SP1 do Windows 7 i BitLocker


SP1 stal sie powszechnie dostepny i na pewno jeszcze w tym tygodniu niejeden pasjonat skusi sie na jego instalacje na swoim sprzecie. A pare chwil pózniej – moze i w calej sieci.

Wujek Dobra Rada, odkad istnieja ServicePacki (jestem w stanie siegnac pamiecia do SP5 do NT 3.51 i wydanego prawie równoczesnie SP1 do NT 4.0) mówil "zanim zainstalujesz SP, zrób backup". Ale wszyscy wiedza jak to bywa z dobrymi radami. Jazda bez trzymanki jest duzo bardziej pasjonujaca. Poza tym kazdy zna informatyczne przyslowie o prawdziwych twardzielach.

Nie bede namawial do backupu. Albo ktos sam wie i zrobi, albo i tak nie da sie przekonac. Mam za to inna uzyteczna porade:

 nie zapomnij o BitLockerze

Jezeli masz zaszyfrowany dyski i uzywasz TPM, to przy instalacji SP1, po restarcie system poprosi o klucz. Zawsze tak bylo i pewnie zawsze bedzie. Rzecz w tym, ze w informatycznym podnieceniu slusznie wywolanym przez nowy ServicePack, jakos wylatuje to z glowy. System wystartuje z niewinnym pytaniem o klucz i nagle okaze sie, ze wbrew wszelkim zaleceniom, jedyna metoda uzyskania klucza jest skorzystanie z dzialajacego systemu. Oczywiscie to oznacza, ze klucz byl zle przechowywany. Ale znam wiele osób, które wlasnie tak robia, uwazajac, ze niezalezna od systemu kopie zrobia sobie "pózniej". Instalacja SP1 jest ostatnim momentem na to "pózniej", bo potem zostaje juz tylko format...

A tak naprawde, najlepiej po prostu czasowo przechowac klucz w jawnej postaci i na pare chwil przestac korzystac z TPMa. Dla laików, którym BitLocker nie je z reki: trzeba wlaczyc konsolke zarzadzajaca i skorzystac z opcji "Suspend Protection".

image

Wszystko pozostaje zaszyfrowane tak jak bylo, ale dysk nie jest chroniony i po instalacji ServicePacka bedzie w stanie zadzialac.

Dla twardszych polecam "manage-bde.exe %systemdrive% -protectors –get" i zapamietac wyswietlony klucz numeryczny. Wystarczy do uruchomienia systemu gdy TPM (slusznie zreszta!) stwierdzi, ze cos mu sie nadmiernie w srodowisku zmienilo.

Autor: Grzegorz Tworek [MVP]

PS Oczywiscie instalacja SP1 nie jest jedynym powodem, zeby madrze przechowywac klucze do BitLockera. Ale jak to z takimi radami... póki sie ktos bardzo bolesnie nie sparzy, to bedzie kombinowal.

Comments (7)

  1. Anonymous says:

    Słusznie traktujesz chyba… 😉

    Ale i tak wszędzie jest napisane, że należy zrobić.

  2. Anonymous says:

    W największym skrócie, chodzi o to, że w normalnej pracy BitLockera, TPM generuje klucz, którym odszyfrowany zostaje klucz służący do odszyfrowania sektorów.

    Suspend powoduje, że ten klucz zostaje zapisany na dysku w niemal jawnej postaci. W efekcie, dysk pozostaje zaszyfrowany (dzięki czemu suspend jest szybki) ale o skutecznej ochronie trudno tu mówić. Po instalacji SP, przywracamy ochronę, przez operację polegającą na usunięciu jawnego klucza i ponownym właczeniu TPM.

    Generalnie, to nawet działa 😉

  3. Anonymous says:

    No dlatego napisałem "skorzystać z opcji Suspend Protection", nawet zamieszczając obrazek 🙂

  4. ToMeK says:

    A nie wystarczylepiej przed instalacja zrobić 'Suspend protection' ?

  5. ToMeK says:

    OK – poranne czytanie na szybko nie służy

  6. Paweł Kiraga says:

    Specjalnie backupu przy SP nigdy nie robiłem, traktuję SP (niesłusznie?) jako większą poprawkę.

    Jakby się wysypało, to mogę użyć tego co robię okresowo.

  7. Adam S. says:

    Czy moglbys dokladniej wyjasnic na czym polega "Suspend protection" i rozwinac ta mysl

    "Wszystko pozostaje zaszyfrowane tak jak było, ale dysk nie jest chroniony"

Skip to main content