通过USB驱动器来解锁BitLocker卷

  • A+
所属分类:安全文章

ESR-7.05_1200х630.jpg

BitLocker是Windows加密磁盘卷的默认解决方案,许多组织使用BitLocker加密保护启动磁盘。在添加必要的安全层的同时,如果丢失了原始的Windows登录密码,BitLocker还可以锁定对加密卷的管理访问权限。我们提供了一种简单的解决方案,借助可启动的USB驱动器来恢复对受BitLocker保护的Windows系统的访问。

BitLocker保护器

建议在阅读本文之前,先阅读《保护系统磁盘》。该文章介绍了计算机用户查看的BitLocker的基本知识。如果有时间,你还可以阅读后续文章《解锁BitLocker:你可以破解该密码吗?》,揭示了BitLocker的许多详细的幕后操作,即使你了解BitLocker,我们也建议你阅读该文章。

BitLocker卷可以用一个或多个各种类型的保护器保护,这些保护器可以一起使用(以提高安全性)或并行使用(以方便恢复)。可以使用这种保护器的多种组合,默认情况下,当用户创建加密卷时,Windows至少需要两个保护程序。这些卷通常使用TPM(第一个保护器),同时创建备份恢复密钥(一个48个字符的数字密码)并将其存储在AD,用户的Microsoft帐户或硬盘或可移动USB驱动器中。

这种方法的本质错误在于,即使备份保护器(例如恢复密钥)可用,Microsoft也没有提供直接的路径来恢复对BitLocker加密系统卷上用户Windows帐户的访问。当然,你仍然可以从Windows恢复磁盘启动,并通过提供恢复密钥来挂载加密的卷。但是,后续步骤需要重新挂载Windows或从加密卷备份数据。

我们提供了一种更简单的方法,从版本7.05开始,Elcomsoft系统恢复可以用来解锁BitLocker卷,当你从ESR USB驱动器启动。通过从USB驱动器启动,你现在可以做以下事情:

1. 解锁所有支持保护程序的BitLocker卷(见下文),包括系统(启动)卷。

2. 访问用户的Windows帐户,例如,你可以重置用户的Windows帐户密码,为特定用户分配管理权限,提取存储的密码,以及执行更多详细的操作,如如何使用可启动的闪存驱动器解锁Windows系统。

支持的BitLocker保护器类型

BitLocker提供了一系列的保护选项,包括TPM、全数字PIN码、恢复密钥、密码(用户口令)和USB密钥。尽管通常将多个保护器用于访问恢复目的,但是最注重安全性的可能会指定使用多个保护器,必须将所有这些保护器一起使用才能解锁加密卷。让我们看看BitLocker保护器的选择如何影响成功解锁该卷的可能性。

只利用TPM,迄今为止,它是公司环境中最常用的保护器。卷主密钥(VMK)存储在安全的受信任平台模块(TPM)中,并且仅在经过验证的启动中释放。如果你拥有的是TPM(也就是说,AD,用户的Microsoft帐户或文件/打印输出中没有可用的恢复密钥),将无法通过从USB驱动器启动来解锁卷。如果你有权访问该卷的恢复密钥,则只能使用ESR对该卷进行解锁。

利用密码,这是非系统卷和外部驱动器最常用的保护方案。显然,如果你具有密码,ESR将能够挂载该卷。创建受密码保护的BitLocker卷时,Windows将自动生成恢复密钥。如果你具有该恢复密钥,ESR也将能够挂载该卷。

USB密钥,如果计算机未配备TPM模块,则对Windows组策略的编辑可以使用所谓的启动密钥在启动卷上启用BitLocker保护。在这种情况下,BitLocker使用包含外部密钥的USB存储设备的输入。

TPM + PIN,TPM + USB,TPM + PIN + USB,这些组合要求同时存在所有启用的保护器,以便解锁该卷。如果你具有正确的恢复密钥,则仍可以挂载该卷。

如下表所示:

1.png

如何使用Elcomsoft System Recovery挂载BitLocker卷

为了使用Elcomsoft System Recovery,你首先需要创建具有ESR 7.05或更高版本的可启动媒体(例如USB闪存驱动器)。要创建可启动的闪存驱动器,只需在你的计算机(而不是可疑计算机)上启动该工具,然后按照向导进行操作即可。

2.png

2.2.png

2.3.png

2.4.png

从你创建的USB驱动器启动目标计算机,计算机完成启动后,将启动Elcomsoft System Recovery。该工具将自动扫描可用硬盘驱动器中的加密卷,如果ESR检测到至少一个BitLocker卷,该工具将提示解锁驱动器:

3.png

选择“是”,然后继续。在下一个窗口中,ESR将显示驱动器号和保护器的类型。注意:如果该工具检测到BitLocker驱动器具有至少一个不受支持的保护器,则默认情况下,不受支持的保护器将不会出现在磁盘保护器列表中。要显示所有保护器(包括不受支持的类型),请清除“仅显示受支持的磁盘保护器”复选框。

4.png

清除复选框后,你将看到不受支持的磁盘保护器类型。在下面的示例中,启动驱动器使用TPM + PIN进行保护,恢复密钥作为备份保护。

5.png

要解锁驱动器,请在“数字密码”字段中输入恢复密钥(48位),然后单击“取消保护”。如果恢复密钥与加密分区匹配,则该卷将成功解锁。

在某些情况下,你会遇到由多个受支持类型的磁盘保护器保护的BitLocker卷。在下面的示例中,该卷受密码保护,并且创建了恢复密钥作为附加(备份)保护器。对于非启动卷(如附加驱动器和分区以及受BitLocker To Go保护的外部设备),这是默认设置。如果是这种情况,请指定您可以访问的保护器类型。例如,如果你知道BitLocker卷的密码,选择“password”作为“Unprotect type”,然后输入相应的密码短语来解锁卷。BitLocker To Go 应用程序 (bitlockertogo.exe) 是在运行 Windows Vista 或 Windows XP 及以上版本操作系统上运行的存储加密程序。

6.png

本文翻译自:https://blog.elcomsoft.com/2020/06/unlocking-bitlocker-volumes-by-booting-from-a-usb-drive/如若转载,请注明原文地址:

本文来源于互联网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: