Como desativar o desbloqueio automático do bitlocker quando a senha da minha conta do Windows foi alterada?

5

Como evitar as unidades de desbloqueio automático do meu laptop quando a senha do meu Windows mudou? Hackear ou alterar a senha da minha conta para muito mais fácil do que descriptografar disco, mas por que o Windows não oferece essa funcionalidade da caixa? Estou procurando por scripts para desbloquear automaticamente a partir do powershell também.

Não vou "desabilitar o desbloqueio". É uma coisa muito útil. Eu tenho muitas coisas que começam a partir do volume criptografado. Eu quero impedir o acesso ao meu volume apenas começando minha conta. Se minha conta de administrador do sistema puder ser invadida, todos os dados confidenciais serão perdidos.

Etapas para reproduzir:

  1. Faça login na sua conta
  2. Configurar o bloqueador de bits, desbloquear automaticamente
  3. Reinicie o PC e faça login na conta
  4. Drive desbloqueado
  5. Logout da conta (eu desliguei o PC inteiro)
  6. Peça ao sysadmin para alterar sua senha para uma nova
  7. Faça login na sua conta com uma nova senha

Resultado esperado: unidade de bitlocker bloqueada

Resultado real: drive unlocked

    
por Georgy Grigoryev 25.09.2016 / 07:43

4 respostas

1

Desabilitando os recursos de desbloqueio automático do BitLocker

Você pode desabilitar totalmente a funcionalidade de desbloqueio automático do BitLocker para fornecer a você o que está solicitando - para impedir o desbloqueio automático da mídia removível criptografada do BitLocker ou de outras unidades onde isso é algo que você configurou.

Prompt de Comando Elevado ou Script em Lote

Substitua G: pela letra de unidade aplicável.

manage-bde -autounlock -disable G:

Volume específico do Powershell

Substitua E: pela letra de unidade aplicável, mas você pode usar o cmdlet Disable-BitLockerAutoUnlock para remover chaves de volumes específicos que usam o desbloqueio automático.

Disable-BitLockerAutoUnlock -MountPoint "E:"

PowerShell All Volumes

Você pode usar o cmdlet Clear-BitLockerAutoUnlock para remover chaves de todos os volumes configurados para usar desbloqueio automático em vez de apenas volumes especificados. Este comando limpa todas as chaves de desbloqueio automáticas armazenadas no computador atual.

Clear-BitLockerAutoUnlock

Mais recursos

  • Disable-BitLockerAutoUnlock

  • Clear-BitLockerAutoUnlock

  • Executando o Manage-bde.exe

  • Technet: Manage-bde

  • De um prompt de comando elevado
    manage-bde /?
    
    BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    manage-bde[.exe] -parameter [arguments]
    
    Description:
        Configures BitLocker Drive Encryption on disk volumes.
    
    Parameter List:
        -status     Provides information about BitLocker-capable volumes.
        -on         Encrypts the volume and turns BitLocker protection on.
        -off        Decrypts the volume and turns BitLocker protection off.
        -pause      Pauses encryption, decryption, or free space wipe.
        -resume     Resumes encryption, decryption, or free space wipe.
        -lock       Prevents access to BitLocker-encrypted data.
        -unlock     Allows access to BitLocker-encrypted data.
        -autounlock Manages automatic unlocking of data volumes.
        -protectors Manages protection methods for the encryption key.
        -SetIdentifier or -si
                    Configures the identification field for a volume.
        -ForceRecovery or -fr
                    Forces a BitLocker-protected OS to recover on restarts.
        -changepassword
                    Modifies password for a data volume.
        -changepin  Modifies PIN for a volume.
        -changekey  Modifies startup key for a volume.
        -KeyPackage or -kp
                    Generates a key package for a volume.
        -upgrade    Upgrades the BitLocker version.
        -WipeFreeSpace or -w
                    Wipes the free space on the volume.
        -ComputerName or -cn
                    Runs on another computer. Examples: "ComputerX", "127.0.0.1"
        -? or /?    Displays brief help. Example: "-ParameterSet -?"
        -Help or -h Displays complete help. Example: "-ParameterSet -h"
    
    Examples:
        manage-bde -status
        manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
        manage-bde -unlock E: -RecoveryKey F:E151C1...7A62067A512.bek
    
por 25.09.2016 / 09:25
1

O Windows protege a maioria dos dados confidenciais (senhas salvas, arquivos criptografados em NTFS, chaves privadas para certificados etc.), criptografando-os com uma chave derivada de sua senha. Quando você altera sua senha, ela usa a senha antiga para descriptografar os dados e, em seguida, criptografa novamente os dados usando sua nova senha. No entanto, se um Administrador (ou alguém que edita seu disco rígido ou algo parecido) forçosamente redefine sua senha, o Windows não possui a senha original necessária para produzir a chave para descriptografar os dados. Esses dados (arquivos criptografados etc.) desaparecerão para sempre.

Não sei ao certo se as chaves de desbloqueio automático do BitLocker estão protegidas da mesma maneira que esses outros tipos de dados, mas ficaria muito surpreso se não estivessem. Portanto, se a ameaça com a qual você está preocupado for alguém forçar a redefinição da senha da sua conta, provavelmente você está bem.

Como uma observação, se você está preocupado com ameaças como essa, você deve usar o BitLocker no disco rígido de inicialização (e em qualquer outro disco interno) também. Isso não apenas protegerá o restante de seus dados, mas também impedirá que um invasor redefina sua senha usando um ataque off-line.

    
por 25.09.2016 / 13:00
0

Se a proteção por senha não for para você, obtenha um cartão inteligente e um cartão

    
por 25.09.2016 / 08:52
0

O desbloqueio automático do BitLocker (To Go) não oferece proteção contra um administrador mal-intencionado que pode redefinir automaticamente a senha da conta do Windows para obter entrada, porque a chave de desbloqueio automático não está vinculada às suas credenciais do Windows. No entanto, se a sua unidade protegida pelo BitLocker estiver formatada com NTFS, você também poderá usar o recurso Sistema de arquivos com criptografia (EFS) para criptografar os arquivos e a pasta que os contém. (O EFS foi incluído desde o Windows 2000).

Esse método funciona - desde que não haja agentes de recuperação de dados do EFS configurados no computador - porque a chave particular do EFS é protegida pela senha atual do Windows do usuário. Portanto, se esse usuário alterar sua senha, a chave privada EFS será descriptografada e criptografada novamente com a nova senha - mas, se um administrador forçar a redefinição da senha, a chave privada EFS não pode mais ser descriptografado.

    
por 27.12.2016 / 11:27