Bitlocker plutselig påslått

[petterg]

En bekjent slo av pc'n og gikk på jobb. Når hun kom hjem og slo på igjen spørres det etter bitlocker passord. Hun har ikke slått på dette selv, og følgelig ingen kjennskap til passord. Det finnes ingen recovery-minnepinne. Maskinen var ikke satt opp med microsoftkonto - kun lokal administratorbruker. Maskinen har tidligere vært brukt i bedrift og hun hadde den med seg da hun sluttet. Jeg er usikker på om den ble reinstallert med bedriftens enterprise lisens eller lisensnøkkelen til w7 pro som er klistret på baksiden. Den hadde altså nyinstallert win7 da den forlot bedriften og ble siden oppgradert til win10.

Jeg flyttet disken over i min maskin, og også der spørres det etter bitlocker passord.

Hva kan man gjøre annet enn sletting av disk og alt innhold? Som med folk flest, er det lenge siden backup ble utført.

Hvordan kan plutselig bitlocker slå seg på nå?

(Dette er ikke det kjente problemet med at Dell har sendt ut maskiner med bitlocker påslått. Bedriften brukte ikke bitlocker den gang denne maskinen forlot selskapet)

 

Edit: Den ber om bitlocker recovery key. Altså ikke selve passordet. Den aksepterer kun innskriving av tall.

Endret 20. februar 2020 av petterg

[petterg]

Delvis løst!

En kødd hadde funnet ut at hun trengte bitlocker og slått det på - for et år siden. Han hadde heldigvis tatt vare på fila med recovery-key.

Men hvorfor må maskina nå ha recovery key hver gang den startes? Har TPM tatt kvelden? Hvordan løser man evt det? (Den står påslått i bios)

[spetter]

suspend bitlocker i kontroll panelet og evt slå det på etter restart ? 

Bitlocker reagerer om det skjer endringer på maskina. Derfor bør en velge suspend i bitlocker option via kontroll panel. Restarte og deretter slå det evt på igjen. Da er bitlocker aktivert på nytt "med nye maskinvare endringer osv"

 

 

Endret 20. februar 2020 av spetter

[petterg]

Men det har jo ikke skjedd noen endringer i maskinvaren.

Suspend og restart, medførte ikke annet enn at det ved neste restart igjen var behov for recovery key. Jeg har fått med meg at det kan skje om hovedkortet blir strømløst - både strømtilførsel, driftsbatteri, og klokke/bios batteri er tomt - slik at bios blir nullstillt og TPM slått av. Men her har det vært strøm på alle tre hele tiden (klokka fortsetter å gå riktig i bios, selv om man tar ut både lader og driftsbatteri). Og TMP står påslått i bios.

[kjetilkl]

Det er vel uansett noen den reagerer på. - Men er ikke det enkleste å dekryptere disken?

[fjs]

Bitlocker kan trigge hvis det er USB enheter med lagring eller noe i dvd drive. Har også sett den trigge på mus og tastatur.

[NULL]

Hvis noe blir gjort med bootsector eller partisjonsegenskaper blir det vel fort også slik at nøkkel må inn.

(Personlig mener jeg at Microsoft burde lagt opp til at Bitlocker ble påslått på default, eller at det var et spørsmål under installasjonen med anbefaling om å bruke det) 

[ilpostino]

NULL skrev (9 minutter siden):

(Personlig mener jeg at Microsoft burde lagt opp til at Bitlocker ble påslått på default, eller at det var et spørsmål under installasjonen med anbefaling om å bruke det) 

Enig. 

[fjs]

NULL skrev (7 minutter siden):

Hvis noe blir gjort med bootsector eller partisjonsegenskaper blir det vel fort også slik at nøkkel må inn.

(Personlig mener jeg at Microsoft burde lagt opp til at Bitlocker ble påslått på default, eller at det var et spørsmål under installasjonen med anbefaling om å bruke det) 

Forsåvidt enig, men de fleste trykker bare neste neste dette er anbefalt neste neste.
Når de ikke engang klarer å ta vare på passordet til hotmail kontoen sin, se for deg når alle bilder og alt er borte fordi du har rota bort recovery nøkkelen til bitlocker. Det er og forblir en funksjon for de som vet hva det er og de som har en god måte å ta vare på nøkkelen.

