и куда сохранялся ключ восстановления доступа:

    На этом экране Windows просит вас разблокировать диск, предоставив действительный ключ восстановления BitLocker, соответствующий отображаемому идентификатору ключа восстановления. Если вы дошли до этого момента, то ключ восстановления может оказаться единственным способом разблокировать диск. Пароль от учётной записи Windows или любой другой пароль использовать для разблокировки системного диска не удастся, поскольку фактический ключ шифрования хранится или хранился в модуле TPM компьютера. Если модуль TPM не выдаёт этот ключ шифрования, у системы не будет возможности расшифровать данные.

    Где находится ключ восстановления доступа BitLocker

    В Windows 10 и Windows 11 невозможно включить шифрование BitLocker без сохранения копии ключа восстановления доступа. В случае автоматического шифрования устройства BitLocker Device Encryption ключ восстановления автоматически сохраняется в облачной учётной записи первого пользователя, который входит в систему как системный администратор со учётной записью Microsoft (в отличие от локальной учётной записи Windows). Обратите внимание: первый и текущий пользователи компьютера могут не совпадать, и ключ восстановления доступа BitLocker необходимо получить именно у того пользователя, в учётной записи которого он был сохранён.

    Microsoft опубликовала статью для системных администраторов Руководство по восстановлению BitLocker (для Windows 10) — Windows security | Microsoft Docs, в которой подробно описаны способы получения ключа восстановления доступа. Ниже приводится выдержка из другой статьи компании, которая была написана для обычных пользователей.

    BitLocker — это функция шифрования устройств в Windows. Если устройство запрашивает у вас ключ восстановления BitLocker, следующие инструкции помогут вам найти 48-значный ключ, который понадобится для разблокировки устройства. Ниже указаны некоторые места, в которых можно поискать ключ, если у вас его нет:

    В учетной записи Майкрософт выполните Вход в учетную запись Майкрософт на другом устройстве, чтобы найти ключ восстановления. Если на устройстве есть учетные записи других пользователей, вы можете попросить их войти в свою учетную запись Майкрософт, чтобы проверить, есть ли у них ключ.

    Сохранён в виде распечатки: Ключ восстановления может находиться на распечатке, сохраненной при активации BitLocker. Проверьте свои важные документы, относящиеся к компьютеру.

    На USB-накопителе: Подсоедините USB-накопитель к заблокированному компьютеру и следуйте инструкциям. Если ключ сохранен на устройстве флэш-памяти как текстовый файл, прочтите этот файл на другом компьютере.

    В учетной записи Azure Active Directory: Если ваше устройство было зарегистрировано в Организации с помощью рабочей или учебной учетной записи электронной почты, ваш ключ восстановления может храниться в учетной записи Azure AD , связанной с вашим устройством. Возможно, вы сможете получить к ключу доступ самостоятельно либо вам может потребоваться обратиться к системному администратору.

    Хранится у системного администратора. Если устройство подключено к домену (обычно это рабочее или учебное устройство), обратитесь к системному администратору для ключа восстановления.

    (Источник: Поиск ключа восстановления BitLocker (microsoft.com))

    Заключение

    В качестве заключения приведём ссылки на наши статьи, в которых подробно анализируется шифрование посредством BitLocker:

    Отключение bitlocker-а из Windows PE.

    Отправлено: 24-Май-2022 21:44

    Какие возможности есть отключения bitlocker-a из WinPE?
    Возможно возстановление данных на диск, который шифрован битлокером?

    _________________
    Подпись отключена за нарушение правил форума

    Отправлено: 24-Май-2022 22:19 (спустя 35 минут)

    bdeunlock консольная утилита встроенная в Windows
    Разблокировать при помощи пароля
    manage-bde –unlock C: -recoverypassword пароль
    Разблокировать при помощи ключа
    manage-bde –unlock C: -recoverykey Y:\key.bek

    и есть еще куча программ
    но если нет пароля и ключа, то придется расшифровывать
    а это сложнее, например программа Passware Kit Forensic

    Отправлено: 25-Май-2022 07:15 (спустя 8 часов)

    xnik , «recoverypassword» это пароль юзера на вход в систему, или что то другое?
    И еще, есть вариант узнать пароль, или через изменения/удаления пароля зайти в систему и отключить битлокер?

