Co sposobilo zapnutie Bitlocker
Dnes som bol povolany na zberny dvor, e im tam nejde PC. Po prichode som zistil, ze po zapnuti chce desifrovat disk cez Bitlocker.
Potialto nic zaujimave, teraz pridu tie zahadne veci.
PC obsluhuje chlapik, kde takmer vylucujem, zeby dokazal zapnut Bitlocker vo Win11, firma, ktora pc pred rokom dodala a montovala sa mi v telefone dusovala, ze oni ziadne sifrovanie nenastavovali a ze si to musel pokazit zakaznik.
Firme neverim ani pol slova, pretoze keby to bola seriozna firma odovzda k PC nejaku dokumentaciu, minimalne MS konto, ktore pouzili pri instalacii a kde by som mal byt schopny stiahnut desifrovaci kluc k BL aspon co som zbezne cital.
Navyse firma obivinila zakaznika, ze to pokazil on, oni to samozrejme pridu opravit ak zaslu objednavku a bla bla bla.
Budem im este volat zajtra, kedze som to riesil poobede s nejakym noumom, ktory podla o tom nemal sajnu a okrme obvinovania v style sak to rok chodilo akotoze to zrazu nejde som z neho nic nedostal.
S BL nemam vela skusenosti, ale predpokladam, ze ked sa disk sifruje nie nie je nutne zadavat heslo na desifrovanie ak je zapnuty secure boot a kluc si strazi TPM chip...alebo sa mylim?
Respektive stretli ste s takymto nahlym aktivovanym BL, kde zakznik tvrdil, ze nic nenastavoval? Mam pocit, ze na poradni uz taketo dotazy zazneli.
Inak zaujimave zistenie, ze ked som nabootoval cez usb diskpart nevidel vobec interny disk, co mi pride divne...disk moze byt sifrovany, ale diskpart by ho vidiet mal nie?
https://www.zive.cz/clanky/windows-11-budou-automaticky-sifrovat-uloziste-pocitace-budou-bezpecnejsi-ale-pomalejsi/sc-3-a-229682/default.aspx
Tusil som nieco take, zeby sa mohlo jednat o nejaku aktualizaciu...ale ked som prisiel mal pc vypnuty secure boot, coby malo znamenat, ze BL by ist nemal. Takisto som skusal resetovat kluce v biose, a hodil som ho do defaultu pre istotu a nic z toho nepomohlo.
Jedna vec je aktivovanie BL, druha vec je, ze uzivatel predsa musi dostat desifrovaci kluc, ked sa tato hovadina aktivuje nie?
Inak je to nejaky Asus all-in-one s pomerne osekanym biosom, moc sa tam toho nastavit neda.
Tim jsi z TP ten klic smazal. Pokud bys to udelal se zasifrovanym diskem, budes ve stejne situaci - budes potrebovat recovery key
Lenze tam nebolo ziadne kluce, boli tam 0 hodnoty, az po resete klucov sa tam zjavili nove.
Cele to bolo zvlastne.
Proste to zapne nejaka aktualizace Win. A protoze o tom uzivatel ani nevi, tak nema ulozeny recovery klic.
Ten by mel byt ulozen v online uctu, ale zatim jsem ho tam nikdy, kdyz jsem to potreboval nenasel.
Pak staci, kdyz se neco podela a se zasifrovanym diskem nenabootujes.
A i kdybys ten recovery klic mel, tak se ti vetsinou stejne oprava nepodari. Pak uz nezbyva nez vytahnout disk a zachranit z nej data
Disk nie je sifrovany, ked pises, ze vytiahnem z neho data?
A prevo som disk nevidel v diskparte po boote z usb?
Pokud mas recovery key, tak ano. Pokud mel uzivatel online MS ucet, zkus se tam přihlásit, třeba budeš mít štěstí.
Jinak muzes zrusit odfil a nainstalovat mu pocitac nacisto.
předem: o bl nic nevím.
bitlocker v minulosti fungoval i bez tpm, ale w11 ho stejně vynucují a nový hw ho má automaticky.
už v minulosti se stalo snad hp, že bl zapnuli zákazníkovi sami, v pc běžně prodávanému v tesco apod, dokonce ve verzi home. kde by ten pak přišel k nějakému klíči
se na to přišlo až po typické domácí havárii či nekompatibilitě s av, kterou podle mě zažije 90% homeuserů, někteří chcou dokonce zpět svoje data(!)
takže teď to není na vrub značkového dodavatele tescokrámů, ale přímo aktualizace od tupého m$.
a bude hůř, ms jen tak ze srandy tu povinnost tpm nevymáhá. v době win12 už naštěstí budu v důchodu.
nepoužívám nové pc desky, herní pc mě nezajímají.
v práci na výrobních testerech používáme jako novinku intel 6.generace + win10. teď nesměle začneme s pojebanými deskami 10.gen, které už neumí mbr disky a legacy boot.
takže sračky jako secure boot a bitlocker jdou mimo mě - nepotřebujeme šifrovat disky, cílem naopak je, aby to pc zprovoznil ze zálohy každý údržbář.
proto taky směle resetuju bios, což ve fabrických podmínkách s řádově většími poruchami na napájení než v domácím pokoji, s "atypickými" komunikačními pci kartami pomáhá řešit tak 3/4 problémů s nestartujícími pc.
