Como desativar o desbloqueio automático do bitlocker quando a senha da minha conta do Windows foi alterada?

Desabilitando os recursos de desbloqueio automático do BitLocker

Você pode desabilitar totalmente a funcionalidade de desbloqueio automático do BitLocker para fornecer a você o que está solicitando - para impedir o desbloqueio automático da mídia removível criptografada do BitLocker ou de outras unidades onde isso é algo que você configurou.

Prompt de Comando Elevado ou Script em Lote

^{Substitua G: pela letra de unidade aplicável.}

manage-bde -autounlock -disable G:

Volume específico do Powershell

^{Substitua E: pela letra de unidade aplicável, mas você pode usar o cmdlet Disable-BitLockerAutoUnlock para remover chaves de volumes específicos que usam o desbloqueio automático.}

Disable-BitLockerAutoUnlock -MountPoint "E:"

PowerShell All Volumes

^{Você pode usar o cmdlet Clear-BitLockerAutoUnlock para remover chaves de todos os volumes configurados para usar desbloqueio automático em vez de apenas volumes especificados. Este comando limpa todas as chaves de desbloqueio automáticas armazenadas no computador atual.}

Clear-BitLockerAutoUnlock

Mais recursos

• Disable-BitLockerAutoUnlock

• Clear-BitLockerAutoUnlock

• Executando o Manage-bde.exe

• Technet: Manage-bde

• ^{De um prompt de comando elevado}

  manage-bde /?
  
  BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved.
  
  manage-bde[.exe] -parameter [arguments]
  
  Description:
      Configures BitLocker Drive Encryption on disk volumes.
  
  Parameter List:
      -status     Provides information about BitLocker-capable volumes.
      -on         Encrypts the volume and turns BitLocker protection on.
      -off        Decrypts the volume and turns BitLocker protection off.
      -pause      Pauses encryption, decryption, or free space wipe.
      -resume     Resumes encryption, decryption, or free space wipe.
      -lock       Prevents access to BitLocker-encrypted data.
      -unlock     Allows access to BitLocker-encrypted data.
      -autounlock Manages automatic unlocking of data volumes.
      -protectors Manages protection methods for the encryption key.
      -SetIdentifier or -si
                  Configures the identification field for a volume.
      -ForceRecovery or -fr
                  Forces a BitLocker-protected OS to recover on restarts.
      -changepassword
                  Modifies password for a data volume.
      -changepin  Modifies PIN for a volume.
      -changekey  Modifies startup key for a volume.
      -KeyPackage or -kp
                  Generates a key package for a volume.
      -upgrade    Upgrades the BitLocker version.
      -WipeFreeSpace or -w
                  Wipes the free space on the volume.
      -ComputerName or -cn
                  Runs on another computer. Examples: "ComputerX", "127.0.0.1"
      -? or /?    Displays brief help. Example: "-ParameterSet -?"
      -Help or -h Displays complete help. Example: "-ParameterSet -h"
  
  Examples:
      manage-bde -status
      manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
      manage-bde -unlock E: -RecoveryKey F:E151C1...7A62067A512.bek
  

O Windows protege a maioria dos dados confidenciais (senhas salvas, arquivos criptografados em NTFS, chaves privadas para certificados etc.), criptografando-os com uma chave derivada de sua senha. Quando você altera sua senha, ela usa a senha antiga para descriptografar os dados e, em seguida, criptografa novamente os dados usando sua nova senha. No entanto, se um Administrador (ou alguém que edita seu disco rígido ou algo parecido) forçosamente redefine sua senha, o Windows não possui a senha original necessária para produzir a chave para descriptografar os dados. Esses dados (arquivos criptografados etc.) desaparecerão para sempre.

Não sei ao certo se as chaves de desbloqueio automático do BitLocker estão protegidas da mesma maneira que esses outros tipos de dados, mas ficaria muito surpreso se não estivessem. Portanto, se a ameaça com a qual você está preocupado for alguém forçar a redefinição da senha da sua conta, provavelmente você está bem.

Como uma observação, se você está preocupado com ameaças como essa, você deve usar o BitLocker no disco rígido de inicialização (e em qualquer outro disco interno) também. Isso não apenas protegerá o restante de seus dados, mas também impedirá que um invasor redefina sua senha usando um ataque off-line.

Se a proteção por senha não for para você, obtenha um cartão inteligente e um cartão

O desbloqueio automático do BitLocker (To Go) não oferece proteção contra um administrador mal-intencionado que pode redefinir automaticamente a senha da conta do Windows para obter entrada, porque a chave de desbloqueio automático não está vinculada às suas credenciais do Windows. No entanto, se a sua unidade protegida pelo BitLocker estiver formatada com NTFS, você também poderá usar o recurso Sistema de arquivos com criptografia (EFS) para criptografar os arquivos e a pasta que os contém. (O EFS foi incluído desde o Windows 2000).

Esse método funciona - desde que não haja agentes de recuperação de dados do EFS configurados no computador - porque a chave particular do EFS é protegida pela senha atual do Windows do usuário. Portanto, se esse usuário alterar sua senha, a chave privada EFS será descriptografada e criptografada novamente com a nova senha - mas, se um administrador forçar a redefinição da senha, a chave privada EFS não pode mais ser descriptografado.