    а это сложнее, например программа Passware Kit Forensic
    это реальный вариант отключения битлокера, или скорее будет трата времени?

    _________________
    Подпись отключена за нарушение правил форума

    Отправлено: 25-Май-2022 08:14 (спустя 59 минут)

      rezorustavi
    • Стаж: 7 лет 11 месяцев
    • Сообщений: 928
    • Репутация: 55 [+] [-]
    • Откуда: Грузия, город Рустави

    95269bitlocker

    Отправлено: 25-Май-2022 11:36 (спустя 3 часа)

    «-recoverypassword» это команда cmd, а вместо «пароль» пишем свой пароль который создавали при шифрование
    Если пароль утерян, то да можно попробовать войти в Windows. Расшифровывать или подбирать пароль к Windows конечно сложней и дольше, и это уже другая история

    Отправлено: 25-Май-2022 12:57 (спустя 1 час 20 минут)

    xnik , в общем вроде понял.
    Скажем так, допустим что у вас оставили на починке ноут у которого винда не работает, пароли на локер никто не знает. Пароль для вход юзера не знаем, ну или как вариант 2 знаем.
    Как именно поступите, если надо сохранить данные и переустановить Windows?
    rezorustavi , AdminPE знаю, но не пользую активно. Знаешь там какой именно тул отвечает за разблокировка битлокера?

    _________________
    Подпись отключена за нарушение правил форума

    Отправлено: 25-Май-2022 13:36 (спустя 39 минут)

      rezorustavi
    • Стаж: 7 лет 11 месяцев
    • Сообщений: 928
    • Репутация: 55 [+] [-]
    • Откуда: Грузия, город Рустави

    95281AdminPE знаю, но не пользую активно.

    В основном пользуюсь именно им, за исключением редких случаев, к примеру если не видет SSD, либо не хочет грузится на каком-то железе, что очень редко. В нем много полезного, к примеру мой любимый Акронис 2016, есть скрипты для конвертации с MBR в UEFI и обратно без потери данных, с созданием соответствующих загрузчиков, все инструкции есть на его канале в youtube. .

    Знаешь там какой именно тул отвечает за разблокировка битлокера?

    Не могу сказать, с ним ни разу не сталкивался, с Винды перед тем как сделать универсальную заливку, от него всегда избавляюсь жесткими методами, чтобы клиенты не шифровали, а после мне мозги не выносили, что не помнят пароль, либо их ребенок начудил и теперь что делать.

    Последний раз редактировалось: rezorustavi (2022-05-26 12:31), всего редактировалось 7 раз(а)

    Отправлено: 25-Май-2022 13:40 (спустя 3 минуты)