(a že homeuseři netuší, za koliík procent problémů může pojebaný intel me procesor a hlavně jejich desky s ním nedokáží nic udělat, to je zas humor z jiné kapsy)
Taky jsem se s tím tento týden setkal na jednom z počítačů (Win 11) - v Průzkumníku jsem si všimnul žlutého trojúhelníku s vykřičníkem na disku C.
Jako tady:
https://support.lenovo.com/cr/cs/solutions/ht513232-yellow-mark-appears-on-c-drive-icon-windows-11
Zjistil jsem, že se zapnulo šifrování disku, resp. že asi právě probíhá. Tak jsem hned hledal, jak to vypnout:
https://www.asus.com/cz/support/faq/1044341/
Setkal jsem se s tím na notebooku s desítkama. Tento ransomware prý na některých noteboocích (např. dell) je aktivní defaultně, jindy se prý aktivuje instalací mickosoftích officů. Průšvih je, že BFU vůbec nemusí tušit, že mu běží šifrování disku dokud se tento virus neozve (podobně jako klasické ransomware viry typu one half). No ale pokud to neaktivoval dodavatel počítače, tak jedině nějaká aktualizace.
Nejlepší ještě je, že ve správci disků je větička "chráněno pomocí bitlocker" tedy ani hláska o šifrování. Kdysi mi tady na poradně někdo poradil, jak tuhle (defaultně zapnutou a pro mě nepotřebnou) fičuru s pomocí powershellu vypnout, čímž jsem tyto záškodnické akce utnul hned v počátku. No asi (jak to čtu) to vypíbala spousta lidí, takže možná s nějakou aktualizací už tamožnost to vypnout neni. Zase dostává můj konzervatizmus, kdy na počítačích, kde nemám linux, se držím desítek a sedmiček (o XP a dvoulitrech nemluvim, tam je to dané specializovaným hw a sw, který je na těchto systémech závislý; místo Vist na starém notebooku už dávno používám Mint).
Este nikto mi neodpovedal na otazku preco som disk nevidel cez diskpart po nabootovani z usb...niej eto znamka, ze moze byt problem so samotnym diskom a po zadani kluca dostanem hlasku, ze sa nieco nezdarilo?
Diskpart sa predsa nepyta sifrovanej casti na data, ale na geometriu disku, tento udaj predsa sifrovany nie je.
Za normláních okolností by disk měl být vidět, ale existují výjimky potvrzující pravidlo.
https://www.easeus.com/storage-media-recovery/bitlocker-drive-not-showing-up.html
Je klidně možné, že disk odchází, odešel. Že se samo_se_to nějak šifrování zapnulo (nebo tomu někdo pomohl) a teď odešly nějaké zásadní sektory.
Jen úvaha laika :)
Připojím se s poddotazem.
Šifrování nikde (W10Pro) nemám, PC nemají ten TPM čip, mám tedy klid.
Plánuji nový PC s W11Pro, lze snad už přímo při instalaci OS navždy zakázat jakékoliv šifrování nebo ne? Absolutně o to nestojím, nechci to. A zároveň nechci MS online účet, nestojím o jejich OneDrive, cloud, nechci mít u nich nic online. Je ten požadavek snad splnitelný?
zakaž službu "Služba BitLocker Drive Encryption" = bdesvc
a pokud m$ důvěřuješ tak jako já, tak ještě té službě v registrech odeber práva "system".
Staci, kdyz na sifrovanem disku to sifrovani vypnes (pres rozhrani Bitlockeru). Zatim se mi nestalo. ze by se zasifroval znovu.
Predpoladam, ze L_Core ten novy pocitac dostane uz se zasifrovanym diskem.
Snad nedostane, skládat PC a instalovat OS bude touchwood…
https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-bitlocker
Buď se nastaví PreventDeviceEncryption True v Unattend nebo se během instalace Windows přidá do registru:
HKLM\SYSTEM\CurrentControlSet\Control\BitLocker
PreventDeviceEncryption dword 1
ano, vše není problém.