大家好,bitlocker key相信很多的网友都不是很明白,包括bitlocker key id也是一样,不过没有关系,接下来就来为大家分享关于bitlocker key和bitlocker key id的一些知识点,大家可以关注收藏,免得下次来找不到哦,下面我们开始吧!
本文目录
为什么重装系统后bitlocker提示输入恢复密钥BITlocker恢复密钥被锁住了,键盘只能输入数字,怎么办如何解锁BitLocker加密的Win10系统电脑一开机就进入bitlocker恢复密钥页面,无法进入系统为什么重装系统后bitlocker提示输入恢复密钥先我们先了解一下“EFS加密原理”:
大家知道,EFS加密实际上综合了对称加密和不对称加密:
(1)随机生成一个文件加密密钥(叫做FEK),用来加密和解密文件。
(2)这个FEK会被当前帐户的公钥进行加密,加密后的FEK副本保存在文件$EFS属性的DDF字段里。
(3)要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK去解密文件。
看到这里,似乎EFS的脉络已经很清晰,其实不然,这样还不足于确保EFS的安全性。系统还会对EFS添加两层保护措施:
1)Windows会用64字节的主密钥(MasterKey)对私钥进行加密,加密后的私钥保存在以下文件夹:
%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\SID。提示Windows系统里的各种私有密钥,都用相应的主密钥进行加密。WindowsVista的BitLocker加密,也用其主密钥对FVEK(全卷加密密钥)进行加密。
2)为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来),加密后的主密钥保存在以下文件夹:%UserProfile%\ApplicationData\Microsoft\Protect\SID。
通过上面简单的介绍,我们可以得到这个结论,就是我们如果要对EFS进行解密必须要一下满足以下两点:
(1)必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。
(2)该被删帐户的配置文件必须存在:加密后的私钥和主密钥(还包括证书和公钥),都保存在配置文件里,所以配置文件万万不可丢失,否则就会彻底任务失败。
可能大家会想,只需新建一个同名的用户帐户,然后把原来配置文件复制给新帐户,不就可以解密EFS文件了?原因在于帐户的SID,因为新建用户的SID不可能和老帐户一样,所以常规方法是不可能奏效的。我们必须另辟蹊径,让系统再造一个完全一样的SID!
下面就看我的具体步骤:
(1)重装系统之前备份了DocumentandSettings目录,现在还真是庆幸啊,找出ApplicationData\Microsoft\Protect\SID。
(2)再造SID,首先确认帐户的SID,这里可以进入以下文件夹:D:\华港用户\ApplicationData\Microsoft\Crypto\RSA在其下应该有一个以该帐户的SID为名的文件夹,例如是S-1-5-21-1214440339-1078145449-1343024091-1004(RID为1004)现在我们要设法让新建帐户同样具有1004的RID,这样就能达到目的。
在Windows中,下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项的F键值所确定的。F键值是二进制类型的数据,在偏移量0048处的四个字节,定义下一个帐户的RID。那么也就是说,只需要修改0048处的四个字节,就能达到目的(让新建帐户获得1004的RID)!