    dimo70 ,
    BitLocker_AdminPE.rar

    BitLocker_AdminPE.rar
    Имя файла Размер
    AdminPE32/Windows/System32/bdechangepin.exe 332.0 КБ
    AdminPE64/Windows/System32/bdechangepin.exe 342.5 КБ
    AdminPE32/Windows/System32/BdeHdCfg.exe 125.0 КБ
    AdminPE64/Windows/System32/BdeHdCfg.exe 127.5 КБ
    AdminPE32/Windows/System32/BdeUISrv.exe 44.5 КБ
    AdminPE64/Windows/System32/BdeUISrv.exe 51.0 КБ
    AdminPE64/Windows/System32/bdeunlock.exe 279.9 КБ
    AdminPE32/Windows/System32/bdeunlock.exe 286.0 КБ
    AdminPE64/Windows/System32/fvenotify.exe 170.5 КБ
    AdminPE32/Windows/System32/fvenotify.exe 173.5 КБ
    AdminPE64/Windows/System32/fveprompt.exe 158.0 КБ
    AdminPE32/Windows/System32/fveprompt.exe 163.5 КБ
    AdminPE32/Windows/System32/manage-bde.exe 173.5 КБ
    AdminPE64/Windows/System32/manage-bde.exe 198.0 КБ
    AdminPE32/Windows/System32/repair-bde.exe 117.0 КБ
    AdminPE64/Windows/System32/repair-bde.exe 121.5 КБ
    AdminPE32/Windows/System32/BdeHdCfgLib.dll 81.0 КБ
    AdminPE64/Windows/System32/BdeHdCfgLib.dll 97.0 КБ
    AdminPE32/Windows/System32/bderepair.dll 37.5 КБ
    AdminPE64/Windows/System32/bderepair.dll 43.0 КБ
    AdminPE32/Windows/System32/bdesvc.dll 290.5 КБ
    AdminPE64/Windows/System32/bdesvc.dll 329.0 КБ
    AdminPE32/Windows/System32/BdeSysprep.dll 9.5 КБ
    AdminPE64/Windows/System32/BdeSysprep.dll 10.5 КБ
    AdminPE32/Windows/System32/bdeui.dll 26.5 КБ
    AdminPE64/Windows/System32/bdeui.dll 31.5 КБ
    AdminPE32/Windows/System32/fveapi.dll 556.5 КБ
    AdminPE64/Windows/System32/fveapi.dll 702.0 КБ
    AdminPE32/Windows/System32/fveapibase.dll 180.5 КБ
    AdminPE64/Windows/System32/fveapibase.dll 205.5 КБ
    AdminPE32/Windows/System32/fvecerts.dll 20.5 КБ
    AdminPE64/Windows/System32/fvecerts.dll 24.0 КБ
    AdminPE32/Windows/System32/fvecpl.dll 297.5 КБ
    AdminPE64/Windows/System32/fvecpl.dll 304.0 КБ
    AdminPE32/Windows/System32/fveskybackup.dll 46.0 КБ
    AdminPE64/Windows/System32/fveskybackup.dll 53.5 КБ
    AdminPE32/Windows/System32/fveui.dll 249.5 КБ
    AdminPE64/Windows/System32/fveui.dll 262.5 КБ
    AdminPE32/Windows/System32/fvewiz.dll 744.0 КБ
    AdminPE64/Windows/System32/fvewiz.dll 775.5 КБ
    AdminPE32/Windows/System32/MSAMRNBDecoder.dll 128.5 КБ
    AdminPE64/Windows/System32/MSAMRNBDecoder.dll 133.0 КБ
    AdminPE64/Windows/SysWOW64/mspbde40.dll 360.0 КБ
    AdminPE64/Windows/SysWOW64/msxbde40.dll 444.0 КБ
    AdminPE32/Windows/System32/ru-RU/bdechangepin.exe.mui 5.5 КБ
    AdminPE64/Windows/System32/ru-RU/bdechangepin.exe.mui 5.5 КБ
    AdminPE32/Windows/System32/en-US/BdeHdCfg.exe.mui 4.5 КБ
    AdminPE64/Windows/System32/en-US/BdeHdCfg.exe.mui 4.5 КБ
    AdminPE32/Windows/System32/ru-RU/BdeHdCfg.exe.mui 5.0 КБ
    AdminPE64/Windows/System32/ru-RU/BdeHdCfg.exe.mui 5.0 КБ

