ทำไม Surface Pro ของฉันขอคีย์การกู้คืนด้วย BitLocker


2

ฉันมี Microsoft Surface pro รุ่นล่าสุดและต้องการติดตั้งระบบ Linux บนเครื่อง มีปัญหาในการติดตั้งกับ Linux และฉันก็ยอมแพ้ แต่เมื่อฉันพยายามทำการบูทปกติการกู้คืนด้วย BitLocker จะเปิดขึ้นทุกครั้งและต้องการให้ฉันป้อนคีย์การกู้คืน อย่างไรก็ตามฉันไม่เคยทำการกำหนดค่าใด ๆ บน BitLocker และตั้งค่ารหัสผ่านใด ๆ ฉันเพิ่งปล่อยไว้โดยปริยายตั้งแต่ใช้พื้นผิวมืออาชีพ

คำถามของฉันคือที่ที่ฉันสามารถเรียกคืนคีย์การกู้คืนเริ่มต้นได้และถ้าไม่ฉันจะรับคืนข้อมูลจากไดรฟ์ที่เข้ารหัสได้อย่างไร ขอบคุณมาก.

คำตอบ:


6

สิ่งที่คุณกำลังเผชิญ

อุปกรณ์ Microsoft Surface นั้นเข้ารหัสด้วยBitLockerหรือDevice Encryption (ซึ่งโดยทั่วไปคือ BitLocker ที่ไม่สามารถปรับแต่งได้) การเข้ารหัสนี้ไม่ได้ใช้รหัสผ่านของผู้ใช้เลย (ทำได้ แต่ไม่สามารถทำได้) แต่จะใช้รหัสกู้คืนที่เก็บอยู่ในชิปTrusted Platform Module (TPM) ที่เชื่อถือได้ซึ่งรวมอยู่ในอุปกรณ์

ฉันยังถือว่าการเปิดใช้งานSecure Bootบน Surface Pro ของคุณ สิ่งหนึ่งที่ TPM และ Secure Boot ทำคือป้องกันการดัดแปลงการกำหนดค่าการบูตโดยไม่ได้รับอนุญาต นี่เป็นหนึ่งในสิ่งที่สามารถหยุด bootkits (boot rootkits) และ ransomware ได้อย่างมีประสิทธิภาพ เมื่อพวกเขาพิจารณาว่าเส้นทางการบู๊ตอาจถูกบุกรุก TPM ปฏิเสธที่จะจัดหาคีย์การกู้คืน BitLocker ให้กับ bootloader (ไม่มีใครต้องการ bootkit ที่จะได้รับคีย์การกู้คืนของเขา / เธอ) ผู้สนใจรักลินุกซ์ได้ตระหนักถึงทั้งสองเพราะการใช้ชีวิตในโลกลินุกซ์จะทุ่มเทความรู้ด้านเทคนิค ดังนั้นเมื่อพวกเขาติดตั้ง Linux ซึ่งต้องมีการเปลี่ยนแปลงการกำหนดค่าบูตแน่นอนพวกเขาปิดการใช้งาน BitLocker (และบางครั้งการบูตปลอดภัย) ล่วงหน้า

อย่าทำผิด: คนรักสิ่งนี้ทั้งหมด ข้อมูลของพวกเขาปลอดภัยกว่ามาก ข้อยกเว้นเพียงอย่างเดียวคือชุมชนนักข่าวที่ทั้งรักและรักการขว้างปาโคลนเพราะมันเป็นงานของพวกเขา

ต้องทำอะไรตอนนี้

โชคดีที่ Microsoft มีมาตรการความปลอดภัยในกรณีที่ TPM ของคุณล้มเหลว: รหัสการกู้คืนที่ฉันกล่าวถึงก่อนหน้านี้จะถูกสร้างขึ้นในระหว่างลำดับประสบการณ์การใช้งานนอกสถานที่ (OOBE) เมื่อ Surface Pro ของคุณเปิดใช้งานครั้งแรกและเฉพาะเมื่อคุณเลือก เพื่อเข้าสู่ระบบด้วยบัญชี Microsoft การเข้ารหัสอุปกรณ์จะไม่ถูกบังคับใช้หากไม่มี รหัสกู้คืนนี้จะถูกอัปโหลดไปยังบัญชี Microsoft ของคุณและจะไม่ถูกลบหากไม่มีคำสั่งอย่างชัดเจน คุณสามารถค้นหาได้โดยใช้ URL นี้:

https://account.microsoft.com/devices/recoverykey

นั่นคือเท่าที่การกำหนดค่าเริ่มต้นของ Microsoft ไป แต่ถ้าคุณเปิดใช้งาน BitLocker ด้วยตัวคุณเอง ... โอ้ไม่เป็นไรหรอก คุณบอกว่าคุณไม่ได้

ด้วยปุ่มนี้คุณสามารถบูต Windows จากดิสก์ที่เข้ารหัสได้ จากใน Windows คุณสามารถปิดการใช้งาน BitLocker / การเข้ารหัสอุปกรณ์และดำเนินธุรกิจเกี่ยวกับการติดตั้ง Linux แต่พึงระวัง: ลีนุกซ์หมายถึงการใช้ชีวิตอย่างล้ำสมัย หากคุณไม่มีความรู้ด้านเทคนิคเพียงพอปัญหาทางเทคนิคอื่น ๆ อาจคุกคามชีวิตดิจิทัลของคุณ ดังนั้นฉันขอแนะนำให้สำรองข้อมูลไว้

สิ่งที่คุณต้องไม่ทำ

อย่าลองปิดการใช้งานหรือรีเซ็ต TPM ผ่าน UEFI มันจะไม่อนุญาตให้คุณเข้าถึง (ลองคิดดูสิถ้าแล็ปท็อปของคุณถูกขโมยคุณไม่ต้องการให้โจรเข้าถึงการปรับแต่งไบออสอย่างง่ายตอนนี้คุณทำอย่างไร?) ถ้าคุณทำเช่นนี้แม้ว่าคุณจะสามารถยกเลิกการกำหนดค่าได้ รหัสไม่ตรงกันที่มีผลบังคับใช้คีย์เฉพาะที่ใช้ TPM ของคุณจะหายไปตลอดกาล


จะเกิดอะไรขึ้นถ้า Surface Pro ใช้การเข้าสู่ระบบในเครื่อง
harrymc

1
เมื่อคีย์การกู้คืนถูกเก็บไว้ในบัญชี Microsoft รหัสดังกล่าวจะไม่ถูกลบหากไม่มีคำสั่งของผู้ใช้อย่างชัดเจน อีกสถานการณ์หนึ่งที่เป็นไปได้คือผู้ใช้ที่เปิดใช้งาน BitLocker ด้วยการตั้งค่าของตนเองหลังจากเข้าสู่บัญชีท้องถิ่น แต่ OP บอกว่าไม่ใช่กรณี

@harrymc คุณสามารถสำรองคีย์การกู้คืน BitLocker ของอุปกรณ์ได้จากภายใน Windows เนื่องจากผู้เขียนไม่ได้สำรองคีย์นี้พวกเขาจะไม่สามารถเรียกคืนรหัสได้เว้นแต่จะเชื่อมโยงบัญชีของตนกับบัญชี Microsoft Surface Pro ใช้ BitLocker การเข้ารหัสอุปกรณ์ จำกัด เฉพาะอุปกรณ์แท็บเล็ต Windows 10 ที่ไม่รองรับ BitLocker
Ramhound

แก้ไข. การเข้ารหัสอุปกรณ์เป็นคุณสมบัติหนึ่งของ Windows 10 Home และจะใช้ได้เฉพาะเมื่ออุปกรณ์ตรงกับข้อกำหนดของ InstantGo (ชื่อเดิมที่เชื่อมต่อด้วยสแตน) หนึ่งในนั้นคือโมดูลหน่วยความจำจะต้องบัดกรีให้กับเมนบอร์ดเพื่อป้องกันการโจมตีจากความเย็น การเข้ารหัสอุปกรณ์จะเปิดใช้งานตัวเองในครั้งแรกที่ผู้ใช้เข้าสู่ระบบ Windows ด้วยบัญชี Microsoft

1
@harrymc ฉันค้นหาเว็บที่ครอบคลุมมากขึ้น ดูเหมือนว่าการเข้ารหัสอุปกรณ์นั้นเปิดใช้งานโดยค่าเริ่มต้นบน Surface Pro 3 เมื่อผู้ใช้เลือกที่จะใช้บัญชี Microsoft (เช่น OP ใช้ Surface Pro 2017) อุปกรณ์ถูกเข้ารหัสในพื้นหลังและคีย์ถูกอัปโหลดไปยังบัญชี Microsoft

2

รหัสกู้คืนของคุณอาจถูกเก็บไว้ในบัญชี Microsoft ของคุณ

https://support.microsoft.com/en-gb/help/4026181/windows-10-find-my-bitlocker-recovery-key

หากคุณไม่ได้สำรองคีย์การกู้คืนข้อมูลของคุณจะไม่สามารถเข้าถึงได้


ปัญหาหนึ่ง: ชายคนนั้นบอกว่าเขาไม่ได้ใช้ BitLocker ดังนั้นจึงไม่มีคีย์กู้คืน
harrymc

@harrymc นั่นเป็นเหตุผลที่ฉันเขียนว่า 'อาจจะ' ที่กล่าวว่าฉันค่อนข้างแน่ใจว่ามีคีย์ bitlocker สำรองใน Microsoft Acount ของฉันที่ฉันไม่เคยร้องขอ
David Marshall

0

ฉันได้เรียนรู้วิธีนี้เมื่อคืนที่ยากด้วย 2 โปรหนังสือพื้นผิว 2 Bitlocker จัดส่งตามค่าเริ่มต้น ผู้ใช้ไม่ทราบและไม่ได้ให้รหัส เมื่อฉันเปลี่ยนการตั้งค่าความปลอดภัยใน BIOS เป็น none ฉันก็สามารถบูท linux usb ได้ อย่างไรก็ตามเมื่อฉันกลับไปใช้อุปกรณ์โดยไม่ใช้ USB ฉันได้รับแจ้งให้ขอคีย์ bitlocker เพื่อเข้าถึงบัญชี windows บนอุปกรณ์ หลังจาก 4 ชั่วโมงในการแชทกับ Microsoft มีคำแนะนำคล้ายกับคำแนะนำที่ฉันได้รับในช่วงกลางยุค 90 จากพวกเขา "ติดตั้งใหม่อีกครั้งเริ่มสูญเสียข้อมูลทั้งหมดของคุณ" ฉันชอบอ้างถึงหน้าจอขอคีย์ Bitlocker ใหม่เป็นหน้าจอสีน้ำเงินปี 2020 มันเป็นสิ่งเดียวกันที่แจ๊สขึ้นมา

เหตุใดฉันจึงไม่สามารถเข้าถึงคีย์ได้ เนื่องจาก Microsoft ไม่ได้จัดเก็บไว้ในระหว่างการลงชื่อเข้าใช้ซึ่งจริง ๆ แล้วเกิดขึ้นระหว่างการติดตั้งและเมื่อผู้บริโภคได้รับพื้นผิวที่ติดตั้งมาล่วงหน้า

ดังนั้นบทเรียนคือถ้าคุณต้องการบูตไม่ใช่ windows ที่สามารถบูตได้ usb บนพื้นผิวตรวจสอบให้แน่ใจว่าคุณวางแผนที่จะลบ Windows และไดรฟ์ทั้งหมดเข้าด้วยกัน


-3

ในกรณีที่นี่เป็นเพียงความผิดพลาดใน BIOS ซึ่งอุปกรณ์ไม่เคยเข้ารหัสจริงๆ BitLocker จะต้องยกเลิกใน BIOS

นี่เป็นขั้นตอนในการบูตเข้าสู่ BIOS เพื่อหาวิธีปิดใช้งาน BitLocker หรือการรีเซ็ต BIOS

ในการบูตเข้าสู่ BIOS บนแท็บเล็ต Microsoft Surface 3 ทำตามคำแนะนำเหล่านี้:

  1. ปิดพื้นผิว - การรีบูตไม่เพียงพอ
  2. กดปุ่มเพิ่มระดับเสียง (ที่ด้านซ้ายของแท็บเล็ต)
  3. กดปุ่ม Power ค้างไว้ห้าวินาที (ที่ด้านบนของแท็บเล็ต)
  4. ปล่อยปุ่ม Power หลังจากห้าวินาที แต่ให้กดปุ่มระดับเสียงค้างไว้จนกว่าคุณจะเห็น BIOS UEFI

ฉันไม่ชอบ downvotes ที่ไร้ประโยชน์คนที่แต่งตัวประหลาดบอกว่าเขาไม่ได้ใช้ BitLocker ดังนั้นข้อผิดพลาดนี้ไม่ถูกต้องและไม่ต้องสนใจ และไม่มีทางที่ Linux จะสามารถเปิด BitLocker ได้เว้นแต่ว่าการติดตั้ง Linux จะพยายามเปลี่ยน BIOS ของเขา
harrymc

ไม่ใช่ข้อผิดพลาดและวิธีเดียวที่จะมองข้ามคือไม่สนใจการใช้คอมพิวเตอร์เครื่องนั้นโดยสิ้นเชิง

@EUserNameError: หรือเพื่อยกเลิกการเปลี่ยนแปลง BIOS ที่ผิดพลาดในกรณีที่อุปกรณ์ของเขาไม่ได้เข้ารหัสจริงๆซึ่งเป็นกรณีที่ครอบคลุมโดยคำตอบนี้ นี่อาจเป็นหรือเป็นกรณีของผู้โพสต์ แต่ downvotes นั้นไม่เหมาะสม
harrymc

2
ผลิตภัณฑ์ Microsoft Surface ทั้งหมดจัดส่งโดยเปิดใช้งาน BitLocker ปัญหาของผู้เขียนไม่ได้เกิดจากความผิดพลาด BitLocker ไม่สามารถปิดการใช้งานใน BIOS ดังนั้น downvotes ที่คุณได้รับนั้นถูกต้องตามกฎหมาย
Ramhound

3
BitLocker ไม่ใช่คุณสมบัติของเฟิร์มแวร์ คุณบังเอิญพูดถึงการกำหนดค่าคีย์ TPM ซึ่งสามารถเปลี่ยนแปลงได้ภายในการกำหนดค่าเฟิร์มแวร์ของอุปกรณ์หรือไม่
Ramhound
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.