[ilpostino]

fjs skrev (15 minutter siden):

Når de ikke engang klarer å ta vare på passordet til hotmail kontoen sin, se for deg når alle bilder og alt er borte fordi du har rota bort recovery nøkkelen til bitlocker. Det er og forblir en funksjon for de som vet hva det er og de som har en god måte å ta vare på nøkkelen.

På Windows 10 kan denne synkroniseres til OneDrive så man kan være delvis komatøs og like vilt ut ha redningen i bakhånd.

[petterg]

Jeg foretrekker metoden til truecrypt, med passord som må inn hver gang. Da slipper man problemer om hardware endrer seg. At bitlocker nå tilsynelatende permanent har funnet ut at hardware endrer seg ved boot styrker ikke min entusiasme for den løsningen. Integrasjonen mot AD er imidlertid et fortrinn som gjør løsningen aktuell for bedrifter.

(At truecrypt skal være usikker har jeg ikke funnet annen dokumentasjon for enn påstanden fra utviklerne den dagen de la ned prosjektet.)

[spetter]

Veracrypt er også bra, som har tatt over truecrypt

[fjs]

petterg skrev (16 timer siden):

Jeg foretrekker metoden til truecrypt, med passord som må inn hver gang. Da slipper man problemer om hardware endrer seg. At bitlocker nå tilsynelatende permanent har funnet ut at hardware endrer seg ved boot styrker ikke min entusiasme for den løsningen. Integrasjonen mot AD er imidlertid et fortrinn som gjør løsningen aktuell for bedrifter.

(At truecrypt skal være usikker har jeg ikke funnet annen dokumentasjon for enn påstanden fra utviklerne den dagen de la ned prosjektet.)

Vel, sjeldent en god ide å benytte seg av software der utviklerne har lagt ned utviklingen. På samme måte som jeg rister på hodet av alle som fortsatt bruker w7

[petterg]

Jeg rister på hodet over windows etter w7. W10 var spiker'n i kista for min del. Da ble det linux med en w7 vm, på partisjon kryptert av dmcrypt.

De fleste har imidlertid gått over til w10. Noen bruker bitlocker og da blir det en aktuell problemstilling om hvorfor maskina plutselig skulle trenge recovery-key ved hver oppstart.

[ilpostino]

petterg skrev (1 time siden):

Noen bruker bitlocker og da blir det en aktuell problemstilling om hvorfor maskina plutselig skulle trenge recovery-key ved hver oppstart

Som nevnt tidligere så reagerer Bitlocker på endringer på maskinvaren ved oppstart. Synes du det er greit noen for eksempel setter inn en USB-stick med malware eller annet som har til hensikt å overta maskinen uten at dette oppdages og gjøres noe med?

[vidor]

9 hours ago, fjs said:

Vel, sjeldent en god ide å benytte seg av software der utviklerne har lagt ned utviklingen. På samme måte som jeg rister på hodet av alle som fortsatt bruker w7

Det er mange som burde oppgradere fra Win 7, men det er ikke alle som enkelt kan gjøre det og noen få tar også risikoen fordi dem er i et lukket nett uten internett-tilgang.

[HawP]

TPM reagerer på endringer i "integriteten" til maskinen, dvs. noe "viktig" har endret seg siden TPM ble "forseglet" basert på den info. den bruker. Ting som kan forårsake endringer er f.eks. BIOS oppgradering og (bootbar) minnepinne som står i (og som ikke stod der når TPM ble "forseglet"). Visse endringer i bios kan også trigge.

Og grunnen til at bitlocker ber om recovery key er fordi TPM ikke "låser seg opp" og Windows dermed ikke får tak i nøkkelen til å dekryptere nøkkelen som disken er kryptert med. Windows må da i stedet ha recovery key for å (midlertidig) kunne dekryptere disk-nøkkelen, slik at disken kan aksesseres.
Det er mulig at det  å suspende bitlocker og reaktivere den umiddelbart etterpå (uten restart i mellom) kan "forsegle" TPM på nytt og også kryptere disk-nøkkelen på nytt. I så fall blir det nok også en ny recovery key (som en kanskje først bør finne ut hvordan en får tak i?)