Комментарии 18
Вообще-то и до 24й версии хоум 11, битлокер использовался для шифрования диска. Как минимум системного раздела. И администраторы тут не виноваты. Это ошибка так говорит. Похоже на проблему с ключами реестра, как при отключении обновлений через политики. Тоже подробное сообщение выходит.
Эта новость просто кучка мало связанных между собой фактов, скормленных чатгпт...
Вообще-то и до 24й версии хоум 11, битлокер использовался для шифрования диска.
Начиная с 24H2 он шифруется по умолчанию (но не защищается). В отличие от предыдущих версий.
Зависит от операционной системе "на флэшке". Какой-нибудь Linux с dislocker-ом, может, и не сумеет смонтировать зашифрованный, но не защищённый раздел, если такой сценарий не учёл автор dislocker-а (может, и учёл, я не интересовался). Очень старые версии утилит типа Acronis тоже могут брыкаться, но это решается переходом на актуальные версии. Инструменты хоть иногда следует обновлять.
Если на флешке более-менее актуальная версия Windows, умеющая работать с BitLocker (т.е. не какое-то говно мамонта а-ля XP/7), то какие проблемы? Если раздел зашифрован и не защищён, он смонтируется прозрачно, а если защищён, то введёте ключ восстановления и смонтируете.
Лучше бы внятную инструкцию сделали как установить винды на ссд с хардварным битлокером, а не софтварным. Такое ощущение, что это какой-то секрет для избранных и шаманизм. На не оем-ных самсунгах помогает самсунг магикиан родной (там спецопция есть), но на оемных уже не особо, а на дисках с казалось бы аес256, но без специальной тулзы от производителя (тот же хуникс) вообще непонятно - вроде по шагам все и делаешь, оно на всех этапах до финального говорит "все ок", а потом просто не включается.
Вы про Opal SSC ? Тоже интересно было бы, т.к. по идее это ОС-независимый способ в отличии от битлокера.
Ни капли не интересно, т.к. все виденные мною консьюмерские накопители не блокировались при уходе в сон или перезагрузке.
Unfortunately, once you’ve unlocked the SED with the AK, it remains unlocked while your system is powered on. This includes during sleep mode and during a simple restart. Keep in mind, too, that adversaries can boot into a different environment without nixing system power, a method that totally circumvents your authentication, given that power is still being delivered to the drive.
Кроме того, те, у кого память хорошая, ещё помнят "потрясающие" накопители Crucial, в которых ключ шифрования лежал открытым текстом (т.е. не был зашифрован паролем пользователя).
Не нужно использовать аппаратное шифрование. Просто не нужно. Это самый ненадёжный вид шифрования, поскольку полагается на реализацию шифрования в прошивке накопителя, а там уже были замечены чудеса, когда производитель просто клал болт на стандарт. Программному шифрованию от Microsoft доверия и то больше.
Лучше бы внятную инструкцию сделали
Её давно сделали. В случае с 24H2 установку Windows следует произвести с файлом ответов, в котором указано не шифровать накопитель при установке системы (иначе шифрование произойдёт до того, как вы разрешите использование аппаратного шифрования).
Странно, совсем недавно ставил себе 24Н2 и ни один диск не зашифрован, хотя исошник скачан с сайтов майкрософта.
Есть требования к системе, чтобы автоматическое шифрование включилось: безопасная загрузка и наличие TPM 2.0. Без них чуда не произойдёт.
Если у вас всё это в наличии, то в "Конфиденциальность и защита" → "Шифрование устройства" или выхлопе manage-bde -status C: будет указано, что системный раздел зашифрован (не путь с "защищён" - ключ шифрования будет лежать открытым текстом, пока отсутствуют предохранители, шифрующие сам ключ - можно сравнить это с незапертым сейфом, куда помещён системник, он уже смонтирован в сейф, но сейф ещё не обеспечивает защиту, пока дверца не закрыта)
так и что случится в таком случае, если я обновлю bios забыв отключить bitlocker?
ключ восстановления не запросится вовсе, или мне где-то придется искать его, лежащего "открытым текстом", на незагружающейся системе? ))
TPM 2 есть, битлокер не установлен, manage-bde -status C: выдает, что диск не зашифрован. Так что что-то тут не то. Ну и вин 11 проф конечно же стоит.
Можно было просто использовать VeraCrypt.
Я бы не сказал, что VeraCrypt в связке с TPM просто использовать. Как минимум, потому, что это до сих пор экспериментальная возможность, не описанная в документации (информацию нужно буквально по крупицам собирать из репозитория энтузиаста, который и реализовал поддержку в VC 7 лет назад, из комментариев в исходном коде загрузчика VC, и из топика на ру-борде поиском по ключевому слову TPM). Там загрузчик умеет даже такую экзотику, как "вот картинка, тыкни в правильном порядке в определённые места мышкой" (аналог андроидовского pattern swipe code), но про это знает ещё меньше людей, потому что этого нет ни в документации, ни в GUI, и если не знаешь, что это надо искать в конфиге загрузчика, то никогда не найдёшь.
Её давно сделали.
Если бы.
Там как раз то "Install the SSD Software component and find the option to make the drive ready for encryption. In Samsung Magician this is found under "Data Management - Encrypted Drive", о чем мы говорили " На не оем-ных самсунгах помогает самсунг магикиан родной (там спецопция есть), но на оемных уже не особо, а на дисках с казалось бы аес256, но без специальной тулзы от производителя (тот же хуникс) вообще непонятно - вроде по шагам все и делаешь, оно на всех этапах до финального говорит "все ок", а потом просто не включается. ".
Еще больше trust issues для 11-й винды.
Подушню: никакого сообщения об ошибке на скриншоте нет. Это стандартное уведомление о том, что некоторые настройки BitLocker форсированы с помощью групповой политики. Сам факт показа этого сообщения без настроенных политик - да, ошибка. Но BitLocker работает штатно, нет повода паниковать.
ПК с Windows 10/11 TPM и шифрованием BitLocker столкнулись с ошибкой