    BitLocker_AdminPE10.rar

    BitLocker_AdminPE10.rar
    Имя файла Размер
    AdminPE32/Windows/System32/AutoExecPE32/BitLocker.reg 4.9 КБ
    AdminPE32/Windows/System32/bdechangepin.exe 341.0 КБ
    AdminPE32/Windows/System32/BdeHdCfg.exe 124.5 КБ
    AdminPE32/Windows/System32/BdeHdCfgLib.dll 86.5 КБ
    AdminPE32/Windows/System32/bderepair.dll 38.5 КБ
    AdminPE32/Windows/System32/bdesvc.dll 300.0 КБ
    AdminPE32/Windows/System32/BdeSysprep.dll 9.0 КБ
    AdminPE32/Windows/System32/bdeui.dll 28.0 КБ
    AdminPE32/Windows/System32/BdeUISrv.exe 45.5 КБ
    AdminPE32/Windows/System32/bdeunlock.exe 291.5 КБ
    AdminPE32/Windows/System32/en-US/BdeHdCfg.exe.mui 5.5 КБ
    AdminPE32/Windows/System32/en-US/BdeHdCfgLib.dll.mui 25.5 КБ
    AdminPE32/Windows/System32/en-US/fveapi.dll.mui 32.0 КБ
    AdminPE32/Windows/System32/en-US/manage-bde.exe.mui 144.5 КБ
    AdminPE32/Windows/System32/en-US/repair-bde.exe.mui 18.0 КБ
    AdminPE32/Windows/System32/fveapi.dll 594.0 КБ
    AdminPE32/Windows/System32/fveapibase.dll 185.5 КБ
    AdminPE32/Windows/System32/fvecerts.dll 21.5 КБ
    AdminPE32/Windows/System32/fvecpl.dll 303.0 КБ
    AdminPE32/Windows/System32/fvenotify.exe 172.0 КБ
    AdminPE32/Windows/System32/fveprompt.exe 162.0 КБ
    AdminPE32/Windows/System32/fveskybackup.dll 58.5 КБ
    AdminPE32/Windows/System32/fveui.dll 258.5 КБ
    AdminPE32/Windows/System32/fvewiz.dll 758.5 КБ
    AdminPE32/Windows/System32/manage-bde.exe 182.5 КБ
    AdminPE32/Windows/System32/manage-bde.wsf 874 байта
    AdminPE32/Windows/System32/MSAMRNBDecoder.dll 128.5 КБ
    AdminPE32/Windows/System32/repair-bde.exe 117.0 КБ
    AdminPE32/Windows/System32/ru-RU/bdechangepin.exe.mui 6.5 КБ
    AdminPE32/Windows/System32/ru-RU/BdeHdCfg.exe.mui 6.0 КБ
    AdminPE32/Windows/System32/ru-RU/BdeHdCfgLib.dll.mui 26.5 КБ
    AdminPE32/Windows/System32/ru-RU/bdesvc.dll.mui 4.5 КБ
    AdminPE32/Windows/System32/ru-RU/bdeunlock.exe.mui 7.0 КБ
    AdminPE32/Windows/System32/ru-RU/fvecpl.dll.mui 13.5 КБ
    AdminPE32/Windows/System32/ru-RU/fvenotify.exe.mui 11.0 КБ
    AdminPE32/Windows/System32/ru-RU/fveprompt.exe.mui 4.5 КБ
    AdminPE32/Windows/System32/ru-RU/fveui.dll.mui 3.5 КБ
    AdminPE32/Windows/System32/ru-RU/fvewiz.dll.mui 52.5 КБ
    AdminPE32/Windows/System32/ru-RU/manage-bde.exe.mui 156.5 КБ
    AdminPE32/Windows/System32/ru-RU/repair-bde.exe.mui 19.5 КБ
    AdminPE64/Windows/System32/AutoExecPE64/BitLocker.reg 4.9 КБ
    AdminPE64/Windows/System32/bdechangepin.exe 353.0 КБ
    AdminPE64/Windows/System32/BdeHdCfg.exe 128.5 КБ
    AdminPE64/Windows/System32/BdeHdCfgLib.dll 105.0 КБ
    AdminPE64/Windows/System32/bderepair.dll 46.0 КБ
    AdminPE64/Windows/System32/bdesvc.dll 351.5 КБ
    AdminPE64/Windows/System32/BdeSysprep.dll 11.5 КБ
    AdminPE64/Windows/System32/bdeui.dll 34.0 КБ
    AdminPE64/Windows/System32/BdeUISrv.exe 53.5 КБ
    AdminPE64/Windows/System32/bdeunlock.exe 291.6 КБ

    Похожие публикации:
    1. Lame for windows что это
    2. Как запустить восстановление системы на ноутбуке asus
    3. Как отписать человека в инстаграме от себя
    4. Как скачать фото с инстаграмма на пк

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *