暗号化キーなしでのBitlockerの再起動による記念日の更新
私はWindows 10 Professionalをインストールしていて、昨日までAnniversary Updateを避けてきました。最善を尽くしてそれを阻止しようとしたにもかかわらず、コンピュータは更新をインストールしました。しかし、それは別の問題です。
TPMに格納されているキー、Apricorn Aegisセキュアサムドライブに格納されている別のキー、およびOSを起動するための20文字の英数字ピンを必要とするようにBitlockerを構成しています。アニバーサリーアップデートでマシンを再起動する必要が生じたとき、必要なキーとピンを提供する準備をしましたが、コンピューターが必要なキーファイルまたはピンなしでアップデートプロセスを続行するのを見守っていました。グラフィックカードの投稿画面、レイドの投稿画面、マザーボードの投稿画面は表示されましたが、Bitlockerのピン画面は表示されませんでした。これはどのようにして可能ですか?再起動すると、暗号化キーが保存されているRAMがクリアされます。 Anniversary Updateアプリケーションは、暗号化されたハードドライブをキーファイルやピンなしで読み取る方法をどのようにして知りましたか?
リカバリキーは、暗号化されていない状態でブートセクターまたはWindowsブートパーティションに書き込まれましたか?または、Bitlockerが一時的に無効になりましたか?もしそうなら、どうですか? 4つのSSDでRAID 0を実行している場合でも(930GBの使用可能スペース)、ファイルシステムの復号化には長い時間がかかります。更新のセットアッププロセスには、このような操作に十分な時間がかからず、最後に長い再暗号化プロセスもありませんでした。
リカバリキーがブートセクター/パーティションに書き込まれた場合、それが安全にワイプされているかどうかをどのように判断しますか?念頭に置いて、これらは販売された状態ドライブであり、ディスクへの書き込みを均等化して、記憶媒体をより長く持続させようとします。リカバリキーを保存した特定のブロックをゼロに設定する必要があります。私はこのマシンに非常に機密性の高いデータを保存しています。この種の脆弱性のわずかなリスクでも、4つすべてのSSDを物理的に破壊する必要があります。
私はあなたがすでに答えを持っていることを知っています 他の場所 。
ただし、他の誰かがあなたの質問に出くわした場合に備えて、簡単な説明を提供します。
Windows 10では、記念日の更新(1607)とその他の「機能の更新」(11月の更新[1511]、作成者の更新[1703]など)が実際にメジャーですWindows 7/8からWindows 10へのアップグレードに似たいくつかの点で、更新(Windows.oldフォルダなど)。
これらの主要なシステムアップグレード中、Bitlockerは無効ではありません。正しく推測されたとおり、ドライブはアップグレード前に復号化されず、アップグレード後に再暗号化されません。
代わりに、Bitlockerが一時停止されます。
suspendingとdecryptingの違いは Bitlocker FAQ で説明されています:
Decryptは、BitLocker保護を完全に削除し、ドライブを完全に復号化します。
Suspendはデータを暗号化しますが、BitLockerボリュームマスターキーはクリアキーで暗号化します。クリアキーは、暗号化されずに保護されずにディスクドライブに保存された暗号化キーです。このキーを暗号化せずに保存することで、Suspendオプションを使用すると、ドライブ全体を復号化および再暗号化する時間とコストをかけずに、コンピューターを変更またはアップグレードできます。変更が加えられ、BitLockerが再度有効になると、BitLockerは、アップグレードの一環として変更された測定コンポーネントの新しい値に暗号化キーを再シールし、ボリュームマスターキーが変更され、プロテクターが一致するように更新され、クリアされますキーが消去されます。