默认情况下,只有system帐户才有权限访问HKEY_LOCAL_MACHINE\SAM,这里在CMD命令提示符窗口,运行以下命令,以system帐户身份打开注册表编辑器:
psexec-i-d-s%windir%\regedit.exe
提示可以在以下网站下载psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(3)定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项,双击打开右侧的F键值。
(4)这里要说明一下,Windows是以十六进制、而且以反转形式保存下一个帐户的RID。什么意思呢?也就是说,如果是1004的RID,对应十六进制就是03EC,但是我们必须把它反转过来变成EC03,再扩展为4个字节,就是EC030000。所以,我们应该把F键值的0048偏移量处,把其中四个字节改为“EC030000”。
(5)重启计算机!重启以后,新建一个同名帐户“华港用户”,它的SID应该和以前是完全一样。如果不相信的话,可以借助GetSID或者PsGetSID等工具测试一下。
(6)接下来的就非常简单了,用新建的“华港用户”帐户身份登录系统,随便加密一个文件,然后注销,用管理员帐户登录系统,把原来保留的配置文件覆盖到”C:\DocumentsandSettings\华港用户“文件夹。再用”华港用户“帐户登录系统,现在可以解密原来的EFS文件了。
BITlocker恢复密钥被锁住了,键盘只能输入数字,怎么办要么输入bitlocker恢复密钥去解锁,要么格盘重装。bitlocker这种高级安全功能可以说是几乎不可能绕过去访问数据的。
我把自己电脑整个磁盘都bitlocker加密了,使用其他方式启动电脑,不输入恢复密钥根本不可能访问我的硬盘数据,因此我的电脑一旦丢失没有任何人能未经允许通过任何手段访问到我的数据,非常安全。
一般来说如果你的电脑登陆了微软账户,那恢复密钥会自动备份到微软账户上,此时只需要登录微软账户访问https://account.microsoft.com/devices/recoverykey就能找到,输入recoverykey(可能需要通过键盘上的F0-F9输入数字0-9)即可。
重启会导致锁住的原因:
bitlocker为了方便用户使用会把密钥存在TPM中,开机的时候读取直接自动解密,但是TPM是可以清空的,可能有些软件偷偷把TPM里面存储的密钥重置了导致重启后需要重新输入解密密钥。
还有一种情况是有些电脑没这玩意或者处理器不支持,于是用了软件模拟的方式,但是这种方式一旦进行固件更新就会导致存储的密钥被清掉导致需要重新输入解密密钥。以及有的固件如果你修改BIOS/UEFI会自动清除存储的密钥。
如何解锁BitLocker加密的Win10系统一、启用BitLocker加密
要启用BitLocker加密,必需使用的是Windows专业版或企业版还需要你的设备支持TPM芯片,然后在「控制面板」中为Windows系统分区启用BitLocker加密即可。
1.打开「控制面板」—「系统和安全」—「BitLocker驱动器加密」;
2.至少为Windows所在系统分区启用加密;
3.为保数据最大程度安全,建议为所有磁盘分区都启用BitLocker加密。
默认情况下,Windows系统分区会在系统启动时自动使用TPM芯片中存储的解密密钥进行解决并启动系统。如果你的计算机没有TPM芯片,可以对非系统磁盘使用U盘存放加密密钥以取代TPM芯片的作用。如果你使用Windows专业版以下版本(如家庭版),则无法使用BitLocker功能,后面内容对你也无用,不用继续往下看了。
二、在组策略中启用「启动密钥」
一旦磁盘加密完成,我们则需要执行最关键步骤,在组策略中启用「启动密钥」:
1使用Windows+R快捷打开「运行」—执行gpedit.msc打开组策略编辑器;
2.导航到「计算机配置」—「管理模板」—「Windows组件」—「BitLocker驱动器加密」—「操作系统驱动器」,双击「启动时需要附加身份验证」;
3.将该条策略设置为「已启用」,并将「配置TPM启动密钥」更改为「有TPM时需要启动密钥」后点击确定。
3.将U盘制成「启动密钥」
现在我们可以使用manage-bde命令将U盘配置为BitLocker加密驱动器的「启动密钥」盘。
1.将U盘插入电脑,查看U盘分配到的盘符。
2.打开「命令提示符(管理员)」并执行如下命令:
manage-bde-protectors-addc:-TPMAndStartupKeyh:
上述命令中的c:代表Windows系统所处分区的盘符,最后的h:代表U盘的盘符,请大家根据自己实际情况更改命令后执行。
3.命令完成后,U盘中会自动生成隐藏的.bek系统文件。
4.配置完成后,当Windows下次启动时便会要求插入制作好的U盘用于解密BitLocker加密的系统分区。此后,才能正常启动操作系统。
要查看TPM「启动密钥」是否正确添加,可以使用如下命令:
manage-bde–status
怎么移除「启动密钥」
要移除TPM「启动密钥」并恢复到Windows原有的自解密状态也非常简单,只需按前面步骤将相同组策略路径中的「配置TPM启动密钥」更改为「有TPM时允许启动密钥」后点击确定,再用manage-bde-protectors-addc:-TPM命令将密钥重新写回TPM芯片即可。更改完成后建议先重启下系统看是否有问题,如无意外,直接将U盘格式化就行了。
电脑一开机就进入bitlocker恢复密钥页面,无法进入系统恢复密钥或密码。从那里,你将需要去到活动目录中,并在提示进入恢复密钥。之后,你会登录到Windows,并暂停BitLocker保护模式。重新启动您的计算机,并直接进入BIOS设置
关于bitlocker key,bitlocker key id的介绍到此结束,希望对大家有所帮助。